Nejničivější virová záplava byla stále jen varováním

Epidemie červa MyDoom může být podle řady ukazatelů vyhodnocena jako rekordní. Tento virus pro sebe dokázal uzurpovat ...


Epidemie červa MyDoom může být podle řady ukazatelů vyhodnocena jako rekordní.
Tento virus pro sebe dokázal uzurpovat snad maximální podíl procházející pošty.
Možná se po internetu rozšířil v absolutně největším počtu kopií a do miliard
dolarů půjdou také způsobené škody. Přesto se však jedná stále o docela jemné
oťukávání před budoucím skutečně ničivým úderem.
MyDoom rozhodně nepředstavoval neškodnou hračku. Kromě zahlcení internetového
provozu a chystaného distribuovaného útoku s sebou nesl i další nebezpečí.
Otevíral zadní vrátka do infikovaného počítače a umožňoval svým tvůrcům další
manipulaci s ovládaným systémem (přeposílání pošty spammerů, download a
spouštění dalších souborů, pátrání po nastavení platebního systému PayPal
atd.). Útočník mohl získat nad napadenými počítači téměř plnou kontrolu.
Na druhé straně ale platí, že MyDoom měl v sobě alespoň ve svých prvních dvou
variantách zabudovaná současně i značná omezení. Distribuovaný útok na servery
SCO měl začít až 1. února, tedy dávno poté, co epidemie dosáhla maxima. K 12.
únoru měl navíc červ ukončit veškeré své aktivity, tudíž kralování první
varianty tohoto kódu v žebřících virových hitparád nebude mít dlouhého trvání.
A především MyDoom nebyl destruktivní v tom smyslu, že by uživatelům mazal data.
Rozhodně opět platí, že škody způsobené virem MyDoom nebudou zdaleka tak
tragické, jak by být mohly. Lze však předpokládat, že uživatelé internetu osudu
stejně neujdou. Není důvod si myslet, že nenadejde chvíle viru napsaného s
cílem co největší destrukce; přitom se může, ale rozhodně nemusí jednat o čin
nějak svázaný s terorismem nikoliv kybernetickým.

Boj o rekordy
Jaké nakonec bylo celkové rozšíření viru? Červ MyDoom měl velmi razantní
(chtělo by se říct impozantní) nástup, v době uzávěrky tohoto Computerworldu
však ještě nebylo jisté, zda nakonec dosáhne absolutního rekordu.
Pokud bychom brali jako měřítko "úspěšnosti" červa podíl infikovaných e-mailů,
pak největším konkurentem pro MyDoom představuje Sobig.F. Loni v srpnu dokázal
Sobig nakazit každý šestnáctý e-mail. Podle údajů Symantecu by rozšíření obou
těchto virů nakonec mohlo být srovnatelné, jiné odhady favorizovaly MyDoom a
hovoří o tom, že celosvětově se vyskytoval v každém dvanáctém mailu. Výsledky
samozřejmě závisejí na tom, pro jak dlouhé období budeme výskyt viru
přepočítávat.
Rozšíření epidemie lze posuzovat také podle celkového počtu odchycených kopií
toho kterého exempláře. Zde prozatím kraluje Sobig.F s 33 miliony kusy, Klez.H
je zpět s velkým odstupem (okolo 8 milionů). MyDoom se zřejmě umístí někde mezi
nimi.
Dalším možným kritériem pro posuzování jednotlivých virových infekcí jsou
celkové způsobené škody. Podle odhadů Microsoftu, Computer Economics Associates
a Computer Security Institute vede zatím CodeRed ze srpna 2001, jehož ničivé
účinky byly vyčísleny na 2,6 miliardy dolarů. Ve chvíli naší uzávěrky se škoda
MyDoom odhadovala v řádu miliard, přesnější číslo však nebylo známo.
Taktéž ve chvíli uzávěrky této Cover Story nebylo jasné, jak moc se rozšíří
zmutovaná verze MyDoom.B. Tento virus používal podobné způsoby šíření jako
původní červ, tedy kromě pošty také síť Kazaa. Cílem distribuovaného útoku
neměl být v tomto případě server SCO, ale stránky Microsoftu. Atak byl
naplánován na 3. února.

