Počítačové viry na prahu milénia

Ať se to někomu líbí, či nikoliv, počítačové viry a další škodlivé kódy (označované též jako malware Malicio...


Ať se to někomu líbí, či nikoliv, počítačové viry a další škodlivé kódy
(označované též jako malware Malicious Software) se staly nedílnou součástí
kybernetického prostoru. A antivirový program má již dnes podobnou funkci jako
zámek na domovních dveřích. Kdo nezamyká, ať se nediví.
Dávno pryč je doba, kdy se základní pravidla antivirové bezpečnosti dala popsat
slovy "nenoste domů kopírované diskety a v kritických dnech nespouštějte
počítač". Stávající škodlivé kódy se totiž šíří prakticky na jakémkoliv médiu a
navíc napadají systém prakticky okamžitě kdyby čekaly v počítačích na stanovený
"Den D", narůstalo by riziko jejich odhalení. Nejrůznější virové kalendáře se
tak stávají věcí především marketingovou s nevalným praktickým přínosem.
Pokud chceme s počítačovými viry bojovat, musíme si v prvé řadě uvědomit, co
dokážou. Prvním a základním pravidlem je: Počítačové viry jsou "jen" kusy
programového kódu, který (ne)umí totéž, co může umět kterýkoliv jiný software.
Nic víc, nic míň. Příběhy o virech schopných "spálit" procesor prováděním
speciálních matematických výpočtů či připravených zlikvidovat monitor zvýšením
frekvence zobrazování za hranici jeho možností patří do říše létajících talířů,
bludiček a bezpečných operačních systémů.
Stejně jako informační technologie také počítačové viry urazily v uplynulých
letech obrovský kus cesty. Dávno pryč jsou doby, kdy se pracně šířily světem
pomocí "infikovaných" disket díky Internetu a především elektronické poště jsou
dnes nejúspěšnější škodlivé kódy rozeslány po celém světě během několika hodin.
Jedinou "brzdou" se tak stávají časová pásma po virovém útoku v Evropě se
Spojené státy již ráno probouzejí do nového dne připravené bojovat s novou
infekcí (nový virus je zpravidla během několika hodin "rozpitván" a zařazen do
aktualizačních databází antivirových programů ty už jej pak umějí zpravidla
nejen odhalovat, ale i léčit).

Technologické změny
Tím jsme se dostali k technologickým změnám v počítačových virech v uplynulých
letech. Stejně jako v reálném světě i v kyberprostoru platí, že v
"jednoduchosti je síla". Úspěšný škodlivý kód nesmí být závislý na operačním
systému, jeho jazykové mutaci, konfiguraci a výkonu počítače, použitém softwaru
ani hardwaru. Pokud je virus schopen šířit se pouze pod japonskou mutací
Windows (má některé cesty k souborům pevně dány ve svém těle), pak mohou lidé v
našich zeměpisných šířkách klidně spát. Ostatně nejkrásnějším příkladem je
použití českých Windows, které se pokoušejí ukládat informace do složky
"Dokumenty", ve spojitosti s anglickými aplikacemi (ty zase "cpou" dokumenty do
adresáře "My Documents").
Škodlivé kódy se mění spolu s vývojem informačních technologií. Počátkem
devadesátých let (s trochou nadsázky lze říci "v prehistorii počítačového
věku") jednoznačně kralovaly souborové a boot viry. Po příchodu Windows 95 s
možností maker v dokumentech opanovaly virovou scénu makroviry. Jejich výhod
bylo hned několik, přičemž nejdůležitější byl fakt, že dokumenty byly do té
doby považovány za bezpečné. Mnoha uživatelům i antivirovým programům pak
chvíli trvalo, než si na nové nebezpečí zvykli, což ovšem makrovirům stačilo k
tomu, aby obsadily osmdesát procent virového "trhu". Od března 1999 (kauza
Melissa) pak hrají prim tzv. mass-mailingové škodlivé kódy.
Popisovat podrobně jejich fungování by bylo pověstným nošením dříví do lesa.
Takže jen ve stručnosti: Do počítače přicházejí zpravidla jako příloha
elektronické pošty. Pokud je uživatel dostatečně neopatrný (nepoučený, zvědavý)
a přílohu spustí, malware se v počítači může (ale nemusí) zabydlet a zajistí
své rozeslání dalším nešťastníkům. K tomu zpravidla využije adresář
elektronické pošty v poštovním klientovi. (Není pravidlem známe i viry, které
"odpovídají" na příchozí elektronickou poštu a adresáře se vůbec nedotknou.)
