Antiviry v protiatomovém bunkru

Uprostřed polí asi 150 km od Londýna je ukrytý protiatomový kryt, vybudovaný v době studené války a dokončený v roc...


Uprostřed polí asi 150 km od Londýna je ukrytý protiatomový kryt, vybudovaný v
době studené války a dokončený v roce 1990. Dnes v něm sídlí špičkově chráněné
bezpečnostní operační centrum společnosti Symantec Security Operations Center
(SOC). Jeho adresa zní Hines Meadow, St. Cloud Way Maidenhead, Berkshire SL6
8XB.
Krátce po západu slunce se spolu s třemi kolegy novináři z Polska a Maďarska
vydávám na malou exkurzi po té části podzemního krytu, která má nejnižší
bezpečnostní označení.
Naším průvodcem se na pár hodin stává Jeff Ogden, ředitel divize bezpečnostních
služeb společnosti Symantec. Ten hrdě představuje práci centra, které je
zaměřeno na monitoring všech elektronických útoků, jejich zaznamenávání a
datamining: "V průběhu běžného měsíce registrujeme dva vážné bezpečnostní útoky
a přes 9 milionů jednotlivých bezpečnostních logů."
Z nejrůznějších zdrojů prostřednictvím internetu do operačního centra SOC
docházejí každou vteřinu bezpečnostní hlášení. Projdou přes firewall a uloží se
do 4,5terabajtové relační databáze. Z ní čerpá analytické oddělení SOC, které
odhaluje nové bezpečnostní útoky. Existuje sice více podobných bezpečnostních
center, ale Symantec patří k pionýrům v této oblasti. Dle Jeffa Ogdena na takto
široké bázi nikdo z konkurentů své služby nenabízí.

Kdo upeče patche
V červenci loňského roku se objevila bezpečnostní díra v implemantaci OpenSSL.
Během krátké doby ji našla analytická skupina SOC. Během následujících 4 měsíců
se 30 procent rizikových serverů povedlo opatchovat. Smutným faktem však je, že
dalších 70 procent linuxových serverů zůstává nadále liknavostí jejich správců
nezabezpečených.
SOC upozorňuje své zákazníky, z řad velkých firem a státních institucí na celém
světě, na potenciální nebezpečí. Ještě před opravdovým útokem se včasným
nasazením patche daří předcházet rizikům a následně velkým škodám.
Na databázi umístěné v podzemním datovém centru SOC probíhá kontinuální
datamining. Díky progresivnímu modelu prohledávání lze objevit i zcela nečekané
kombinace bezpečnostních rizik.
Zákaznický portál provozovaný SOC informuje uživatele o potenciálním nebezpečí
a krocích, které vedou k jeho odvrácení. Zákazníci využívající služeb SOC mohou
na portálu díky výkonným vyhledávacím nástrojům najít okamžitě i řešení celé
řady již dříve vyřešených bezpečnostních problémů.
Analytici pracující ve stísněných prostorách bunkru SOC používají dva hlavní
nástroje. Jedním je okno monitorovací aplikace, ve kterém se objevují
jednotlivé sledované události. Každý sledovaný útok je možné krok za krokem
pozorovat a analyzovat případné možnosti obrany. Využívá se k tomu historická
databáze, která dokáže upozorňovat na všechny podobné průběhy útoku. Analytici
díky tomu mohou lépe předpovídat další vývoj. Analytický nástroj dokáže navíc
sestavit komplexní profil útočníka, takže jeho útok lze nejen odvrátit, ale
navíc lze útočníka často přímo odhalit.

