9 марта 2010 Никакой Комментарий 9 March 2010 No Comment

это - КРЫСА как в троянском удаленном доступе для непосвященного.that’s RAT as in remote access trojan, for the uninitiated.

к настоящему времени я уверен, что большинство людей безопасности услышало об этом, но если Вы еще не имеете, вот консультативное АМЕРИКАНСКОЕ СВИДЕТЕЛЬСТВО, запись в блоге symantec Лиэмом murchu, sophos сообщением в блоге Грэмом cluley, сообщением в блоге в киберпреступлении & отбывании срока Гари Уорнером, sunbelt сообщением в блоге Томом kelchner, нулевым дневным сообщением в блоге безопасности Райаном naraine, и это - только верхушка айсберга.by now i’m sure most security folks have heard about this but if you haven’t yet, here’s the US-CERT advisory, symantec’s blog entry by liam murchu, a sophos blog post by graham cluley, a blog post at cybercrime & doing time by gary warner, a sunbelt blog post by tom kelchner, a zero day security blog post by ryan naraine, and that’s just the tip of the iceberg.

теперь причина, которую я пишу об этой истории, что очень много других людей написали о том, когда я обычно сторонюсь событий новостей, о которых сверхсообщают, состоит в том, потому что у меня есть личная доля в этом - у меня фактически есть незаконное устройство. хуже все еще, у меня было рассматриваемое программное обеспечение, установленное на одном из моих компьютеров, так как поздно идут прошлого года. ай! благодаря чириканью Микко hypponen я узнал об этом раннем утре субботы (благодарит Микко, это - только способ, которым я хотел начаться свои выходные), и продолжил проклинать шторм, потому что это - первый раз в моих 20 годы вычисления этого, я законно был хитом с malware - мой прекрасный отчет закончен.now the reason i’m writing about this story that so many other people have written about when i normally eschew over-reported news events is because i have a personal stake in this - i actually have the offending device. worse still, i had the software in question installed on one of my computers since late march of last year. ouch! thanks to a tweet by mikko hypponen i found out about this early saturday morning (thanks mikko, that’s just the way i wanted to start off my weekend) and proceeded to cuss up a storm because this is the first time in my 20 years of computing that i have legitimately been been hit with malware - my perfect record is over.

о хорошо, достаточно этого. есть 2 вещи об этом, что я думаю, заслуживают более близкого исследования. первое - то, что вопрос того, отправил ли malware с устройством аппаратных средств непосредственно, так многие заявили, или является ли блог symantec правильным, и программное обеспечение было только доступно как загрузка с energizer веб-сайта. я не могу сказать окончательно так или иначе, но я могу предложить некоторые доказательства, что программное обеспечение было только когда-либо доступно от energizer веб-сайта. oh well, enough of that. there are 2 things about this that i think deserve closer scrutiny. the first is that question of whether the malware shipped with the hardware device itself as many have stated, or whether the symantec blog is right and the software was only available as a download from the energizer website. i can’t say conclusively one way or the other but i can offer some evidence that the software was only ever available from the energizer website.

1. у устройства нет никакого объема памяти. никакой двигатель не появляется в windows explorer, когда Вы включаете устройство.
2. the device has no memory capacity. no drive appears in windows explorer when you plug the device in.
3. когда Вы включаете это в компьютер, это просит устанавливать водителей, но не может найти, что никакие водители устанавливают.
4. when you plug it into a computer it asks to install drivers but can find no drivers to install.
5. пакет, который я получил, не содержал отдельных СМИ, и когда я искал устройство на ebay, ни один из пакетов там не казался также.
6. the package i got did not contain any separate media, and when i searched for the device on ebay, none of the packages there seemed to either.
7. лист инструкции (да, у меня все еще есть это также), сообщает Вам, что Вы можете видеть зарядный статус на своем компьютере с бесплатным программным обеспечением от energizer веб-сайта
8. the instruction sheet (yes, i still have that too) informs you that you can see the charging status on your computer with free software from the energizer website
9. программное обеспечение является полностью дополнительным. устройство работает без этого (хотя программное обеспечение действительно предлагает улучшенное удобство и простоту использования по индикатору LED). устройство даже отправляет с AC-> конвертер USB (который является тем, что фактически привлекало мое внимание во-первых) так, чтобы Вы могли включить устройство в стену и обойти компьютер (и таким образом любое контрольное программное обеспечение) полностью.
10. the software is entirely optional. the device works without it (though the software does offer improved usability over the indicator LED). the device even ships with an AC->USB converter (which is what actually drew my attention in the first place) so that you can plug the device into the wall and bypass the computer (and thus any monitoring software) entirely.
11. мало того, что лист инструкции инструктирует Вас получать программное обеспечение от energizer веб-сайта, но когда Вы включаете устройство, идентификатор устройства, показанный и в новом пузыре уведомления об аппаратных средствах и в инсталляционном волшебнике водителя, включает не только название продукта, но также и URL для того, чтобы загрузить программное обеспечение с energizer.
12. not only does the instruction sheet instruct you to get the software from the energizer website, but when you plug the device in, the device identifier displayed in both the new hardware notification bubble and driver installation wizard includes not just the product name but also the URL for downloading the software from energizer.

возможно, была дополнительная упаковка, которая включала поставившее под угрозу программное обеспечение, но когда даже аппаратные средства говорят Вам загружать программное обеспечение с сети тогда, что это едва кажется необходимым для там, чтобы когда-либо быть программным обеспечением, упакованным с этим.perhaps there was alternate packaging that included the compromised software, but when even the hardware tells you to download the software from the web then it hardly seems necessary for there to ever have been software packaged with it.

вторая вещь я думаю, заслуживает исследования, вопрос того, что пошло не так, как надо. как я сказал, я был поражен этим, но этого, возможно, разумно избежали? это - вопрос, который я обдумывал с субботы. давайте пройдем различные отказы и давайте видеть, действовал ли я необоснованно wrecklessly: the second thing i think deserves examining is the question of what went wrong. as i said, i got hit with this, but could it reasonably have been avoided? that’s a question i’ve been mulling over since saturday. let’s go through the various failures and see if i acted unreasonably wrecklessly:

• антивирусные продукты не обнаруживали это тогда. я просматриваю все, и программное обеспечение подходило 'чистое'. av был не в состоянии спасти меня здесь.
• anti-virus products didn’t detect it back then. i scan everything and the software came up ‘clean’. av failed to save me here.
• заявление whitelisting также подвело меня. это спросило, хотел ли я позволить программному обеспечению бежать, но это - программное обеспечение, которое я преднамеренно устанавливал - почему я не позволил бы этому бежать?
• application whitelisting also failed me. it asked if i wanted to allow the software to run but this is software i intentionally installed - why wouldn’t i allow it to run?
• конечно, есть причины отвергнуть программное обеспечение, которое Вы только установили - я сделал свою должную старательность и googled файл, и все сказало мне, что было связано с зарядным устройством, и ничто не сказало, что было что-либо неблагоприятное об этом. как таковой разведка сообщества, возникающая система репутации Интернета подводила меня также.
• of course there are reasons to disallow software you just installed - i did my due diligence and googled the file and everything told me that it was associated with the charger and nothing said there was anything untoward about it. as such the community intelligence, the nascent reputation system of the internet let me down also.
• брандмауэр программного обеспечения - интересный случай - в теории, я, возможно, сделал связь и спросил, почему программное обеспечение зарядного устройства батареи должно открыть порт и прислушаться к связям. с другой стороны я провел исследование файл и не нашел, что ничто указало, что не была законно часть программного обеспечения и поэтому никакой причины не положить, что независимо от того, что это пыталось сделать, было что-то, что это, как предполагалось, сделало. возможно я, возможно, был более подозрительным, возможно я даже был - поставившая под угрозу система была 10-летним драндулетом, который не является особый отзывчивый, чтобы ввести в лучшее из времен, которое, когда объединено со случайной popup перегрузкой от firewall/whitelist компании, привело по крайней мере к одному случаю моего щелчка принять кнопка, не видя, что я принимал.
• the software firewall is an interesting case - in theory i could have made the connection and asked why battery charger software needs to open a port and listen for connections. on the other hand, i did research the file and found nothing to indicate it wasn’t legitimately part of the software and therefore no reason not to trust that whatever it was trying to do was something it was supposed to do. maybe i could have been more suspicious, maybe i even was - the compromised system was a 10 year old clunker that isn’t particular responsive to input at the best of times which, when combined with the occasional popup overload from the firewall/whitelist combo, has resulted in at least one instance of my clicking the accept button without seeing what i was accepting.
• я, возможно, спас меня немного головной боли (и спас немного репутации) при использовании sandboxing? учитывая подробные сведения системы нет никакого способа, которым я использовал бы полную виртуальную машину на ней, и помимо этого будет массовое убийство для этого заявления. это также вмешалось бы в довольно желательное поведение автоматического запуска монитора UI (заявление virtualization не будет намного лучше в том отношении). это походит на странную вещь для меня сказать, но PC настолько стар, что запуск чего-либо на нем является крайне медленным, таким образом, автоматизированное поведение приветствовалось в то время. я предполагаю факт, что у меня никогда не было намерения зацепить его до моего главного PC (у которого фактически есть власть, пробегающая его намного чаще), означает, что на некотором уровне я фактически использовал своего рода песочницу - физическая машина песочницы, если Вы будете - но действительно, я доверял программному обеспечению и не имел никакой причины думать, что я должен был управлять им в песочнице.
• could i have saved myself some headache (and saved a bit of face) by using sandboxing? given the particulars of the system there’s no way i would use a full virtual machine on it, and besides that would have been overkill for this application. it also would have interfered with the rather desirable behaviour of automatically launching the monitor UI (application virtualization wouldn’t have been much better in that regard). that sounds like a strange thing for me to say, but the PC is so old that launching anything on it is painfully slow so the automated behaviour was welcome at the time. i suppose the fact that i never had any intention of hooking it up to my main PC (which actually has power running through it far more often) means that at some level i actually was using a sandbox of sorts - a physical sandbox machine if you will - but really, i trusted the software and had no reason to think i needed to run it in a sandbox.

