Срок жизни непропатченного ПК — 20 минут - Безопасность

Interceptor · 18.08.2004, 21:28

Не подключайте новый ПК к интернету, не приняв необходимых мер предосторожности, предупреждают эксперты Internet Storm Center, сообщает ZDNet.ru.

Согласно опубликованному во вторник отчету, непропатченный Windows-ПК, подсоединенный к интернету, в среднем уже через 20 минут будет поражен злонамеренными программами. В 2003 году эта цифра, по оценкам группы, составляла примерно 40 минут.

Центр Internet Storm Center, отделение SANS Institute, специализирующееся на исследованиях и обучении, пришел к выводу о 20-минутном «времени выживания», наблюдая за свободными IP-адресами и измеряя частоту поступающих на них сообщений. «Если предположить, что большинство этих сообщений генерируется червями, которые пытаются распространяться, то система без установленных исправлений неизбежно будет инфицирована», — говорится в заявлении центра.

Сокращение среднего времени выживания с 40 до 20 минут вызывает беспокойство, так как этого времени недостаточно для загрузки самих патчей, которые защитили бы ПК от интернет-угроз.

Скотт Конти, менеджер по эксплуатации сетей в Массачусетсском университете в Амхерсте, считает данные центра правдоподобными. «Это сложная проблема, и решить ее становится все труднее», — сказал он. Один из администраторов Конти недавно проверил эти данные, подключив к сети два непропатченных компьютера. Через 20 минут оба они были заражены. Теперь университет проверяет состояние компьютеров, прежде чем подсоединить их к интернету. Если в машине не установлены последние исправления, она ставится на карантин с ограниченным доступом к сети до тех пор, пока ПО не будет обновлено.

В своем анализе центр утверждает также, что от сети к сети среднее время заражения компьютера меняется в широких пределах. «Если интернет-сервис-провайдер блокирует каналы данных, обычно используемые для распространения червей, то у пользователя ПК остается больше времени для установки патчей. С другой стороны, сети университетов и пользователи высокоскоростных интернет-служб часто подвергаются дополнительным атакам со стороны такого malware, как боты, — отмечает группа. — У тех, кто подсоединен к такой сети, время выживания значительно сокращается».

В руководстве по исправлению новой Windows-системы Internet Storm Center рекомендует отключить функцию file sharing Windows и включить Internet Connection Firewall. Последний сервисный пакет Microsoft, Windows XP Service Pack 2, сам установит такую конфигурацию, но чтобы скачать его, пользователю надо выйти в онлайн, так что он вынужден рисковать.

Одна из проблем, по словам экспертов, заключается в том, что системные администраторы полагаются на патчи и считают, что пользователи быстро их установят. Выступая на недавней конференции разработчиков Microsoft TechEd в Амстердаме, секьюрити-консультант Microsoft Фред Баумхардт сказал, что не за горами тот день, когда вирус или червь выведет из строя вообще все. «Никому не хватит времени его обнаружить. Никто не успеет выпустить патчи или антивирусы и распространить их. Это означает, что патчи никак не решают всех проблем».

Баумхардт подчеркнул важность адаптивности и привел в пример иммунную систему человека: «Представьте себе, что ваш организм говорит: „Гм, у меня грипп. Раньше такого никогда не было, значит я погибну”. Но этого не происходит: у вас поднимается температура и прочее, чтобы выиграть время, пока в борьбу вступят другие механизмы».

«Если бы организм человека занимался исправлениями так же, как это делают компании, мы все бы давно умерли».

http://www.securitylab.ru/47228.html

*helldomain* · 19.08.2004, 03:47

Soglasen. Wo mnogom.

ivahaev · 19.08.2004, 08:18

ИМХО, часто 20 минут - это завышенное время. Если от blaster'а не пропатчить, то и через 5 минут у нас в Тюмени вылетаешь

. Так было с полгода назад...

Stunt · 19.08.2004, 11:29

do sih por ne propatchen i dovolen chistotoi sistemy

, hotja konecho blin zarazicca schas nastoko prosto, chto dazhe hodit' nikuda ne nada

Cartman · 19.08.2004, 12:19

Цитата:

YooMC:
do sih por ne propatchen i dovolen chistotoi sistemy

Видимо FairWall стоит. Или давно заражен и этого не замечаешь...

