Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Maanantai, 23.6.2003

Mystinen troijalainen aiheuttaa liikennettä Internetissä

Tietoturva-asiantuntijat ja verkkoylläpitäjät ovat toukokuusta lähtien yrittäneet selvittää mikä on syynä kummalliseen verkkoliikenteeseen Internetissä. Verkkoliikennettä tutkimalla on pystytty päättelemään, että liikenne koostuu porttiskannauksista, joita suorittaa eräs troijalainen ohjelma. Troijalaisen lähettämät datapaketit voi tunnistaa suuresta tcp-ikkunan koosta, joka on 55808 tavua.

Tietoturvayhtiöt Intrusec ja ISS ovat analysoineet 55808 ja Stumbler -nimillä tunnetun troijalaisen. Yhtiöiden mukaan samalla tapaa toimivia troijalaisia vaikuttaisi olevan liikkeellä useampiakin. Troijalaisen saastuttamia koneita on erittäin vaikea paikantaa verkosta, koska troijalainen väärentää oman IP-osoitteensa skannatessaan verkosta satunnaisia IP-osoitteita. 55808 on tavattu Linux-ympäristössä, mutta myös Unix- ja Windows-versioiden olemassa oloa pidetään mahdollisena.

55808 ei automaattisesti levitä itsestään uusia kopioita, vaan uusiin koneisiin tarttuminen edellyttää jonkun olemassa olevan haavoittuvuuden hyödyntämistä tai mahdollisen hyökkääjän manuaalisesti tietojärjestelmään jättämää tartuntaa. Verkkoliikenteen kasvua lukuunottamatta troijalaisesta ei uskota olevan suurempaa haittaa. Eräiden arvioiden mukaan 55808 onkin eräänlainen konseptiversio kolmannen sukupolven troijalaisesta.

Lue juttu oma, 23.6.2003 00:04. Lähde: Intrusec, ISS

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 21 uutta / 21 )
pistettä.
Näytä vain kommentit joilla on vähintään
Porttiscanni
Anonyymi kommentoija, 23.6.2003 07:48:29		 Pisteet: +1
Mites tuo porttiscannaus toimii jos troijalainen väärentää sourceosoitteen?
Re: Porttiscanni
Anonyymi kommentoija, 23.6.2003 08:12:04		 Pisteet: +1
Mites tuo porttiscannaus toimii jos troijalainen väärentää sourceosoitteen?
Mietin heti ihan samaa. IP-paketeissahan lähetetään aina vastaanottajan osoite ja lähettäjän osoite. Jos vastaanottaja vastaa jotain, lähetetään vastaus lähettäjän osoite -kentän mukaiseen osoitteeseen. Jos tämä osoite taas on väärä, ei troijalainen saa mitään tietoa siitä, vastaako skannattava kone jotain. Eli onko tuosta porttiskannauksesta silloin jotain hyötyä?
Re: Porttiscanni
Anonyymi kommentoija, 23.6.2003 08:16:58		 Pisteet: 0
Eli onko tuosta porttiskannauksesta silloin jotain hyötyä?
Olisiko tuo "hyöty" lähinnä haitta, joka aiheutuu verkon kuormituksesta.
JttL Re: Porttiscanni
JttL, 23.6.2003 08:22:31		 Pisteet: +1
Eli onko tuosta porttiskannauksesta silloin jotain hyötyä?
Olisiko tuo "hyöty" lähinnä haitta, joka aiheutuu verkon kuormituksesta.
Veikkaisin, että tällä troijalaisella on paljon suurmpi tarkoitus. Tekijän tarkoitus lienee olla, tehdä porttiscannaukset lailliseksi. Koska kyseinen troijalainen väärentää ip:n ja muutenkin scannailee itsekseen, osoittaa se, että joku voi scannaillla sinunkin koneeltasi (tai IP:stäsi) sinun tietämättäsi, ja ilman, että olet vastuussa mistään, joten syyllisyyden osoittaminen oikeudessa tulee paljon hankalammaksi.
"A stroke of brush doesn't guarantee art from bristles." --Kosh
heko Re: Porttiscanni
heko, 23.6.2003 22:24:38		 Pisteet: 0
Tekijän tarkoitus lienee olla, tehdä porttiscannaukset lailliseksi. Koska kyseinen troijalainen väärentää ip:n ja muutenkin scannailee itsekseen, osoittaa se, että joku voi scannaillla sinunkin koneeltasi (tai IP:stäsi) sinun tietämättäsi, ja ilman, että olet vastuussa mistään, joten syyllisyyden osoittaminen oikeudessa tulee paljon hankalammaksi.
Seuraavaksi varmaan ehdotat, että seiniin töhertävä skidi käyttää kaverin tagiä saadakseen ilkivallan laillistettua.

