E-mailová brána funguje až příliš dobře

Po zablokování záplavy e-mailů obsahujících virus MyDoom jsou uživatelé zavaleni varovnými hlášeními, která způs...


Po zablokování záplavy e-mailů obsahujících virus MyDoom jsou uživatelé
zavaleni varovnými hlášeními, která způsobí všeobecnou paniku.
Kdykoliv se objeví nový virus, obávám se, že bude chytrý, elegantní a stane se
hlavní událostí nočních zpráv. Taková kombinace znamená, že všichni naši
manažeři budou chtít vědět, co se s ním děje u nás ve firmě, a to ještě dříve,
než to víme my sami. Už se to jednou stalo v případě červa SQL Slammer. Ale u
nedávné epidemie viru MyDoom se o publicitu postaraly hlavně naše vlastní
ochranné systémy, které způsobily paniku v celé firmě.
Pokud je virus znám pod mnoha jmény, víte, že se šíří rychle. MyDoom se šířil
tak rychle, že antivirové společnosti neměly čas na vzájemnou komunikaci, takže
jej paralelně analyzovaly a zveřejňovaly opravy. Virus byl znám také pod názvy
Mimail.R a Novarg, posléze se definitivně uchytilo jméno MyDoom.A.
Ještě několik hodin po začátku útoku jsem setrvával v blažené nevědomosti. Když
se náš tým v prvním časovém pásmu problémem zabýval, tvrdě jsem spal. Jakmile
jsem ale zapnul svůj komunikátor BlackBerry, věděl jsem, že se něco děje, neboť
přetékal novými e-maily.

Obyčejný virus
Virus MyDoom není nijak zvlášť chytrý. Šíří se rozesíláním spustitelných
souborů prostřednictvím e-mailu, který žádá adresáta o spuštění přílohy.
Jakmile tak adresát učiní, virus se rozešle na všechny adresy v jeho e-mailovém
adresáři. Zamezí také v přístupu k různým webovým stránkám, které byste mohli
využít při jeho odstranění, a s využitím programu pro sdílení Kazaa infikuje
další soubory.
Jedinou chytrou taktikou je, že předstírá chybové hlášení generované systémem.
Administrátoři takové zprávy jako skupinu nemohou blokovat, neboť legitimní
zprávy obsahují důležité informace.
MyDoom využívá k šíření běžné soubory EXE, SCR nebo PIF a někdy je ukryt uvnitř
souboru ZIP. Očekával bych, že podobný druh souborů zadrží libovolná firemní
e-mailová brána. Učinila tak i naše, a tak jsme předpokládali, že se bude
jednat pouze o další bouřku, kterou snadno přečkáme. Nestalo se tak.

Přátelská palba
Jsme součástí širší skupiny společností poskytujících finanční služby. Jak už
jsem zmínil, jedna z našich sesterských firem utrpěla vážnou infekci, zatímco
jsem spal.
Vzhledem k velikosti e-mailových úložišť každého uživatele a nespočtu míst, kam
se infikovaný e-mail může ukrýt, se mohou problémy s viry vyskytnout i dlouho
po tom, co si myslíme, že máme záležitost pod kontrolou. Kdosi v druhé firmě
evidentně přidal další cestu, kudy byly e-maily doručovány interním uživatelům,
čímž obešel běžné antivirové kontroly.
Jakmile uživatelé zprávy otevřeli, virus se rozeslal na adresy lidí v jejich
síti, do dalších sítí spřátelených firem a také k nám. Poté se pochopitelně
našli i někteří uživatelé v další síti, kteří e-mail otevřeli, čímž způsobili
další kaskádu infekcí.
Nás naštěstí zachránila paranoia mého předchůdce, který nastavil doručování
veškeré pošty, dokonce i ze sesterských firem, přes naši antivirovou bránu.
Záplava zpráv na internetu ukazovala, že se jedná o virus, který se šíří vůbec
nejrychleji v historii za prvních 12 hodin bylo infikováno 1,2 milionu
počítačů. Přesto na naší síti nebyl infikován ani jeden.
Ale vyváznout beze šrámů se nám nepodařilo. Jak brány zachytávaly jednotlivé
infikované e-maily, vytvářely varovná hlášení a rozesílaly je zamýšleným
adresátům. Děláme to proto, že některé souborové nebo makro viry infikují
legitimní odeslané soubory. Pokud zachytíme zprávu, vyrozumíme o tom uživatele,
aby mohl odesilatele varovat. Jinak by odesilatel mohl odesílat zprávu stále
dokola.
Při milionech zpráv, které poletovaly po internetu, přicházely do naší sítě
denně desítky tisíc infikovaných e-mailů, a jednotliví uživatelé dostávali
denně stovky upozornění.
Bylo by lepší upozorňovat uživatele, že zpráva byla zablokována, pouze v
případech, že předpokládaný virus infikuje skutečné soubory. Bohužel, ačkoliv
viry jako MyDoom neinfikují reálná data uživatelů, nemůžeme vypnout varovná
hlášení pouze pro jeden virus.

Přijatá opatření
Na našem intranetu jsme zveřejnili varování, které říkalo, že podobné zprávy je
možno ignorovat, přesto jsme se stali cílem záplavy telefonátů. Všichni lidé
chtěli vědět tu samou věc: "Tahle zpráva, kterou jste poslali, říká, že jste
virus zastavili, znamená to, že jste virus zastavili?" Jakmile jsme vyřídili
jeden hovor, telefon zazvonil znovu.
Přestože zpráva byla srozumitelná, uživatelé měli obavy. A to vše vlastně jen
kvůli celé té negativní publicitě, které se viru dostalo ze strany našich
serverů. Jak den ubíhal, stále další a další lidé po celém světě přicházeli do
práce, viděli stovky varovných hlášení z e-mailové antivirové brány a okamžitě
nám volali.
Brzy jsme nebyli schopni zvládnout takový objem hovorů, a neměli jsme k
dispozici ani automatizovaný systém, který by odpovídal na běžné dotazy. Hovory
stále přicházely. "Ale já toho člověka, co mi tu zprávu poslal, neznám," říkali
uživatelé. "To je v pořádku, e-mailové adresy odesilatele a adresáta jsou
podvrženy virem," opakovali jsme stále dokola.
Nakonec nás virus nezahubil a naše ochranné mechanismy nás zachránily před
infekcí. Avšak varovná hlášení, která jsou v běžných případech užitečná, nás
odsoudila k tomu, že jsme museli všechno zdlouhavě vysvětlovat všem našim
uživatelům.
Nezbývá tedy, než se vrátit zpět a přezkoumat způsob, jakým generujeme varovné
e-maily. Nechceme, aby naši zaměstnanci přišli o důležitá varování, ale nemáme
ani zdroje, ani trpělivost k tomu, abychom tato hlášení vysvětlovali stovkám
nebo tisícům uživatelů, kteří se nám dovolají. A ani naši uživatelé nechtějí
být obtěžováni bezcennými e-maily, které jen vyvolávají neopodstatněné obavy.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.