Experts keuren Code Red II 'cleanup worm' plan af

Dinsdag berichtten we al over de virussen CodeGreen en CRClean. CodeGreen scant internet af naar IIS servers die geïnfecteerd zijn met Code Red II. Als er een geïnfecteerde server is gevonden probeert de worm een patch te installeren. Experts verwerpen bijna eenstemmig het idee om een virus met een virus te bestrijden. Het idee zou alleen werken in een strak gecontroleerd netwerk. 'In het wild', op internet, geeft het te veel problemen.

Volgens het Symantec Anti-virus Research Center (SARC) is het gevaarlijk om een worm of een virus op deze manier te gebruiken. Als het ding iets verkeerds doet is er geen manier is om het te stoppen. Daarnaast kan er veel fout gaan, zoals servers die crashen, het installeren van gebrekkige patches of deze niet correct installeren. Ook is het volstrekt illegaal.

Maiffret van eEye Security, het bedrijf dat het Code Red virus ontdekt heeft, zegt dat soortgelijke virussen wel goed gebruikt kunnen worden in een bedrijfsnetwerk, dat gecontroleerd kan worden. Op internet zelf is dit onmogelijk. Internet is niet iets dat je zomaar kunt uittesten, aldus Maiffret. CodeGreen schijnt zo strak geschreven zijn dat het te goed werkt. Het zou zich te goed kunnen verspreiden en zo een netwerk kunnen vertragen.

Lees meer

IT-banen

Reacties (28)

Mart! 6 september 2001 08:20

Lijkt me inderdaad niet zo'n goed idee. Wat ik graag zou zien dat MS bijvoorbeeld een optie zou inbouwen voor auto-patching zodat, wanneer er een patch nodig is voor een server die met internet verbonden is, deze automatisch wordt geinstalleerd. Dit moet dan wel een degelijke manier zijn, met die patches die meer ellende brachten dan veiligheid is het natuurlijk niet zo'n sterk idee. En voor de rest is het natuurlijk de volledige verantwoodelijkheid van de systeembeheerder.

wildhagen

Bedrijfsnieuws

@Mart! • 6 september 2001 08:30

Wat ik graag zou zien dat MS bijvoorbeeld een optie zou inbouwen voor auto-patching zodat, wanneer er een patch nodig is voor een server die met internet verbonden is, deze automatisch wordt geinstalleerd

Bij Windows XP hebben ze die dus ook ingebouwd, het is alleen te hopen dat ze ook nog een update voor Windows 2000 uitbrengen die dat ook in Windows 2000 gaat implementeren.

En je kan hem ook altijd zo instellen dat hij wel kijkt of er updates zijn, maar dat hij dan ook vraagt of hij ze mag installeren.

0rbit @wildhagen • 6 september 2001 09:42

Je kunt voor Win2k critical update notification aanzetten; Zit geloof ik in SP2. Het werkt bij mij goed.

Zo kreeg ik laatst nog een 'pre-SP3' update!

freaky @Mart! • 6 september 2001 10:12

Persoonlijk zie ik het verschil niet zo tussen de automatische patcher van M$ en deze wormen. Sterker nog, ik denk dat ik meer vertrouwen heb in die wormen dan een M$ patcher. Tevens, als het de verantwoordelijkheid van de systeembeheerder is, wanneer kan ik al die eikels aanklagen die nog steeds m'n servers lastig vallen? Volgens mij hebben ze nou toch wel een keertje genoeg tijd gehad om ze te patchen. Iedereen die dat nog niet gedaan heeft is in mijn ogen niet capabel om systeembeheerder te zjin. En ze gaan me toch niet vertellen dat ze het niet wisten, het was op de radio, in het nieuws en in de kranten. Alleen al dat ze zulke wormen gaan schrijven toont toch wel aan hoeveel incapabele mensen d'r rond lopen die webservers beheren.....

wildhagen

Bedrijfsnieuws

@[NUT] • 6 september 2001 08:41

zoiets als ze hebben gedaan bij windows 2000 (de 63000 known bugs publicatie

Tsja, als je typo's ook een bug gaat noemen (en 80 procent van die 63000 bugs zijn typo's) dan kan ik ook nog een paar sterke verhalen verzinnen...

