Vulnerabilità Plug And Play: arrivano le prime vittime illustri

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurezza/15195.html

Zotob, IRCBot e SDBot: ecco i malware che sfruttano il bug Plug And Play di Windows. Paradossalmente tra le vittime della disinformazione informatica ci sono la CNN ed il New York Times.

Click sul link per visualizzare la notizia.

[canislupus]

Beh l'importante è aggiornare sempre il pc e ovviamente usare la classica attenzione. Ovvio che se le persone cliccano su ogni cosa che si riceve senza pensare a quello che si fa, è inutile qualsiasi patch.
Per la cronaca io già ho patchato a suo tempo...
Secondo me a volte gli esperti di sicurezza di grandi società aspettano troppo a certificare le patch rilasciate da MS (provato sulla mia persona quando facevo il tecnico in una società che ha aspettato 1 anno per mettere il SP4 per windows 2000 !!!).

[fantoibed]

Quote:

Originariamente inviato da canislupus

Beh l'importante è aggiornare sempre il pc e ovviamente usare la classica attenzione. Ovvio che se le persone cliccano su ogni cosa che si riceve senza pensare a quello che si fa, è inutile qualsiasi patch.
Per la cronaca io già ho patchato a suo tempo...
Secondo me a volte gli esperti di sicurezza di grandi società aspettano troppo a certificare le patch rilasciate da MS (provato sulla mia persona quando facevo il tecnico in una società che ha aspettato 1 anno per mettere il SP4 per windows 2000 !!!).

Concordo su tutto ma vorrei fare solo una precisazione. I worm come sasser, zotob, eccetera non necessitano che l'utente clicki alcunchè: si eseguono e si propagano exploitando servizi aperti e vulnerabili....

Sasser: http://securityresponse.symantec.com...sser.worm.html
Zotob.A: http://www.f-secure.com/v-descs/zotob_a.shtml

[Runfox]

Guarda qui da noi, non è mai stato messo il SP4 infatti ieri sera è stato un disastro visto che il 90% dei pc ha windows 2000; e sto parlando di una delle più grandi banche d'Italia.

[12pippopluto34]

Quote:

Originariamente inviato da Runfox

Guarda qui da noi, non è mai stato messo il SP4 infatti ieri sera è stato un disastro visto che il 90% dei pc ha windows 2000; e sto parlando di una delle più grandi banche d'Italia.

Supponendo che davanti avete quantomeno un router, come diavolo e' potuto succedere?

[12pippopluto34]

CDS, ICF di XP-SP1 e' sufficiente a pararsi le ?

[meridio]

Quote:

Originariamente inviato da 12pippopluto34

CDS, ICF di XP-SP1 e' sufficiente a pararsi le ?

chiedo la stessa cosa: è proprio necessario sp2? ho zone alarm come fw e ho installato tutte le principali patch compatibili in assenza di sp2.

cosa sono CDS e ICF?

[DevilsAdvocate]

Quote:

Originariamente inviato da 12pippopluto34

Supponendo che davanti avete quantomeno un router, come diavolo e' potuto succedere?

Sapessi ancora quante ditte in Italia hanno un router il cui firewall e' configurato
malamente....

[canislupus]

Hai perfettamente ragione fantoibed. E' anche vero però che la maggior parte dei virus (tranne i worm che sfruttano le falle del sistema) si diffondono proprio perchè le persone hanno una sfrenata voglia di cliccare su ok o fare un doppio clic di troppo.
Nella diffusione di questi worm la colpa cmq rimane del sysadmin che per esempio potrebbe contenere l'infezione disabilitando l'accesso ad alcune porte e soprattutto aggiornare i sistemi non protetti. In fondo se io ho aggiornato il sistema il giorno dopo che è stata scoperta la falla, non credo che un sysadmin abbia più difficoltà (tanto se devono patchare anche mille macchine lo fanno tramite rete con degli script... visto di persona).

@Runfox

Io lavoravo in una multinazionale farmaceutica grossa anche più della Bayer (tanto per farti capire). Beh adesso stanno pensando di migrare a windows xp e quindi pensa un po' te. Il problema è che magari non vogliono aggiornare il sistema operativo per paura di incompatibilità con sw proprietari. Sta di fatto che ci mettono mesi (quando non anni) per aggiornare tutto e poi puntulamente ad ogni virus si trovano con qualche migliaia di pc infetti (li ho dovuti togliere io a mano... )

[themanto]

[12pippopluto34]

Quote:

Originariamente inviato da meridio

chiedo la stessa cosa: è proprio necessario sp2? ho zone alarm come fw e ho installato tutte le principali patch compatibili in assenza di sp2.

AFAIK credo sia piu' che sufficiente.

Al limite vai qua:
http://scan.sygatetech.com/quickscan.html
e fatti una scansione delle porte TCP del PC; se la 445 e' blocked allora stai tranquillo.
La cosa migliore sarebbe se tutte le porte fossero blocked, ma questo dipende poi se sulla tua macchina hai attivi server web, ftp, ecc... che io non posso sapere.

Comunque attendiamo maggiori lumi da chi ne sa di piu'!

Quote:

cosa sono CDS e ICF?

CDS = come da subject (del messaggio da me precedentemente scritto)

ICF = Internet Connection Firewall, ovvero il firewall software integrato in XP ed in XP-SP1 (il firewall di XP-SP2 invece si chiama Windows Firewall)

Tutto qui!

