”Antivirusul” se cheamă Windows Update! E treaba ta cum te conectezi la el. Cu Automatic Update, cu Windows Server Update Services, cu System Center Configuration Manager, cu browserul, whatever. Virusul, care e de fapt un vierme, se folosește de un bug vechi, corectat în octombrie trecut, iar dacă ești sysadmin și te-a luat prin surprindere, atunci… mai bine nu zi la nimeni și pregătește plicurile.

Pentru cei care nu s-au prins încă: nu antivirusul e de vină, ci bugul. Îndepărtați viermele cu MSRT (Removal Tool), corectați bugul prin aplicarea patch-ului din octombrie 2008, și apoi gândiți-vă la alte măsuri: antivirus, firewall etc. Hai, că nu-i așa greu!

Update: e chiar așa de greu să fii la zi cu patchurile?
Update2: Centralized Information About The Conficker Worm

Filed under: Securitate

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 12:09 PM by dpopa

Zoli, nu e greu dar costa. Cine suporta costurile astea – clientul sau cel ce ofera serviciul de suport ?! …aici ne doare.

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 1:05 PM by zoltanhe

Ce costă mai mult: un proiect de patch management sau o infectie care te scoate din business cateva zile?

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 2:02 PM by dpopa

M-am exprimat gresit, scuze.

Projectul de patch-management e light. Mentenanta costa (se opreste productia, iti trebuie oameni sa dea stop/start la aplicatii, iti trebuie oameni sa iti valideze change-ul la sfarsit, orice change are un cost – prin simpla sa existenta : deshidere, validare, implementare, testare in pre-prod). Astea ne omoara, nu un WSUS sau PLU sau…

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 2:34 PM by Anonymous

Oct, Nov, Dec, Ianurie pe sfarsite, rotunjit sunt 3 luni la dispozitie pentru asta. La nimeni nu-i face placere sa dea restart la clustere intregi de Windows sau medii f importante / critice. Dar se poate. Iti iei inima in dinti intr-o zi si tot pui xx patches aparute din Oct incoace.

Nici pe linux nu-mi face placere sa tot pun 19 patches aparute in ultimele 2-3 saptamani.

Sa nu ajung la o configuratie gen trixbox la care ai sanse de 99% ca dupa patching sa te trezesti cu tot felul de anomalii. Sunt patit.

sys-admin life…

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 3:05 PM by zoltanhe

@dpopa, dacă ești un enterprise, care are nevoie de change management și de testări/validări, atunci vei avea și un geek de secu, capabil să te tragă de mânecă: ”băi, cu patch-ul ăsta nu e de glumit… simt io în urină că bugul e wormable… mai lasă validările alea și bagă patchurile, fiindcă ne costă mai mult trei zile de dezinfecție decât 10 minute de outage din cauza unui restart”. Și să o facă în octombrie, nu acum când e prea târziu.

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 3:44 PM by Dr.House

eu am auzit alta  : ca pach-urile si update-urile sunt prostii si nu trebuiesc instalate

si mi-am facut o comparatie : sigur sunt doctori care au aceeasi pregatire  ca si „stiu eu cine”  si eu ma duc cu fi-mea la acel doctor  !

daca o gaseste prea inalta ii taie picioarele , iar daca este racita  ii face operatie pe creier …

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 4:00 PM by dpopa

Da, Zoli, cam asa s-a intamplat in Noiembrie pe clientii pe care lucrez. Au sunat cei de la MS la IBM, au venit aia de la secu au facut neshte celule de criza si au zis „gata, acu !” Am prins 2-3 servere, am „validat” timp de 1 ora dupa care am trecut la aplicare de tipul comando, peste week-end, cu call-uri periodice sa zici ce, cum, cine, cand.

Noi , ca si furnizorul unui serviciu, am pierdut bani. Clientul, ca d’aia e client, sa nu crezi ca s-a bucurat. Au pierdut si ei bani.

Dar asta e … mai trebuie din cand in cand si putina actiune.