En als jij nou echt denkt dat er een OS met minder dan tienduizenden bugs bestaat: keep on dreaming! De richtlijn is nog steeds '1 bug per 100 programmaregels is acceptabel' voor programmeurs. Reken zelf maar uit hoeveel bugs Linux/BeOS/QNX enzo hebben...

freaky @wildhagen • 6 september 2001 10:14

Denk dat die typos wel meevallen waar het komt mbt functionaliteit. De laatste keer dat ik een variable of een commando verkeerd typte gaf mijn compiler nog een error.

Verwijderd 6 september 2001 08:36

Als de code bestaat, wordt ie ook gebruikt. Dat is 1 ding dat de historie ons leert: Als het kan, doet met het ook. Kijk maar naar de atoombom bv.

Dus je weet gewoon dat het gebruikt zal worden. Het enige dat je kunt doen is om te proberen het in goede banen te laten lopen.

TheGhostInc @Verwijderd • 7 september 2001 01:43

Toch los je er geen problemen mee op.
De atoombom heeft geen oorlog ogelost, alleen maar meer oorlogen veroorzaakt.

* 786562 TheGhostInc

Verwijderd 6 september 2001 08:39

Het lijkt me trouwens toch dat Firewalls en Virusscanners op hol slaan als Code Green eventjes de server wil inwandelen? Onnodige paniek dus.

wildhagen

Bedrijfsnieuws

@Verwijderd • 6 september 2001 08:43

Geen onnodige paniek, want minder dan 1-2 procent van de PC-gebruikers heeft een firewall draaien en hooguit 30-35 procent een *up-to-date* virusscanner. Je hebt het dus nog steeds over heel veel potientiele slachtoffers van CodeGreen en CRCLean.

Verwijderd @wildhagen • 6 september 2001 08:54

Als je een iss server gaat draaien zonder firewall mag je als beheerder beter een andere baan gaan zoeken.

Hoewel dit natuurlijk niet mag (zomaar iemands anders server aanpassen) is dit nog de nette oplossing. Om in Jeroen 98675432 termen te blijven, alleen mensen die gevaar lopen een ernstige griep te krijgen worden (ongevraagd) ingeent. En in dit verhaal krijg je ook de griep door mensen die actief met een griep spuit rondlopen.

Ikzelf ben meer voor de botte bijl oplossing, als je zo stom bent om je servertje zo slecht te onderhouden dat je zelfs NU nog niet gepatched hebt, mag zo'n server wat mij betreft een shutdown krijgen. Vergelijk het met de situatie van voor de apk keuring, wrakken op de weg werden toen ook zoveel mogelijk van de weg gahaald en niet opgeknapt door de politie.

ascii heeft gesproken!

(misschien niet eens zo'n slecht idee, een soort van apk keuring voor computers. Ja dan test je isp eerst of je compu aan sommige eisen voldoet qua afscherming voordat de isp je in z'n netwerk toelaat. Voor inbreuk op je prive gegevens hoef niemand bang te zijn, het is tenslotte slechts een test of je je deuren en ramen wel voldoende hebt beveilingd.

Jeroen 98675432 6 september 2001 08:36

Ik vind het een bizar idee, om dit soort "anti virus" virussen zomaar op het net los te laten.

Stel je voor dat huisartsen zomaar de straat op gaan en iedereen zonder te vragen een griepprik in de arm steken, daar vraag je toch ook niet om?!?

curry684 @Jeroen 98675432 • 6 september 2001 09:10

Je moet dit meer zien als huisartsen die de straat op gaan en iedereen waarvan ze weten dat ie ziek is het correcte medicijn geven. Je impliceert hier dat er grove wildgroei op zal treden, maar dat is het juist niet: Code Green duikt alleen naar binnen op met Code Red geinfecteerde systemen.