Stunt · 19.08.2004, 13:54

ne zarazhen, 17.08.2004

sdelal proverku poetomu uveren, nu a fire tot konechno stoit bez nego nikak

Георг · 19.08.2004, 13:56

Я тоже ставлю стену. Потом обновляю. Ну и пока с сервис паком вторым полегче. Его до подключенив к инету сначало устанавливаю.

Interceptor · 21.08.2004, 14:51

ivahaev

Цитата:

ИМХО, часто 20 минут - это завышенное время. Если от blaster'а не пропатчить, то и через 5 минут у нас в Тюмени вылетаешь . Так было с полгода назад...

Не стоит забывать, что далеко не все сидят под WinNT: есть и те, кто сидит на Win9x\ME и на *NIX!
А так же не стоит забывать, что некоторые провы блокируют 135 и 445 порты!
Так что цифра, на мой взгляд, достаточно точная. Тем более, что сейчас явно виден спад на попытки атаки через эти порты.

vicyo · 21.08.2004, 16:59

Цитата:

Interceptor:
А так же не стоит забывать, что некоторые провы блокируют 135 и 445 порты!
Так что цифра, на мой взгляд, достаточно точная. Тем более, что сейчас явно виден спад на попытки атаки через эти порты.

Судя по логам моего ZA, никакого спада и в помине нет.
Поменьше категоричности, здесь ведь народ со всего шарика и у каждого с этим по своему.

Interceptor · 21.08.2004, 17:58

vicyo

Цитата:

Судя по логам моего ZA, никакого спада и в помине нет.

Ну, а логи Аутпоста у меня говорят про обратное: если в апреле-мае за 10 мин было 6-7 попыток подключиться к 445 порту или проверить его на открытость, то сейчас всего 3-5 за час
Ты смотрел в логи в период максимальной активности (апрель-май)?

vicyo · 21.08.2004, 18:50

Цитата:

Сообщение от Interceptor

vicyo
Ну, а логи Аутпоста у меня говорят про обратное: если в апреле-мае за 10 мин было 6-7 попыток подключиться к 445 порту или проверить его на открытость, то сейчас всего 3-5 за час
Ты смотрел в логи в период максимальной активности (апрель-май)?

Cтатистику не веду, но визуально спада нет.
Ставил и Sygate и Anti-Hacker: логи всех трёх файеров сильно отличаются.
Понятно, не все логи такие, как тот что я приаттачил ниже, просто этот неплохо подтверждает мои слова.

Dimarzio · 23.08.2004, 23:36

У-у-у-у-у-у 20 минут ето уж сильно завышено, мой приятель заразился СРАЗУ как только подключился.

vicyo · 24.08.2004, 00:09

Цитата:

Сообщение от Dimarzio

У-у-у-у-у-у 20 минут ето уж сильно завышено, мой приятель заразился СРАЗУ как только подключился.

Подтверждаю: без файера и антивиря сразу цепляю MSBlast, при подключении к инету, в первые же секунды, это было ещё полгода назад.
Имеет значение и то, какое подключение к сети: быстрое или обычное. С быстрым, опасность заражения выше. Важно и то, насколько много пользователей подключенно к вашему прову: чем больше, тем выше опасность того, что кто-то из них щедро поделится с вами своим зоопарком

У меня быстрый инет, для выхода в сеть мне надо активировать ( Enabled ) сетевуху, а затем нажать Connect для соединения с провом. Только при активировании сетевухи, в логах файера ( ZA ) всё равно отмечаются заблокированные пакеты, интересно то, что в них упоминается имя другого прова.

24.08.2004, 02:48

ГЫ у меня dial up-только влажу в инет, стенка сразу орёт о нападениях неприятеля!

