Microsoft Maverick Mission Against Malware

Ujawnienie: Twoje wsparcie pomaga utrzymać działanie witryny! Pobieramy opłatę za polecenie niektórych usług, które zalecamy na tej stronie.


Od samego początku niektórzy eksperci ds. Bezpieczeństwa uważali system Windows za jeden z najbardziej niepewnych systemów operacyjnych, niezależnie od tego, czy twierdzą, że jego zastrzeżony kod, systemy sieciowe, a nawet renderowanie czcionek są przyczyną.

W rzeczywistości, poza kultowym wyglądem marki, jednym z powodów, dla których miłośnicy Apple podają swoją lojalność, jest wrażliwość systemu Windows i brak bezpieczeństwa. Ogólnie przyjmuje się za prawdę, że system Windows jest najczęściej wykorzystywany przez złośliwe oprogramowanie, ale powody mogą Cię zaskoczyć.

Maverick Mission firmy Microsoft przeciwko złośliwemu oprogramowaniu

Windows jest nadal zdecydowanie najpopularniejszym systemem operacyjnym, z różnymi wersjami używanymi na około 90% komputerów stacjonarnych. Ma to zatem sens, że jeśli piszesz złośliwe oprogramowanie, a Twoim celem jest zainfekowanie jak największej liczby komputerów, napisałbyś je dla systemu Windows.

Innym czynnikiem mogą być docelowi użytkownicy. Bezpieczeństwo często zależy nie tylko od oprogramowania, którego używasz, ale także od tego, jak go używasz. Użytkownicy komputerów Mac opisują siebie jako osoby znające się na komputerach i „wcześnie adoptowane”, podczas gdy użytkownicy systemu Windows mają reputację czegoś przeciwnego.

Na szczęście firma Microsoft poważnie podniosła obawy dotyczące bezpieczeństwa i zawiera teraz takie funkcje, jak automatycznie włączana zapora ogniowa, ograniczone konta użytkowników i niesławne centrum bezpieczeństwa, które nieustannie nakłania cię do zainstalowania programu antywirusowego i upewnienia się, że naprawdę chcesz uruchomić program, który właśnie kliknąłeś.

Ale czy system Windows posunął się za daleko w walce o bezpieczeństwo cybernetyczne? Niektórzy tak myślą.

Jednym z przykładów jest jednostka ds. Przestępstw cyfrowych firmy Microsoft, której zadaniem jest powstrzymanie cyberprzestępczości i zagrożeń cybernetycznych, w tym nie tylko złośliwego oprogramowania, ale także botnetów, przestępstw związanych z IP, a nawet wykorzystywania dzieci. Brzmi dobrze na papierze, ale krytycy obawiają się, że otrzymali zbyt wiele mocy: otrzymali możliwość samodzielnego przejęcia serwerów i domen.

Czy Microsoft nadużywa przyznanej mocy? Czy dobro przewyższają zło?

Sprawdź szczegóły poniżej i sam zdecyduj.

Microsoft Maverick Mission Against Malware

Maverick Mission firmy Microsoft przeciwko złośliwemu oprogramowaniu

Microsoft jest jedną z największych firm programistycznych na świecie, a około miliarda ludzi korzysta z ich produktów każdego dnia i ma wielu klientów. Aby chronić tych klientów online, Microsoft stosuje nowatorskie taktyki prawne, aby zamykać złośliwych agentów i tych, którzy ich hostują. Ich taktyka, choć skuteczna, nie jest pozbawiona krytyki.

