Ochrana proti červům

Přestože je internetových červů jen málo, prakticky každý z nich působí významnou kalamitu. Nejde totiž o amatérs...


Přestože je internetových červů jen málo, prakticky každý z nich působí
významnou kalamitu. Nejde totiž o amatérské produkty, ale o velmi sofistikované
aplikace.

Bránit se proti červům zároveň je i není jednoduché. Jak to? Stačí se podívat
na způsob jejich šíření, abychom toto konstatování pochopili. Červi pro své
šíření využívají nejrůznějších bezpečnostních děr, chyb a nedostatků. Díky nim
se mohou do počítačů/serverů instalovat prakticky bez zásahu lidské ruky a dále
se šířit.
Z výše uvedeného vyplývá nutnost pravidelně odstraňovat známé nedostatky.
Problémem je ale skutečnost, že se velmi zkracuje průměrná doba od objevení
nějaké chyby do okamžiku, kdy je zneužita. Jinými slovy: zkracuje se také doba,
kterou mají správcové sítí i běžní uživatelé na reakci. (Dvě třetiny útoků jsou
vedeny proti chybám nalezeným v posledním roce tedy relativně novým.) Chyb je
objevováno čím dále více, a to nejen na úrovni operačních systémů, ale také na
úrovni jednotlivých aplikací. Navíc třeba v případě epidemií jako Blaster nebo
Sasser dochází k opakovaným vynuceným restartům počítače, takže v takovém
případě už ani není časově reálné aktualizace stáhnout.
Krom toho se chyby objevují nepravidelně, takže není možné (stejně jako třeba v
případě e-mailových červů nebo klasických virů) doporučit jakýkoliv interval
jejich odstraňování či zjišťování, zdali máme software v aktuální podobě. Á
propos, černý den internetu by mohl nastat v okamžiku, kdy by došlo ke zneužití
nějaké nově objevené (a tudíž nezdokumentované ani dosud neopravené)
bezpečnostní díry.

Být informován
Pro získání alespoň nejzákladnějšího přehledu o aktuálních bezpečnostních
hrozbách a vhodných záplatách je užitečné sledovat Microsoft Security Bulletin
(www. microsoft.com/technet/security/
current.aspx). Problematice záplatování a souvisejícím otázkám jsme se podobně
věnovali v Computerworldu 1/2005.
Jako logická forma ochrany před červy se mnohým uživatelům i administrátorům
jeví antivirový program. Bohužel tomu tak není. Antivirový program sice
spolehlivě chrání před e-mailovými červy, ale nikoliv před jejich internetovými
bratříčky (ač k této záměně podobné pojmenování přímo svádí). Čistě antivirový
program (nemluvíme teď o jeho kombinaci s dalšími bezpečnostními prvky) je na
internetové červy zkrátka krátký, a to z několika důvodů. Jednak se jen málokdy
věnují kontrole běžících aplikací protože i kdyby mezi nimi škodlivý kód
dokázaly detekovat a odstranit, počítač by ochráněn nebyl. Červ by se totiž ve
zlomku sekundy dokázal vrátit přes nezabezpečené připojení k internetu, a tak
by celý proces skončil v nekonečné smyčce nahrávání červa a jeho odstraňování.
Dalším důvodem, proč se antivirové programy nejsou pohříchu schopné s červy
vypořádat, je rychlost jejich šíření, která je několikanásobně vyšší než
rychlost distribuce nových aktualizací (o čase potřebném k jejich vytváření ani
nemluvě). Ostatně, historicky nejrychlejší epidemie internetového červa byla
zaznamenána v lednu 2003. Během pouhopouhých deseti minut dokázal kód Slammer
napadnout devadesát procent všech napadnutelných počítačů a těch bylo asi 75
tisíc na celém světě. Během první minuty šíření přitom dokázal zdvojnásobit
počet napadených počítačů během každý 8,5 sekundy. Této rychlosti dosáhl
Slammer především díky své malé velikosti (376 znaků) a také díky tomu, že se
šířil pomocí paketů UDP (ty jsou nesrovnatelně rychlejší než TCP-SYN).

