אבטחת מידע: וירוס ושמו קונפיקר (Confiker)

image כבר נכתב רבות על הוירוס הנ”ל, וירוס שתוקף ללא רחם מחשבי Windows מגירסאות Windows 2000 ומעלה כולל את כל הגרסאות. הוירוס מנטרל עדכונים, מנטרל גם עדכוני אנטי וירוס למיניהם וחוסם גישה לאתרי אבטחה ואתרי אנטי וירוס שונים, ובקיצור – די משבית את המחשב מבחינת הגנות.

חוץ מלהפיץ את עצמו בכל צורה הניתנת על הדעת (דיסקים ניידים, דיסק-און קי, דוא”ל וכו’) ולבטל שרותים, הוירוס עדיין לא עושה כלום.. עד למחר, ה-1 לאפריל, או אז הוא יתחיל לקבל פקודות מאי שם לעשות דברים שיוצרי הוירוס ירצו לעשות, ומכיוון שהוירוס יושב ברמה של מנהל המחשב, הוא טכנית יכול לעשות כמעט הכל, החל בלמחוק קבצים, לשלוח דברים אישיים שלכם, סיסמאות ועוד דברים שלא כל כך הייתם רוצים שיצאו החוצה ממחשבכם.

מבחינת הגנת המחשב הבודד, יש מגוון פתרונות ובוואלה כתבו על כך מאמר מה לעשות, אבל זה רק ברמת המשתמש הבודד.

מה עם מנהל הרשת? כן, אני בטוח שלכל המחשבים בחברה יש אנטי וירוס עם עדכונים, ובכל זאת, לפעמים העדכונים לא תמיד רצים, אנשים לפעמים מחברים מחשבים נוספים שאינם מחשבי החברה, מישהו יכול להביא דיסק-און-קי עם הוירוס ואם האנטי וירוס לא עובד כרגע או אינו מעודכן עקב בעיות שונות (בכל זאת.. Windows), מחשבים אחרים בחברה יותקפו, קצב האינטרנט יואט ויהיו עוד כל מיני צרות.

בשביל זה יש כלי אבטחה שמיועדים עבור מנהלי הרשתות, ולא למשתמשים הרגילים, כלים המשמשים לסריקת הרשת הפנימית ומציאת בעיות. כלים כמו  Nessus, nmap, ncircle ועוד.

לאחרונה הצליח דן קמינסקי, יחד עם עוד מס’ חברים ופרויקט Honey pot למצוא “טביעות אצבע” שהוירוס משאיר אחריו, וכשיש טביעות אצבע, אפשר לא רק לאתר את המחשב המודבק, אלא גם לחסום את הוירוס ולטפל במחשב. הכלים הנ”ל עודכנו בחתימת טביעות האצבע וכל מה שנותר למנהלי הרשת הוא לעדכן את החתימות בתוכנות הנ”ל ולעשות את הפעולות הבאות:

  • להריץ סריקה מאסיבית על כל הרשת הפנימית (כן, זה כולל שרתי Windows server שמשום מה רבים ממנהלי רשתות Windows אינם מתקינים עליהם אנטי-וירוס. לא ברור לי מדוע).
  • לבדוק עם הכלי המרכזי של האנטי וירוס שלכם (יש לכם כלי כזה, נכון?) שכל המחשבים עם עדכונים אחרונים. אין לאנטי וירוס כלי שלכם? תתחילו להזרים דרך הכלים שאתם משתמשים בהם לניהל מרכזי של הרשת עדכון אחרון של האנטי וירוס.
  • לנעול פורטים USB במחשבי המשתמשים שאינם צריכים להשתמש בציודי USB, כי משם בד”כ מתחילה הרעה. אל תסגרו דרך ה-Windows אלא דרך ה-BIOS.
  • מומלץ לעבור למצב של Strict DHCP (נשמע טריוויאלי, אך שוב, ראיתי גם בחברות גדולות דברים מוזרים): המשתמשים היחידים שיכולים לקבל כתובת IP הם אך ורק מחשבי החברה שכתובת ה-MAC רשומה בשרת DHCP וגם בחוקים של ה-Firewall, כך שמחשבים אחרים של אנשים חיצוניים המנסים להתחבר לרשת הפנימית בחברה לא יקבלו שום כתובת ושום תעבורה, וכך אם המחשב האורח נמצא עם הוירוס, הוירוס לא יוכל להתפשט הלאה כי לא תהיה לו תקשורת.

התולעת מתחילה לעבוד מחר, את הדברים האלו צריכים לעשות היום.

בהצלחה.

התראת אבטחה למנהלי פורומים מבוססים PHPBB 3.0.X

אלו שמנהלים פורומים המבוססים PHPBB 3 (עד, כולל, גירסה 3.0.4) אולי שמו לב בזמן האחרון למשהו מעניין: נרשמים בכל יום מס’ אנשים בשמות משתמשים באנגלית, עם כתובת אימייל רוסית. הם עדיין לא כותבים הודעות אלא רק נרשמים.

אלו אינם אנשים רגילים אלא סקריפט שרץ מרחוק ויודע “לקרוא” את  ה-CAPTCHA מייצר את המשתמשים האלו, כך שבעתיד הסיכוי גבוה שאותם “משתמשים” יתחילו להפציץ לכם את הפורום בזבל.

בשלב זה אין פתרון מצד מפתחי PHPBB. יהיה פתרון בגירסה 3.0.5 אך היא עדיין לא קיימת.

מה אפשר לעשות? עבודה ידנית שהיא די פשוטה:

  • היכנסו לתפריט הניהול הראשי ובחרו את שם המשתמש שאינכם בטוחים אם המשתמש אמיתי או פרי יצירת סקריפט. העתיקו את כתובת ה-IP שלו
  • כנסו לאתר הזה והדביקו את כתובת ה-IP
  • אם הכתובת מופיעה בבסיס הנתונים שם, תוכלו לראות ממתי יש חסימה, את שמות המשתמש שנוצרו ע”י הסקריפט שרץ במכונה עם הכתובת הנ”ל (הנה דוגמא).
  • מחקו את המשתמש והודעותיו.
  • כנסו במסך הניהול הראשי ל”משתמשים וקבוצות” ובחרו בתפריט מימין “חסימת כתובות IP”. הזינו את הכתובת ורישמו הערה (תרגישו חופשי גם לקלל בהערה 🙂 )
  • זהו. לעת עתה הסקריפט שיורץ שוב מאותה מכונה לא יוכל ליצור משתמשים אוטומטית.

לאלו המעוניינים ממש להקפיד, אפשר להפעיל את האופציה שמייל ישלח עם לינק אקטיבציה ורק לאחר מכן שהמשתמש יאושר, אולם לצערי הסקריפט המפצח את ה-CAPTCHA עוקף גם את זה, ולכן כדאי לחסום כתובות עד שתופיע גירסה המתקנת את הפריצה הזו.