Padli metulj (fallen mariposa)

FBI-ju je očitno ob pomoči slovenskih kolegov vendarle uspelo ujeti zloglasnega hekerja “Iserdo”, za katerega se je izkazalo, da gre za slovenskega študenta računalništva iz Maribora, ki naj bi napisal oziroma verjetno bolje rečeno priredil že narejeno programsko kodo, s pomočjo katere je nekaj Špancev ustvarilo tako imenovan botnet Mariposa (metulj po špansko).

V bistvu gre za zelo inteligentno računalniško okužbo na milijonov računalnikov po svetu (ocena je nekje 12 milijonov), ki se ne obnaša samo kot navaden virus, ampak kot omrežje na daljavo nadzorovanih računalnikov, s katerimi lastniki botneta počnejo, kar se jim zahoče. Nenazadnje lahko zadevo kot storitev preprodajo naprej zainteresiranim kupcem, ki potem razpošiljajo na okužene računalnike razni spam, kradejo bančne podatke ali izvajajo DoS (denial of service) napade. Omejitev je tu v bistvu samo domišljija tistega, ki ima dostop do takega botneta.

Nekateri taki botneti naj bi imeli celo organizirano podporo 24/7 in helpdesk za svoje “stranke”, kot kakšni internet ponudniki, seveda s sedežem v raznih eksotičnih državah, kjer so varni pred roko pravice.

Kar je pri takem omrežju za navadnega uporabnika ponavadi še najbolj neprijetno in zaskrbljujoče je to, da se ugrabljeni računalnik odziva na ukaze na daljavo in se je tako seveda zlonamerna koda sposobna tudi neprestano posodabljati in mutirati, kar predstavlja velik problem za praktično vso protivirusno zaščito, ki temu običajno ne more slediti.

Tako v bistvu žrtev ponavadi sploh ne sluti, da je okužena oziroma ima ugrabljen računalnik, pa čeprav ima nameščeno lepo posodobljeno protivirusno zaščito.

Zanimiv je tale članek Briana Krebsa na to temo, v katerem avtor članka podvomi, da bodo avtorji botneta mariposa sploh kaznovani, pri čemer je imel v mislih Španske “lastnike” omrežja.

Zlasti zanimiva pa je tale izjava iz članka:

“It is almost impossible to be sent to prison for these kinds of crimes in Spain, where prison is mainly for serious crime cases,” said Captain Cesar Lorenzana, deputy head technology crime division of the Spanish Civil Guard. “In Spain, it is not a crime to own and operate a botnet or distribute malware. So even if we manage to prove they are using a botnet, we will need to prove they also were stealing identities and other things, and that is where our lines of investigation are focusing right now.”

V času pisanja pa očitno ni vedel, da je bila tehnična izvedba botnet omrežja mariposa outsourcana v Slovenijo in da je pravi avtor kode dejansko Slovenec, ki mu bodo verjetno sodili po naši in ne Španski zakonodaji za cyber kriminal. Če bo zadeva seveda tako daleč sploh prišla. So pa ZDA očitno tudi tu, tako kot pri Balkanski narko mafiji, odločilen faktor, ki “teži”. Ob tem je še zanimivo, da je komentator pod tem člankom že marca 2010 vedel, da je avtor kode heker, pod vzdevkom Iserdo, ki so mu sedaj kot kaže vendarle potrkali na vrata “možje v črnem”.

Jaz sem si pred časom na domačem računalniku namestil malce zmogljivejši požarni zid in “intruder prevention system“, ki je sposoben bolj natančno analizirati mrežni promet in zna detektirati tudi nekatere poskuse vdorov.

Ko sem potem nekaj časa spremljal loge, sem bil presenečen, kaj vse se dogaja na mojem mrežnem vmesniku (provider je Mobitelov instant internet), od skeniranja računalnika, pa vse do dejanskih poskusov vdora z raznimi SQL injection in podobnimi rečmi. Seveda imam tudi pregled nad IP številkami računalnikov, ki to poskušajo in nekaj jih je bilo tudi iz istega omrežja, kot je moj internet ponudnik, torej iz slovenskih računalnikov.