Selitysten keksiminen ei aina osu maaliinsa. Sillä usein se on juuri sitä kekeimistä. Ihmisten voi kyllä hyvällä syyllä olettaa olevan tyhmiä, for a given value of "tyhmä", mutta jotain ajatuskulkua ei silti tee uskottavaksi yksin se, että ihmisten päättelykyvyssä yleensä on puutteita.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
JttL Re: Porttiscanni
JttL, 24.6.2003 08:28:32		 Pisteet: 0
Seuraavaksi varmaan ehdotat, että seiniin töhertävä skidi käyttää kaverin tagiä saadakseen ilkivallan laillistettua.
En suinkaan, eihän se sovellu lainkaan tähän ajattelumalliin. Sillä koko länsimaisen oikeusjärjestelmän perusta on, että syytön kunnes toisin todistetaan (paitsi jenkeissä =).Mikäli on siis olemassa pienikin mahdollisuus, että et ole tehnyt sitä mistä sinua syytetään, ei sinua voida tuomita.

Miten tämä sinun mielestäsi pätee johonkin tagien piirtämiseen? Sinun logiikkasi ei nyt oikein näyttäisi toimivan.

Selitysten keksiminen ei aina osu maaliinsa. Sillä usein se on juuri sitä kekeimistä. Ihmisten voi kyllä hyvällä syyllä olettaa olevan tyhmiä, for a given value of "tyhmä", mutta jotain ajatuskulkua ei silti tee uskottavaksi yksin se, että ihmisten päättelykyvyssä yleensä on puutteita.
Niin, en ole väittänytkään, että tietäisin, mutta tulipahan nyt tällainenkin ajatus mieleen.
"A stroke of brush doesn't guarantee art from bristles." --Kosh
heko Re: Porttiscanni
heko, 24.6.2003 15:43:00		 Pisteet: 0
En suinkaan, eihän se sovellu lainkaan tähän ajattelumalliin. Sillä koko länsimaisen oikeusjärjestelmän perusta on, että syytön kunnes toisin todistetaan (paitsi jenkeissä =).
Tämä on valitettavan yleinen harhaluulo.

Mikäli on siis olemassa pienikin mahdollisuus, että et ole tehnyt sitä mistä sinua syytetään, ei sinua voida tuomita.
Tämäkin on yleinen harhaluulo.

Miten tämä sinun mielestäsi pätee johonkin tagien piirtämiseen? Sinun logiikkasi ei nyt oikein näyttäisi toimivan.
Analogia on _olennaisilta_ osiltaan pätevä.

Sen pointti on siinä, että ei kenenkään voida olettaa oikeasti ajattelevan, että poliitikkojen paineet jonkin asian valvomiseen ja rankaisemiseen _vähenisivät_ tekemällä tuota asiaa ja yrittämällä osoittaa, että teon pystyy helposti tekemään toisen nimissä. Se ei vain yksinkertaisesti ole uskottava ajatusketju, jos oikeasti yrittää eläytyä tekijän ajatusmaailmaan.

Niin, en ole väittänytkään, että tietäisin, mutta tulipahan nyt tällainenkin ajatus mieleen.
Ei kysymys ole varmasta tiedosta, vaan siitä, mille on mielekästä etsiä selityksiä ja mihin pisteeseen asti, ja milloin nuo selitykset ovat itse mielekkäitä.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Re: Porttiscanni
Anonyymi kommentoija, 25.6.2003 12:05:01		 Pisteet: 0
Sen pointti on siinä, että ei kenenkään voida olettaa oikeasti ajattelevan, että poliitikkojen paineet jonkin asian valvomiseen ja rankaisemiseen _vähenisivät_ tekemällä tuota asiaa ja yrittämällä osoittaa, että teon pystyy helposti tekemään toisen nimissä. Se ei vain yksinkertaisesti ole uskottava ajatusketju, jos oikeasti yrittää eläytyä tekijän ajatusmaailmaan.