Hitparáda hackerů
Na konci každého měsíce analytici v SOC sestavují žebříček nejaktivnějších
útočníků i s údaji, ze kterých jsou zemí. "Dokážeme najít nejaktivnějšího
útočníka a posbírat o něm celou řadu informací," říká Jeff Ogden a dodává: "Lze
získat nejen jeho IP adresu a popis veškerých aktivit, ale i jeho obvyklé cíle
a jakých bezpečnostní děr nejčastěji využívá."
Analytik v SOC tak může zákazníkům, napadeným určitým útočníkem dobře poradit,
jak se na útok připravit.
Mezinárodní centra SOC podobné tomu britskému můžete najít ve Spojených
státech, Japonsku, Německu a Austrálii. Mimo Velkou Británii ovšem ostatní
centra SOC sídlí v běžných budovách, ačkoli v texaském San Antoniu jde o přísně
střežený objekt. Jeff Ogden to komentuje: "Vždy hledáme budovy, které jsou
daleko od všech potenciálních teroristických cílů a také daleko od všech sídel
IT společností."
V každém operačním centru SOC se pracuje na směny. Celkem vždy 50 lidí. Sídla
SOC musejí mít nezávislý zdroj elektřiny, vody atd. Bunkr nedaleko Londýna je
ideální, může dokonce poskytovat opravdu velmi zabezpečený hosting atd. Má
navíc nejmodernější systém nepřerušeného napájení UPS a vyspělou síťovou
infrastrukturu. Počet jeho zákazníků přesahuje 50. Jde o mix firem z 9 různých
zemí, pro které SOC dělá monitoring a expertizu problémů.
Jeff Ogden vysvětluje: "Nimda či Code Red jsou hrozbou, která může narušit
kontinuitu firemních operací, což pro některé firmy může být kritické. Ještě
dnes zasíláme svým zákazníkům zprávu, že na některé z koncových stanic mají
Nimdu. Moji kolegové z analytického týmu SOC našim zákazníkům nabízejí výběr
preventivních nástrojů, říkají jim, kdo na ně útočí a jak jsou tyto útoky
nebezpečné pro jejich infrastrukturu. Pomáháme zákazníkům předcházet útokům,
řešit je i vyhodnocovat."
Velkým firmám navíc SOC pomáhá tvořit bezpečnostní strategie a ukazuje
potenciální hrozby. Dle Ogdena zákazníkům garantují odhalení útoku do 15 minut:
"V reálném čase můžeme sledovat šíření viru a často dokonce najít místo zdroje.
Je to sice velmi složité, ale s přibývajícími daty v naší databázi dokážeme
analýzy stále zpřesňovat."
V době, než SOC najde řešení problému, může SOC například na určitý čas
přesměrovat datové toky do firmy na jiný firewall či danou firmu dálkově zcela
odpojit od internetu. Zákazníci si v mnoha zemích světa mohou prostřednictvím
partnerů SOC objednat monitoring, monitoring a management či komplexní
management.
Mimo práce pro jednotlivé klienty je úkolem SOC i sběr a vyhodnocování
nejrůznějších dat z internetu. "40 000 sběrných bodů máme i mimo naše
zákazníky. Úzce totiž spolupracuje s bezpečnostní komisí vlády Spojených států,
které dodáváme celou řadu analýz dění na internetu," říká Ogden.

Není bunkr jako bunkr
V době naší návštěvy pracuje v protiatomovém krytu SOC celkem 12 lidí sedících
v malých týmech u duálních LCD displejů. Návštěvám je určena jedna malá
místnost, sloužící jinak k poradám pracovních týmů. Od hlavního pracovního sálu
je oddělena speciálním skleněným oknem, které lze změnit na neprůhlednou
projekční plochu. Právě teď je okno průhledné, proto lze vidět, jak jeden tým
pracuje na skenování všech datových toků jednoho z klientů, který právě provádí
bezpečnostní cvičení. Náš průvodce komentuje jejich práci: "Máme i zákazníky na
dedikovaném ATM, kteří nás přímo pouštějí za svůj firewall, abychom jim
pomáhali spravovat jejich síť."
Na obřím centrálním plazmovém monitoru je v tuto chvíli vidět vizuální podoba
sítě společnosti Xerox.

Kdo pracuje v SOC
Hlavním cílem britského operačního centra SOC je monitoring a analýza problémů,
což vyžaduje špičkové odborníky. Britské SOC jich zaměstnává 100, a to mužů i
žen. Jsou to experti na detekci útoků, bezpečnostní inženýři i fanatičtí lovci
virů. Jejich vzdělání sahá od genetiky, lékařství až po historii. Tajemství
jejich schopností nám odkryl Jeff Ogden: "Znalosti, které mají naši
zaměstnanci, získají až u nás. Jsou to absolventi vysokých škol, kteří
pokračují ve specializovaném studiu. Všichni se stále účastní on-line školení
předních bezpečnostních společností, jako jsou např. Cisco či Checkpoint.
Všichni musejí perfektně rozumět firewallům a mít několik bezpečnostních
školení, ještě než se k nám hlásí. Následuje čtyřměsíční školení u nás. Jeden z
našich nejlepších analytiků dokáže během 43 vteřin najít problém, zanalyzovat
jej a do dvou hodin firmu zcela ochránit."
Internet nikdy nespí. Dovolit si to nemohou ani správci klientských
bezpečnostních systémů. Znalostní databáze z britského SOC je tedy přímo
propojena s washingtonskou databází a ta s japonskou. Správu sítí jednotlivých
firem neustále cyklicky přebírají centra na různých kontinentech, tak aby
zákazník SOC mohl dle posunu časových pásem být stále dobře obsluhován. Síť, po
které spolu komunikují jednotlivá světová centra SOC, se jmenuje SOCNET a
údajně patří k nejbezpečnějším na světě.