R!xon · 24.08.2004, 05:40

это всё ддос-боты (sdbot, gt-bot, ago-bot, spybot, rxbot...), попадая к вам на компьютер бот пытаеца законектица на ирц сервер, и зайти на определенный канал, после чего получает комманды от хозяина, может начать сканировать подсеть где находица зараженный комп, допустим у зараженной машины айпи 212.11.22.99 бот начинает сканировать всю подсеть прова, т.е. 212.11.х.х на нахождение уязвимых компов. После заражения ваш компьютер превращается в частичку целой бот армии, которая может состоять из десятков тысяч ботов. Боты размножаются очень многими путями: web,mail,iis-ssl,dcom,lsass,upnp,netbios,mydoom,p2p... а вы знаете только бластер да сассер

Interceptor · 25.08.2004, 21:25

Dimarzio
Даётся же СРЕДНЕЕ значение! Может комп заразиться почти мгновенно, а может и несколько часов продержаться!

chesnok · 25.08.2004, 21:50

Моя ситуация: без фаервола ловлю СРАЗУ по выходу в сеть атаку на DCOM RPC, svchost падает, ребут.
С любым фаерволом, даже ЗонеАлярм, всё относительно спокойно. Но только в самом секъюрном режиме с минимумом открытых портов. Посматриваю логи - порт-сканы где-то каждые 40-50 минут. Короче, фаервол - первый и самый главный элемент защиты, т.к. кол-во желающих поиметь ближнего своего, по-видимому, возрастает экспотенциально

18.08.2004, 21:28	# 1
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	Срок жизни непропатченного ПК — 20 минут Не подключайте новый ПК к интернету, не приняв необходимых мер предосторожности, предупреждают эксперты Internet Storm Center, сообщает ZDNet.ru. Согласно опубликованному во вторник отчету, непропатченный Windows-ПК, подсоединенный к интернету, в среднем уже через 20 минут будет поражен злонамеренными программами. В 2003 году эта цифра, по оценкам группы, составляла примерно 40 минут. Центр Internet Storm Center, отделение SANS Institute, специализирующееся на исследованиях и обучении, пришел к выводу о 20-минутном «времени выживания», наблюдая за свободными IP-адресами и измеряя частоту поступающих на них сообщений. «Если предположить, что большинство этих сообщений генерируется червями, которые пытаются распространяться, то система без установленных исправлений неизбежно будет инфицирована», — говорится в заявлении центра. Сокращение среднего времени выживания с 40 до 20 минут вызывает беспокойство, так как этого времени недостаточно для загрузки самих патчей, которые защитили бы ПК от интернет-угроз. Скотт Конти, менеджер по эксплуатации сетей в Массачусетсском университете в Амхерсте, считает данные центра правдоподобными. «Это сложная проблема, и решить ее становится все труднее», — сказал он. Один из администраторов Конти недавно проверил эти данные, подключив к сети два непропатченных компьютера. Через 20 минут оба они были заражены. Теперь университет проверяет состояние компьютеров, прежде чем подсоединить их к интернету. Если в машине не установлены последние исправления, она ставится на карантин с ограниченным доступом к сети до тех пор, пока ПО не будет обновлено. В своем анализе центр утверждает также, что от сети к сети среднее время заражения компьютера меняется в широких пределах. «Если интернет-сервис-провайдер блокирует каналы данных, обычно используемые для распространения червей, то у пользователя ПК остается больше времени для установки патчей. С другой стороны, сети университетов и пользователи высокоскоростных интернет-служб часто подвергаются дополнительным атакам со стороны такого malware, как боты, — отмечает группа. — У тех, кто подсоединен к такой сети, время выживания значительно сокращается». В руководстве по исправлению новой Windows-системы Internet Storm Center рекомендует отключить функцию file sharing Windows и включить Internet Connection Firewall. Последний сервисный пакет Microsoft, Windows XP Service Pack 2, сам установит такую конфигурацию, но чтобы скачать его, пользователю надо выйти в онлайн, так что он вынужден рисковать. Одна из проблем, по словам экспертов, заключается в том, что системные администраторы полагаются на патчи и считают, что пользователи быстро их установят. Выступая на недавней конференции разработчиков Microsoft TechEd в Амстердаме, секьюрити-консультант Microsoft Фред Баумхардт сказал, что не за горами тот день, когда вирус или червь выведет из строя вообще все. «Никому не хватит времени его обнаружить. Никто не успеет выпустить патчи или антивирусы и распространить их. Это означает, что патчи никак не решают всех проблем». Баумхардт подчеркнул важность адаптивности и привел в пример иммунную систему человека: «Представьте себе, что ваш организм говорит: „Гм, у меня грипп. Раньше такого никогда не было, значит я погибну”. Но этого не происходит: у вас поднимается температура и прочее, чтобы выиграть время, пока в борьбу вступят другие механизмы». «Если бы организм человека занимался исправлениями так же, как это делают компании, мы все бы давно умерли». http://www.securitylab.ru/47228.html