Očitno pri nas obstaja kader, ki je sposoben napisati praktično najbolj sofisticirano zlonamerno kodo (analiza botneta mariposa firme Defence Intelligence iz oktobra 2009 je objavljena tule) in samo sprašujem se, ali imamo na drugi strani tudi ustrezen kader, ki je te cyber falote sposoben sproti poloviti in spraviti tja, kamor spadajo?

Glede na plače klasičnih kriminalistov v to preprosto ne morem verjeti.

In ker sem že pred časom pisal o tem, da mi gredo na živce ljudje, ki se na internetu skrivajo za raznimi anonimnimi  posredniškimi strežniki (proxy) in tor omrežji naj omenim, da so tudi španski šefi maripose baje sledi zakrivali prek anonimnih VPN servisov, pri čemer naj bi bil odločilni dejavnik za to, da so jih sploh razkrinkali, napaka enega izmed njih, ker je poskušal prevzeti kontrolo nad botnetom od doma, brez uporabljene zaščite.

Zato trdim, da bi moral internet vendarle imeti nekoga, ki bi zadevo reguliral in po moje bi morali vse takšne internet “anonimizatorje” preprosto zapreti ali blokirati.

Kdor hodi po ulici s črno masko na obrazu je zame pač potencialni kriminalec in se ga bojim oziroma se ob njem počutim zelo nelagodno. Od policije pa pričakujem, da take primere vsaj legitimira in morda še povpraša, kaj to počnejo. Če jaz pridem danes v “analogno” (klasično) banko s črno masko na obrazu sem prepričan, da varnostniki takoj skočijo name in to od njih tudi pričakujem.

OUTSOURCE YOUR BOTNETS IN SLOVENIA. STARTING PRICE 300 USD. BUY TWO, THIRD FOR FREE.

Preberi še:
- Anonimnost na internetu

About these ads

19 Responses to “Padli metulj (fallen mariposa)”

  1. chef pravi:

    Torej je, če prav razumem, najbolje, da začnem položnice spet plačevat po staromodno na poštnem uradu?

  2. dronyx pravi:

    Meni se znanci režijo, ko jim razlagam, da mi na misel ne pride nikakršno elektronsko bančništvo in da položnice plačujem na pošti, medtem ko oni poslujejo samo še elektronsko in pri vsakem nakazilu prihranijo nekaj centov. Prav. Veliko sreče. ;)

    Je pa res, da imam jaz s tem težavo tudi zato, ker malo vem, kaj vse se da z računalniki početi in kako zelo so ranljivi, če se jih loti nekdo, ki je zadnjih nekaj let preživel v temni, plesnivi sobi in študiral “hacking for dummies”.

  3. chef pravi:

    Najhuje je, da se nam še fajn zdi. Zdaj boš rekel, naj pozabim še na on-line nakupovanje. Pa sem se ravno privadil.

  4. dronyx pravi:

    Chef, kot sem že večkrat omenil, je zame internet trenutno totalni divji zahod, kjer si jaz pač ne upam nositi denarnico naokrog. Če pa se bo našel kdo in to spravil v red, potem bom pa z veseljem uporabljal spletno bančništvo in kupoval prek neta.

  5. DJ pravi:

    Ma kaksen divji zahod. To je tista prava demokracija in svoboda – in verjemi, da si NE zelis vecjega nadzora in regulacije. Problem so butasti uporabniki, ki jih je vse prevec – ti so neusahljiva voda na mlin krekerjem in kriminalcem. Primerljiva analogija je kvecjemu cestni promet: Na cesto niti pod razno ne bo uradno spuscen noben osebek, ki nima vozniskega oz. ne zna voziti/upravljati vozila in ne pozna predpisov (pa pustimo objestne/nore voznike ob strani, ker tu ni to poanta…). Na internet pa “spustijo” vsakogar, tudi ce se mu niti priblizno ne sanja o osnovnih pravilih ali ne pozna osnovnih principov. Zamisel o “racunalniskem vozniskem dovoljenju” je bila dobra, vendar ne vem, ce je obrodilo kaksne sadove, pa verjetno je slo za precej osnovno rec. Edina regulacija, ki bi morebiti prisla v postev, je segmentiranje folka na navadne uporabnike (ki imajo precej omejene pravice), napredne, naprednejse itn. Pozitivna diskriminacija na marsikaterih podrocjih bi bila koristna.
    Proxyji pa so zakon… This video is not available in your country? What country? I’m on the internetz, damn it. :) (najraje bi pa videl, da bi vsak ISP mogoce kot dodatno storitev ponujal moznost pridobitve geografsko neodvisnega IPja…)