Víme kdo, víme co
V měsíčních analýzách sestavovaných v SOC lze najít nejčastější cíle útoků,
jejich typický průběh i zdroj.
Sestavuje se i žebříček deseti nejčastějších zemí původu bezpečnostních útoků
(např. i dle počtu zdrojů útoků v přepočtu na počet obyvatel dané země).
Americké centrum SOC využívá společnost Symantec k monitoringu sama sebe.
Jelikož patří k předním dodavatelům bezpečnostních řešení a služeb, objevují se
dle Ogdena i časté útoky proti ní. I z tohoto důvodu spolupracuje rovněž s
konkurenčními bezpečnostními společnostmi, např. při výměně informací o nových
virech.

Trochu statistiky
Zaměstnanci SOC měsíčně provedou analýzu více než 150 000 souborů. Na základě
odhalených virů okamžitě sestavují jejich definice pro aktualizaci antivirových
programů. Dnes se odhaduje, že na internetu je možné chytit více než 65 000
virů. Ovšem 250 až 350 virů je tzv. "in the wild". E-mailoví červi stále
převažují. Všechny viry, tedy správněji červi, z pomyslného virového Top 10
dnešních dnů, jsou pro platformu Windows. Nejrozšířenější a současně
nejnebezpečnější jsou na prvním místě W32.KlezH@mm a na druhém místě
W32.Bugbear@mm.

Hackeři a ti ostatní
"Venku", tak Jeff Ogden označuje svět nahoře nad vrstvami betonu a olova,
"existují dva pro nás nepřátelské tábory autoři virů a hackeři. Každý z nich
přemýšlí jiným způsobem."
V poslední době se však objevují viry a červi, kteří využívají slabin systémů,
dříve využívaných převážně hackery pro průnik do cizích počítačů.
Pomocí analytických nástrojů používaných v operačních centrech SOC lze dnes
celý internet proskenovat za 20 minut. Autoři virů však dobře vědí, že není
nutné "shodit" všechna PC na internetu. Stačí "shodit" jen 4 hlavní DNS servery
a celý báječný internet zkolabuje.
A jak fungují dnešní viry? Podívejme se např. na Code Red. Ten nejprve hledá
neopatchované IIS servery. Následně ukládá svůj kód do počítačů použitím chyby
přetečení bufferu a otevře celé PC, aby jej bylo možné dosáhnout z webu. Code
Red si na své konto připsal 360 000 infikovaných počítačů v průběhu pouhých 14
hodin. Infekce se šířila rychlostí 2 000 nově nakažených PC za minutu. Nejvíce
jich bylo ve Spojených státech, skoro žádný však v Asii. Důvod byl prozaický
jednou vlastností viru byl odpor k čínské verzi Windows. Co nám chtěl autor asi
říci?
Dalším zajímavým červem je Nimda. Tento virus prohledává IIS webové servery,
které chce infikovat. Používá přitom metodu "input validation". První infekce
byla zaznamenána ve 12:00 grenwichského času v září 2001. Již v 19:00 bylo
infikováno 160 000 počítačů.

Viry blízké budoucnosti
Budoucnost je ve virech používajících kombinované účinky. Víme, že budou
využívat internetovou infrastrukturu zejména sítí P2P. Hacker může jediným
paketem shodit celou P2P síť. Dalším oblíbeným terčem virů nové generace bude
instant messaging. Díky vizi platformy .Net anytime, anywhere, by any device
nás viry mohou zasáhnout kdykoli, kdekoli a na libovolném zařízení.
Nejčastějšími autory virů začátkem 90 let byli programátoři z
postkomunistických zemí, poté nadšenci z Asie. Dnes je stav celkem vyrovnán,
takže lze jen těžko předpovídat, kdo bude patřit v budoucnosti k nejaktivnějším
virovým tvůrcům.

