Ciekawostka

27.04.07, 19:14
To nie jest pytanie, ale taka sobie weekendowa ciekawostka:
Dziś, w firmowej sieci, na moim komputerze (admin) zaczął się nagle pojawiać
co minutę komunikat z osobistego firewalla:

"Wykryto próbę włamania Backdoor DeepThroat 3.1 on port 2140. Zapora
zablokowała ten ruch.
kierunek: przychodzące
Port zdalny: snmp(161) Port lokalny: 2140
Adres zdalny: 192.168.1.79 "

Ciekawe jest to, że pod tym adresem jest drukarka sieciowa. Wyłączenie i
włączenie drukarki pomogło. Pozostaje chyba sprawdzenie reszty sieci.
viruslist.pl/encyclopedia.html?cat=18&uid=3344&o=2
    • Gość: patro Re: Ciekawostka IP: *.acn.waw.pl 27.04.07, 19:30
      może tusz był zarażony trojanem i przejął kontrolę nad drukarką ? ;)
      • oby.watel Re: Ciekawostka 28.04.07, 01:04
        Drukarka zarażona wirusem to żadna nowość.
        • jap_1 Re: Ciekawostka 28.04.07, 10:53
          oby.watel napisał:

          > Drukarka zarażona wirusem to żadna nowość.

          No właśnie! Dlatego dałem to jako ciekawostkę weekendową, do przemyślenia dla
          tych, którzy sądzą, że jak nie odwiedzają pewnych stron, to już nic im nie
          grozi. Cała tu dyskusja na temat serice pack'ów i firewalli o tym świadczy.
          Zagrożenie może przyjść z drukarki. Drukarka nie ma dysku, więc jej wyłączenie
          powoduje usunięcie kopii, ale napsocić może.

          • Gość: Greg Re: Ciekawostka IP: 212.76.40.* 28.04.07, 12:13
            Co jest sprzecznego w dyskusji o firewallach i możliwości zarażenia drukarki? Firewall osobisty i antywirus ochronią przed takim "atakiem", z drugiej strony sam komunikat wygląda mi na pomyłkę (SNMP służy ogólnie do monitorowania różnych urządzeń po sieci), chyba że ta drukarka ma OS spod znaku okienek :-D Czy ktoś trudził by się pisaniem wirusów pod specyficzne platformy konkretnych urządzeń? Powszechne OSy rozumiem, ale firmware'y dedykowane konkretnym urządzeniom?
            • xulu Re: Ciekawostka 28.04.07, 14:03
              jak sprawdzić drukarkę czy jest zawirusowana???
              • xulu Re: Ciekawostka 28.04.07, 14:04
                a od dzisiaj myszkę też dotykam przez rękawiczkę bo jak ma wirusa to co wtedy???
                • oby.watel Ciekawostka? 28.04.07, 14:18
                  Gdy w 2003 r. robak Blaster zainfekował sieć amerykańskiej firmy McCormick and
                  Co., jej administratorzy rozpoczęli systematyczne czyszczenie systemu IT. Ku ich
                  zdziwieniu, robak nieoczekiwanie zaczął ponownie się pojawiać w już
                  przeskanowanych i wyczyszczonych segmentach sieci. Jak wykazała przeprowadzona
                  wówczas szczegółowa analiza, Blaster - podobnie jak niektóre rodzaje robaka
                  Sasser - próbował propagować się z zarażonych tym wirusem drukarek sieciowych,
                  które zostały pominięte w procesie skanowania antywirusowego. Urządzenia
                  drukujące przestały być więc tylko peryferyjnymi elementami systemu IT, a stały
                  się jego aktywnymi składnikami, które wymagają takiego samego zabezpieczania,
                  skanowania i aktualizowania, jak serwery, komputery PC i aplikacje.

                  Nie ulega wątpliwości, że w praktyce współczesne drukarki sieciowe powinny być
                  traktowane na takich samych zasadach jak serwery lub stacje robocze, a nie jak
                  "głupie" terminale. Urządzenia te są bowiem wyposażone we wbudowane systemy
                  Windows lub Linux komunikujące się z siecią, podobnie jak w przypadku innych
                  urządzeń lub komputerów. Częstym wyposażeniem są też serwery WWW z własnym
                  adresem IP umożliwiające zdalne zarządzanie, konfigurację i świadczenie usług
                  zarówno w sieci LAN, jak i za pośrednictwem Internetu.

                  W efekcie możliwe są zewnętrzne ataki mogące prowadzić do unieruchomienia
                  sprzętu, zdalnej kradzieży drukowanych dokumentów lub nawet przekształcenia
                  urządzeń w elementy sieci botnet służącej do rozsyłania wrogich kodów lub
                  przeprowadzania ataków typu DoS...