Huisartsen zouden willen dat ze zo precies zo'n grote bevolkingsgroep zo snel konden genezen.

neh @curry684 • 6 september 2001 09:36

Je doet nu alsof code green een wondermiddel is. Dat is het zeker niet, het heeft ook nadelen zoals het dataverkeer dat het genereerd en dat het een geïnfecteerd systeem gebruikt om zichzelf te verspreiden. Ik vond de vergelijking van die dokters die in het wilde weg prikken wel goed eigenlijk. Code green gaat net zo te werk, alleen het "medicijn" slaat pas aan als de patient ook echt ziek is. Feit blijft dat je er dan nog steeds niet om gevraagd hebt.

blouweKip @neh • 6 september 2001 15:35

Feit blijft ook dat deze worm dus alleen maar in servers kan komen die nog open staan, systeembeheerders die nu nog geen patch hebben aangebracht daarvan kun je niet verwachten dat ze voor zichzelf kunnen denken en zijn daarom pratische wilsonbekwaam.

Ik geef toe dat deze worm idd niet legaal te werk gaat, maar in hoeverre is het accpetable dat codered (2) vanwege een domme systeembeheerder andere servers kan verstoren en bovendien de bandbreedte kan wegvreten...ik vind dat laaste iig minder accpetabel

neh @neh • 6 september 2001 19:15

Ik geef toe dat deze worm idd niet legaal te werk gaat, maar in hoeverre is het accpetable dat codered (2) vanwege een domme systeembeheerder andere servers kan verstoren en bovendien de bandbreedte kan wegvreten...ik vind dat laaste iig minder accpetabel

code green gaat precies zo te werk, het verstoort niet alleen de werking van de kwetsbare machine (door te rebooten etc.), maar scant net zo hard naar andere kwetsbare machines. Ook bandbreedte wordt weggevreten door het scannen EN het downloaden van de patches. Dus eigenlijk spreek je jezelf een beetje tegen.

Verwijderd @curry684 • 6 september 2001 11:30

Je moet dit meer zien als huisartsen die de straat op gaan en iedereen waarvan ze weten dat ie ziek is het correcte medicijn geven.

Klinkt heel aardig, alleen je vergeet dat er ook nog b.v. een groep zwaar gereformeerde mensen zijn die behandeling weigeren, het is misschien een stom voorbeeld alleen een doctor mag helemaal niemand genezen zonder toestemming van de persoon zelf.

En ik denk dat het hiermee een beetje op hetzelfde neerkomt je helpt iemand zonder zijn toestemming
en neemt hem daarbij zijn recht voor vrije keuze af.

Het mag allemaal heel heroish lijken enzo maar het blijft hacken met in dit geval de beste intenties.

Daar komt nog bij dat zo'n patch complicaties met zich mee zou kunnen brengen b.v. het crashen van je server.

roelio 6 september 2001 09:40

dit soort cleanup wormen zijn helemaal niet zo handig. het is wel handig om andere wormen te verwijderen maar moet je eens kijken wat het aan tijd, bandbreedte en onderhoud (systeembeheerders die zich afvragen wat er nu weer voor vreemd verkeer is) kost!!!

jvo 6 september 2001 09:56

Met alle respect, laten we dingen eens afwegen. Natuurlijk genereerd Code Green onnodig dataverkeer, maar het is wel een effectief middel. De vergelijking met een dokter die in het wilde weg prikt is volgens mij niet goed. Het zou om een dokter gaan die ongevraagd even je temperatuur opmeet om vervolgens wel of niet een prik te geven. In de eerste instantie ziet dat er ongewenst uit, maar het is wel een paardenmiddel. Zoiets zouden we tegen BSE moeten hebben.