Kam se útočí
V den naší návštěvy operačního centra SOC ukazovala statistika z 9 hodin
dopoledne, že 43 % všech útoků směřovalo na servery ve Spojených státech, 6 % v
Kanadě, 4 % ve Velké Británii, 3 % v Holandsku a 2 % útoků mířila na servery v
Austrálii.

Kdo vás ochrání
Na jedné straně stojí autoři virů a hackeři, na druhé pak uživatelé a
společnosti, které se zabývají ochranou před jejich útoky. Kromě služeb, které
poskytuje např. námi navštívené středisko SOC, stojí na straně obránců i
množství bezpečnostního softwaru. I ten se stále vyvíjí.
Jednoduchým trikem byl vylepšen Symantec Norton Antivirus 2003. Jakmile
prostřednictvím e-mailu přijde zcela nový červ a dostane se do vašeho počítače,
antivirus zjistí, že se chce hned zase odeslat pryč. Zeptá se tedy uživatele,
zda je to v pořádku, a pokud ne, tak namísto odeslání na cizí adresu pošle
virus přímo do operačního centra SOC.
Jeff Ogden se ovšem domnívá, že antiviry možná jednou nebudou vůbec potřeba:
"Jakmile se začnou digitálně podepisovat soubory, odpadne mnoho virových
problémů."
Společnost Symantec nabízí také Symantec Security Management System komplexní
sadu správních aplikací, která mj. umožňuje získat na jedné konzoli celkový
přehled o stavu bezpečnosti ve firmě v reálném čase. Tím usnadňuje rychlou a
efektivní reakci na aktuální bezpečnostní výstrahy.
Produkt se skládá ze tří hlavních komponent: Symantec Event Managerů
(konsolidují data o práci antivirů a firewallů z ochranných řešení společnosti
Symantec i jiných dodavatelů), Symantec Incident Manageru (identifikuje,
konsoliduje a koreluje různé bezpečnostní události) a Symantec ESM (usnadňuje
vytváření bezpečnostních zásad a spravování jejich vzájemné kompatibility z
jednoho místa).

Projekt Seeker
Seeker je program fungující na bázi vyhledávače Google. Automaticky prohledává
a skenuje všechny hackerské stránky a diskuzní fóra. Jeho částí je tzv. "bot",
který automaticky poslouchá v diskusní skupině a zapisuje si všechny logy. Když
se někde objeví nový virový soubor ke sdílení, tak ho okamžitě stáhne a pošle
přímo do analytického centra SOC v irském Dublinu. Jeff Ogden ze SOC ovšem
upozorňuje, že zaměstnanci SOC se nesmějí na webu stýkat s hackery to patří k
základní etiketě.

Ogdenův pohled do virové historie
Prvním virem na světě byl "bootovací" virus pro operační systém DOS. 55 000
virů, což je většina dnes známých virů, je určeno právě pro DOS.
První souborový virus byl objeven v Německu a jmenoval se Virdem. Prvním červem
byl christmass.exe. V roce 1992 prudce poklesl počet dosových virů, protože
Microsoft uvedl Windows 3.1. V roce 1997 skončily podobně i bootovací viry,
Microsoft tehdy na trh uvedl Windows NT.
Úspěch e-mailového červa má na svědomí sociální inženýrství. VBS.Loveletter pro
své šíření potřebuje lidské kliknutí. Kdo z nás by si nepřál dostat milostný
dopis?
Narození a smrt makrovirů proběhly v krátkém období Microsoft prostě odstranil
automatické spuštění maker z nových verzí svého kancelářského balíku Microsoft
Office. Stejně tak vyskočil a opět poklesl počet skriptových virů. Je to tím,
že mnoho firem blokuje u příchozích e-mailů všechny VBS přílohy.
Jediný typ virů, jejichž množství stále rychle roste, jsou viry pro operační
systém Windows. Jeff Ogden nám radí: "Jediným způsobem, jak jim dnes předejít,
je nepoužívat Windows."
Kombinované účinky se u virů vyskytují již od roku 1988, tak proč se po více
než dekádě v roce 2001 objevil Code Red? Je to jednoduché. Lidé mají v poslední
době počítače již i v domácnosti připojené na rychlý internet. ŇDomácí
uživatelé obvykle nejsou systémovými administrátory a jejich domácnosti
nepřemýšlejí jako firmy. To, co firmy již v mnoha případech vyřešily zavedením
přísných bezpečnostních pravidel, domácnosti zatím vůbec neřeší.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.