Připravit se
Jak vidno, na internetové červy není čas reagovat, na internetové červy musíme
být připraveni. Samozřejmostí by tak měl být firewall na úrovni vstupní brány
do internetu a nutností se postupně stává také osobní firewall na každé
jednotlivé stanici. Důvodů této dvoustupňové ochrany je několik. Důležitost
firewallu střežícího bezpečnost celé sítě asi není potřeba dlouze rozebírat.
Osobní se pak stává nutností především díky tomu, že zásluhou různých
bezdrátových a mobilních připojení čím dále častěji opouštějí počítače
relativně bezpečnou oblast lokální sítě. Zvenčí pak mohou infekci nejen získat,
ale po návratu do sítě ji i úspěšně distribuovat.
Ruku v ruce se záplatováním a ochranou pomocí firewallů pak přichází ještě
jedna oblast, která bývá v boji proti internetovým červům nezřídka podceňována.
A tou je oblast bezpečnostních předpisů a pravidel. Každý systém je tak silný,
jak je silný jeho nejslabší článek a v případě internetových červů je potřeba
zajistit, aby tento nejslabší článek vůbec nevznikl. Tedy aby se v síti
nevytvořila žádná skulinka.
Velmi názorný příklad vzniku takovéto mezery v bezpečnostním systému po
nedodržení bezpečnostní politiky vytvořil již jednou zmíněný červ Slammer. Ten
vůbec způsobil značné problémy například s funkčností 13 tisíc bankomatů Bank
of America; nebo se zrušenými lety kvůli selhání rezervačního systému několika
leteckých společností. Jako největší problém je ale uváděn fakt, že červ
pronikl do počítačové sítě jaderné elektrárny Davis--Besse v Ohiu, kde na
několik hodin vyřadil z provozu dva systémy podílející se na monitorování
reaktoru (podrobnosti najdete ve vloženém textu).
A jak je možné, že do počítačové sítě tak klíčového objektu, jakým jaderná
elektrárna bezesporu je, pronikl škodlivý kód, na který už ostatně byla známa
záplata? Odpověď je až smutně jednoduchá: díky hrubé nedbalosti. Do lokální
sítě si přinesl nezabezpečený počítač zaměstnanec subdodavatele od dodavatele a
neštěstí bylo hotovo. Problémům v daném případě mohly zabránit jednak firewally
rozmístěné ve vnitřním prostředí sítě, jednak vypracovaná bezpečnostní politika
(jak je možné, aby se cizí počítač "beztrestně" mohl připojit k lokální síti?).

Perličky
Na závěr několik zajímavostí. Internetový červ CodeRed využíval chybu buffer
overflow v souboru Idq.dll (ve službě Microsoft Index Server 2.0 a Windows 2000
Indexing Service na počítačích se systémem Microsoft Windows NT 4.0 nebo
Windows 2000, které provozují IIS 4.0 a 5.0 webové servery), jež byla známá od
18. června 2001, kdy na ni Microsoft vydal záplatu. CodeRed byl poprvé
zaznamenán 12. července 2001 tedy o necelé čtyři týdny později. Zanedbaná
aplikace příslušných záplat se dala vysvětlit relativně krátkou dobou mezi
jejich zveřejněním a prvním výskytem červa, stejně jako tím, že byla doba
dovolených. Nicméně CodeRed se šíří po internetu dodnes.
Podle matematických propočtů se bude CodeRed šířit ještě do roku 2007, kdy
celosvětově poklesne počet serverů s výše zmíněnou chybou pod hranici
životaschopnosti červa. Nestane se tak ale díky práci administrátorů, ale díky
tomu, že příslušný hardware a software beznadějně zastará.
Pokud máte zájem sledovat průběžně či příležitostně ze zvědavosti stav
internetového provozu (který je v dobách epidemií červů vyšší třeba díky mnoha
"slepým" paketům), můžete navštívit stránku www.internettrafficreport.
com/main.htm. Dalším zdrojem informací se může stát isc. sans.org/
index.php?on=trendhistory, kde najdete mnoho zajímavých grafů a poznámek k
aktuálnímu i minulému vývoji provozu na internetu.


Trable s červem v jaderné elektrárně
V dubnu 2003 pronikl červ Slammer do jaderné elektrárny Davis-Besse v Ohiu.
Nejprve zahltil její síť natolik, že přestalo fungovat zobrazování na panelu
SPDS (Safety Parameter Display System). Ten monitoruje většinu klíčových
indikátorů elektrárny (například chladicí systémy, klíčové teplotní senzory,
vnější senzory radiace). Mnoho z nich musí být pečlivě sledováno i tehdy, když
jaderný reaktor není připojen do sítě. O 23 minut později zkolaboval další (ne
už tak kritický) monitorovací systém PPC (Plant Process Computer). SPDS byl
zprovozněn po čtyřech hodinách a padesáti minutách a PPC po více než šesti
hodinách. Incident naštěstí neměl závažné důsledky, protože záložní systém
zůstal červem nedotčen a navíc byl reaktor v té době odstaven. Je ale zřejmé,
že za určitých podmínek mohou škodlivé kódy ovlivnit klíčové systémy.










Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.