Мисията на Maverick на Microsoft срещу злонамерен софтуер

Разкриване на информация Вашата поддръжка помага за поддържането на сайта! Печелим такса за препращане за някои от услугите, които препоръчваме на тази страница.


От самото начало Windows се счита от някои експерти по сигурността като една от най-несигурните операционни системи, независимо дали те твърдят, че нейният патентован код, мрежови системи или дори изобразяването на шрифтове са причината.

Всъщност, освен култовата привлекателност на марката, една от причините, които почитателите на Apple дават за своята лоялност, е уязвимостта на Windows и липсата на сигурност. Общоприето е вярно, че Windows е най-заредената със злонамерен софтуер операционна система, но причините, поради които може да ви изненадат.

Мисията на Maverick на Microsoft срещу злонамерен софтуер

Windows все още е най-популярната операционна система, с различни версии, използвани на около 90% от настолните компютри. Тогава има смисъл, че ако пишете злонамерен софтуер и целта ви е да заразите възможно най-много компютри, ще го напишете за Windows.

Друг фактор могат да бъдат потребителите, които са насочени. Сигурността често зависи не само от софтуера, който използвате, а от това как го използвате. Потребителите на Mac са склонни да описват себе си като компютърно разумни и „ранни осиновители“, докато потребителите на Windows са склонни да имат репутация за обратното.

За щастие, Microsoft се е заела сериозно с тревогите относно сигурността си и сега включва функции като автоматично активирана защитна стена, ограничени потребителски акаунти и скандалния център за сигурност, който непрекъснато ви заяжда да инсталирате антивирусна програма и да се уверите, че наистина ли искате да стартирате програмата, която току-що щракнахте.

Но дали Windows е отишла твърде далеч в борбата си за киберсигурност? Някои смятат така.

Един пример е Отделът за цифрови престъпления на Microsoft, отдел, който има задача да спре кибер престъпността и кибер заплахите, включващи не само злонамерен софтуер, но и ботнети, IP престъпления и дори експлоатация на деца. Звучи добре на хартия, но критиците се притесняват, че им е дадена прекалено голяма власт: им е предоставена възможност да изземват сървъри и домейни самостоятелно.

Microsoft злоупотребява с предоставената им власт? Превъзхожда ли доброто, което правят, лошото?

Вижте подробностите по-долу и преценете сами.

Мисията на Maverick на Microsoft срещу злонамерен софтуер

Мисията на Maverick на Microsoft срещу злонамерен софтуер

Microsoft е една от най-големите софтуерни компании в света и с около милиард души, които използват продуктите си всеки ден, те имат много клиенти. За да защити тези клиенти онлайн, Microsoft използва нови правни тактики, за да изключи злонамерените агенти и тези, които ги хостват. Техните тактики, макар и ефективни, не са без критици.

Стратегията

  • Ричард Боскович е главен помощник на отдела за цифрови престъпления на Microsoft (DCU)
    • 17 години като помощник генерален прокурор във Флорида
    • През това време той узнава за случай, в който производител на чанти съди фалшификатори на тези чанти съгласно Закона за търговските марки в Ланам от 1946 г.
    • Съдът реши, че фирмата за дамски чанти може да изземе фалшивите чанти – като по този начин позволява на дружеството да изземва частни активи – акт, който обикновено е запазен за правоприлагането.
  • Microsoft преследва подобна стратегия за захващане на сървърите и поемане на контрол върху домейни, използвани от измамници (със или без разрешението на собствениците)
    • Microsoft твърди, че ex parte ограничава заповедта срещу уеб сайтове с измами, като твърди, че съществува опасност за обществото и показва, че са налице системи или софтуер на Microsoft
      • „Ex parte“ означава, че първоначално участва само една страна
  • Тези правни маневри позволиха на Microsoft да изземва домейни и сървъри, без съдът първо да изслуша двете страни по дело.