Kyllähän tuo aika hyvin toimii sen ajan kun tämä troijalainen tekee hommiaan. Jos oletamme, että kaikille maailman koneille tulee 100 skannausta minuutissa, ei poliiseilla varmasti riitä resursseja ruveta jäljittämään skannauksia, varsinkin kun nämä ovat väärennetyistä osoitteista. Tällöin poliisi voisi jättää tutkimatta porttiskannaukset, koska niitä tehtäisiin aivan liikaa
heko Re: Porttiscanni
heko, 25.6.2003 16:10:06		 Pisteet: 0
Kyllähän tuo aika hyvin toimii sen ajan kun tämä troijalainen tekee hommiaan. Jos oletamme, että kaikille maailman koneille tulee 100 skannausta minuutissa, ei poliiseilla varmasti riitä resursseja ruveta jäljittämään skannauksia, varsinkin kun nämä ovat väärennetyistä osoitteista. Tällöin poliisi voisi jättää tutkimatta porttiskannaukset, koska niitä tehtäisiin aivan liikaa
Ja miten tämä tarkalleen ottaen liittyy "laillistamiseen"?
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Re: Porttiscanni
Anonyymi kommentoija, 25.6.2003 17:37:14		 Pisteet: 0
... ei poliiseilla varmasti riitä resursseja ruveta jäljittämään ... poliisi voisi jättää tutkimatta porttiskannaukset, koska niitä tehtäisiin aivan liikaa
Ja miten tämä tarkalleen ottaen liittyy "laillistamiseen"?
Ihan samalla tavalla kuin että A) automurrosta ei rangaista, ja B) ylinopeuden ajamisesta ei rangaista
Näiden motiivit (ja maalaisjärjellä ajatellen siis rakgaistavuuskin) ovat aivan erilaisia, mutta sama analogia tässä porttiskannausten hukuttamisessa massaan on.
Mitä sille kotimaiselle skannaajalle muuten loppuen lopuksi kävi, pysyikö se älytön tuomio ja korvausvaatimus?
heko Re: Porttiscanni
heko, 25.6.2003 18:13:15		 Pisteet: 0
Ihan samalla tavalla kuin että A) automurrosta ei rangaista, ja B) ylinopeuden ajamisesta ei rangaista
Se, että rikoksista ei voida rangaista, koska tekijää ei saada kiinni, ei tarkoita sitä, että se olisi laillinen, tai edes että rikoksia pyrittäisiin valvomaan vähemmän. Tendenssi on usein pikemminkin päinvastainen, erityisesti asioissa, jotka ovat mediaseksikkäitä: jos rikoksia tehdään paljon, oletetaan, että täytyy lisätä poliiseja ja koventaa rangaistuksia.

Näiden motiivit (ja maalaisjärjellä ajatellen siis rakgaistavuuskin) ovat aivan erilaisia, mutta sama analogia tässä porttiskannausten hukuttamisessa massaan on.
Öö, mutta ainakin minun analogianihan liittyi juuri motiiveihin? Alkuperäinen kirjoittaja väitti, että tekijän motivaationa olisi saattaa asiat laillisiksi tekemällä rikoksia. Kyllä rikoksia _tehdään_ tässä tarkoituksessa, mutta silloin niille haetaan julkisuutta eksplisiittisesti (esim. kansalaistottelemattomuus). Se, että joku tekisi rikoksia eikä itse aktiivisesti pyrkisi saattamaan niiden motiiveja julkisiksi ja olettaisi, että lainsäätäjä äkkää, mihin tällä kaikella pyritään, ei yksinkertaisesti ole uskottavaa.

Mitä sille kotimaiselle skannaajalle muuten loppuen lopuksi kävi, pysyikö se älytön tuomio ja korvausvaatimus?
KKO on pitänyt HO:ssa langetetut korvausvelvollisuudet voimassa:
http://finlex1.edita.fi/dynaweb/oiktap/kko/fkko/@G...