доверие, кажется, повторяющаяся тема здесь. я доверял программному обеспечению. возможно я не должен был доверять этому, но Вы не можете стать очень далекими в вычислении, не доверяя, по крайней мере, некоторому программному обеспечению, и не было неопровержимого довода, чтобы не доверять этому программному обеспечению. trust seems to be the recurring theme here. i trusted the software. maybe i shouldn’t have trusted it, but you can’t get very far in computing without trusting at least some software, and there wasn’t a compelling reason not to trust this software.

одна вещь испортить этого (или по крайней мере что-то, что я порчу этого) состоит в том, что много моих поведений безопасности только помогают защитить меня от неизвестного. если я доверяю чему-то, даже при том, что я неправ, нет очень моей обороноспособности, может сделать, чтобы помочь мне. я буду, конечно, думать о способах преодолеть ту слабость в будущем.one thing to take away from this (or at least something that i’m taking away from it) is that a number of my security behaviours only help to protect me against the unknown. if i trust something, even though i’m wrong, there isn’t much my defenses can do to help me. i will certainly be thinking about ways to overcome that weakness in the future.

конечно, так как я был позади ТУЗЕМНО ПОЗВОЛЕННОГО маршрутизатора и не отправлял порт 7777 поставившей под угрозу машине, часть моей обороноспособности действительно работала - но я был удачлив. если бы это был некоторый другой, то более агрессивный тип malware вещей, возможно, не оказался так хорошо для меня. или с другой стороны что-то большее чем пассивное прислушивание к командам, возможно, фактически информировали меня к присутствию чего-то злонамеренного. of course, since i was behind a NAT-enabled router and wasn’t forwarding port 7777 to the compromised machine, some of my defenses did work - but i was lucky. if it had been some other, more aggressive type of malware things might not have turned out so well for me. or, on the other hand, anything more than the passive listening for commands might have actually tipped me off to the presence of something malicious.

мы можем играть “что, если”, пока мы не посинели - я идентифицировал и факт, что моя обороноспособность имеет пространство для усовершенствования и природы, которую должно взять усовершенствование. мне также напомнили, что то, что они говорят действительно, верно - это происходит со всеми в конечном счете. потребовалось больше чем 20 лет для меня, который более длинен чем больше всего, и я был немного дерзким об этом, но в конце всегда есть некоторая слабость, некоторый путь в, и если бы не мой контроль связанных с безопасностью событий я был бы, вероятно, все еще скомпрометирован прямо сейчас. в конце вещью, которая помогла мне наиболее, был мой интерес к безопасности непосредственно. we can play “what if” until we’re blue in the face - i’ve identified both the fact that my defenses have room for improvement and the nature that improvement must take. i’ve also been reminded that what they say really is true - it happens to everyone eventually. it took more than 20 years for me which is longer than most and i’ve been a little cocky about that, but in the end there’s always some weakness, some way in, and if it hadn’t been for my monitoring of security-related events i’d probably still be compromised right now. in the end the thing that helped me the most was my interest in security itself.