Poslední dobou drasticky narůstá počet virů, které Internet využívají nejen
pasivně pro své šíření, ale také aktivně pro své updatování i upgradování. Tyto
škodlivé kódy fungují tak, že se pokoušejí z infikovaného počítače kontaktovat
určité webové servery a odtud si stahují buď nové moduly (tzv. plug-iny) nebo
třeba i aktuální verzi sebe sama. Pokud je cílová webová adresa pro virus jen
jedna (zpravidla jde o odkaz na nějakou freehostingovou službu jako Geocities
apod.), většinou není problém šíření kódu zastavit. (Výjimkou v tomto směru je
virus Qaz, jehož odkaz vede na Web kamsi do Čínské lidové republiky a přes
veškerou snahu antivirové komunity se jej dosud nepodařilo "odstřihnout".)
Horší je situace v případě např. viru Hybris ten má odkazy na celkem sedmdesát
míst na Internetu. "Utnout" všechna jeho "chapadla" je pak úkolem téměř
nadlidským. Když už jsme u Hybrisu ten je schopen nejen si z Internetu stahovat
své přídavné moduly, ale také je na stanovených místech Webu nabízet dalším
počítačům. Díky tomu funguje jakési virtuální "tržiště", kde si počítače
nezávisle na přání a vůli svých uživatelů "vyměňují" novější verze přídavných
modulů. Hybris si tak vlastně "žije" svým vlastním životem na Internetu.
Pohled do budoucna
A jaký vývoj můžeme očekávat na virové scéně v letošním roce, eventuálně v
letech příštích? Zcela upřímně: Těžko říct. Můžeme sice predikovat určité směry
vývoje škodlivých kódů, ale odhadnout zcela přesně jejich vývoj (např. které
známé či neznámé bezpečností díry v operačních systémech či aplikacích budou
pro příště využívat) je prakticky nemožné. Lze říci, že pokud bychom chtěli mít
přesně takový virus, jaký předpovíme, museli bychom si jej napsat.
Nesporná je skutečnost, že malware začne čím dál více používat metod sociálního
inženýrství. Dokládá nám to loňský případ Iloveyou nebo z nedávné doby "Anna
Kurnikovová". Uživatelé zkrátka ochotně spustí přílohu u e-mailové zprávy,
která jim tvrdí, že je má někdo rád nebo která jim slibuje pohled na atraktivní
mladou tenistku. Pokud by se přílohy jmenovaly "smazatdisk", asi by byli
obezřetnější. V této skutečnosti je asi největší nebezpečí celého
kybernetického světa, který poměrně přesně kopíruje staré české přísloví
"navrch huj, vespod fuj".
Bezpochyby se dočkáme také dalších skriptovacích virů (prvním z nich byl dnes
již legendární Iloveyou v květnu 2000). Ty využívají pro své šíření prakticky
všech výhod Internetu, jsou do značné míry nezávislé na operačním systému, jeho
verzi či lokalizaci, jejich programování je nesmírně snadné (vlastně si stačí z
Internetu stáhnout nějaký generátor virů nebo upravit již existující
skriptovací virus pomocí Notepadu ve Windows). Své poslední slovo jistě také
neřekly ani makroviry beznadějně nejrozšířenější jsou sice makroviry pro Word a
Excel, ale v patách jim kráčejí škodlivé kódy pro PowerPoint a další aplikace.
Po prvních makrovirech v Corelu, AutoCADu či Visiu lze očekávat epidemii
dalších. Vše přitom záleží především na rozšíření daných programů. Malware
totiž potřebuje pro své šíření kontakt s větším množstvím počítačů výměna
dokumentů mu pak dává téměř ideální podmínky pro jeho živobytí.
Se vzrůstající popularitou Linuxu se můžeme po prvních vlaštovkách těšit také
na viry pro tento operační systém. To ale v žádné případě neznamená, že odumřou
viry pro "klasická" Windows, neboť tento systém byl, je a ještě nějakou dobu
bude nejrozšířenějším. Bezesporu se dočkáme i virů šitých na míru, tedy s
konkrétním úkolem pro napadení dat v konkrétní organizaci. Různá zadní vrátka
umožňující autorům virů na dálku spravovat napadené počítače se také těší čím
dál větší oblibě. Jejich velkou výhodou je, že útočníkům přinášejí i praktický
užitek přístup k datům apod.
V současné době se také není třeba obávat škodlivých kódů pro mobilní telefony,
byť o jejich objevu některá senzacechtivá média čas od času přinášejí
"zaručenou" zprávu. Pokusit se virem napadnout stávající mobilní telefon je pro
programátory stejná výzva jako pokusit se zavirovat kapesní kalkulačku. Ale
nesmíme zapomenout, že i současné stolní počítače se vlastně vyvinuly z
kapesních kalkulaček! Každopádně uživatelé mobilních technologií mohou ještě
nějaký ten pátek klidně spát, neboť jejich "utržená sluchátka" v ohrožení
nejsou. A tak zatím jediné nebezpečí pro uživatele mobilních telefonů
představoval virus Timofonica, který se pokoušel z infikovaného počítače
rozesílat SMS zprávy na náhodně vygenerovaná čísla mobilních telefonů. To je
zajímavá vlastnost zatímco v případě "klasických" virů musí být počítače
nějakým způsobem "spojeny" (přenos dat a informací např. na disketě nebo po
síti), u mobilní komunikace je tomu jinak. S pomocí jednoduchého generátoru
náhodných čísel lze ohrozit prakticky jakéhokoliv uživatele, bez nutnosti mít s
ním jakýkoliv kontakt.
