Počítačové viry tu zůstávají

Počítačové viry. Fenomén, na který se uživatelé počítačů dívají různě. Zatímco někdo z nich má chronickou h...


Počítačové viry. Fenomén, na který se uživatelé počítačů dívají různě. Zatímco
někdo z nich má chronickou hrůzu, někdo jiný jimi (neméně chronicky) pohrdá.
Jak už to v životě bývá, rozumný přístup je někde uprostřed. Počítačové viry
jsou nebezpečné pro nepřipravené a neznalé. Nemá smysl je nějak podceňovat,
ovšem ani přeceňovat.
Přestože se jedná o relativně nový fenomén (první reálně nebezpečné škodlivé
kódy se objevily na přelomu osmdesátých a devadesátých let), staly se
počítačové viry nedílnou součástí kybernetického prostoru.
Psal se rok 1986, když iránští bratři Basit a Amjad zjistili, že boot sektor
disket obsahuje spustitelný kód, který je aktivován pokaždé, kdykoliv dochází k
zavádění operačního systému z diskety. Zjistili také, že mohou tento kód
nahradit vlastním programem, který se může zavést do paměti počítače a následně
nakopírovat na každou disketu, se kterou dané zařízení pracuje. Jeden takovýto
program nahrazující boot sektor také experimentálně vytvořili a dle jeho
vlastností jej nazvali "virus". Ve srovnání s dnešními škodlivými kódy byl
nesmírně primitivní, pouze se šířil a dokázal infikovat jen 360kilobajtové
diskety (kdo si dnes ještě vzpomene, že něco podobného existovalo?).
Již o rok později byl zaregistrován první "skutečný" virus tedy takový, který
nevznikl v laboratorních podmínkách, ale který se šířil mezi počítači. Na
univerzitě v americkém státě Delaware zjistili, že boot sektory mnoha disket
jsou upravené programem, který dělá totéž co kód výše uvedený (tedy zavádí se
do paměti a odtud se kopíruje na další média). Navíc se tento virus už i
projevoval, a to tak, že jméno diskety nastavoval na "(c)Brain".
Stejně jako u tzv. boot virů i v případě "klasických" souborových virů
(napadají soubory s koncovkou exe či com) došlo k první teoretické demonstraci
v roce 1986. Tehdy programátor Ralf Burger zjistil, že určitý soubor si může
vytvořit svou kopii tak, že přidá vlastní programový kód k jinému souboru. Svůj
produkt nazval Virdem.
Stejně jako se rozvíjely virové technologie, rodil se postupně nový obor
nazvaný "antivirová ochrana". V roce 1987 jistý Fred Cohen dokončil svou
doktorskou disertační práci na téma počítačových virů a mj. došel k závěru, že
nelze napsat program, který se stoprocentní jistotou prohlásí jiný program za
virů prostý (což je pravda, protože žádný antivirový program nezaručí
stoprocentní jistotu). Zjistil také, že viry jsou schopné se šířit v systému
mnohem rychleji, než se do té doby předpokládalo. Jeho největším přínosem ovšem
bylo vypracování několika matematických metod na detekci počítačových virů.o

