LINUX.ORG.RU
ФорумTalks

Феномен неуловимого Джо и Windows 2000

 наш ответ чемберлену,


0

1

Хочу рассказать об моем давнем эксперименте. Заранее прошу прощения, если что-то напутал.

Если верить статистике, количество пользователей Windows 2000 столь мало, что с трудом наскребется даже 1% пользователей. В общем, годный пример ОС, которой в силу ее низкой распространенности должен быть свойственен эффект «неуловимого Джо».

Так вот, решил я установить ее на своем компьютере, чисто ради эксперимента, чтобы просто поглазеть. Устанавливал на голое железо.

Windows 2000 установилась без проблем. После чего я первым делом установил драйвер сетевой карты, дабы подключиться к Интернету.

После подключения, я из любопытства посерфил с помощью старого IE. Как я и ожидал, большинство сайтов отображалось криво(в том числе и сайты самого Майкрософта).

Далее я исследовал интерфейс, пытаясь найти отличия от Windows XP, на которой я раньше работал. Сразу же скажу, настройки я НЕ ТРОГАЛ. И софта никакого НЕ УСТАНАВЛИВАЛ(если не считать драйвер сетевой карты).

И что же? Не прошло и часа, как вылезло окошко, которое вежливо сообщало, что через минуту компьютер будет выключен в добровольно-принудительном порядке.

Я сильно удивился, подумал что это баг. Однако, позже я раскопал, что когда Майкрософт завершил поддержку Windows 2000, он оставил открытым какую-то критическую уязвимость, мотивируя это тем, что для ее закрытия придется перестраивать всю архитектуру Windows 2000, сделав таким образом ее несовместимой с существующим для нее софтом.

Разумеется, вирусописатели не могли отказаться от столь щедрого подарка. Был создан сетевой вирус, который работает через эту незакрытую уязвимость, и отправляет ОС команду выключения. В результате на компьютере появлялось окошко с предупреждением об выключении(собственно, что я и видел).

Данный вирус распространяется чисто через Интернет, каким-то образом проникая через порты. Если я правильно понял, он даже на жесткий диск ничего не записывает, хранится чисто в памяти.

Только вот ведь черт побери, а как же эффект «невидимого Джо»??

Ну хорошо, в те времена когда поддержка Window 2000 только-только закончилась, этот вирус действительно мог быть популярен. Причем настолько популярен, что компьютер с Windows 2000 заражался бы всего лишь через час(!!) после того, как была установлена связь с Интернетом.

Но ведь теперь-то это не так!

Так неужели защитный эффект «неуловимого Джо» не работает, и вместо этого верна старая пословица «на каждый товар найдется свой покупатель»?

Я подозреваю, что в данном случае низкую распространенность Windows 2000 «скомпенсировал» эпичный размер дыры, образованной уязвимостью в ее системе безопасности. Иными словами говоря, если только на одном компьютере из 1000 установлен Windows 2000(а это так и есть, по моим грубым прикидкам), то вирусу и этого будет достаточно. Благо Интернет большой, и в нем миллионы компьютеров.

На самом деле заражение одного компьютера из 1000 не такой-то уж и плохой результат. Для сравнения, теже спамеры зарабатывают неплохие деньги, несмотря на то, что на их спам ведется только каждый 10 000-ый получатель.

Так что, уважаемые мои товарищи по Линуксу, не уповайте на эффект «неуловимого Джо», когда будете настраивать безопасность своей системы. И не верьте всяким peace-door-ball`aм, которые говорят, что «да ваш Линукс не ломают просто потому, что он нафиг никому не нужен».

Deleted

Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Reset

http://technet.microsoft.com/en-us/security/bulletin/MS09-048

Цитирую:

«If Microsoft Windows 2000 Service Pack 4 is listed as an affected product, why is Microsoft not issuing an update for it? The architecture to properly support TCP/IP protection does not exist on Microsoft Windows 2000 systems, making it infeasible to build the fix for Microsoft Windows 2000 Service Pack 4 to eliminate the vulnerability. To do so would require rearchitecting a very significant amount of the Microsoft Windows 2000 Service Pack 4 operating system, not just the affected component. The product of such a rearchitecture effort would be sufficiently incompatible with Microsoft Windows 2000 Service Pack 4 that there would be no assurance that applications designed to run on Microsoft Windows 2000 Service Pack 4 would continue to operate on the updated system. The impact of a denial of service attack is that a system would become unresponsive due to memory consumption. However, a successful attack requires a sustained flood of specially crafted TCP packets, and the system will recover once the flood ceases. Microsoft recommends that customers running Microsoft Windows 2000 Service Pack 4 use a firewall to block access to the affected ports and limit the attack surface from untrusted networks.»

Deleted
()
Ответ на: комментарий от Deleted

Во-первых, данной цитаты по ссылке нет. Во-вторых, в таблице для 2000/XP данная уязвимость обозначена как не критическая и максимальные последствия — DoS. В качестве workaround предложено воспользоваться firewall'ом (который в винду встроен).

