- Brian Krebs security blogja nyomán -

ha Windows-t használsz, egyelőre itthon még nem honosították

A Comcast nevű nagy netszolgáltató megelégelte, hogy lakossági ügyfelei közül sokan tartósan fertőzött géppel neteznek és emiatt számos panaszt kell kezelniük. Tavaly ezért Constant Guard elnevezéssel kampányt indítottak a felhasználók figyelmeztetésére és a siker nyomán most elhatározták a módszer egész Amerikára történő kiterjesztését.

A technikai háttér biztosítása érdekében partnerségre léptek a Damballa netbiztonsági céggel, amelynek botnet-érzékelő appliance eszköze látja, hogy mely Comcast-előfizető gépek próbálnak "hazatelefonálni" a hackerek által üzemeltetett ún. C&C vezérlőszervereknek - ez a viselkedés pedig fertőzött zombi gépre utal.

A felderítő tevékenység tehát megoldott, de a kártevő-elhárítást a sokmillió előfizető és az erős piaci verseny miatt az ISP-k már nem folytathatják a régi agresszív módszerekkel. A hőskorban némelyik szolgáltatónál, ha az ügyfél egy figyelmeztető telefon után nem tette rendbe a gépét, máris jött a letiltás a hálózatról - ma azonban túl sok alternatív hozzáférés elérhető, így hiába is rúgnák ki a renitenseket.

Jó szóval oktat
A Comcast kampánya szelídebb eszközökkel hat a felhasználókra: a webforgalomba illesztenek egy félig átlátszó, de mégis eléggé feltűnő ún. " banner" fejlécet. Ez lapok tetején megjelenő szolgálati közlemény jelzi az érintett netezőnek, hogy a gépe felől kártevőre utaló hálózati forgalmat észleltek és szíveskedjen a vírus-mentesítésről gondoskodni!

Mi a teendő?
A netezők, akik rákattintanak a vírus-értesítésre, egy olyan weboldalra jutnak, amely felsorolja a fertőzés megszüntetésére javasolt legfontosabb intézkedéseket:

• Egyedi kártevőirtó program letöltése
  (a Comcast lapja a Microsoft MSRT eszközére irányít)
• Hiányzó Microsoft rendszer-frissítések telepítése
  (a Windows Update felület segítségével)
• Általános felmérő eszköz futtatása, amivel megtalálhatók a más szoftver-gyártók termékeihez szükséges frissítések
  (a Comcast weblapja a Secunia Software Inspector ingyenes programra mutat)
• Biztonsági szoftver-ajánlatok, amellyel megoldható a számítógép tartós vírusvédelme.
  (Comcast-előfizetők akár hét gépen is ingyen használhatják a Norton360 típusú védelmet, ami a netszolgáltató szerint 160 dolláros költség-megtakarítást jelent ügyfeleik számára)

A Comcast szóvivője, Charlie Douglas szerint a tavaly először Denver környékén kipróbált rendszer jól működik és sok pozitív visszajelzést kaptak - ezért a védelmet jövő tavaszra kiterjesztik mintegy 16 millió ügyfelük többségére.

Aki többet akar, értenie kell hozzá
Problémát csak az jelenthet, hogy ha valaki a netkapcsolat mögött WLAN rádiós hálózati elosztót működtet, több kliens PC-vel - ilyenkor ugyanis a Constant Guard sem látja, hogy a nyilvános IP-cím mögött pontosan melyik számítógép fertőzött és az általános figyelmeztetés alapján az ügyfélnek magának kell megtalálnia lakásában a "zombit".

Aki azonban ért annyira a géphez, hogy felépítsen magának egy otthoni hálózatot, annak ez nem okozhat túl nagy gondot - másrészről sok modern kártevő tartalmaz helyi hálózaton és/vagy USB adathordozón terjedő modult, így ha egy végponton akár csak egy gép is megfertőződik, akkor valószínűleg a többi sem marad tiszta mellette.

Egy érdekesség: miért fontos az ismétlődő biztonsági mentés

- Computer World nyomán -
Sok tízezer kényelmetlen iratot próbáltak eltüntetni a netről.

Nemrég hackerek törték fel a Cryptome nevű anarchista-kiberpunk webhelyet, amely a hírhedt Wikileaks portál mellett egy másik jelentős netes gyűjtőhelye a kormányzatok által eltussolni kívánt, de mégis kiszivárgott titkos információknak.

A Cryptome-t idén februárban már a Microsoft is bezáratta egy rövid időre, miután engedély nélkül felkerült a szájtra a szoftver-óriáscég nemzetközi netrendőri egységek számára készült bizalmas tájékoztató kiadványa. Azt az akciót azonban a DMCA törvény paragrafusaival felszerelkezett jogászok hajtották végre, míg most hagyományos hacker-incidens történt.

Az adatok letörlésére irányuló október 4-i kibertámadás feltevések szerint valahogyan összefüggésben lehet azzal az újabb nagyszabású adatközléssel, amelyre a másik portál, a Wikileaks jelenleg készül - és ami az előzetes sajtóbeszámolók szerint komoly fejfájást fog okozni az Afganisztánban kilátástalan háborút vívó NATO-országoknak.

E-mail volt az ugródeszka
A hackereknek hét év után másodszor sikerült feltörniük a Cryptome rendszerét, amihez trükköt alkalmaztak. Valahogyan hozzáfértek a szájt rendszergazdájának az EarthLink rendszerben lévő postafiókjához és megváltoztatták a jelszót - majd a levelezés segítségével lekérdezték a Network Solutions Inc. cégtől a Cryptome webhely adminisztrátori belépését.

A teljes hozzáféréssel visszaélve a támadók letöröltek 54 ezer fájlt, mintegy 7GB adatot a szerverről és távoztak. A Cryptome szerencséjére a szolgáltatók iránt bizalmatlan üzemeltető gyakran készített mentéseket, így a támadást megelőző két nap beküldései kivételével az egész webhelyet sikerült órák alatt helyreállítani - miután a telefonon riasztott EarthLink és NSI cégek visszaszolgáltatták a hozzáférést.

Veszélyes információknak kellett útját állni?
Az esetnek érdekes hátteret ad, hogy a biztonsági incidens előtt néhány órával a konkurens Wikileaks portál IRC csevegő-fórumán jelentkezett egy ismeretlen. Panasza szerint az általa öt héttel korábban beküldött, sürgős leleplező anyagot a skandináv kiszivárogtató portál jogászi felülvizsgálat és a webszerver karbantartásból eredő leállása miatt nem hajlandó időben közzétenni.

Néhány fórumtag ekkor azt tanácsolta Vendég65412-nek, hogy a nemzetközi segélyezésben óriási adócsalást leleplező dokumentumot próbálja meg a Cryptome-nek is beküldeni. Felhívták azonban a figyelmét, hogy az a webhely, illetve a hozzá tartozó PGPBoard rendszer nem biztonságos, így jobban jár, ha helyi újságíróknak adja át az anyagot!

A feltörés után nem sokkal a Cryptome szájt üzemeltetői névtelen üzenetet is kaptak, amely a " XyriX" álnevű hackert vádolta a támadással - az ilyen állítás hitelessége azonban nem ellenőrizhető. Valószínű, hogy a behatolók brahiból pusztító amatőrök lehettek, mert a profik inkább lassan aktivizálódó kártevővel támadnak, amely kevés nyomot hagy és akár az inkrementális mentéseket is képes megrongálni - nehezítve ezzel a helyreállítást.

(forrás: virushirado.hu)