Zpráva o stavu škodlivých kódů
Lepší už to nebude. Bez jakékoliv nadsázky lze tímto mírně "optimistickým"
prohlášením hodnotit současný stav vývoje v oblasti počítačových virů. Přestože
už několikrát v relativně krátké historii informačních technologií různí
analytici prorokovali zánik těchto nežádoucích kusů programových kódů, opak je
pravdou. Viry jsou stále tu a daří se jim lépe než kdy dříve.
Odborníci na počítačovou bezpečnost se shodují, že co do rozmanitosti a počtu
útoků škodlivých kódů byl právě uplynulý rok 2001 mimořádný. Prakticky nikdo
přitom neočekává změnu nastoupeného trendu v roce 2002. A pokud snad ano, tak k
horšímu.
Důvodů masového šíření škodlivých kódů (především pak počítačových virů) je
několik. Uživatelské prostředí v informačních technologiích se výrazně
unifikovalo, což znamená "bourání bariér" pro vstup nežádoucího softwaru do
počítače. Zároveň se také dramaticky rozšiřuje využití výpočetní techniky,
přičemž nejvíce samozřejmě přibývá tzv. běžných uživatelů. Po takovýchto lidech
pochopitelně nikdo nemůže chtít hlubší znalosti operačních systémů a
používaných aplikací pro ně je počítač pouhým pracovním nástrojem (i když
trocha opatrnosti a dodržování bezpečnostních pravidel neuškodí nikomu).
V případě rozboru značného rozšíření počítačových virů se musíme podívat také
na "druhou stranu barikády" na pisatele škodlivých kódů. Dávno pryč je doba,
kdy výroba počítačového viru vyžadovala hluboké znalosti programování, síťové
problematiky a dalších oblastí. Dnes není problém stáhnout si z webu utilitu na
vytvoření počítačového viru dle zadaných parametrů (tzv. virové generátory) či
jednoduše doplnit chybějící znalosti na různých "studijních" stránkách na
internetu.
Takovéto masově vytvářené kódy samozřejmě nejsou nikterak mimořádně nebezpečné
či nesnadno detekovatelné, ale objevuje se jich obrovské množství (dle
statistik antivirových firem je to už kolem osmi set škodlivých kódů měsíčně).
V neposlední řadě "pachatelům" virů nahrává i nedostatečné právní prostředí a
jejich praktická beztrestnost. Ruku v ruce s tímto faktorem jde i internet coby
médium neznající hranic, což samozřejmě jakékoliv stíhání nesmírně ztěžuje.
Počítačové viry, které se objevily v roce 2001, také v množství větším než
obvyklém využívaly nejrůznějších bezpečnostních chyb a nedostatků (především
aplikací MS Outlook a Internet Explorer). Pro průnik do počítače (resp.
vykonání nežádoucí rutiny) přitom bylo v drtivé většině případů použito známých
a zveřejněných bezpečnostních děr, na něž už byly k dispozici
"záplaty" (patche). Je to celkem logické nač by se hackeři trápili s hledáním
nových nedostatků, když těch známých je doslova nepřeberné množství a (ruku na
srdce) málokterý uživatel/administrátor věnuje svůj čas a energii jejich
odstraňování.

CodeRed
Do podobné kategorie patřil i škodlivý kód CodeRed, který se začal šířit v
polovině července 2001 a postupně samočinně napadl statisíce serverů na celém
světě. Jedná se o internetového červa, který se šíří mezi servery Windows 2000
s IIS (Internet Information Services) a MS Index Server 2.0 nebo Windows 2000
Indexing Services. Využíval přitom bezpečnostní chybu "Unchecked Buffer in
Index Server ISAPI Extension", která byla detailně popsána v Microsoft Security
Bulletinu MS01-033 vydaném 18. června 2001. ("Záplatu" na tuto chybu lze
stáhnout z http://www.microsoft.com/technet/security/bulletin/MS01-033.asp.)
Fungování červa CodeRed je následující: Vyhledává počítačové severy a mezi 20.
a 27. každého měsíce se pokouší z napadených serverů útočit na webovou stránku
www.whitehouse.gov (oficiální doména americké vlády pozor, nezaměňovat s
doménou www.whitehouse.com, což je pornografická stránka!). A vždy od 1. do 19.
každého měsíce se pokouší rozšířit na co nejvíce serverů. Z každého napadeného
stroje se přitom pokouší náhodně nainstalovat na 99 dalších vzhledem k tomu, že
"opravování" bezpečnostních děr se příliš často nepraktikuje, má CodeRed velkou
pravděpodobnost, že se mu na těchto serverech podaří uchytit. A z každého nově
napadeného se rozšíří na 99 dalších atd. Jde tedy o jakýsi princip "letadla".
A ještě pár slov k provedení "útoku". Ten je veden metodou DDoS (Distributed
Denial of Service). Její podstata spočívá v tom, že na jeden určený server (v
daném případě internetový server vlády USA) je v jednom okamžiku vysláno takové
množství nejrůznějších žádostí, že je není možné zvládnout. Server je pak
přetížený a kolabuje. Metoda DDoS se vyznačuje tím, že útok je veden z velkého
množství počítačů. (Vzhledem k tomu, že každá internetová adresa má svou
unikátní IP adresu, stačilo díky vlastnostem viru správcům www.whitehouse.org
tuto hodnotu změnit jejich web je tak nyní v bezpečí před účinky kódu CodeRed.
Ten se nyní pokouší "útočit" na neexistující adresu.)
V době, kdy se CodeRed objevil (a veleúspěšně šířil na celém světě napadl skoro
půl milionu serverů), probíhala každoroční okurková sezona, takže se jej ihned
chopili senzacechtiví novináři. Ti celou "kauzu CodeRed" nafoukli do olbřímích
rozměrů a varovali všechny uživatele před hrůzostrašnými účinky neméně
hrůzostrašného viru. Základní fakt, že CodeRed hrozí výhradně serverům a
nikoliv "běžným" uživatelům, přitom média taktně zamlčela.