Strategia

  • Richard Boscovich jest asystentem generalnego radcy ds. Przestępstw cyfrowych firmy Microsoft (DCU)
    • 17 lat jako asystent prokuratora generalnego na Florydzie
    • W tym czasie dowiedział się o sprawie, w której producent torebek pozwał fałszerzy tych toreb na mocy ustawy o znakach towarowych Lanham z 1946 r.
    • Sąd orzekł, że firma produkująca torebki może przejąć podrobione torebki – umożliwiając w ten sposób firmie zajęcie prywatnych aktywów – czynność zasadniczo zastrzeżona dla organów ścigania.
  • Microsoft zastosował podobną strategię, aby przejąć serwery i przejąć kontrolę nad domenami używanymi przez oszustów (za zgodą właścicieli lub bez)
    • Microsoft opowiada się za nakazem ex parte kradzieży witryn oszustw, twierdząc, że istnieje obecne zagrożenie dla społeczeństwa i pokazując, że w grę wchodzą systemy lub oprogramowanie Microsoft
      • „Ex parte” oznacza, że ​​początkowo zaangażowana jest tylko jedna strona
  • Te manewry prawne pozwoliły Microsoftowi przejąć domeny i serwery bez uprzedniego rozpoznania przez sąd obu stron sprawy.

Microsoft czyści

Bez IP, njRAT i njw0rm

  • No-IP to strona internetowa, która zapewnia klientom dynamiczną usługę DNS (adresy IP, które ciągle się zmieniają)
    • Ludzie używają tego typu adresu IP, jeśli są świadomi bezpieczeństwa lub chcą zalogować się do serwera ze zdalnej lokalizacji
    • Twórcy botnetów używają również dynamicznego DNS, aby zainfekowane komputery zawsze mogły dotrzeć do kontrolujących je serwerów
  • W 2014 r. Microsoft celował w domeny no-ip.org, ponieważ, jak powiedział Richard Boscovich: „Ilość złośliwego oprogramowania, które docierało do domen w No-ip.org, była astronomicznie duża”
  • W szczególności Microsoft próbował wyłączyć dwie rodziny złośliwego oprogramowania:
    • njRAT
    • njw0rm
      • Szacuje się, że szkodliwe programy zainfekowały 7,4 miliona komputerów z systemem Windows na całym świecie
  • W czerwcu 2014 r. Microsoft zamknął prawie dwa tuziny najpopularniejszych domen no-ip.org
    • W dokumentach sądowych Microsoft wyjaśnił, że były one używane przez 18 400 nazw hostów wykorzystywanych przez szkodliwe oprogramowanie
    • Firma oświadczyła również, że zamierzała normalnie kierować cały dobry ruch – tylko złośliwe poddomeny zostaną całkowicie zablokowane
  • Microsoft nie był w stanie dotrzymać obietnicy, a 4 miliony nazw hostów przeszło w tryb offline
    • No-ip.org, po przejrzeniu listy złośliwych subdomen, które Microsoft próbował zamknąć, stwierdził, że tylko 2000 z nich nadal było aktywnych, gdy Microsoft przejął ich domeny
      • Pozostałe poddomeny zostały już zablokowane przez ich systemy wewnętrzne
  • No-ip.org odzyskało kontrolę nad swoimi domenami sześć dni po tym, jak Microsoft przejął kontrolę nad nimi i udało im się przywrócić wszystkich swoich klientów do sieci dwa dni później
  • Microsoft skutecznie zamknął rodziny szkodliwego oprogramowania, między innymi propagujące je grupy cyberprzestępcze
    • Wyłączenie dotyczyło co najmniej 25% zaawansowanych-trwałych zagrożeń (APT) pod obserwacją blogu SecureList.
    • Firma Microsoft przeprosiła firmę No-IP za niedogodności związane z ich klientami