                  Źródło: Computerworld
                  • Gość: Greg Re: Ciekawostka? IP: 212.76.40.* 28.04.07, 21:31
                    No dobrze, ale wirus to program komputerowy działający na określonej platformie, a te wbudowane w urządzenia sieciowe są dosyć specyficzne, więc i pisane pod nie wirusy musiały by być specjalne - stąd moje wątpliwości.
                • jap_1 Re: Ciekawostka 28.04.07, 20:26
                  Pierwsza z brzegu informacja o kopii robala w drukarce:
                  www.kaspersky.pl/about.html?s=news&newsid=235
                  Drukarki sieciowe, to nie jest może problem domowy, ale wiele osób używa
                  komputera w pracy i klnie, że admin na coś nie pozwala.

                  Widzę, że zainteresowanie tematem jest jednak mniejsze niż tym, w którą stronę
                  dmucha wentylatorek.
            • jap_1 Re: Ciekawostka 28.04.07, 20:38
              Gość portalu: Greg napisał(a):

              > Co jest sprzecznego w dyskusji o firewallach i możliwości zarażenia drukarki?
              Właśnie nie ma nic sprzecznego. Ja mam na myśli ludzi, którzy tu na forum
              twierdzą, że osobisty firewall albo antywirus jest im niepotrzebny, bo oni są
              "czujni".

              > z drugiej strony sam komunikat wygląda mi na pomyłkę (SNMP służy ogólnie
              > do monitorowania różnych urządzeń po sieci)

              Wszystkie sieciowe drukarki są właśnie u nas monitorowane centralnie. A Firewall
              się raczej nie pomylił, skoro rozpoznał rodzaj zagrożenia. Nigdy nie powiem, że
              coś w tej dziedzinie jest niemożliwe. Nad wymyślaniem różnych świństw pracują
              ludzie lepsi ode mnie i często lepsi od twórców systemów operacyjnych.
              • oby.watel Re: Ciekawostka 28.04.07, 21:18
                A czego oczekujesz? Przy dyskusji o wentylatorku można błysnąć intelektem. A tu?
                Ale możesz być pewny, ze coraz częściej będą pojawiać się wątki na temat robali
                biorących się nie wiadomo skąd, mimo, że komputer chroni 7 zapór (na czele z
                najlepszą) i 7 programów anty, a użytkownik jest ostrożny jak cholera i niczego
                poza piwem nie otwiera...
              • Gość: Greg Re: Ciekawostka IP: 212.76.40.* 28.04.07, 21:33
                > się raczej nie pomylił, skoro rozpoznał rodzaj zagrożenia. Nigdy nie powiem, że
                > coś w tej dziedzinie jest niemożliwe. Nad wymyślaniem różnych świństw pracują
                > ludzie lepsi ode mnie i często lepsi od twórców systemów operacyjnych.
                Ja niczemu nie przeczę, po prostu się dziwię, że ktoś zainteresował się specyficznymi platformami wbudowanymi w urządzenia sieciowe.
                • kontik_71 Re: Ciekawostka 28.04.07, 21:38
                  Wiec ja sie dziwie, ze Ty sie dziwisz... ogolnie wiadomo, ze drukarki i inne
                  urzadzenia raczej sa pomijane w kontekscie zagrozenia wirusami.. gdybym chcial
                  zrobic cos wyjatkowo upierdliwego to wlasnie zaiteresowal bym sie drukarka a
                  nie kompem, gdzie moj wirus ma zdecydowanie wieksza szase na byci wykrytym
                  • Gość: Greg Re: Ciekawostka IP: 212.76.40.* 28.04.07, 21:50
                    No tak, tylko problem polega na tym, że o ile komputery pracują pod kontrolą standaryzowanych SO, o tyle drukarki są oprogramowywane różnie, więc trzeba pisać wirusa pod konkretny typ drukarki, a to się kłóci z intencjami większości twórców wirusów, chcących wywołać jak największą infekcję, chaos.
                    • kontik_71 Re: Ciekawostka 28.04.07, 21:53
                      Ty mowisz o dzieciakach, ktore maja ochote narozrabiac, a ja o ludziach, ktorzy
                      dzialaja w jakims okreslonym celu... A jcie do tego ktore drukarki sa
                      najczesciej uzywanie nie jest takie trudne... napisz wirusa na HP a mozesz byc
                      pewny, zepol swiata bedzie Cie przeklinalo
                      • kell99 Re: Ciekawostka 28.04.07, 22:06
                        Ciezko mi uwierzyc, ze jakas firma mogla by byc tak niekompetentna by do czegos
                        takiego dopuscic, to po pierwsza, a dalej, ze jakikolwiek admin bylby tak durny,
                        by dopuscic do opcji modyfikacji drukarki byle komu, a tym bardziej do jej
                        dostepu z zewnatrz (w firmach dostep i tak jest tylko dla userow sieci lokalnej,
                        albo tych laczacych sie poprzez VPN).