Sociální inženýrství
Na epidemii červa MyDoom zaujal experty i způsob jeho šíření. Nesnažil se
příjemce pošty nalákat na sexy obrázek, ale skryl se za neosobní chybovou
hlášku o nemožnosti zobrazit došlý e-mail v příslušném kódování. ("The message
cannot be represented in 7-bit ASCII encoding and has been sent as a binary
attachment." Nebo "Mail transaction failed. Partial message is available.")
I tento "suchý" a na první pohled zcela neatraktivní způsob nakonec stačil řadě
uživatelů poplést hlavu. Lze snad říci, že použitý trik byl na celém červu tím
jediným originálním.

Včasné reakce
Prakticky všichni dodavatelé antivirového softwaru na českém trhu reagovali už
v průběhu prvního dne infekce, aktualizovali své definice a poskytli návody i
nástroje k odstranění červa. Posléze někteří z nich ještě zvýšili známku
hodnotící nebezpečnost/hrozbu, kterou MyDoom představuje.
Konkrétní kroky a vyjádření jednotlivých dodavatelů bezpečnostních řešení v
této Cover Story neuvádíme. Dalo by se říci, že je to prostě jejich byznys.
Potěšitelné však je, že do boje s virem se ihned pustili i provozovatelé
českých webových freemailů, kteří své služby nabízejí uživatelům zcela zdarma.
Velmi rychlá reakce přišla z Atlasu, Centra i Seznamu. Podle vyjádření
provozovatelů freemailu Centra lze MyDoom pokládat přinejmenším z jejich
hlediska za dosud nejmasivnější virový útok v celé historii českého internetu.
Systém MujMail Atlasu odstranil během prvních 24 hodin nákazy více než 1 milion
zavirovaných e-mailů. Na e-mailu Seznamu pak přispěla krizová situace i k
výběru a okamžité instalaci nového antivirového systému (stal se jím Nod32
společnosti Eset).

Vývoj nebezpečných kódů
V této Cover Story jsme již předpověděli, že skutečně ničivý virový útok
světový internet teprve čeká. Jaké další události můžeme v této oblasti
očekávat?
Společnost Trend Micro zveřejnila rozsáhlou zprávu, v níž se pokoušela zmapovat
vývoj, kterým prošly v uplynulých letech počítačové viry a další škodlivé kódy.
Podobné údaje a analýzy publikoval také Virus Bulletin Magazine.
Ze zveřejněných zpráv a doporučení vyplývá, že je nedostatečné filtrovat
e-maily pouze podle typu přílohy. Škodlivé kódy se mohou internetem šířit v
komprimované a nikoli přímo spustitelné podobě (MyDoom např. zazipovaný),
naopak striktní "zahazování" příloh určitého typu může řadě uživatelů zbytečně
komplikovat život. Řada škůdců se také váže na chyby v určitém softwaru a není
závislá na spustitelných souborech např. může jít o škodlivé skripty, které se
v případě HTML mailerů mohou aktivovat pouhým spuštěním, nebo o URL, na něž
stačí v případě nezáplatovaného prohlížeče pouze kliknout.
Popularita skriptů a makrovirů nicméně spíše klesá a tvůrci virů mají nejraději
spustitelné soubory. Sociální inženýrství tedy dále vytlačuje hledání
bezpečnostních děr v konkrétním softwaru. Kód využívající určitou díru lze
snáze automaticky rozpoznat, známou chybu je navíc možné účinně zalátat. Boj s
lidskou hloupostí je naproti tomu podstatně obtížnější nejen Kevin Mitnick by
mohl vyprávět.
Namísto "klasických" virů z DOSové éry jsou dnes již téměř všechny útoky vedeny
kódy s charakteristikou červů. Kromě elektronické pošty se k šíření virů
používá také chatových služeb typu IRC. Pro tento rok se očekává výrazný nárůst
distribuce škodlivého kódu přes P2P sítě a přes nezabezpečené webové servery
(MyDoom využíval síť Kazaa).
Odhalování nových virů je stále obtížnější, protože jejich tvůrci přidávají do
kódů vedle samokomprese, šifrování a ochrany proti trasování také další vrstvy,
které komplikují analýzu a zpomalují adekvátní reakci. Stále častěji se
objevuje také kód, jenž brání ve fungování antivirových programů, personálních
firewallů a systémů pro boj s trojskými koni. MyDoom např. upravil DNS záznamy
tak, aby uživateli zabránil v přístupu na stránky antivirových firem přitom
mohla být znemožněna i on-line aktualizace používaných virových definic.
Viry se samy kontrolují a dokážou se znovu aktivovat při každém zapnutí
počítače. Tvůrci vybavují viry vlastním SMTP serverem a škodlivé kódy pak
nejsou závislé na rozhraní MAPI, které využívají např. e-mailové produkty
Microsoftu. Červ MyDoom byl pak kromě SMTP serveru vybaven i DNS a proxy
serverem.