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 5:32 PM by zoltanhe

Să nu crezi că nouă ne place. Toată lumea a pierdut bani în cazul ăsta… în afară de ”băieții deștepți”, care s-au folosit de exploit…

# re: Cum ma protejez de infectarea cu virusul lunii?

Wednesday, January 21, 2009 6:34 PM by Lore

Iata un ghid interesant, preluat de la colegii din Canada

http://blogs.technet.com/ro_itpro/archive/2009/01/21/ghid-de-securitate-pentru-companiile-medii.aspx

# re: Cum ma protejez de infectarea cu virusul lunii?

Thursday, January 22, 2009 12:43 AM by AndreiU

Problema nu e chiar atat de simpla pe cat pare. Intr-un enterprise mare nu o sa poti fi niciodata compliant 100%. Degeaba vreau eu responsabil peste Win OS sa fac deploy la update-uri cand serverele de aplicatii sunt in alta ograda. La fel si peste statii – sunt foarte multe echipe si fiecare evalueaza si actioneaza intr-un mod diferit.

In cazul virusului pomenit e de ajuns o singura statie sa fie infectata si sa-ti faca probleme mari de tot – ex: DOS folosing account lockout – mai nou ghidurile de security recomanda account lockout sa fie activat doar in high security environments. Cunoscatorii stiu ce chestii se pot face cu account lockout 🙂

# re: Cum ma protejez de infectarea cu virusul lunii?

Thursday, January 22, 2009 8:56 AM by zoltanhe

@AndreiU, de acord. Cu cât e mai mare firma cu atât e mai greu de actualizat. Hai să luăm ca exemplu Microsoft, cu 80000+ oameni și ~2x stații, majoritatea portabile și who-knows câte servere. Ai noștri (de la IT), trimit (pe email) niște ameninințări simple de genul: ai 24 de ore să-ți actualizezi mașinile (singur sau să ne lași pe noi, cu SCCM), dacă nu, te deconectăm de la rețea; pa. Altfel nu merge, mai ales într-o firmă plină de geeks (care sunt admini pe stațiile lor…) și plină de appservere.

Iar adminii de appservere să facă bine și să se conformeze fiindcă nu numai ”my precious” apps există pe lumea asta. Cum faci? Escaladezi problema de la nivelul de securitate operațională la nivel corporate, la nivel de business continuity. Modifici corporate security policy, dacă trebuie.

Până la urmă, prevenția este muuult mai ieftină decât corecția (pompieristică).

# re: Cum ma protejez de infectarea cu virusul lunii?

Thursday, January 22, 2009 9:51 AM by blackhat

In principiu suna bine, in practica este mult mai dificil. Sa iti dau exemplul nostru, in care avem retea industriala, pe care nu o administreaza IT-ul (departamenul industrial find business-ul in sine, e stat in stat). Avem zeci de companii, mai mari sau mici, unele preluate recent, altele mai demult, care inca sunt in proces de migrare. Pentru ca orice proces de genul asta necesita bani si resurse, si desigur,  ca in orice companie care se respecta, IT-ul este mult subdimensionat.  

Altfel, tocmai pentru ca suntem constienti la expunerea contra riscurilor platim solutii de control si filtrare al email-urilor, al traficului web, plus antivirus, firewall and stuff. Cateodata, se pare ca totusi nu este suficient.

Desigur, Zoli intelege toate lucrurile acestea, pentru ca sunt convins ca este cazul multora dintre marii lor clienti.

As putea sa fiu si eu acid si sa spun ca singurele servere care nu au fost afectate au fost UNIX-urile. Si din fericire (sau din prevedere) toate aplicatiile de business critice ruleaza pe UNIX.

# re: Cum ma protejez de infectarea cu virusul lunii?

Thursday, January 22, 2009 10:07 AM by zoltanhe

…și desigur, blackhat înțelege că infractorii atacă sisteme larg răspândite și utilizarea de tehnologii de nișă (cu share mic) te apără doar de un anumit tip de atacuri