БАК заработал после года простоя. 20 ноября впервые после 14-ти месяцев ремонта и модернизации, специалисты CERN пустили пучок протонов по большому 27 километровому радиусу в одном направлении. Этот пучок был погашен и 21 ноября был запущен пучок в противоположном направлении. Эксперимент, по сообщению представителей CERN в своем микроблоге, прошел в штатном режиме. После несколько миллионов тестовых витков в каждом из направлений коллайдер был запущен на разгон пучков в противоположных направлениях одновременно. Все четыре детектора, установленных на БАК, успешно регистрируют поток протонов.

Планы на остаток 2009 года

Сейчас БАК разгоняет протоны до энергий порядка 450 ГэВ (без использования ускорителей-магнитов большого радиуса, ибо до такой энергии разгоняет протоны предыдущая ступень — протонный синхротрон). Следующими этапами работы CERN будут проведение экспериментов по столкновению протонов с энергией 450ГэВ и пробное повышение энергии до 1.1 ТэВ, что вероятно будет где-то в середине декабре (источник 1, слайд №3; источник 2). Повышение энергии до 3.5 ТэВ в 2009 году производиться не будет, с целью максимально обезопасить процесс запуска коллайдера. Приблизительно 17 декабря коллайдер будет остановлен на рождественские каникулы (да-да, у учёных тоже бывают каникулы).

Планы на 2010 год

В 2010 году планируется снова запустить коллайдер (7 января). И после подготовительных работ и проверок вывести его на мощность 3.5 ТэВ. После чего запланировано 3 месяца экспериментов с протонами с энергией 3.5 ТэВ (февраль-май), вывод на энергию 4-5 ТэВ и 5 месяцев экспериментов с энергией 4-5 ТэВ (июнь-октябрь). В конце года будет выключен протонный пучок, настройка работы с пучками ионов свинца и 1 месяц работы в режиме ион-ионных столкновений (ноябрь-декабрь).

Именно начиная с 3.5 ТэВ (при соударении двух протонов с такой энергией получается общая энергия взаимодействия 7 ТэВ) учёные ожидают самых «вкусных» результатов проводимого эксперимента. А именно — расчитывают найти новые частицы участвующие в сильном взаимодействии (в том числе и бозон Хиггса). Ожидается, что первые данные, которые будут накоплены детекторами, будут обработаны не ранее середины 2010 года. Так что с открытиями новых частиц, которые нужно будет еще повторять и кропотливо проверять, придётся ждать ещё довольно долго.

Детали

Ботнет: «был твой — стал мой» или как ботнеты работают

Любопытная статья исследователей из университета «University of California Santa Barbara» PDF тут.

Исследователи перехватили контроль над ботнетом Torpig и ковыряли его 10 дней, пока владелцы не накатили обновление и не вернули управление себе. За это время стало понятно какого вида информацию он собирает, как он это делает, как защищается от перехвата управления и на какое поведение юзеров он рассчитан.

Авторы утверждают что Torpig это одно из самых продвинутых crimeware на сегодняшний день. У него самая лучшая программная архитектура, самые остроумные способы воровства данных, самая лучшая топология управления. Также Torpig наносит самый большой финансовый ущерб.
Оценка экономической эффективности $3-300 млн в год. Из упражнений спамеров, ботнеты похоже становятся серьёзным бизнесом.

Работает это всё следующим образом

Инсталяция

Взламываются популярные сайты и вставляется ссылка на специальный Javascript. Браузер скачивает и выполняет вредоносный Javascript, код в котором пытается залинковать свою dll в проводник (explorer.exe) используя известные уязвимости самого браузера, его плагинов или ActiveX объектов. Уязвимости перебираются по кругу пока одна из них не сработает. Дальше все операции выполняются как будто бы самим explorer.exe — вполне себе уважаемым процессом. Теперь загружается драйвер ядра, который подменяет оригинальный disk.sys на себя и затирает Master Boot Record (MBR)
Всё, шаг №1 выполнен — руткит Mebroot поставлен. Фокус тут в том, что после перезагрузки Mebroot выполняется самым первым, раньше чем загрузится OS и остается практически невидимым для антивирусного ПО.

Сам по себе Mebroot ничего плохого не делает, но это только платформа для других модулей которые и делают всяческие гадости. Итак, сразу после перезагрузки, каждые два часа Mebroot соединятеся с Mebroot C&C server и качает модули, например Torpig. Все соединения шифруются. Теперь и шаг №2 выполнен — Torpig установлен.

Torpig вставляет линкует свою dll в Service Control Manager (services.exe), проводник и 29 другиз популярных программ, например браузеры — IE, Firefox, Opera, FTP клиенты — CuteFTP, LeechFTP, e-mail клиенты — Thunderbird, Outlook, Eudora, мессенжеры — Skype, ICQ и такое прочее. Теперь Torpig может просматривать все данные которые эти программы манипулируют, выделять интересные куски, например логины с паролями. Каждые 20 минут Torpig закачивает всё что он там насобирал на сервер.

Топология управления

Тут интересное архитектурное решение, если адрес этого C&C сервера известен и более менее постоянен, то его легко можно отфильтровать тем самым нейтрализовав утечку данных. Исторически ботнеты это делают следующим образом — имя домена статично и не меняется, но очень часто меняются IP серверов куда замаплена DNS запись — это делает блокировку по IP не эффективной. Недостаток тут очевиден — статическое доменное имя. Mebroor и Torpig вместо этого генерируют доменные имена по специальному алгоритму, если домен заблокирован, не отвечает на запросы по ботнетовскому протоколу или не существует — генерируется следующее имя и так до победного конца.
Тут надо помнить, что регистрация домена стоит денег, но владельцам ботнета нет необходимости регистрировать все имена — достаточно удерживать контроль над хотя бы одним из доменов который сгенерируют боты. В этой силе кроется и слабость. Если алгоритм известен и предсказуем, нужно зарегистрировать следующий домен которому подчинится ботнет.

Именно так авторы статьи и перехватили управление. На 10 дней.

К чести оригинальных программистов ботнета следует заметить, что эти 10 дней не прошли даром. Они поменяли алгоритм генерации доменных имен, усложнили и внесли недетерменизм. Это сразу сделало перехват управления экономически не выгодным, например новая версия Conficker генерирует 50,000 доменных имен в день, если все их регистрировать это выливается в большие расходы — $91 — $182 млн.

Остроумные способы воровства данных

Тут старый добрый фишинг поднятый на новый уровень. В своём конфигурационном файле Torpig читает имена банковских сайтов. Если юзер посещает такой сайт, Torpig вставляет HTML форму прямо в страницу сайта. Это происходит прямо в DOM-e браузера. Определить это очень трудно — URL сайта верный, стили и картинки соблюдены, и даже SSL тут не спасёт. Все сертификаты верны. Пользователя просят якобы подтвердить свою личность введя номер карты, налоговый номер и прочее.

За 10 дней, Torpig наворовал 300ооо логинов с паролями, 1600 номеров кредитных карт и 8300 логинов в онлайн банкинг. Всего в забеге участвовало 180ооо инфицированных хостов.

Кросспост из блога http://www.katkovonline.com/2009/11/botnets/