23 évvel ezelőtt aktiválódott a W95.CIH károkozó funkciója

Titkosítás, biztonság, privát szféra

A CIH, más néven Csernobil vagy Spacefiller egy Microsoft Windows 9x operációs rendszerekre írt számítógépes vírus, amely először 1998-ban jelent meg. A károkozó funkciója (destructive payload) rendkívül pusztító hatással van a sebezhető rendszerekre, felülírja a fertőzött rendszermeghajtókon található kritikus információkat, és bizonyos esetekben tönkreteszi a rendszer BIOS-át. Chen Ing-hau, a tajvani Tatung Egyetem hallgatója hozta létre a vírust. Feltételezések szerint mintegy hatvanmillió számítógépet fertőzött meg nemzetközi szinten, ami becslések szerint 1 milliárd USD kereskedelmi kárt okozott. Chen azt állította, hogy a vírust kihívásként írta a vírusirtó szoftverfejlesztők vírusok hatékonyságáról szóló merész állításait cáfolandó. Chen állította, hogy miután a Tatung Egyetemen tanuló osztálytársai elterjesztették a vírust, bocsánatot kért az iskolától, és nyilvánosan letölthetővé tett egy vírusirtó programot.

Részletek itt.

( zoliky | 2023. 04. 26., sze – 18:38 )

Szerkesztve: 2023. 04. 26., sze – 18:38

Emlékszem rá. A Kaspersky nagyon jól írtotta ezt a vírust annak idején.

( falu v | 2023. 04. 26., sze – 18:43 )

Az összes sz.rházit, aki ilyet csinál/csinált a f.szánál fogva lógatnám fel. Elképesztő károkat okoztak csupán önző kivagyiságból.

[Falu.Me]==>[-][][X]

Én csak azt csodálom, hogy még él. Arrafelé ha mondjuk leültet egy kórházat, ami miatt akár csak egy beteg meghal - simán golyót kap. Okés, "csak" Tajvan stb stb, de mégiscsak abba az irányba esik, ahová mutat az irányvektor ha Kínát tájolom be innen.

Vortex Rikers NC114-85EKLS

Szerintem meg szükség van az ilyenekre. Rámutatnak a rendszereink sebezhetőségére, esendőségére. Segítenek újrakalibrálni a hozzáállásunkat.
Ne feledd: attól, hogy nem használnak ki egy adott sebezhetőséget, az még ott van.
Sajnos mind hw, mind sw oldalon a biztonság, megbízhatóság amin spórolnak, nem szánnak rá erőforrást, nem foglalkoznak vele. Mert legfontosabb az alacsony költség és a time to market.
Utólagos foltozgatás helyett tervezési szempont kellene legyen a rendszereknél a biztonság. Ennek érvényesülni kellene az egész láncban: fordító, toolchain.
És persze vevői oldalon ezt ki is kell fizetni. Rá kéne végre jönni, hogy még mindig olcsóbb lenne, mint utólag beszopni.

Egyébként a brókerek, a biztosítósok és az állam sokkal nagyobb károkat okoznak. A szimpla hülyeségről, balfaszságról nem is beszélve.

Biztos nehéz lett volna a romboló rutin helyett egy üzenetet küldeni, hogy "most bizony beszopnád, ha komolyan csinálnám". Dehát aljas és önös indíttatás van a háttérben kivagyisággal keverve, szóval a példa-üzenet helyett inkább nuke lett a megoldás, és még meg is van támogatva "szükség van az ilyenekre" üzenettel. Szép.

Vortex Rikers NC114-85EKLS

Az üzenet nem ér lófaszt se, nem üt akkorát.
Így meg még 20+ év múlva is emlékszünk rá :-)

Igen, sajnos! szükség van rá. Ha ő nem, valaki más megtette volna; csak idő kérdése.
Sőt, úgy látszik, még ez sem elég. Nézd meg, mi megy: vulnerability bejelentése, a patch-re HATÁRIDŐ ADÁSA (utána public disclosure) -> különben nincs tension a javításra.
De szisztematikus áttörés máig nincs: megy a foltozgatás. Az egész ökoszisztéma egy nagy kalap szar. Minden csak a profitig fontos, vagy ha nagyon fáj.
Én picsán rúgnám azokat a fejlesztőket, akik háromnaponta kényszerülnek patch-elgetni a szarukat. Lassan már szignifikáns lesz a CO2 kibocsátása a javítások terítésének és installálásának.

Persze történt sok minden az elmúlt húsz évben, ne legyünk igazságtalanok. De ezek a dolgok vagy csak mitigation-t jelentenek, vagy kiderült róluk, hogy nem működnek (pl. ASLR).

Régen azt hittük, vírus csak futtatható fájlban lehet. Aztán kiderült, hogy a lófaszt. Az interpreter vulnerability-k csak úgy hemzsegnek, és szinte elkerülhetetlenek.
Nem véletlen, hogy az Adobe Reader minden idők egyik legnagyobb rakás fosa. De hogy recent story is legyen:

The Most Dangerous Codec in the World: Finding and Exploiting Vulnerabilities in H.264 Decoders.

Régen a vírusok komolyabb károkozásra mentek rá. Ez csak a modern időkben van, hogy finomodtak, inkább észrevétlen adatkilopásra, botnetbe kapcsolásra, kriptobányászásra, zsarolásra mennek rá. A régieket mindez nem érdekelte, lefutottak maximális károkozással, bedaráltak mindent, az áldozat meg tanult belőle. Egyébként ez egy konstrukciós hiba is, mert egy normális BIOS-nak nem kéne engednie, hogy csak úgy akármilyen adattal felül lehessen írni. Plusz azóta a mainstream OS-ek is sokat fejlődtek, nem engednek ilyen low level hozzáférést a hardverhez, legalábbis nem a userspace-ben, csak a kernelspace-ben, driverekben.

Engem anno ez a szóban forgó vírus teljesen elkerült, nem is hallottam róla még.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Egy mai ransomware teljes céges támadás szerintem kifejezhetetlenül nagyobb károkat okoz, mint bármely régi '90-es 2000-es évekbeli vírus. Visszaszámolt és restartolt a codered után a windows? Nagy cucc! Lehúztad reboot-kor a hálóról, és peccselted. A kellemetlenség és a kieső szolgáltatásidőn kívül nem történt "nagy" károkozás. Lekódolták mind az 500 domain controllert, és százezer kliens windows OS-t? Na ez már kicsit nagyobb gebasz.

( ricsip v | 2023. 04. 27., cs – 07:17 )

Úgy emlékszem valamelyik hazai számítógépes újság (Chip magazin, PC-X, computer panoráma v. pc guru?) CD-mellékletére is becsusszant. Mivel későn vették észre és már legyártották a lemezeket, nem akarták bezúzni a teljes aktuális havi adagot. Talán valami fecnit raktak a lemez tokjába h. melyik exe-ket nehogy futtassa a vásárló. Meg a következő lapszámban is ott volt a figyelemfelhívás.