3322.org i Nitol

  • org, podobnie jak No-IP, jest dynamicznym dostawcą DNS
    • W przeciwieństwie do No-IP, 3322.org jest własnością chińskiej firmy
  • Śledczy Microsoft dowiedzieli się, że chińskie sklepy komputerowe sprzedają komputery PC z fabrycznie załadowanym fałszywym oprogramowaniem Windows i złośliwym oprogramowaniem Nitol
    • Komputery zainfekowane tym złośliwym oprogramowaniem otrzymały zamówienia z poddomen znajdujących się pod adresem 3322.org
    • Inne domeny 3322.org zawierały 500 różnych odmian złośliwego oprogramowania
      • System Bezpiecznego przeglądania Google ostrzegał, że złośliwe oprogramowanie wykryte w subdomenach 3322.org zawierało „1 609 exploitów, 481 trojanów i 6 exploitów skryptowych”
  • We wrześniu 2012 r. Microsoft rozpoczął operację b70 i złożył pozew w amerykańskim sądzie rejonowym we wschodniej części Wirginii
    • Microsoft zażądał tymczasowego zakazu ex parte właściciela 3322.org, Peng Yong i wszelkich anonimowych agentów zaangażowanych w tworzenie złośliwego oprogramowania w swoich poddomenach
      • Podczas gdy firma, która jest właścicielem 3322.org, jest chińska, firma, która ją prowadzi, ma siedzibę w Wirginii
    • Sąd wydał nakaz, a Microsoft przejął kontrolę nad prawie 70 000 subdomen należących do 3322.org
  • Podczas badania złośliwego oprogramowania w złośliwych poddomenach Microsoft znalazł szkodliwe programy, które mogłyby:
    • Włącz mikrofony i kamery internetowe zainfekowanych komputerów
    • Nagrywaj naciśnięcia klawiszy, aby ukraść dane osobowe, takie jak nazwy użytkowników i hasła
    • Przeprowadzaj ataki Distributed Denial of Service (DDOS) na inne komputery
    • Twórz punkty dostępu ukryte przed użytkownikiem, pozostawiając komputer otwarty na infekcję innymi formami złośliwego oprogramowania
  • 70 000 subdomen zablokowanych przez Microsoft stanowiło mniej niż 3% z 2,75 miliona subdomen hostowanych przez 3322.org

Rustock

  • W 2010 r. Botnet Rustock był największym źródłem spamu e-mail
    • Symantec oszacował, że był wówczas odpowiedzialny za większość spamu w Internecie
    • Jako całość botnet był w stanie wysyłać miliardy wiadomości spamowych każdego dnia. Te e-maile obejmowały:
      • Reklamy fałszywych leków na receptę
      • Oszustwa związane z loterią Microsoft
    • Jeden komputer zainfekowany przez Rustock wysłał 7500 wiadomości e-mail w ciągu 45 minut.
      • 240 000 wiadomości e-mail ze spamem dziennie
  • W 2011 roku Microsoft DCU, Microsoft Malware Protection Center i Trustworthy Computing połączyły siły i uruchomiły Operację b107 w celu usunięcia botnetu Rustock
    • W tym czasie Microsoft oszacował, że prawie milion komputerów zostało zainfekowanych Rustockiem
  • Microsoft wniósł pozew przeciwko anonimowym twórcom botnetu do amerykańskiego sądu rejonowego dla zachodniej dzielnicy Waszyngtonu. Zrobili to:
    • Za naruszenia znaków towarowych produktów Microsoft
    • Ze względu na potencjalne niebezpieczeństwo wiadomości e-mail będące spamem stanowią zagrożenie dla społeczeństwa
  • Sąd przyznał im uprawnienia do zajęcia domen powodujących szkodę
  • Współpracując z US Marshals Service, Microsoft przejął serwery zaangażowane w botnet od pięciu dostawców hostingu w siedmiu miastach USA:
    • Kansas City
    • Scranton
    • Denver
    • Dallas
    • Chicago
    • Seattle
    • Kolumb
  • Microsoft skutecznie wyłączył botnet, zatrzymując komunikację między komputerami zainfekowanymi przez Rustock a kontrolującymi je adresami IP

Czy dobro przeważa nad złem?

Microsoft twierdzi, że ma motywację biznesową, aby szukać stron internetowych i usługodawców, którzy hostują złośliwe oprogramowanie

  • Gdy użytkownicy Microsoft lub Windows pobierają złośliwe oprogramowanie, myśląc, że programy są legalnymi produktami Microsoft, marka cierpi

Krytycy taktyk usuwania złośliwego oprogramowania Microsoftu są zaniepokojeni legalnym precedensem ich manewru, a także jego ciężką ręką.

  • Eric Goldman, profesor prawa na Uniwersytecie Santa Clara, zwraca uwagę, że ex parte charakter tymczasowych nakazów krępowania uniemożliwia sędziemu wysłuchanie obu stron sprawy, co jest wyraźnie zaprojektowane w celu wykonania amerykańskiego systemu sądowego
  • Nate Cardozo, piszący dla EFF.com, mówi, że działanie prawne popełnione przez Microsoft przeciwko No-IP to:
    • Zaprojektowany, aby zatrzymać 18 000 złych aktorów
    • Skończyło się na wyłączeniu milionów witryn
      • Według Cardozo ponad 99% dotkniętych stron internetowych było niewinnych
  • Paul Vixie, jeden z twórców DNS i CEO Farsight Security, przemawiał na posiedzeniu Senackiego Komitetu Sądowniczego na temat botnetów dwa tygodnie po usunięciu IP
    • Skrytykował Microsoft za podjęcie kroków prawnych przeciwko zakazowi własności intelektualnej bez uprzedniego powiadomienia ich, mówiąc, że „gdy jedna firma… lub naród podejmuje się tego samotnie w ramach działań zmierzających do zniszczenia, rezultatem jest zazwyczaj katastrofa…”

Usuwając domeny obsługujące botnety, wiadomość Microsoftu jest jasna: dostawcy usług są odpowiedzialni za to, co dzieje się w ich infrastrukturze, przynajmniej w oczach Microsoftu. To ciężkie podejście jest skuteczne w wyłączaniu botnetów, ale także usidliło wiele legalnych firm jako szkodę uboczną.

Źródła

  • Detektywi cyfrowi – news.microsoft.com
  • Richard Boscovich – rsaconference.com
  • Jak Microsoft mianował się szeryfem Internetu – wired.com
  • The Wild Wild Web: najlepsi amerykańscy cyber-gliniarze mówią, że przegrywamy wojnę z przestępcami komputerowymi – venturebeat.com
  • Formalne oświadczenie No-IP w sprawie Microsoft Takedown – noip.com
  • Witryny Microsoft Darkens 4MM w walce ze złośliwym oprogramowaniem – krebsonsecurity.com
  • Microsoft nokautuje 4 miliony stron internetowych w poszukiwaniu złośliwego oprogramowania – tomsguide.com
  • Microsoft bierze na globalną epidemię cyberprzestępczości w dziesiątym zakłóceniu złośliwego oprogramowania – blogs.microsoft.com
  • Microsoft przejmuje 22 domeny bez adresu IP, zakłóca cyberprzestępczość i narodowościowe operacje APT na złośliwym oprogramowaniu – securelist.com
  • Złośliwe oprogramowanie Dragnet porywa miliony zainfekowanych komputerów – krebsonsecurity.com
  • Co oni sobie myśleli? Microsoft przejmuje, zwraca większość działalności No-IP.com – eff.org
  • Nitol i 3322.org Takedown firmy Microsoft – damballa.com
  • Microsoft przejmuje chińską firmę Dot-Org, by zabić Nitol Bot Army – theregister.co.uk
  • Microsoft zakłóca rozprzestrzenianie się botnetu Nitol w niezabezpieczonym łańcuchu dostaw – blogs.microsoft.com
  • Dynamiczny DNS – support.easydns.com
  • Dynamiczny DNS – support.easydns.com
  • Operacja b107 – Takockown botnetu Rustock – blogs.technet.com
  • Zdejmowanie botnetów: Microsoft i botnet Rustock – blogs.microsoft.com
  • Zamknięcie sieci spamowej – online.wsj.com
  • Koszt przestoju – blogs.gartner.com
  • Microsoft neutralizuje botnet Kelihos, w tym przypadku nazwisko pozwanego – blogs.microsoft.com
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me