Microsoft почиства

Без IP, njRAT и njw0rm

  • No-IP е уебсайт, който предоставя динамична DNS услуга (IP адреси, които продължават да се променят) на своите клиенти
    • Хората използват този тип IP адрес, ако са в състояние на сигурност или искат да влязат в сървъра от отдалечено място
    • Създателите на Botnet използват и динамичен DNS, така че заразените компютри винаги да могат да достигнат до сървърите, които ги контролират
  • През 2014 г. Microsoft е насочена към домейни на no-ip.org, тъй като, както казва Ричард Боскович, „Количеството злонамерен софтуер, който достига до домейни в No-ip.org, е астрономически голям“
  • По-конкретно, Microsoft се опитва да деактивира две семейства на зловреден софтуер:
    • njRAT
    • njw0rm
      • Смята се, че злонамерените програми са заразили 7,4 милиона компютри с Windows по целия свят
  • През юни 2014 г. Microsoft затвори почти две дузини от най-популярните домейни на no-ip.org
    • В съдебните документи Microsoft обясни, че те са след 18 400 имена на хостове, използвани от зловредния софтуер
    • Компанията също така заяви, че възнамеряват да насочат целия нормален трафик като нормален – само злонамерените поддомейни ще бъдат блокирани напълно
  • Microsoft не успя да спази обещанието си и 4 милиона имена на хостове излязоха офлайн
    • No-ip.org, след като прегледа списъка на злонамерените поддомейни, които Microsoft се опитваше да затвори, заяви, че само 2000 от тях все още са активни, когато Microsoft конфискува домейните им
      • Останалите поддомейни вече бяха блокирани от техните вътрешни системи
  • No-ip.org възстанови контрола над своите домейни шест дни след като Microsoft получи контрол над тях и успя да вкара отново всички свои клиенти отново онлайн два дни след това
  • Microsoft постигна успех при спирането на семействата на злонамерен софтуер, сред останалите групи за разпространение на киберпрестъпления
    • Спирането засегна най-малко 25% от напредналите постоянни заплахи (APT), които се наблюдават от блога SecureList.
    • Microsoft се извини на No-IP за причиненото неудобство на клиентите си

3322.org и Nitol

  • org, като No-IP, е динамичен доставчик на DNS
    • За разлика от No-IP, 3322.org е собственост на китайска компания
  • Разследващите от Microsoft научиха, че китайските компютърни магазини продават персонални компютри, които са предварително заредени с фалшив софтуер на Windows и зловреден софтуер Nitol
    • Компютрите, заразени с този злонамерен софтуер, получиха своите поръчки от поддомейни, намиращи се на 3322.org
    • Други 3322.org домейни съдържаха 500 различни щама злонамерен софтуер
      • Системата за безопасно сърфиране на Google предупреди, че зловредният софтуер, намерен в поддомейните на 3322.org, включва „1,609 експлоатации, 481 троянски коне и 6 скрипт подвизи“
  • През септември 2012 г. Microsoft стартира операция b70 и заведе дело пред Окръжния съд на САЩ в източния окръг на Вирджиния
    • Microsoft поиска ex parte временна ограничителна заповед срещу собственика на 3322.org, Пен Йонг и всички анонимни агенти, участващи в създаването на зловреден софтуер в неговите поддомейни
      • Докато компанията, която притежава 3322.org, е китайска, компанията, която я управлява, е базирана във Вирджиния
    • Съдът одобри заповедта и Microsoft пое контрола над почти 70 000 поддомейна, принадлежащи на 3322.org
  • При изследване на зловредния софтуер на злонамерените поддомейни Microsoft открива вредни програми, които могат:
    • Включете микрофоните и уеб камери на заразените компютри
    • Записвайте натискания на клавиши, за да откраднете лични данни като потребителски имена и пароли
    • Извършвайте атаки за разпространение на отказано обслужване (DDOS) на други компютри
    • Създайте точки за достъп, скрити от потребителя, оставяйки компютъра отворен за заразяване от други форми на зловреден софтуер
  • 70 000 поддомейни, блокирани от Microsoft, се състои от по-малко от 3% от 2,75 милиона поддомейни, хоствани от 3322.org

Rustock

  • През 2010 г. ботнетът Rustock беше най-големият източник на електронна поща
    • Symantec прецени, че по това време е отговорен за по-голямата част от спама в мрежата
    • Като цяло ботнетът можеше да изпраща милиарди спам имейли всеки ден. Тези имейли включват:
      • Реклами за фалшиви лекарства с рецепта
      • Microsoft лотарийни измами
    • Един компютър, заразен с Русток, изпрати 7 500 спам имейла за 45 минути.
      • 240 000 спам имейла на ден
  • През 2011 г. DCU на Microsoft, Център за защита от злонамерен софтуер на Microsoft и Trustworthy Computing се обединиха и стартира операция b107 с цел сваляне на ботнет на Rustock
    • По това време Microsoft изчислява, че близо милион компютри са заразени с Rustock
  • Microsoft заведе дело срещу анонимните производители на ботнет до Окръжния съд на САЩ за Западната област на Вашингтон. Те направиха така:
    • За нарушения на търговската марка на продуктите на Microsoft
    • За потенциалната опасност спам имейлите, представени пред обществеността
  • Съдът им предостави правомощието да изземват домейните, причиняващи щети
  • Партнирайки с US Marshals Service, Microsoft иззе сървъри, участващи в ботнета, от пет хостинг доставчици в седем града на САЩ:
    • Канзас Сити
    • Скрантън
    • Денвър
    • Далас
    • Чикаго
    • Сиатъл
    • Колумб
  • Microsoft успешно деактивира ботнета като спира комуникацията между заразените от Rustock компютри и IP адресите, които ги контролират

