Uurija: CIA, NSA võivad omada spioone Microsoftis

Turvauurija Mikko Hypponen’i sõnul oleks CIA’l ja NSA’l kõige lihtsam luua kübersõjategevuseks pahavara kasutades Microsofti tööle palgatud agente. Salaagentidest programmeerijad Microsoftist saanuks kõigele lähtekoodile ligipääsu ja seega muutuks Stuxnet, Duqu ja Flame viiruste loomine ja nende levitamine Microsofti Windowsi uuenduste nime all lihtsaks ülesandeks. Soomlasest F-Secure’i turvaülema sõnul on kõik kolm viirust ilmselt loodud sama meeskonna poolt pikema ajavahemiku jooksul, viiruste ülesehituses on näha samu põhimõtteid ja kogemusi. Tõenäoliselt Microsoft ise ei osalenud, kuid 100 % ei saa välistada seda ka, kuid nad ei saa osalust iial tunnistada oma maine pärast.

Põhjalikumalt pajatab IT World.

Advertisements

Stuxnet/Flame/Duqu kasutab GPL koodi

Kuulus viirus Stuxnet/Flame/Duqu, mille pärinemist USA kübersõjategevuse arsenalist hiljuti tunnistati, kasutab avatud lähtekoodiga tarkvara LZO (pakkimisalgoritmi) koodijuppi oma sees. See tähendab, et viiruse lähtekood peaks olema avalik, samuti nõuab seda seadus, sest USA riigiorganite kirjutatud kood peaks samuti olema avalik (küll “public domain”). Miskipärast on siin teatav vasturääkivus, mis muuhulgas nii takistab viiruse vastast võitlust kui ka viirusest uute versioonide loomist.

Põhjalikumalt viitab Slashdot.

Keeruline uss Duqu

Duqu – viirus, mida on seostatud samade autoritega kui (Iraani tööstusseadmeid sihtinud) Stuxnet ussi – sisaldab väga keerulist ja erilaadset võrguarhitektuuri, mis on kirjutatud erinevas programmeerimiskeeles kui troojalase nakatumisvõimeline põhiosa. “Duqu raamistik” pole kirjutatud Kaspersky spetsialistide arvates Microsoft Visual C++’is vaid mõnes muus objektorienteeritud keeles või kasutades spetsiaalset vaheraamistikku. Uss levib samuti väga laialdaselt Iraanis, aga selle kasutusotstarve on oluliselt laiem.

Põhjalikumalt Duqust kirjutab Register.

Duqu taga head programmeerijad, aga Linuxi kobakäpad

Tööstusseadmeid sel sügisel ähvardanud Duqu arvutiviiruse autorid on Kaspersky turvaekspertide sõnul küll väga head programmeerijad, kuid ei evi just parimaid teadmisi Linux opsüsteemist. Oma üllatuseks suutsid viirustõrje spetsialistid Duqu kontrollimiseks kasutatud Saksamaal ja Vietnamis ärandatud CentOS 5 (Red Hat Enterprise brändinguta versioon) serveritest leida logisid SSH turvaühenduste kohta. Logifailid olid küll kustutatud, aga Linuxi Ext3 failisüsteem liigutab palju muutuvaid faile mööda ketast ringi, et vältida fragmenteerumist. Seega jäävad kettale maha tükid logidest, mille kustutamiseks tuleks ketta vaba ruum üle kirjutada. (Sarnaselt toimib ka Windowsi failisüsteem, kuid seda veel lihtsamalt – seal fragmenteerumist vältida ei üritata ja faili kustutamisel eemaldatakse fail lihtsalt failide tabelist, kus jäävad faili tükkide asukohad samas kenasti alles.) Muuhulgas on taastatud logidest õnnestunud kindlaks teha millal serverites sees käidi ja mõningaid andmeid selle kohta, mida tehti. Muuhulgas uuendati OpenSSH krüpteering 4.3 versiooni 5.8 peale. Saksa serveris üritati ümbersuunata ebaõnnestunult veebi ja turvatud veebi portide liiklust.

Põhjalikumalt selgitab The Register.