V cizích službách Objevily se také úvahy o možnosti použití počítačových virů
ve službách armády. Např. tchajwanská armáda má arzenál agresivních
počítačových virů, které jsou schopné v případě potřeby napadnout čínské cíle.
Oficiálně to přiznal Lin Chin-Ching, vysoký úředník na oddělení informatiky
tchajwanského ministerstva obrany. Upozornil, že je použije jako regulérní
zbraně v okamžiku, kdy by Čína zaútočila jako první.
Podle dostupných informací tchajwanské ministerstvo obrany posbíralo velké
množství počítačových virů, které v prvé řadě použilo ke studijním účelům.
Některé z nich přitom speciálně upravilo tak, aby je bylo možné použít k útoku
proti určitým cílům.

Kryptoviry
V budoucnu se můžeme "těšit" mj. na jednu speciální kategorii virů kryptoviry.
Jedná se o viry, které po průniku do napadeného systému použijí silný šifrovací
klíč k zašifrování některých dat. Autoři virů pak budou moci majitele
infikovaných počítačů vydírat zaplať, nebo se rozluč s daty. Psaní takových
počítačových virů se pak může stát nesmírně lukrativní záležitostí (na rozdíl
od doby současné, kdy si pisatel škodlivých kódů koleduje maximálně o žalobu).
Možná namítnete, že pachatelé podobných útoků se budou vystavovat přísným
postihům. To se ale současní bankovní lupiči vystavují také a na Divokém západě
se za "banku" rovnou věšelo. Ale Internet není Divokým západem (byť se to někdy
může zdát) a zkuste se vžít do role ředitele napadené banky nahlásí případ
policii, a veřejně tak oznámí, že jeho bankovní systém není vůči podobným
útokům dostatečně ochráněn? Co tato informace udělá s důvěrou klientů jistě
netřeba dlouze rozvádět. Anebo celou situaci ututlá a "výpalné" zaplatí? Banka
pak navenek zůstává důvěryhodnou institucí a o důvěru jde v peněžním sektoru
především.
První případy takovýchto virů se již objevily. OneHalf (označovaný též jako
"nejznámější slovenský výrobek ve světě") šifroval data na disku napadeného
počítače, přičemž si klíč uchovával ve svém vlastním těle. Při odstranění
OneHalfu ze systému bez předchozího dešifrování dat pak uživateli zbývaly jen
pověstné oči pro pláč. Virus tak vlastně činil počítač na sobě závislým!
V loňském roce se pak objevila variace na téma Iloveyou s označením "BD". Tento
škodlivý kód byl psán pro "použití" ve švýcarské bance United Bank of
Switzerland. V srpnu roku začaly 2000 zaměstnancům této banky chodit e-maily s
předmětem "Resume", k nimž byl připojený soubor resume.txt.vbs. Při spuštění
tento skript zobrazí v poznámkovém bloku (Notepadu) seriózně vypadající žádost
uchazeče o zaměstnání. Uživatel tak nemusí pojmout žádné podezření. Vzápětí
poté se Iloveyou.BD snažil z Internetu stáhnout a následně spustit soubor
hcheck.exe. Ten obsahuje jednoduchou rutinu sloužící ke zcizování hesel. Soubor
hcheck.exe byl původně umístěn na trojici různých ftp serverů, ovšem vzápětí po
odhalení viru byl ze všech míst bez meškání odstraněn.
Pokud by se ovšem soubor hcheck.exe podařilo stáhnout a spustit, mohl splnit
svůj úkol lokalizovat datové soubory bankovních počítačových programů United
Bank of Switzerland a poslat je na tři freemailové adresy umístěné na serverech
excite.com, netscape.net a mailcity.com.
Šlo tedy o přesně mířený útok provedený s určitým cílem a znalostí napadeného
systému. Pokud programátoři píší viry s "celosvětovou" působností, musí jít o
kódy jednoduché, nezávislé na použité jazykové mutaci operačního systému či
softwarovém a hardwarovém nastavení počítače (ostatně viz hlavní článek). Pokud
ale chce někdo napadnout jen jeden konkrétní systém, musí o něm sice mít
podrobné informace, ale pak už není obtížné "ušít" virus na míru. Ten může
využívat slabin použitých bezpečnostních či antivirových programů a jako
slídící pes jít za jedním konkrétním cílem (ve výše uvedeném případě to byly
některé datové soubory bankovních programů).
1 0623 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.