Tuomio kannattaa lukea _perusteluineen_, jos asia kiinnostaa.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
feenix Re: Porttiscanni
feenix, 23.6.2003 15:46:36		 Pisteet: +1
Veikkaisin, että tällä troijalaisella on paljon suurmpi tarkoitus. Tekijän tarkoitus lienee olla, tehdä porttiscannaukset lailliseksi. Koska kyseinen troijalainen väärentää ip:n ja muutenkin scannailee itsekseen, osoittaa se, että joku voi scannaillla sinunkin koneeltasi (tai IP:stäsi) sinun tietämättäsi, ja ilman, että olet vastuussa mistään, joten syyllisyyden osoittaminen oikeudessa tulee paljon hankalammaksi.
Enkä vieläkään ymmärrä miksei ISPillä ole asetukset kunnossa, jolloin IP:n väärennys ei edes toimisi. Mikään itseään kunnioittava verkkoadminhan ei salli mitään liikennettä ulospäin yhdestäkään reitittimestä ellei se ole tullut oikeasti sen takana olevista IPistä. Surku vain että noita admineja riittää, jotka eivät tuota tajua. Saisivat tunkea väkisin noihin purkkeihin nuo säädöt noin, silloin voisi korkeintaan vaihtaa IP:nsä saman verkon osoitteeksi, jonka jälkeen on silti hyvin triviaalia siinä verkossa katsoa mistä se oikeasti tulee, jos on tarvis.

Mutta eihän asioita voi tehdä oikein...
Re: Porttiscanni
Anonyymi kommentoija, 23.6.2003 08:20:14		 Pisteet: 0
Mites tuo porttiscannaus toimii jos troijalainen väärentää sourceosoitteen?
Mietin heti ihan samaa. IP-paketeissahan lähetetään aina vastaanottajan osoite ja lähettäjän osoite. Jos vastaanottaja vastaa jotain, lähetetään vastaus lähettäjän osoite -kentän mukaiseen osoitteeseen. Jos tämä osoite taas on väärä, ei troijalainen saa mitään tietoa siitä, vastaako skannattava kone jotain. Eli onko tuosta porttiskannauksesta silloin jotain hyötyä?
Jos kyseinen troijalainen ei tee mitään muuta kun skannaa portteja, niin ehkä sen ei tarvitsekkaan saada vastausta. Ehkä tavoitteena on vain lisätä verkkoliikennettä tms.

Ei todellakaan mitään faktaa, kunhan mietin ääneen.
Re: Porttiscanni
Anonyymi kommentoija, 23.6.2003 08:29:48		 Pisteet: 0
Jos kyseinen troijalainen ei tee mitään muuta kun skannaa portteja, niin ehkä sen ei tarvitsekkaan saada vastausta. Ehkä tavoitteena on vain lisätä verkkoliikennettä tms. Ei todellakaan mitään faktaa, kunhan mietin ääneen.
Jep, tuskipa vastauksella niin on merkitystä. Mutta tuli mieleeni hurja ajatus että virus voi olla myös väärennetyssä osoitteessa keräämässä queryn dataa. Saattaisi olla varsin tuskallinen verkkoadmineille kun ip:t menee aivan sekaisin.
Re: Porttiscanni
Anonyymi kommentoija, 23.6.2003 09:51:09		 Pisteet: 0
Jos kyseinen troijalainen ei tee mitään muuta kun skannaa portteja, niin ehkä sen ei tarvitsekkaan saada vastausta. Ehkä tavoitteena on vain lisätä verkkoliikennettä tms. Ei todellakaan mitään faktaa, kunhan mietin ääneen.
Jep, tuskipa vastauksella niin on merkitystä. Mutta tuli mieleeni hurja ajatus että virus voi olla myös väärennetyssä osoitteessa keräämässä queryn dataa. Saattaisi olla varsin tuskallinen verkkoadmineille kun ip:t menee aivan sekaisin.
Tässä tilanteessa olisi aivan yksi ja sama väärentäisikö troijalainen osoitteen vai skannaisiko suoraan sieltä "väärennetystä" ip-osoitteesta.
RuffRuff Re: Porttiscanni
RuffRuff, 23.6.2003 08:26:25		 Pisteet: +1
astaako skannattava kone jotain. Eli onko tuosta porttiskannauksesta silloin jotain hyötyä?
Jutussa mainitaan, että tuo troijalainen myös kuuntelee myös verkkoa ja nimenomaan toisen vastaavanlaisen troijalaisen skannauksia. Tähän skannaukseen voidaan vastata omalla IP-osoitteella ja tämän tiedon toinen troijalainen sitten tallentaa. Näin ne keräävät tietoa aukinaisista porteista ja lähettävät kerätyt tiedot tietyin väliajoin tiettyyn IP-osoitteeseen.
Re: Porttiscanni
Anonyymi kommentoija, 23.6.2003 10:14:52		 Pisteet: 0
... lähettävät kerätyt tiedot tietyin väliajoin tiettyyn IP-osoitteeseen.
Joka on AT&T:n worldnetissä ja tiedotteiden mukaan käyttämätön.