                        Poza tym, nawet jezeli drukarka udostepnia IPP, to w jaki sposob chcesz tam
                        instalowac jakiekolwiek oprogramowanie?!
                        • kontik_71 Re: Ciekawostka 28.04.07, 22:08
                          Wierze mi, ze duzo bardziej niesamowite zaniedbania sa normalne i to nawet we
                          wielkich firmach... miedzy innymi dzieki temu moge sobie zarobic na zycie :)
                          • oby.watel Re: Ciekawostka 28.04.07, 22:39
                            A ja nie mogę wyjść z podziwu nad zmyślnością autorów pewnego systemu
                            operacyjnego, który umożliwia modyfikacje bez udziału uzytkownika i pytania go o
                            zgodę. Wejście na strone potrafi spowodować pojawienie sie wpisu w rejestrze,
                            zapisanie pliku w folderze systemowym, włączenie go jako usługi itp. A podobno w
                            najnowszym systemie poszli jeszcze dalej i robak nie tylko może się dopisać,
                            zapisać i uaktywnić, ale dodatkowo usadowić jako chroniony proces systemowy.
                            • kell99 Re: Ciekawostka 28.04.07, 22:41
                              oby.watel napisał:

                              > najnowszym systemie poszli jeszcze dalej i robak nie tylko może się dopisać,
                              > zapisać i uaktywnić, ale dodatkowo usadowić jako chroniony proces systemowy.

                              Dla mnie to tez jest bajka. Czy przypadkiem taka drukarka ze zintegrowanym
                              serwerem wydruku nie ma wlasnej masowej pamieci? Ma RAM w ktorym renderuje
                              dokumenty do wydruku i pewnie minimalna ilosc pamieci na ustawienia. Ciekawe w
                              czym mialoby tego 'robala' przechowywac. IMHO to sie nadaje miedzy mity i
                              komputerowe legendy.
                              • kontik_71 Re: Ciekawostka 28.04.07, 22:46
                                To niestety nie sa bajki... to jest przykra, choc jeszcze nieczesto spotykana,
                                rzeczywistosc.. Osobicie znam jeden taki przypadek w jednej z firm
                                farmaceutycznych
                                • kell99 Re: Ciekawostka 28.04.07, 23:10
                                  kontik_71 napisał:

                                  > To niestety nie sa bajki... to jest przykra, choc jeszcze nieczesto spotykana,
                                  > rzeczywistosc.. Osobicie znam jeden taki przypadek w jednej z firm
                                  > farmaceutycznych

                                  no to moze jakies konkrety?
                                  • oby.watel Re: Ciekawostka 28.04.07, 23:17
                                    kell99 napisał:

                                    > no to moze jakies konkrety?

                                    A te wyżej w wątku? Kłopoty z czytaniem ze zrozumieniem? Podaj adres to Ci jap_1
                                    wyśle za zaliczeniem pocztowym zawirusowaną drukarkę.
                                    • kell99 Re: Ciekawostka 28.04.07, 23:36
                                      Oczywiscie firewall ma zawsze racje. Bede musial swoja wywalic za okno bo mi
                                      jeszcze wrednie komputer zawirusuje :)
                                    • jap_1 Re: Ciekawostka 28.04.07, 23:45
                                      oby.watel napisał:
                                      > Podaj adres to Ci jap_1
                                      > wyśle za zaliczeniem pocztowym zawirusowaną drukarkę

                                      Żeby była moja ... Poza tym, po wyłączeniu już go tam by nie było. Są drukarki z
                                      dyskiem, ale nie ta.
                                      Poza tym, im dłużej siedzę nad tematem, dochodzę do wniosku, że to chyba
                                      rzeczywiście mylny komunikat. Deep Throat to dość stary trojan, jeszcze chyba za
                                      mało zaawansowany, żeby się w drukarce kopiował. Poza tym logi sieci nie
                                      pokazują jego obecności w żadnym z komputerów. Skądś by się musiał znaleźć.
                                      Czyli powinien byś ślad albo z antywirusa albo z firewalla w jakimś innym
                                      komputerze, a ślad włamania jest tylko w moim. Fakt, że jest weekend i nie
                                      wszystkie komputery działają, ale logi są gromadzone centralnie cały czas.
                                      No nic, trzeba być czujnym, bo robactwo w drukarce może się chować, o czym mówi
                                      choćby tekst z firmy Kaspersky. Coraz sympatyczniej się robi;-) Gdzie nie
                                      spojrzeć, zagrożenia.
Pełna wersja