Anthrax a média
Jde ostatně o častý problém na první pohled "atraktivním" škodlivým kódům
věnují média značnou pozornost, zatímco skutečně nebezpečné kódy povětšinou
ignorují. A tak se na podzim 2001 dostalo mimořádné publicity e-mailovému červu
Anthrax právě pro jeho zajímavý (a aktuální) název. Přitom tento skript
obsahuje závažnou programátorskou chybu, takže se vůbec nešíří a existuje pouze
v podobě laboratorních vzorků, které antivirovým firmám poskytl jeho autor.
Zhruba o rok dříve byla podobná situace s virem Pikachu. Ten byl vytvořen už
někdy koncem devadesátých let, ale protože se nešířil, antivirové společnosti
jej zahrnuly do svých databází a celý případ tím uzavřely. Ale jakýsi novinář
po loňské Pikaču-mánii zprávu o tomto viru kdesi "vyčaroval" a od něj už zuřivě
opisovaly všechny "seriózní" tiskoviny.

Sociální inženýrství
CodeRed byl díky svému "samovolnému" šíření snad jediným z nejúspěšnějších
škodlivých kódů, které se objevily v roce 2001 a který nevyužíval metod
sociálního inženýrství. Jak již bylo uvedeno výše, v současné době není problém
počítačový virus napsat, problém představuje jeho aktivace v cílovém počítači.
Přestože známe první exempláře kódů aktivovaných při pouhém otevření e-mailové
zprávy (tedy nikoliv po spuštění přílohy!), jedná se zatím jen o první
varování. Drtivá většina škodlivých kódů pro svou činnost potřebuje alespoň v
prvním okamžiku spolupráci neopatrného, nepoučeného či nepoučitelného uživatele.
Přímo čítankovým příkladem využití sociálního inženýrství byla jedna z variant
viru Iloveyou (která se objevila už v květnu 2000). Škodlivý kód do zprávy
elektronické pošty vypsal zhruba toto poselství: "Děkujeme Vám, že jste si u
nás objednal květiny ke Dni matek. Květiny doručíme na Vámi uvedenou adresu.
Částku 326 dolarů 90 centů strhneme z Vašeho účtu, doklad naleznete v
přiloženém souboru. Děkujeme." Samozřejmě, že dotyčný si žádné květiny nikdy
neobjednával (o to větší bylo jeho zděšení) a že v přiloženém souboru nebyl
žádný platební doklad, ale virus. Ovšem člověk se v první chvíli vyděsí,
zapomene na všechny dobré rady (Nespouštět podezřelé přílohy!), a neštěstí je
hotovo.
V roce 2001 prakticky každý virus nějakým způsobem využíval metod sociálního
inženýrství. A tak se velkého rozšíření dočkal virus Kurnikovová slibující
atraktivní fotografii neméně atraktivní ukrajinské tenistky. Kód Naked_Wife
zase měl nejen mnohoslibný název, ale i připojený text "má manželka nikdy
nevypadala tak zajímavě" (jen odolný jedinec asi dokázal na přílohu u zprávy
nepoklikat). Sircam zase aby vypadal co nejdůvěryhodněji náhodně vybíral z
napadeného počítače jeden dokument, který pak odesílal. Desítky dalších
škodlivých kódů se zase vydávaly za soubory s erotickým (ve většině případů) či
jinak zajímavým obsahem.
Pokud se máme podívat na rok 2001, rozhodně za zmínku stojí následující
škodlivé kódy (především díky svému značnému rozšíření, ale také třeba díky
technologickým "novinkám"):
Kurnikovová (únor) První velká virová kalamita roku 2001. Akce provedená "Annou
Kurnikovovou" je ve srovnání s jinými destruktivními kódy relativně příjemná.
Vždy, když systémové datum počítače ukazuje 26. ledna, červ otevírá webový
prohlížeč a pokouší se spojit se stránkou jistého obchodu s počítači v
Nizozemí. Magistr (březen) Magistr je extrémně nebezpečný počítačový virus.
Pokud napadne jeden počítač, pokouší se (a mnohdy bohužel úspěšně) šířit také
na dalších strojích zapojených v síti. Tím ale popis jeho nebezpečnosti zdaleka
nekončí: Magistr nese nebezpečnou rutinu a v závislosti na několika podmínkách
může poškodit data na pevném disku, smazat CMOS paměť i flash a to podobným
způsobem, jako to dělá nechvalně známý virus CIH (alias Černobyl). lHomepage
(březen) Kromě samošíření a náhodného zobrazování stránek s "lechtivým" obsahem
nepáchá další škody. Vysoká pravděpodobnost, že uživatel podlehne pokušení a
přílohu otevře, jej však činí poměrně nebezpečným.
Sircam (červenec) Kromě Windows Address Booku může Sircam najít e-mailové
adresy také v uložených webových stránkách (cache). Na rozdíl od jiných
škodlivých kódů tak "obšťastňuje" nejen osoby uvedené v adresáři poštovního
klienta, ale prakticky kohokoliv, jehož kontakt se objevil na některé z
prohlédnutých webových stránek.
CodeRed (červenec) škodlivý kód, který "putuje" internetem a hledá IIS servery
s neopravenou .ida chybou a útočí na doménu www.whitehouse.gov.
Nimda (září) Nimda je velmi komplexní virus. Ve své "nabídce" má celou škálu
nejrůznějších způsobů šíření od "klasické" elektronické pošty přes lokální
počítačové sítě až po HTML stránky. K dokumentům formátu asp, htm, a html (a
také k souborům se jmény index, main a default) připojuje svůj vlastní skript,
který obsahuje instrukce k otevření nového okna prohlížeče obsahujícího
infikovanou html stránku. Při absenci bezpečnostních "záplat" pak stačí pouhé
zobrazení této stránky k tomu, aby byl počítač ji zobrazující infiltrován.
Anthrax (říjen) William Shakespeare by asi napsal "mnoho povyku pro nic".
Škodlivý kód s atraktivním názvem, ale tím také výčet jeho zajímavostí končí.
Díky závažné programátorské chybě se nešířil a nešíří, jen některá média bila
(tentokrát naštěstí zbytečně) na poplach.
Badtrans (listopad) Pouhý měsíc před koncem roku 2001 se objevila zdokonalená
varianta škodlivého kódu Badtrans, který byl poprvé zaznamenán o půl roku
dříve. Badtrans.B si do svého repertoáru přibral (mimo jiné) v současnosti mezi
viry velmi populární trik, který mu umožňuje spustit přílohu e-mailu bez vědomí
uživatele při pouhém prohlížení zprávy.
Goner (prosinec) Goner je e-mailový červ napsaný ve Visual Basicu, který se
vydává za zajímavý spořič obrazovky. Šíří se pomocí aplikací MS Outlook, ICQ
Instant Messanger a také přes IRC. lMaldal (prosinec) Pravidelně vždy před
vánočními svátky se objeví nějaký "pé-efkový" škodlivý kód. V roce 2001 to byl
právě Maldal. Červ sám o sobě se šíří e-mailem v přiloženém souboru s názvem
christmas.exe, který se snaží vypadat jako multimediální vánoční přání (se
stejným názvem koluje vícero přání, takže pouhá shoda jmen nemusí nutně
znamenat přítomnost viru!). Pokud je přiložený soubor spuštěn, je zobrazen
obrázek Santa Clause, který má zakrýt skutečnou činnost červa.