Minua ihmetyttää spekulaatiot siitä, että trojalaisia kontrolloiva voisi vahtaa kohdeosoitetta lennossa, mutta ettei olisi tarkkaan tiedossa miten. Enemmin tulee mieleen, että joku pystyisi tarvittaessa nappaamaan tämän ip'n liikenteen tai ainakin keräämään listan, mistä koneista troijalainen löytyy. Ehkä tämä on kahden mustahatturyhmän kilpailu murtautua mahdollisimman moneen koneeseen ja ilmoittaa valloituksensa 'kisan' tuomarille tällä troijalaisella.

Toisaalta ihmetyttää, miten jo toukokuussa löytyneen troijalaisen toimintaa tai viestintätapaa ei tunneta kunnolla. Jos se troijalainen saa viestit auki, niin luulisi tutkijankin saavan.

Huomattavaa oli myös jossain tiedotteessa ollut arvio siitä, että troijalaiset skannaisivat 65% internetin koneista 17 tunnissa. Eikö troijalainen skannaa kaikkia koneita, ja mihin arvio perustui?
Re: Porttiscanni
Anonyymi kommentoija, 23.6.2003 09:45:41		 Pisteet: 0
Mites tuo porttiscannaus toimii jos troijalainen väärentää sourceosoitteen?
Sen pointtina ilmeisesti on, että kun troijalainen yleistyy niin väärennetyt source-ja dest-osoitteet alkavat osua yksiin ja troijalaiset lähettelevät tälleen randomilla skannausdataa toisilleen. Paljon dataa menee alussa hukkaan, mutta jos troijalaista levitetään runsaasti niin sen tehokkuus paranee. Kerättyään tarpeeksi dataa se lähettää datan eteenpäin etukäteen määriteltyyn osoitteeseen. Tällaisen analyysin ainakin luin jostain Slashdotin kautta bongaamastani linkistä.
Kuulostaa vähän hupsulta, mutta jännä idea silti.
ressu Re: Porttiscanni
ressu, 23.6.2003 10:21:09		 Pisteet: +1
Mites tuo porttiscannaus toimii jos troijalainen väärentää sourceosoitteen?
Yleensä kun suoritetaan porttiscannaus, ja lähdeosoite väärennetään, voidaan käyttää 99 väärää osoitetta ja yhtä osoitetta joka on samasta verkosta kuin oma osoite, jolloin voidaan kuunnella tuon 'väärän' osoitteen kautta nuo tulokset. Tällä tavalla tuo lähde on edelleen väärennetty mutta saadaan myös tuloksia takaisin ja vastapäällä ei ole mitään keinoa saada selville alkuperäistä lähettäjää.
http://slashdot.org/comments.pl?sid=68506&cid=...

Tässähän on tietenkin muutama mutta, mutta niihin en puutu ;)
--
Krijoitusvihreeni ovat kpiosujattuja.
Re: Porttiscanni
Anonyymi kommentoija, 23.6.2003 11:30:58		 Pisteet: 0
vastapäällä ei ole mitään keinoa saada selville alkuperäistä lähettäjää.
Itseasiassa on/oli. Ensimmäiset porttiskannausohjelmat, jotka soivat kuvailmasi mahdollisuuden eivät ottaneet huomioon pakettien ttl:ää. Traceroutea vain takaisin ja syyllinen paljastui samankokoisen ttl'n perusteella. Nykyään ovat toki poistaneet tämän mahdollisuuden.