Výběr softwaru
Analýza společnosti Trend Micro uzavírá, že systémoví správci by měli být
opatrní při výběru softwaru do podnikových sítí. Významným kritériem by měla
být schopnost dodavatele včas poskytnout opravy chyb a zajistit nezbytnou
úroveň zákaznické podpory. Součástí dodávky by neměla být jen licence, ale také
závazek pravidelné aktualizace. Správci sítí by se také měli vybavit nástroji,
které jim umožní rychle odpojit celé segmenty sítě. Je však třeba počítat s
tím, že náklady spojené s obnovou sítě a náklady na opravu škod budou i nadále
představovat významnou položku v podnikových rozpočtech.
Provozovatel serveru Viry.cz Igor Hák pak mezi nejvýznamnější současné trendy
uvádí nárůst spywaru a menší zájem o využití softwarových exploitů oproti
sociálnímu inženýrství. Antivirové společnosti reagují na nové viry tak, že
stále více z nich do svých systémů implementuje i nějaký firewall. Obě
bezpečnostní technologie tedy postupně splývají v integrované balíky.

Jak vypadal virus MyDoom
V předmětu e-mailu se vyskytovala nejčastěji slova "test" či "status"
Virus sídlil nejčastěji ve spustitelném souboru s koncovkou exe, scr a pif; v
programech Microsoftu se často maskoval za ikonkou označující textový soubor,
někdy se také sám balil do archivu zip
Po kliknutí na soubor se v Poznámkovém bloku otevřel náhodný nesmyslný text.
Virus si současně vytvořil dva soubory taskmon.exe a shimgapi.dll. Obsah
registrů Windows byl upraven tak, aby se při restartu operačního systému
automaticky aktivoval i program taskmon.exe.
Spuštěný virus sám sebe rozesílal podle adresáře napadeného počítače; po
adresách pátral na infikovaném počítači mnoha důmyslnými způsoby lHlavička
odesilatele byla zfalšována
I lidé, kteří nebyli zasaženi virem (např. díky automatickému odfiltrování),
pak měli poštu zaplavenou automaticky generovanými "odpověďmi" ve stylu "zaslal
jste nám dokument obsahující virus"
Nakažené počítače měly dále spolupracovat na masivním útoku typu DDoS, jehož
cílem měly být servery SCO či Microsoftu
Virus se také snažil nakopírovat do sdílené složky klientského programu P2P
sítě Kazaa; zde se nejčastěji tvářil jako kopie kancelářského balíku Microsoft
Office XP

