morphiusz napisał(a):Najlepsze jest akcja symanteca: poinformowało o próbce, która była w ich rękach od 1 września.
Nowy trojan ala stuxnet podpisany był skradzionym certyfikatem verisign (w posiadaniu symanteca).
Zajęło im aż 44 dni aby cofnąć ten certyfikat
Nie wiem czemu uogólniasz wnioski, żeby nie powiedzieć próbujesz zmienić fakty...skąd masz takie informacje, bo na razie wygląda to na czyste spekulacje oparte na spostrzeżeniach dokonanych przez kilku niezależnych badaczy, którzy kiedyś próbowali analizować dogłębnie infekcję Stuxnetem? Z kilku artykułów, które przejrzałem wynika, że
- Symantec wiedział, że niektóre z plików są podpisane skradzionymi prywatnymi kluczami związanymi z certyfikatami do klienta Symanteca i przeprowadził dochodzenie w związku z tym, z którego wynikło że klucze zostały skradzione, co powinno wykluczyć wszelkie spekulacje na temat ewentualnych powiązań firmy z Duqu. Piszą o tym na swoim blogu, ale tylko niektóre, wyrwane z kontekstu fragmenty są cytowane i w pewien sposób zniekształcają obraz. Sami piszą o tym otwarcie na swoim blogu i można się z tym bez kłopotów zapoznać
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
- firmą gdzie skradziono te certyfikaty była firma z Tajwanu...tu cytat za komunikatem F-secure, który linkowany był na samym początku wątku
"Duqu has a driver signed with a stolen certificate belonging to a Taiwanese company called C-Media Electronics Incorporation.
The driver still claims to be from JMicron, though."
- Symantec miał próbki plików Duqu, ale były one skojarzone z atakiem Stuxneta z grudnia 2010
- Symantec jako pierwsza firma zabezpieczająca otrzymała powiadomienie o nowej nieznanej infekcji...w piątek 14 października...i tego samego dnia odwołała/unieważniła te certyfikaty
- F-secure samo zauważyło, że Duqu jest tak podobny do Stuxneta, że nawet ich program tak identyfikował to nowe zagrożenie...to słowa wypowiedziane na Tweeterze przez Mikko Hypponena (F-Secure''s Chief Research Officer)
"Duqu''s kernel driver is so similar to Stuxnet''s driver that our back-end systems actually thought it was Stuxnet"
- artykuł na Wired.com, który sam cytowałem jest tylko artykułem wtórnym, a nie analitycznym a cytowane w nim wypowiedzi
O Murchusą po części speckulacjami, a nie wnioskami opartymi na fakatch
- sprawa jest bardzo delikatna ze względów polityczno-gospodarczych i chyba nie do końca poznamy z oczywistych względów kulisy całej sprawy.
---------------------
edit:
widzę info i dyskusję na ten temat na DP...o ile sam artykuł jest OK, to dyskusja...szkoda słów...
Dodano: 21 paź 2011, 2011 13:41
Nie wiem czy Bitdefender to jest pierwsza firma, która wypuściła narzędzie do usuwanie Duqu, ale znalazłem informację o takim narzędziu
[Aby zobaczyć linki, zarejestruj się tutaj]
A tu jest samo narzędzie do pobrania
[Aby zobaczyć linki, zarejestruj się tutaj]
Im dalej w czasie od pierwszych informacji, tym więcej niejasności i różnych interpretacji dotyczących pochodzenia, daty wykrycia, przypuszczalnych celów infekcji...w grę zaangażowani sa poza Symantekiem również McAfee, wskazując na zupełnie inne certyfikaty, a F-secure inaczej interpretuje celowość ataków założoną dla Duqu
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Na razie...tak się wydaje...wszystko jest spekulacją poza raportem Symanteka.