BotProbe - botnet traffic capture using IPFIX - Mark Graham
Ang mga mananaliksik mula sa University of California ay nakakuha ng kontrol sa isang kilalang at makapangyarihang network ng mga na-hack na computer sa loob ng 10 araw, nakakakuha ng pananaw sa kung paano ito nakawin ang personal at pinansyal na data.
Ang botnet, na kilala bilang Torpig o Sinowal, ay isa sa mga mas sopistikadong mga network na gumagamit ng mga hard-to-detect ng malisyosong software upang makahawa sa mga computer at pagkatapos ay anihin ang data tulad ng mga password sa e-mail at mga kredensyal sa online banking. ay nakapag-monitor ng higit sa 180,000 na na-hack na mga computer sa pamamagitan ng pagsasamantala ng isang kahinaan sa loob ng command-and-control network na ginagamit ng mga hacker upang makontrol ang mga computer. Gayunpaman, nagtrabaho lamang ito para sa 10 araw, gayunpaman, hanggang sa na-update ng mga hack ang mga tagubilin ng command-and-control, ayon sa 13-pahina na papel ng mga mananaliksik.
[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]
Gayunpaman, sapat na ng isang window upang makita ang kapangyarihan ng pagkolekta ng data ng Torpig / Sinowal. Sa maikling panahon na iyon, ang tungkol sa 70G bytes ng data ay nakolekta mula sa mga computer na na-hack.Ang mga mananaliksik ay naka-imbak ng data at nagtatrabaho sa mga ahensiya ng pagpapatupad ng batas tulad ng US Federal Bureau of Investigation, ISP at kahit na ang US Department of Defense upang i-notify mga biktima. Sinusuportahan din ng mga ISP ang ilang mga Web site na ginamit upang magbigay ng mga bagong command sa mga hacked machine, isinulat nila.
Torpig / Sinowal ay maaaring pilfer mga pangalan ng user at mga password mula sa mga e-mail client tulad ng Outlook, Thunderbird at Eudora habang kinokolekta din mga e-mail address sa mga programang iyon para gamitin ng mga spammer. Maaari rin itong mangolekta ng mga password mula sa mga browser ng Web.
Torpig / Sinowal ay maaaring makaapekto sa isang PC kung ang isang computer ay bumibisita sa isang nakakahamak na Web site na idinisenyo upang subukan kung ang computer ay walang patpat na software, isang pamamaraan na kilala bilang isang drive-by-download na atake. Kung ang computer ay mahina, ang isang mababang-antas na piraso ng malisyosong software na tinatawag na rootkit ay nadulas sa sistema.
Natuklasan ng mga mananaliksik na ang Torpig / Sinowal ay nagtatapos sa isang sistema pagkatapos na ito ay unang nahawaan ng Mebroot, isang rootkit na lumitaw sa paligid ng Disyembre 2007.
Mebroot infects Master Boot Record (MBR) ng computer, ang unang code na hinahanap ng computer kapag nag-boot ng operating system matapos ang BIOS na tumatakbo.
Ang Mebroot ay maaari ring i-download ang ibang code sa computer.
Ang Torpig / Sinowal ay na-customize upang makuha ang data kapag ang isang tao ay bumisita sa ilang online banking at iba pang mga Web site. Ito ay naka-code upang tumugon sa higit sa 300 mga Web site, na may mga nangungunang naka-target na pagiging PayPal, Poste Italiane, Capital One, E-Trade at Chase bank, sinabi ng papel.
Kung ang isang tao ay papunta sa isang Web site sa pagbabangko, ang isang huwad na form ay inihatid na mukhang bahagi ng lehitimong site, ngunit humihiling ng isang hanay ng data ng isang bangko ay hindi karaniwang humiling, tulad ng isang PIN (personal identification number) o isang numero ng credit card.
Mga Web site gamit Ang encryption ng SSL (Secure Sockets Layer) ay hindi ligtas kung ginagamit ng isang PC na may Torpig / Sinowal, dahil ang nakakahamak na software ay kukuha ng impormasyon bago ito naka-encrypt, sinulat ng mga mananaliksik.
Ang mga Hacker ay karaniwang nagbebenta ng mga password at pagbabangko impormasyon sa mga forum sa ilalim ng lupa iba pang mga kriminal, na nagsisikap upang itago ang data sa cash. Bagama't mahirap tantiyahin ang halaga ng impormasyon na nakolekta sa loob ng 10 araw, maaaring nagkakahalaga ito sa pagitan ng US $ 83,000 hanggang $ 8.3 milyon, sinabi ng pananaliksik na papel.