  6. dronyx pravi:

    @DJ, saj verjetno tudi v “realnem življenju” bi marsikdo raje videl, da ne bi imeli potnih listov, viz, osebnih izkaznic, naslovov stalnega prebivališča, policistov, carinikov itd. Letel bi lahko kamorkoli po svetu, brez dokumentov, če pa bi te kdo vprašal za ime, bi bil pa enkrat Janez230, drugič Poldi666… Težil bi pa lahko povsod komerkoli, ker te nihče ne bi mogel izslediti.

  7. DJ pravi:

    Seveda, jaz bi z veseljem po Evropi potoval z genericno “nadnacionalno” EU registrsko tablico, da ne bi stereotipov oddajal (tako kot bi bili negeografski IPji dobrodosli, ker pac nocem vedno ene customizacije zadetkov, reklam, jezika ipd.). :)
    Saj brez dokumentov si vcasih ze lahko potoval v dolocenih okvirih, letalo je bilo tako komot kot avtobus, menda si se v ZDA tudi v hotele lahko prijavljal s “poljubnim” imenom, pa se kaj bi se naslo. Ampak te zadeve niso neposredno primerljive. Tam je bila izsledljivost tezka, na internetu pa si danes vedno izsledljiv (tudi ce je proxy, samo malo vec dela je z raziskovanjem), ampak seveda morajo biti pravi razlogi za to (in kaksen sodni nalog), saj ti tudi v stanovanje ne more poljubno kaksen organ vstopiti, kadarkoli bi se mu zljubilo.
    Online bancnistvo in nakupi pa so ravno tako (ce ne celo bolj) varni kot “fizicni”; problem so, kot ze receno, neuki in nezasciteni uporabniki, ki ogrozajo tudi ostale. V primeru masovnega breacha kaksne baze v banki ali Paypalu ipd. pa obstajajo doloceni pravni akti za zascito potrosnikov in transakcij.

  8. dronyx pravi:

    @DJ: “V primeru masovnega breacha kaksne baze v banki ali Paypalu ipd. pa obstajajo doloceni pravni akti za zascito potrosnikov in transakcij.”

    Razloži to ti tistim, ki so jim že pokradli denar na bankah in jim ni uspelo dokazati, da ne po lastni krivdi. ;)

  9. DJ pravi:

    Kakšen konkreten primer? Zadeva je od primera do primera različna. Če ima nekdo neustrezno (ne)zaščiten (ali nevzdrževan) računalnik ali gesla na vidnih mestih, je to res lahko krivda uporabnika. Če je mašina zaščitena in uporabnik plačuje nekomu, da to vzdržuje, je kriv ta izvajalec. Če pustiš na stežaj odprta vrata stanovanja ali hiše in po možnosti tam nekje na sredi še denarnico ali odprt sef, pa nekdo notri “uleti” in si kaj “spododi” – kdo bo kriv, kovnica/tiskarna denarja ali ti, ker si pustil vrata odprta? :) Če med vožnjo avta ne bodo prijele zavore in bo sledila nesreča – kdo bo kriv? Lahko je proizvajalec, lahko je servis, lahko je voznik…

  10. dronyx pravi:

    @DJ: Kot verjetno veš je problem v računalništvu ta, da nimaš ti ene same kovinske ključavnice, kot na vhodnih vratih tvojega stanovanja, ampak da je tvoj računalnik luknjast sir, v katerega poskušajo vstopiti termiti. Armada termitov. Njih praktično ne vidiš s prostim očesom, vseh lukenj pa ne poznajo tudi največji eksperti, saj sproti odkrivajo nove.