Hoaxy
Zcela samostatnou kapitolou v oblasti počítačové bezpečnosti jsou tzv. hoaxy
jakási e-mailová varování před viry, které neexistují. Správný hoax (toto
slovíčko označuje v angličtině smyšlenku nebo žert) je dopis elektronické
pošty, který přijde do počítače a uživateli líčí hrůzostrašné chování
nepředstavitelně nebezpečného viru. Na závěr je připojena žádost (někdy i
opakovaná) o rozeslání této zprávy co nejvíce lidem.
Problém spočívá v tom, že nic netušící uživatel tak svým způsobem vykoná
činnost prováděnou povětšinou právě viry rozešle zprávu na všechny strany
(mnoho virů se kromě šíření nijak neprojevuje, leč pod množstvím odesílané
pošty padají přehlcené poštovní servery).

Typické znaky hoaxu:
Popisuje nesmírně nebezpečný virus dosud nevídaných vlastností a schopností.
Chybí v něm jakákoliv časová přesnost (termín "včera ráno" je použitelný dnes i
za půl roku).
Varuje před virem, který je nepředstavitelně nebezpečný, ale o kterém zároveň
nikdo nic neví a se kterým si nikdo nedokáže poradit.
Snaží se zaštítit jménem velké a důvěryhodné firmy, která toto varování údajně
vydala.
Vyzývá k rozeslání tohoto varování co nejvíce lidem. (Svým způsobem metoda
sociálního inženýrství: Kdo by nechtěl pomoci bližnímu svému varováním, které
prakticky nic nestojí?)
Speciálním případem hoaxu je přitom zpráva, která varuje před souborem
sulfbnk.exe. Ten je totiž regulérní součástí prakticky každé instalace Windows.
Toto ovšem tuší málokterý uživatel, jemuž varování (zpravidla od důvěryhodné a
známé osoby) přijde. Člověk neznalý se vyděsí, soubor sulfbnk.exe samozřejmě v
počítači najde a dle přiloženého návodu odstraní. Přestože je to regulérní
součást Windows, sulfbnk.exe (naštěstí) nemá žádnou klíčovou či nenahraditelnou
funkci jedná se o program, který má převádět dlouhé názvy souborů na krátké.
Každopádně se ale jedná přímo o čítankový příklad pravidla, že "laický uživatel
je mnohdy schopen (a ochoten) způsobit mnohem více škod než virus".