[Dumah Brazorf]

Il mio pc è in rete con il serverino (PIII 500MHz) che condivide la connessione internet, dotato di XP SP2 con il relativo firewall attivato.
Ho controllato lo stato delle porte al link dato da pippopluto e tutte le porte tranne per l'ICMP sono chiuse quindi il SP2 protegge abbastanza bene ma non del tutto.
Ciao.

[edivad82]

Quote:

Originariamente inviato da 12pippopluto34

Supponendo che davanti avete quantomeno un router, come diavolo e' potuto succedere?

dimentichi quanto sono belle le vpn, le reti locali, le wan ed il click del cavo di rete di un portatile infetto che si collega alla rete e questo è solo un esempio

[12pippopluto34]

Quote:

Originariamente inviato da Dumah Brazorf

[cut]

Ho controllato lo stato delle porte al link dato da pippopluto e tutte le porte tranne per l'ICMP sono chiuse quindi il SP2 protegge abbastanza bene ma non del tutto.
Ciao.

La porta ICMP credo debba stare aperta perche' il tuo XP-SP2 sta facendo da gateway alla LAN verso l'esterno.

Ma potrei aver detto anche una cazzata; al limite prova a chiudere quelle porte aperte sul firewall e vedi cosa succede.
Male che vada, le riaprirai.

[12pippopluto34]

Quote:

Originariamente inviato da edivad82

dimentichi quanto sono belle le vpn, le reti locali, le wan ed il click del cavo di rete di un portatile infetto che si collega alla rete e questo è solo un esempio

Vero!

Stavo pensando un po' troppo all'es. del Blaster all'esordio, senza tener conto che, oltre a quanto da te riportato, mi pare che Zotob & parenti possano infettare un pc anche tramite i soliti espedienti, tipo allegati, applet web, ecc...

[12pippopluto34]

Quote:

Originariamente inviato da canislupus

[cut]

Nella diffusione di questi worm la colpa cmq rimane del sysadmin che per esempio potrebbe contenere l'infezione disabilitando l'accesso ad alcune porte e soprattutto aggiornare i sistemi non protetti.

Beh, disabilitare la 445, che serve al protocollo SMB per cominicare tra i vari host in LAN (lg. condivisioni di rete), non e' una scelta saggia IMHO.

Quote:

In fondo se io ho aggiornato il sistema il giorno dopo che è stata scoperta la falla, non credo che un sysadmin abbia più difficoltà (tanto se devono patchare anche mille macchine lo fanno tramite rete con degli script... visto di persona).

Come scriverai piu' sotto...

Quote:

[cut]

Beh adesso stanno pensando di migrare a windows xp e quindi pensa un po' te. Il problema è che magari non vogliono aggiornare il sistema operativo per paura di incompatibilità con sw proprietari.

Scelta estremamente sensata IMHO!
A me e' capitato di veder inchiodati diversi Win2K per colpa della partch anti-Sasser, come anche di incongruenze nella GUI e nella gestione delle stampanti dei gestionali nell'upgrade Win2K -> XP-Pro.

Quote:

Sta di fatto che ci mettono mesi (quando non anni) per aggiornare tutto e poi puntulamente ad ogni virus si trovano con qualche migliaia di pc infetti (li ho dovuti togliere io a mano... )

Beh, su questo ti consiglio, se te ne viene data l'opportunita', d'informarti sullo stato di compatibilita' con XP + patch varie presso il supporto tecnico delle varie SH che vi forniscono i sw su cui lavorate.
Atro non saprei dirti, io farei cosi'.

[vale56]

Quote:

Originariamente inviato da themanto

aggiungiamo anche tutto il gruppo XXXXX colpito dal virus in oggetto...
sob...stiamo impazzendo!!!

Scusa ma dove hai sentito questa notizia?
Anche perché XXXXX ha circa metà delle macchine con XP SP2, e le Patch MS vengono aggiornate via SW distribution

[vale56]

Quote:

Originariamente inviato da 12pippopluto34

Supponendo che davanti avete quantomeno un router, come diavolo e' potuto succedere?

Molte volte succede perché qualcuno a casa attacca il personal in rete e poi lo porta in azienda DIETRO al router/firewall, come d'altronde scritto da ediva nel commento #12

[sari]

Be, una settimana fa ho sentito da parte degli operatori telecom (alice ADSL) di un virus nei loro sistemi (forse questo, ovviamente non mi hanno detto che virus), apparivano strane cose nelle pagine di attivazione dell'ADSL di un mio amico e abbiamo chiamato. Inutile dire che si può avere qualsiasi difesa, e quì stiamo parlando di una società che ci dovrebbe saper fare con le protezioni per internet visto che "lo vende ", ma le grandi reti aziendali non saranno mai protette abbastanza. Anzi in questo caso adirittura i dati personali di un mio amico, quindi file da proteggere col massimo scrupolo, hanno subito danni.

[Barone di Sengir]

io ho recentemente avuto un problemino con un virus, un certo "win32.tenga" che stando alle informazioni che ho trovato in rete non dovrebbe fare nulla... la domanda è come me lo sono preso, uso Firefox, non ricevo allegati per posta (o cmq non li apro), e ho avast antivirus sempre aggiornato, quest'ultimo però non riesce a "disinfettare" i file infetti non uso firewall perchè quando ne usavo non notavo differenze, ma solo fastidi