  11. DJ pravi:

    Aber natürlich, ampak stavim, da vsaj 90 % teh insektov pokrije že kolikor toliko osnovno porihtana varnost (in vsaj za silo pošlihtani pojmi) pri uporabniku. :) Ostali pa se pač kolikor toliko sproti odkrivajo in popravljajo.
    Saj poznaš npr. tisto o lokalnih wifi “providerjih” (kot jih jaz ljubkovalno imenujem), ki imajo po defaultu vse odprto in se tega ne zavedajo (everyone’s invited), če navedem eno najbolj skrajnih variant.
    Ali pa nedolgo nazaj – dobim od kolegice mail, v katerem so pod “To:” navedeni po moje kar vsi, ki jih ima v adresarju (še nikoli ni slišala, da se večji skupini ljudi, ki se med sabo vsi ne poznajo, pošlje pod “Bcc:”).

  12. dronyx pravi:

    @Anon: Preberi komentar @Modremu dva zapisa višje, ker se to velja tudi zate. Poleg tega se držim še enega pravila, da tiste komentatorje, ki se skirvajo za spletnimi anonimizatorji, takoj dam pod spam. Tvoj IP prihaja iz Sejšelov (anonymouse.org).

    Kot strokovnjak za računalništvo upam veš, da skrivanje za anonimizatorji ni nikakršna zaščita, saj se da v logih internet providerjev hitro skrčiti seznam tistih, ki so dostopali na te naslove in v nekaj iteracijah so možje v črnem pri tebi doma. V primeru, da slučajno uporabljaš kakšne javne računalnike v knjižnicah in podobno, te nekajkrat posnamejo varnostne kamere, tako da je primer dokaj enostaven, v primeru kraje tujega nezavarovanega omrežja wi-fi, pa je lahko res malo več dela, ampak če obstaja interes, tudi tu nisi varen. Seveda v primeru, če storiš kaj nezakonitega.

    Vsaj tako menim kot računalniški laik.

    Kaj več pa bi bila lahko že polemika s spamerjem, kar je proti pravilom.

  13. Dule pravi:

    Internet se dejansko dosti manj razlikuje od ostalih življenskih okolij, kot bi si to trenutno mnogi hoteli || želeli priznati. Je pa seveda res relativno novo okolje in zato odlična platforma za lovce na naivneže.

    Internet danes pač ni več zgolj neka zabavna elektronska družinska igračka temveč še eno življensko okolje. In ko ga bo večina dojela kot takšnega, bo povsem jasno, kdo je kriv za moj bankrot, če mi je iz žepa padla denarnica z vsemi dokumenti in gesli in ključi…

    Simple as that ;)

  14. smoger pravi:

    Še en zanimiv članek:
    http://globus.jutarnji.hr/hrvatska/hakirao-sam-pentagon-jer-sam-trazio-svemirce

  15. smoger pravi:

    Obstaja pa tudi blog od tega mariborskega hekerja…

  16. smoger pravi:

    Malo sem brcnil mimo v prejšnjem postu…na enem od blogov za hekanje je tudi njegov zapis.

  17. dronyx pravi:

    @smoger: Na enem izmed ruskih forumov sem videl objavljeno kodo virusa in spremni komentar, drugače pa naj bi imel postavljeno kar svojo spletno stran, na kateri je tržil metulja. Baje so ga prek te spletne strani tudi hitro izsledili. Je pa res, da spletna stran deluje v bistvu bolj kot alibi, saj je kot kaže tam prikril pravi namen kode.

  18. smoger pravi:

    Zanimivo.
    Tule je še prej omenjeni blog:
    http://securityh4x.blogspot.com/2009/09/ciserdos-tcp-protocol.html

  19. dronyx pravi:

    Mogoče pa bo Iserdo znal pojasniti, kaj za vraga na mojem računalniku počnejo SQL injection poskusi vdora, ki so se pojavili kmalu zatem, ko sem namestil neko zastonj okrnjeno verzijo SLQ serverja?

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s


Follow

Get every new post delivered to your Inbox.

Join 27 other followers

%d bloggers like this: