el conejito energizer mira más bien una RATA

Jahne le ayuda a limpiarle ordenador. Protéjase del virus, trojans y spyware. Spyware blockers, Protección de Virus de Anti

A casa »información y Retiro

El 9 de marzo de 2010

Ningún Comentario

esto es la RATA como en el acceso remoto troyano, para el no iniciado.

ya estoy seguro que la mayor parte de gente de seguridad ha oído sobre esto, pero si usted aún no tiene, aquí están los EE.UU-CERT consultivos, la entrada de bitácora del symantec por liam murchu, una entrada de bitácora sophos por graham cluley, una entrada de bitácora en ciberdelito & cumplimiento de la pena por gary warner, una entrada de bitácora sunbelt por tom kelchner, una entrada de bitácora de seguridad de día cero por ryan naraine, y esto es sólo la punta del iceberg.

ahora la razón que escribo sobre esta historia que tantas otras personas han escrito sobre cuando normalmente evito acontecimientos de noticias sobrerelatados consiste en porque tengo una apuesta personal en esto - realmente tengo el dispositivo de ofensa. peor de todos modos, yo tenía el software antes mencionado instalado en uno de mis ordenadores desde finales de marzo del año pasado. ¡ouch! gracias a un pío pío por mikko hypponen averigüé sobre esta mañana del sábado temprana (agradece a mikko, esto es sólo el modo que quise comenzar mi fin de semana) y siguió a cuss una tormenta porque esto es la primera vez en mis 20 los años de la informática de esto he sido legítimamente sido éxito con malware - mi registro perfecto es terminado.

ah bien, bastante de esto. hay 2 cosas de esto que pienso merecen el escrutinio más cercano. el primer es que la pregunta de si el malware transportó con el dispositivo de hardware que sí mismo tan muchos han declarado, o si el blog symantec es correcto y el software sólo estaba disponible como una descarga desde el sitio web energizer. no puedo decir concluyentemente de una u otra forma pero puedo ofrecer algunas pruebas que el software sólo estaba disponible alguna vez del sitio web energizer.

el dispositivo no tiene ninguna capacidad de memoria. ningún paseo aparece en el explorador de ventanas cuando usted enchufa el dispositivo.

cuando usted lo tapa en un ordenador esto pide instalar a conductores, pero no puede encontrar a ningunos conductores instalando.

el paquete que conseguí no contuvo ningún medio separado, y cuando busqué el dispositivo en ebay, ninguno de los paquetes allí pareció tampoco.

la hoja de instrucción (sí, todavía tengo esto también) le informa que usted puede ver el estado de cobro en su ordenador con el software gratuito del sitio web energizer

el software es completamente opcional. el dispositivo trabaja sin ello (aunque el software realmente ofrezca la utilidad mejorada sobre el indicador LED). el dispositivo hasta transporta con una corriente alterna-> convertidor de USB (que es lo que realmente llamó mi atención en primer lugar) de modo que usted pueda tapar el dispositivo en la pared y evitar el ordenador (y así cualquier software de escucha) completamente.

no sólo la hoja de instrucción le instruye de conseguir el software del sitio web energizer, pero cuando usted enchufa el dispositivo, el identificador de dispositivo mostrado tanto en la nueva burbuja de notificación de hardware como en mago de instalación de conductor incluye no sólo el nombre del producto sino también el URL para descargar el software de energizer.

quizás había embalaje alterno que incluyó el software puesto en peligro, pero cuando hasta el hardware le dice descargar el software de la red entonces que apenas parece necesario para allí para haber estado alguna vez el software envasado con ello.

la segunda cosa pienso merece el examen es la pregunta de lo que se equivocó. ¿como dije, fui golpeado con esto, pero podría razonablemente haber sido evitado? esto es una pregunta que he estado calentando con especias desde el sábado. vamos a través de varios fracasos y ven si actué irrazonablemente wrecklessly:

los productos de antivirus no lo descubrieron atrás entonces. exploro todo y el software subió 'limpio'. el av dejó de salvarme aquí.

la aplicación whitelisting también me falló. ¿esto preguntó si quise permitir que el software corra pero esto es el software que intencionadamente instalé - por qué no permitiría yo que esto corra?

por supuesto hay motivos de rechazar el software que usted sólo instaló - hice mi diligencia debida y googled el archivo y todo me dijo que tuvo que ver con el cargador y nada dijo que había algo desafortunado sobre ello. como tal la inteligencia de comunidad, el sistema de reputación naciente de Internet me defraudó también.

el cortafuego de software es un caso interesante - en la teoría yo podría haber hecho la conexión y haber preguntado por qué el software de cargador de baterías tiene que abrir un puerto y escuchar para conexiones. por otra parte, realmente investigué el archivo y no encontré nada indicando que no era legítimamente la parte del software y por lo tanto ninguna razón de no esperar que todo lo que esto tratara de hacer fuera algo que se supuso que esto hacía. tal vez yo podría haber sido más sospechoso, tal vez yo hasta era - el sistema puesto en peligro era clunker de 10 años que no es particular sensible para introducir en el mejor de tiempos que, cuando combinado con la sobrecarga popup ocasional del grupo firewall/whitelist, ha causado al menos un caso de mi chasquido el botón aceptar sin ver lo que yo aceptaba.

¿podría yo haberme salvado un poco de dolor de cabeza (y haber salvado un poco de la cara) usando sandboxing? considerando los detalles del sistema no hay ningún modo que yo usaría una máquina virtual llena en él, y además de esto habría sido la exageración para esta aplicación. esto también habría interferido con el comportamiento bastante deseable de automáticamente lanzar el monitor UI (aplicación el virtualization no habría sido mucho mejor en aquel respeto). esto suena a una cosa extraña para mí de decir, pero el ordenador personal es tan viejo que el lanzamiento de algo en él es dolorosamente lento entonces el comportamiento automatizado era bienvenido entonces. supongo el hecho que yo nunca tenía ninguna intención de engancharlo hasta mi ordenador personal principal (que realmente tiene el poder que lo pasa mucho más a menudo) significa que a algún nivel yo realmente usaba un cajón de arena de clases - una máquina de cajón de arena física si usted va - pero realmente, yo confié en el software y no tenía ninguna razón de creer que yo tenía que dirigirlo en un cajón de arena.

parece que la confianza está el tema que se repite aquí. confié en el software. tal vez yo no debería haber confiado en ello, pero usted no puede hacerse muy lejano en la informática sin confiar en al menos algún software, y no había una razón irresistible de no confiar en este software.

una cosa de llevarse de esto (o al menos algo que me llevo de ello) consiste en que varios mis comportamientos de seguridad sólo ayudan a protegerme contra el desconocido. si confío en algo, aunque yo esté equivocado, no hay mucho mi defensa puede hacer para ayudarme. pensaré seguramente en modos de vencer aquella debilidad en el futuro.

por supuesto, ya que yo era detrás de un gestor de tráfico NAT-permitido y no expedía el puerto 7777 a la máquina puesta en peligro, un poco de mi defensa realmente trabajó - pero yo tenía suerte. si hubiera sido algún otro, el tipo más agresivo de cosas malware no podría haber resultado tan bien para mí. o, por otra parte, algo más que la escucha pasiva para órdenes realmente podrían haberme informado a la presencia de algo malévolo.

podemos jugar "y si" hasta que seamos azules en la cara - yo haya identificado tanto el hecho que mi defensa tiene el cuarto para la mejora como la naturaleza que la mejora debe tomar. también me han recordado que lo que ellos dicen realmente es verdad - esto pasa a cada uno finalmente. se necesitaron más de 20 años para mí que soy más largo que el más y he sido un poco creído sobre esto, pero al final siempre hay alguna debilidad, algún camino en, y si no hubiera sido para mi escucha de acontecimientos relacionados con la seguridad yo todavía sería probablemente comprometido ahora mismo. al final la cosa que me ayudó el más era mi interés a la seguridad sí mismo.