Sociotechnika podle Kevina Mitnicka
Slabým místem a hlavním prostředkem útoku nemají být v příštích letech
softwarové chyby; narušitelé se zaměří spíše na lidský faktor. Soubory zasílané
jako příloha e-mailu nejsou samozřejmě jedinou možností. Pojďme se stručně
podívat, jaké další sociotechniky uvádí známý "hacker" Kevin Mitnick ve své
knize Umění klamu (u příležitosti Mitnickovy návštěvy Prahy loni v listopadu se
text dočkal i českého vydání).
Mitnick samozřejmě během své kariéry využíval různé hackerské utility, anonymní
FTP servery na Ukrajině či čínské webové freemaily, dokázal taktéž hádat heslo
podle slovníkového útoku. V jeho arzenálu nechyběly podvržené e-mailové adresy
maskované za oficiální (ve stylu microsoft@yahoo.com) a stejně tak webové
stránky napodobující své vzory (typu aol2.com). Rozhodující Mitnickovou zbraní
však bylo sociální inženýrství. V porovnání s jeho metodami jsou tvůrci
počítačových virů ovšem spíše zločinci v rukavičkách. Mitnick se nezdráhal
prohrabávat odpadky, volit zvlášť luxusní kravatu, která by ošidila ostrahu
objektu, padělat vizitky či identifikační doklady nebo prostě vylomit zámek.
Hrdinou jeho knihy Umění klamu rozhodně není nemytý root-asociál, ale spíše
štramák s komunikačními dovednostmi, modernější verze starosvětského sňatkového
podvodníka.
Mitnickovy rady na zlepšení bezpečnostní situace ve firmách jsou bohužel trochu
jednotvárné a v praxi nepříliš použitelné neustálá školení, porady,
bezpečnostní zasedání, ba dokonce návrhy na bezplatné rozdávání karamelek,
jejichž obal bude popsán návody na zajištění bezpečnosti (to už připomíná spíše
frašku ve stylu komiksu Dilbert, Mitnick to však podle všeho myslí vážně).

Stalo se po uzávěrce CW
Za tvůrce viru MyDoom je vypsána další odměna po SCO nabízí 250 000 dolarů i
Microsoft. Tato částka se však vztahuje pouze na autora "zmutované" varianty
MyDoom.b. Není přitom jasné, zda jsou obě varianty dílem jediného člověka či
skupiny. Kromě velmi vágní "ruské stopy" se nezdá, že by pátrání po tvůrci viru
nějak pokročilo.
Webové stránky SCO 1.-2. 2. nefungují. Servery Microsoftu běží a všeobecně se
předpokládá, že firma distribuovaný útok zvládne.
Převládá přesvědčení, že MyDoom byl opravdu nejrychleji se šířícím červem; k
témuž závěru dospěli kolegové z amerického Computerworldu. Agenturní
zpravodajství však po 30. 1. 2004 postupně ztrácí o celou kauzu zájem. I v
případě virů platí, že mediální přízeň bývá vrtkavá.
Časopis New Scientist popisuje na svých webových stránkách ideu softwaru, který
by nejen reagoval na nejnovější exempláře škodlivých kódů, ale dokonce jejich
aktivitu umožnil předvídat. Zkušební verzi systému chystá zatím americká firma
Icosystems v rámci zakázky armády USA.
Linus Torvalds se distancoval od tvorby ničivých kódů. Nevole, kterou budí
právní postup společnosti SCO proti Linuxu, by zastánce open source neměla
svádět k provádění ani schvalování činů tohoto druhu. Ve stejném duchu se pro
server News Forge vyjádřil i další advokát open source Bruce Perens. Podle něj
není žádným řešením podnikat útoky proti webu SCO; Perens navíc zdůraznil, že v
rámci open source projektů byly vyvíjeny i takové technologie stojící "na druhé
straně barikády", jako je třeba antispamový software SpamAssassin.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.