Co nás čeká
Tolik tedy ve stručnosti k otázce problematiky počítačových virů v roce 2001.
Zcela logicky vyvstává otázka: Co nás asi čeká v nadcházejícím roce (či v
letech příštích) v oblasti počítačových virů? S nějakou převratnou revolucí asi
počítat nelze bude se pouze měnit (rozšiřovat) rozsah platforem "podporujících"
počítačové viry, prostor dostanou na jedné straně komplexní a sofistikované
škodlivé kódy, na druhé straně jednoduché a primitivní kusy programových kódů
schopné přežít prakticky kdekoliv. Hlavním nosným médiem virů nadále zůstane
e-mailová pošta (či její deriváty). A v každém případě bude narůstat četnost
útoků.
Rozhodně se můžeme "těšit" na další škodlivé kódy, které se automaticky
aktivují při pouhém otevření e-mailu či jeho náhledu (preview). Není už tedy
nutné na nic klikat, nic spouštět! Toto umožňuje psaní zpráv elektronické pošty
v HTML formátu přitom HTML stránka může obsahovat nejrůznější skripty, a tyto
skripty zase mohou obsahovat kdeco. Bezpečnostní chyby navíc umožňují skripty
aktivovat doslova bez zásahu lidské ruky. První prototyp podobného škodlivého
kódu se jmenoval BubbleBoy a objevil se již v říjnu 1999. Na závěr roku 2001 už
podobnou technologií disponoval (nebo se pokoušel disponovat) prakticky každý
"lepší" virus.
Další z cest, kterou by se škodlivé kódy v budoucnu mohly ubírat, ukázal v
polovině roku 2001 Sircam. Ten si z napadeného počítače náhodně vybral jeden
dokument, který si s sebou vzal "na cestu" a za nějž se v cílovém počítači
vydával. Že při této činnosti nedělal velkého rozdílu mezi daty soukromými či
veřejnými, tajnými, důvěrnými apod. jistě není třeba dvakrát zdůrazňovat. Přímo
se nabízí myšlenka využít počítačových virů k cíleným útokům na určité soubory
či systémy. Ještě lákavější může být spojit tuto činnost s vydíráním
dešifrovací klíč k zašifrovaným souborům po útoku počítačového viru se často
vyvažuje zlatem (a to nejen obrazně).

Mobily
Často je zdůrazňováno, že současné mobilní telefony se nějakého velkolepého
útoku obávat nemusejí. Maximálně lze mobily zasypat přívalem SMS zpráv na
veřejné brány jednotlivých operátorů. Ovšem s příchody nejrozmanitějších
komunikátorů a PDA aplikací se samozřejmě velmi rozšíří možnosti jejich použití
a ruku v ruce s tím i možnosti jejich napadení. Mobilní telefony si zatím
předávají pouze data (ať již ve formě SMS zpráv či hlasových dat), nikoliv kusy
programového kódu v takovém prostředí samozřejmě není pro viry místo.
Několik virů pro PDA sice již existuje (první z nich byl Phage v polovině roku
1999), ale protože tato zařízení nejsou navzájem propojena a propojována,
dochází k jejich napadení výhradně prostřednictvím přenosu dat z počítače. Bylo
již vyvinuto několik antivirových programů právě pro PDA. S nasazením sítí
třetí generace dojde k mnohem větší výměně dat a dalších informací mezi
jednotlivými "příručními" digitálními pomocníky pak se hrozba "zavirovaného"
mobilu stane reálnou. Máme se věru nač těšit.
V souvislosti s událostmi 11. září se také často zmiňuje možnost
kyberterorismu, jehož nebezpečí bývá mnohdy podceňováno. Vždyť škody způsobené
nejúspěšnějšími škodlivými kódy se v současné době počítají na miliardy dolarů.
Není asi těžké si představit nějaký kód, který by napadal cíleně určité
počítače, servery či databáze. Celý náš svět je postaven na informačních
technologiích, které jsou zranitelnější, než jsme si ochotni připustit.

Autor pracuje jako IT security consultant ve společnosti AEC.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.