Превъзхожда ли доброто лошото?

Microsoft твърди, че има стимул за бизнеса да търси уебсайтове и доставчици на услуги, които хостват зловреден софтуер

  • Когато потребителите на Microsoft или Windows изтеглят злонамерен софтуер, мислейки, че програмите са законни продукти на Microsoft, марката страда

Критиците на тактиката за сваляне на зловреден софтуер на Microsoft са загрижени за правния прецедент на маневрата им, както и за неговата голяма ръка.

  • Ерик Голдман, професор по право от университета в Санта Клара, изтъква, че естественият характер на временните ограничителни заповеди пречи на съдия да чуе и двете страни по въпроса, което изрично е предназначено да направи съдебната система на САЩ
  • Нейт Кардозо, пишещ за EFF.com, казва, че правни действия, предприети от Microsoft срещу No-IP, са:
    • Създаден да спре 18 000 лоши актьори
    • Завършва деактивирането на милиони сайтове
      • Според Кардозо над 99% от засегнатите уебсайтове са били невинни
  • Пол Викси, един от създателите на DNS и главен изпълнителен директор на Farsight Security, говори по време на изслушване в Сенатската комисия по съдебната власт по темата за робните мрежи две седмици след премахването на IP-адреса
    • Той разкритикува Microsoft за предприемане на правни действия срещу No-IP, без да ги е предупредил предварително, казвайки, че „когато една компания… или нация я върви сама в действие за премахване, резултатът обикновено е катастрофа…“

Със свалянето на домейните, които поддържат ботнети, съобщението на Microsoft е ясно: доставчиците на услуги са отговорни за случващото се в тяхната инфраструктура, поне в очите на Microsoft. Този тежък подход е ефективен при деактивиране на ботнетите, но също така е прикрепил много законни фирми като обезпечение на щетите.

Източници

  • Дигитални детективи – news.microsoft.com
  • Ричард Боскович – rsaconference.com
  • Как Microsoft сам назначи шерифа на Интернет – wired.com
  • The Wild Wild Web: Топ американското кибер-ченге казва, че губим войната срещу компютърните престъпници – venturebeat.com
  • Официално изявление на IP-адрес в Microsoft Takedown – noip.com
  • Сайтове на Microsoft Darkens 4MM в борбата със злонамерен софтуер – krebsonsecurity.com
  • Microsoft избива 4 милиона уебсайта в лов на зловреден софтуер – tomsguide.com
  • Microsoft предприема глобална епидемия от киберпрестъпления при десети нарушения на зловредния софтуер – blogs.microsoft.com
  • Microsoft конфискува 22 NO-IP домена, нарушава киберпрестъпността и националната държава APT Операции за злонамерен софтуер – securelist.com
  • Зловреден софтуер Dragnet Snags Милиони заразени компютри – krebsonsecurity.com
  • Какво мислеха? Microsoft изземва, връща по-голямата част от бизнеса на No-IP.com – eff.org
  • Nitol и 3322.org Takedown от Microsoft – damballa.com
  • Microsoft изземва китайски Dot-Org, за да убие армията на Nitol Bot – theregister.co.uk
  • Microsoft прекъсва разпространяващата се Nitol Botnet чрез несигурна верига за доставки – blogs.microsoft.com
  • Динамичен DNS – support.easydns.com
  • Динамичен DNS – support.easydns.com
  • Операция b107 – Rustock Botnet Takedown – blogs.technet.com
  • Събиране на бонетите: Microsoft и Rustock Botnet – blogs.microsoft.com
  • Изключване на спам мрежата – online.wsj.com
  • Цената на престой – blogs.gartner.com
  • Microsoft неутрализира Kelihos Botnet, защитник на имената по дело – blogs.microsoft.com
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map