19.08.2004, 11:29	# 4
Stunt Full Member Регистрация: 07.06.2002 Адрес: Tallinn Сообщения: 600	do sih por ne propatchen i dovolen chistotoi sistemy , hotja konecho blin zarazicca schas nastoko prosto, chto dazhe hodit' nikuda ne nada __________________ Keep It Real

19.08.2004, 13:54	# 6
Stunt Full Member Регистрация: 07.06.2002 Адрес: Tallinn Сообщения: 600	ne zarazhen, 17.08.2004 sdelal proverku poetomu uveren, nu a fire tot konechno stoit bez nego nikak __________________ Keep It Real

19.08.2004, 13:56	# 7
Георг Электрический пёс Регистрация: 25.08.2002 Адрес: Московская подводная Лодка Сообщения: 4 414	Я тоже ставлю стену. Потом обновляю. Ну и пока с сервис паком вторым полегче. Его до подключенив к инету сначало устанавливаю. __________________ Если хочешь иметь то, чего никогда не имел, то должен делать то, чего никогда не делал...

25.08.2004, 21:50	# 17
chesnok Member Регистрация: 01.01.2004 Адрес: Воронеж, Россия Сообщения: 206	Моя ситуация: без фаервола ловлю СРАЗУ по выходу в сеть атаку на DCOM RPC, svchost падает, ребут. С любым фаерволом, даже ЗонеАлярм, всё относительно спокойно. Но только в самом секъюрном режиме с минимумом открытых портов. Посматриваю логи - порт-сканы где-то каждые 40-50 минут. Короче, фаервол - первый и самый главный элемент защиты, т.к. кол-во желающих поиметь ближнего своего, по-видимому, возрастает экспотенциально __________________ <SPEEDing\|VoNK> you cant use knoppix as a server can you? <bob> why not? people use windows as one.

19.08.2004, 03:47	# 2
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Soglasen. Wo mnogom. __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

19.08.2004, 08:18	# 3
ivahaev ::VIP:: шайтан-башка Регистрация: 31.03.2003 Адрес: imho.ws Тюменское отделение Сообщения: 1 902	ИМХО, часто 20 минут - это завышенное время. Если от blaster'а не пропатчить, то и через 5 минут у нас в Тюмени вылетаешь . Так было с полгода назад...

23.08.2004, 23:36	# 12
Dimarzio Member Регистрация: 09.05.2004 Адрес: Нямеччина Сообщения: 270	У-у-у-у-у-у 20 минут ето уж сильно завышено, мой приятель заразился СРАЗУ как только подключился.

24.08.2004, 02:48	# 14
valeryks Guest Сообщения: n/a	ГЫ у меня dial up-только влажу в инет, стенка сразу орёт о нападениях неприятеля!

24.08.2004, 05:40	# 15
R!xon Advanced Member Регистрация: 19.12.2002 Сообщения: 492	это всё ддос-боты (sdbot, gt-bot, ago-bot, spybot, rxbot...), попадая к вам на компьютер бот пытаеца законектица на ирц сервер, и зайти на определенный канал, после чего получает комманды от хозяина, может начать сканировать подсеть где находица зараженный комп, допустим у зараженной машины айпи 212.11.22.99 бот начинает сканировать всю подсеть прова, т.е. 212.11.х.х на нахождение уязвимых компов. После заражения ваш компьютер превращается в частичку целой бот армии, которая может состоять из десятков тысяч ботов. Боты размножаются очень многими путями: web,mail,iis-ssl,dcom,lsass,upnp,netbios,mydoom,p2p... а вы знаете только бластер да сассер

25.08.2004, 21:25	# 16
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	Dimarzio Даётся же СРЕДНЕЕ значение! Может комп заразиться почти мгновенно, а может и несколько часов продержаться!