Reset ★★★★★
()
Ответ на: комментарий от Reset

данной цитаты по ссылке нет.

Есть. Просто раскройте FAQ, который стоит на той странице.

данная уязвимость обозначена как не критическая и максимальные последствия — DoS.

Ну уж не знаю, чем руководствовался Майкрософт, но само заглавие статьи («Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution »), ИМХО, красноречивей тысячи слов.

Deleted
()
Ответ на: комментарий от Reset

В качестве workaround предложено воспользоваться firewall'ом (который в винду встроен).

Только начиная с Windows XP, насколько помню =)

Deleted
()
Ответ на: комментарий от Deleted

В 2000 тоже есть, только не такой user-friendly

Reset ★★★★★
()
Ответ на: комментарий от Reset

Ах да, не заметил.

Только вот как тогда вирус проник на мой компьютер? У меня были все обновления!

В 2000 тоже есть, только не такой user-friendly

Можно пруф-линк?

Deleted
()

с помощью старого IE.

сайты самого Майкрософта

Думаю, не надо объяснять откуда прилетело?

segfault ★★★★★
()
Ответ на: комментарий от Deleted

Только вот как тогда вирус проник на мой компьютер?

С чего ты взял, что к тебе проник вирус?

Можно пруф-линк?

Поройся в свойствах сети, всё там есть. Ради тебя 2000 в виртуалку я ставить не буду.

Reset ★★★★★
()
Ответ на: комментарий от Deleted

И софта никакого НЕ УСТАНАВЛИВАЛ(если не считать драйвер сетевой карты).

У меня были все обновления!

Как Троцкий.

TGZ ★★★★
()
Ответ на: комментарий от drSchur

" Это никакая не акция Микрософта, когда их впервые выложили в интернет, Microsoft даже хотела подавать в суд на тех кто качает эти исходники... " - не похоже на одобрение.

Programmist11180 ★★★
()
Ответ на: комментарий от Reset

Да и провы фильтруют сейчас 139,445

далеко не все.

cvs-255 ★★★★★
()

И что же? Не прошло и часа, как вылезло окошко, которое вежливо сообщало, что через минуту компьютер будет выключен в добровольно-принудительном порядке.

детская шалость, не более.
для нормальных троев это действительно «неуловимый джо»

xtraeft ★★☆☆
()
Ответ на: комментарий от Reset

В качестве workaround предложено воспользоваться firewall'ом (который в винду встроен).

Угу. Ставим на венду скайпег или торентокочалку (давно не видел хомячкывых компов без этих двух «самых нужных» софтин), получаем открытый порт - получаем DoS. Круто, чо.

no-dashi ★★★★★
()

Однако, позже я раскопал, что когда Майкрософт завершил поддержку Windows 2000, он оставил открытым какую-то критическую уязвимость

Не в RPC DCOM случаем? Там в своё время много дырок было, помню. Чего только легендарный Kaht2 стоил.

Ramen ★★★★
()

> После подключения, я из любопытства посерфил с помощью старого IE. Как я и ожидал, большинство сайтов отображалось криво(в том числе и сайты самого Майкрософта).

Видел в обзоре Windows 2000 в «16 бит тому назад» и «Эволюции Нифёдова» на YouTube.

> И что же? Не прошло и часа, как вылезло окошко, которое вежливо сообщало, что через минуту компьютер будет выключен в добровольно-принудительном порядке.

Ms. Blast и Sasser. Ты забыл установить SP4.

ZenitharChampion ★★★★★
()
Последнее исправление: ZenitharChampion (всего исправлений: 1)

Только вот ведь черт побери, а как же эффект «невидимого Джо»??

Дыра для винтукея и хрюши одинаковая - так что никакого эффекта «неуловимого, а не невидимого, Джо».

ЗЫ: Толсто

TEX ★★★
()

Я подозреваю, что в данном случае низкую распространенность Windows 2000 «скомпенсировал» эпичный размер дыры, образованной уязвимостью в ее системе безопасности.

Я подозреваю что автор несет бред с похмелья. И еще вопрос кто из нас неправ

TEX ★★★
()
Ответ на: комментарий от Xellos

По прочтении ОП-поста, тоже так решил. Вирус, выключающий комп, - это бред какой-то. Правда, ранние эксплоиты для RPC DCOM валили ОС, если были применены не к той версии (выскакивало окно шатдауна с обратным отсчетом, помоему даже можно было отменить выключение с помощью shutdown -a, после чего система была практически непригодной для использования), но червь, мне кажется, должен учитывать разные версии ОС.

winlook38 ★★
()
Ответ на: комментарий от Deleted

После того как он нашел как минимум два пригодных для заражения компьютера, он форсирует выключение того компьютера, на котором он находится.

Никто ничего не форсирует, это уязвимость DCOM-RPC, при атаке служба RPC должна заразиться, если заражение не удалось служба сегфолтится. После сегфолта службы - винда перезагружается выдавая то самое окошко с минутным счетчиком. Учите матчасть

Панель управления - Администрирование - Службы компонентов

Там открыть свойства Компа и в «Свойствах по умолчанию» снять галку «Разрешить использование DCOM на данном компьютере»

TEX ★★★
()
Ответ на: комментарий от Deleted

Ставил, подключал — ничего не поймал.Знаю одну контору, у них до сих пор ПК на w2k работают (в то время куплены). И тоже проблем не знают.

Вы, сударь, историю браузера выложите? Может все же в этом дело?! Откуда то же вы поймали заразу.

ivanlex ★★★★★
()

Подозреваю, что автор бредит. Скорее всего винда ушла в ребут после установки критического обновления с Windows Update. Я и сегодня такое периодически вижу на машинках с XP на работе. Не думаю, что на w2k что то по другому.

ivanlex ★★★★★
()

Поставь триальную бету касперыча/веба/нода и повтори. И да, как по мне так 2000 в разы шустрей XP, а уж если и тыкать труп палочкой, то лучше 2000й

druganddrop-2 ★★
()

Что-то смутно припоминаю про такое, мелкое окошко с кнопкой ОК и отсчет секунд. Ты хоть пароль после установки администратору поставил ? С пустым и «1» как бы в интернет лучше не выходить.

зы. Драйвера для железок перестали под win2000, вот и умерла.

ilovewindows ★★★★★
()

В рассуждениях ключевая ошибка - то, что win2k в своё время не был неуловимым джо и с тех пор остались наработки. Линукс как был, так и остался джо.

Dark_SavanT ★★★★★
()

перепись специалистов по безопасности шидноус (O.M.G.) на лоре.

nanoolinux ★★★★
()
Ответ на: комментарий от Dark_SavanT

Наработки-то остались, не спорю. Но одно дело, когда качаешь какой-нибудь софт, зараженный древним вирусом, и совсем другое дело, когда сетевой червь ДО СИХ ПОР ЖИВ.

Deleted
()

Кстати, я еще ради эксперимента тогда ставил Windows Neptune. Эффект был тот же, окошко тоже появилось.

Deleted
()
Ответ на: комментарий от Deleted

и совсем другое дело, когда сетевой червь ДО СИХ ПОР ЖИВ.

ХП-ка, для которой он и написан, еще живее всех живых, откуда столько удивления ?

TEX ★★★
()
Ответ на: комментарий от TEX

Я просто объясняю свои предыдущие мысли. Когда я еще создавал тему, я не знал, что этот вирус может заражать и XP.

Deleted
()

Этот вирус распространяет майкрософт, дабы люди покупали новую Шинду.

yaspol
()
Ответ на: комментарий от druganddrop-2

Читал о героях, но живыми не видел) )) Фейк может

drSchur ★★★
()
Ответ на: комментарий от winlook38

Вирус, выключающий комп, - это бред какой-то.

А мне норм.
В свое время в вистах и семерках была уязвимость, запросом по самбе можно делать бсод. Довольно весело.

madcore ★★★★★
()
Ответ на: комментарий от druganddrop-2

есть живые кто из той помойки рабочий образ винды смог собрать?

Все исходники недоступны.

madcore ★★★★★
()
Ответ на: комментарий от TEX

Ну противоречия то нет:) Ни слова про сегфолт на картинке (да и корневое событие «неожиданного завершения» - access violation, в девичестве «виноват генерал защиты» (general protection fault) :))

slackwarrior ★★★★★
()

Я подозреваю, что в данном случае низкую распространенность Windows 2000 «скомпенсировал» эпичный размер дыры

Ты неправильно понимаешь эффект неуловимого джо.

win2k БЫЛ популярным, и под него не нужно писать НОВЫЕ трояны и вирусы. Достаточно тех, что уже написаны, а запас карман не тянет. Метасплоит на адском сайте или у кулхацкера автоматом выбирает из списка подходящие эксплоиты.

Совсем другое дело, если ты сидишь на оси, которая НИКОГДА НЕ БЫЛА популярной. В этом случае ты уже можешь рассчитывать ни «Илитность» и неуловимость.

router ★★★★★
()
Ответ на: комментарий от TEX

Я на работе так удаленные машинки ребучу, специально с отсчетом времени, что бы пользователь успел сохранить свои данные. Вот только ребучу я не 2000 винду. Неужели дыра в современных ОС мастдая осталась?! Или, наверное я червь?!

ivanlex ★★★★★
()
Последнее исправление: ivanlex (всего исправлений: 1)
Ответ на: комментарий от ivanlex

Я на работе так удаленные машинки ребучу

Через убийство DCOM сервера? Лень смотреть карту, Оренбург далеко от Челябинска?

router ★★★★★
()
Ответ на: комментарий от madcore

Выкидыши лонгхорна одно время страдали циклической перезагрузкой :)

slackwarrior ★★★★★
()
Ответ на: комментарий от router

Нет, посылая команду на ребут. Текст сообщения я сам закидываю, но окошко точно такое же.

Нет, не далеко... ;-)

ivanlex ★★★★★
()
Последнее исправление: ivanlex (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.