May mga paraan upang makagambala sa mga botnet tulad ng Torpig / Sinowal. Ang botnet code ay nagsasama ng isang algorithm na bumubuo ng mga pangalan ng domain na tinatawag ng malware para sa mga bagong tagubilin.
Ang mga security engineer ay kadalasang nakapag-isip ng mga algorithm upang mahulaan kung aling mga domain ang tatawagan ng malware, at lagyan ng registrar ang mga domain na guluhin ang botnet. Gayunpaman, ito ay isang mamahaling proseso. Ang Conficker worm, halimbawa, ay maaaring gumawa ng hanggang 50,000 mga domain name sa isang araw.
Ang mga registrar, mga kumpanya na nagbebenta ng mga registrasyon ng pangalan ng domain, ay dapat magkakaroon ng mas malaking papel sa pakikipagtulungan sa komunidad ng seguridad, ang mga mananaliksik ay sumulat. Ngunit ang mga registrar ay may sariling mga isyu.
"Sa ilang mga eksepsiyon, madalas nilang kakulangan ang mga mapagkukunan, insentibo o kultura upang harapin ang mga isyu sa seguridad na nauugnay sa kanilang mga tungkulin," sinabi ng papel.
Ang aking pinakamalaking problema sa RAM memory optimization software - hindi mahalaga kung sino ang nag-market ito - ay lamang na hindi mo ito kailangan. Ang $ 20 na SuperRam ay nagpapahiwatig, bagaman hindi ito lumalabas at sinasabi ito, na gagawing mas mabilis ang iyong computer. Habang technically ito ay maaaring totoo (kung ikaw ay nagkaroon ng iyong computer sa para sa mga araw sa pagtatapos sa mga programa na tumatakbo na walang pinag-aralan tungkol sa pagbabalik hindi nagamit na memorya)
Iyon ay sinabi, kung kailangan mo lang mahanap ito para sa iyong sarili, SuperRam ay madaling gamitin. Sa aking pagsubok, ito ay may kaunting negatibong epekto sa pagganap ng system (anumang programa na tumatakbo sa background ay gagamit ng ilang memory at CPU cycles). Gayunpaman, kung nakatulong ang SuperRam sa pagganap, ito ay lampas sa aking kakayahang makilala.
HyperRoll ay isang pribadong kumpanya na nakabase sa Mountain View, California. Inaasahan ng Oracle na isara ang deal mamaya sa taong ito, napapailalim sa mga pag-apruba ng regulasyon, sinabi nito. Ang mga produkto ng HyperRoll ay kinabibilangan ng Data Performance Management System, na idinisenyo upang mapabilis ang mga oras ng query para sa mga aplikasyon ng warehouse ng data, at LiveLink, isang tool sa pag-uulat na gumagana sa software ng Pamamahala ng Hyperion Financial ng Oracle.
HyperRoll's ang mga produkto ay gumagana sa lahat ng mga nangungunang database, kabilang ang Oracle, IBM's DB2 at Microsoft's MySQL. Sa isang Madalas Itanong na mga dokumento tungkol sa deal, Oracle ay hindi sinasabi kung HyperRoll ay patuloy na sumusuporta sa Oracle kakumpitensya 'database. Nag-aalok din ang HyperRoll ng software para sa mga customer ng SAP, karibal ng Oracle sa mga market ng aplikasyon.
Ang FTC, sa isang liham na ipinadala nang mas maaga sa buwang ito, ay iminungkahi din na ang mga may-ari ng XY Magazine at XY.com ay lumalabag sa mga pamantayan sa pagkapribado na ang kumpanya ay nasa lugar bago shutting down kung ginamit nila ang personal na impormasyon ng mga subscriber sa isang muling ilabas ng magasin o Web site. Ang personal na impormasyon ay nakalista bilang bahagi ng estate ng may utang sa isang bangkarota ng New Jersey na nagpapatuloy para sa Peter Ian Cummings, editor a
Ang form ng subscription ng XY Magazine ay nagsabi na "hindi kailanman nagbebenta ng listahan nito sa kahit sino." Sinabi sa XY.com ang mga prospective na mga tagasuskribi na ipapadala ang kanilang mga magasin sa naka-wrap na itim na plastik upang ang mga magulang ng mga tagasuskribi ay hindi maaaring sabihin kung ano ang kanilang nakukuha.