Verwijderd 6 september 2001 10:03

Hallo, de servers zijn al geïnfecteerd. Dus het argument dat het bandbreedte ed. in beslag zou nemen gaat niet op en crashen van servers kan net zo makkelijk met CodeRed.

Eigelijk zouden beheerders standaard ontslagen moeten worden als een CodeGreen aangetroffen wordt. Door deze antibiotica (perfect idee) is de beheerder automatisch overbodig.

blissard 6 september 2001 10:45

Wat weinigen zich hier lijken te realiseren is dat het voor iets als code green nodig is dat er 1 centrale macht is op het internet die bepaalt of een server gepatch moet worden of niet. Deze macht moet dan de afweging maken of inbreuk op afzonderlijke computers moet worden toegestaan. Nou vraag ik me dan af:
a. wie deze macht is.
b. of deze gekozen wordt (democratisch)
c. of dat de grootste automatisch de baas is

volgens mij ligt de kracht van het internet in het ontbreken van een centrale macht. Ik vind het dan ook vreemd dat veel tweakers blind lijken voor deze ontwikkeling.

Jeroen 98675432 @blissard • 6 september 2001 13:46

De ontwikkeling is ook niet verkeerd, bijvoorbeeld Automatic LiveUpdate van Norton/Symantec is een prachtig voorbeeld, maar daar kun je voor kiezen. En als deze niet bevalt, dan kun je een vergelijkbare (al dan niet betaalde) dienst bij een ander afnemen, dat is dan een vrije keuze. En bij Code Green heb je die keuze niet, en dat vind ik niet juist.

Stel dat een andere Code Green variant juist meer problemen veroorzaakt, doordat de maker per ongeluk een foutje maakt, dan zit je nog dieper in de puree, en je hebt het niet zelf kunnen voorkomen....

Webdoc 6 september 2001 10:19

Tja... op een bepaalde manier vind ik dit soort wormen eigenlijk bij de "core van wat Internet is" horen. Ik denk dat dit soort toepassingen in de toekomst als bandbreedte aanzienlijk goedkoper (of gratis) is echt doodnormaal gaan worden. Zie het maar als onderhoudsrobots in een fabriek die de machines controleren en waar nodig fixen.

Een soort Mega-systeem dat zichzelf in stand houdt en update. Ik ben nu iets te megalomaan/idealistisch aan het zijn, maar het idee is duidelijk.

Over bandbreedte... hoeveel bandbreedte kost dit nou? En weegt die kost op tegen het WEL hebben van Code Red? Volgens mij is dat (zelfs nu al - met de huidige bandbreedte prijzen) veel meer.

Probleem is wel dat dit soort hulpwormen (wat een woord) uiteraard ook zullen verschijnen in trojan versies - "groene" virussen die eenmaal binnen "rood" worden... maar goed, dat is niet meer dan normaal. Het idee in essentie is fantastisch, en nogmaals ben ik er van overtuigd dat dit echt common practise gaat worden.

Nog een mpaar mogelijkheden... operating systems waar je aan kan zetten dat je dit soort wormen wilt ontvangen. Wormen die aan bepaalde eisen moeten voldoen (en al dan niet een certificaat moeten hebben etc.) En dan zijn er echt wel genoeg mensen die graag dit soort shit maken.

Kevinp 6 september 2001 14:10

ze moeten maar van mijn computer afblijven, ik bepaal zelf wel wat ik er op zet niet microsoft

wildhagen

Bedrijfsnieuws

@Kevinp • 6 september 2001 14:13

Euh.... doet Microsoft dat dan? CodeGreen en CRClean worden niet door Microsoft verspreid hoor, maar door een stel scriptkiddies.

Op dit item kan niet meer gereageerd worden.

Experts keuren Code Red II 'cleanup worm' plan af

Lees meer

IT-banen

Reacties (28)

Sorteer op:

Weergave: