Škodlivé kódy: Agresivněji, rychleji, zákeřněji

Jako černá ruka řádí ve světě informačních technologií stále další a další škodlivé kódy. Narůstá jejich a...


Jako černá ruka řádí ve světě informačních technologií stále další a další
škodlivé kódy. Narůstá jejich agresivita při pronikání do systémů i při jejich
zneužívání. Narůstá rychlost jejich šíření i četnost jejich výskytu. A
především narůstá šíře jejich záběru: na počítače útočí doslova ze všech
stran... Tuto Cover Story začneme smutným ohlédnutím.
Ono ohlédnutí do historie škodlivých kódů není smutné proto, že by bylo
hrůzostrašné. Je smutné proto, že dnes už můžeme jen s potlačovanou slzou v oku
vzpomínat na dobu, kdy nebyly prakticky všechny počítače spojené do jedné sítě
a kdy bylo jednou ze základních pouček "nezapínejte v určený den počítač".
Historie nás ale i mnohému naučila. Především tomu, že predikovat budoucí vývoj
je nesmírně obtížné. Kolikrát už prorokové hlásali "konec éry počítačových
virů"? Především se tak mělo stát s příchodem moderních a bezpečných operačních
systémů i aplikací. Všichni tito "vizionáři" se ale ukázali jako falešní.
"Moderní" a "bezpečné" operační systémy i aplikace si sice dokázaly víceméně
poradit se stávajícími viry a jimi používanými technologiemi. Ale v žádném
případě nebyly a ani nemohly být imunní vůči nových generacím škodlivých kódů.
V současné době už můžeme pomalu zapomenout na některé prehistorické kategorie
virů: boot sektorové, doprovodné apod. Byť se ještě čas od času mezi
"novinkami" objeví, jde spíše o závan nostalgie v hlavě šíleného programátora
než o reálné nebezpečí pro uživatele informačních technologií.
Pomalu nás také opouštějí makroviry viry šířené v některých formátech dokumentů
(Word, Excel, PowerPoint...). V roce 1994 neexistovaly, protože dokumenty
neobsahovaly makra, nemohly obsahovat ani kusy programového kódu, a tudíž ani
viry. A pak přišel operační systém Windows 95 a nové verze kancelářských
aplikací. A taky makroviry. V roce 1996 bylo devět z deseti infiltrací počítačů
způsobeno právě makroviry! Dnes už to ale není pravda, protože makroviry
představují necelého půl procenta virových napadení, což je žalostně málo.
Škodlivé kódy vstoupily do novodobé éry v březnu 1999, kdy se objevil první
skutečný e-mailový červ Melissa. Přitom nebyl nijak revoluční, neboť už dříve
se objevily pokusy využít k šíření škodlivých kódů elektronické pošty. Ale do
té doby každý virus použil jen jeden, dva nebo tři kontakty z adresáře. Melissa
jich použila hned padesát a díky tomu se šířila jako lavina. Její hlavní
nebezpečí nespočívalo v provádění jakékoliv destrukční rutiny, ale v generování
obrovského množství e-mailů. Jejich počet narůstal geometrickou řadou a
způsobil pády přetížených poštovních serverů, neprůchodnost komunikačních linek
apod.
Přes varování jménem "Melissa" se mnohdy šířil názor, že šlo pouze o výjimečný
exces a že lze přijmou opatření, která podobným incidentům do budoucna zabrání.
Jenomže už o tři měsíce později přišla další kalamita s červem ZippedFiles,
která sice nenabyla rozměrů Melissy, ale velmi výrazná přece jen byla. Navíc
tento kód dokázal využívat jako jeden z prvních sociální inženýrství: odpovídal
na zprávy v poštovním klientovi textem "dostal jsem tvoji zprávu, odpovím,
jakmile to bude možné, zatím se podívej na přiložené dokumenty". Přiložený
soubor se tvářil jako zabalený samorozbalovací archiv (ZippedFiles.exe),
přičemž při pokusu o spuštění zobrazil chybové hlášení. To ale bylo
předpřipravené ke zmatení uživatele, protože červ se už v té době úspěšně
nainstaloval do počítače.
Na podzim 1999 pak došlo k události, která nakrátko rozvířila diskusi o další
budoucnosti vývoje škodlivých kódů. Objevil se červ BubbleBoy, který byl
schopen aktivovat se po pouhém otevření zprávy! Přestalo tak platit do té doby
zlaté pravidlo "neklikejte na podezřelé přílohy", nebezpečnými se stalo už
samotné otevírání e-mailů! V případě použití Preview (Náhledu) se pak škodlivý
kód mohl aktivovat dokonce ihned po příchodu do počítače! BubbleBoy využíval
bezpečnostní díru, na kterou sice byla k dispozici záplata, ale tuto si
instaloval málokdo. Ostatně, tohle smutné konstatování platí dodnes a hned tak
se zřejmě nezmění.

Smutnější realita
Škodlivý kód Funlove do historie patří i nepatří. Objevil se sice už na konci
roku 1999, ale v nepatrně upravených provedeních se s ním lze setkat dodnes.
Jeho nejvýraznější vlastností bylo, že se dokázal šířit po lokální síti tedy už
nikoliv e-mailem. V praxi stačilo, aby byl napaden jeden jediný počítač v
jakkoliv rozsáhlé lokální síti. Z něj pak byl Funlove prostřednictvím lokálních
sdílení rychlostí myšlenky rozdistribuován. Toto samozřejmě bylo (a je)
extrémně nepříjemné: počítačová síť je zpravidla chráněna proti útokům zvenčí,
ale její vnitřní struktura s možností podobného napadením počítá málokdy.
Navíc bylo nutné přehodnotit úlohu antivirové ochrany. Ne že by se stala
zbytečnou nebo nepotřebnou, ale už to nebyl všeřešící lék. Pokud se chtěl
administrátor kódu Funlove zbavit, nestačilo pouze aktualizovat antivirový
program a epidemii jedním kliknutím myši ukončit. Nikdy se totiž nepodaří
odstranit kód ze všech napadených strojů v jednom jediném okamžiku, takže
vyčištěná stanice byla bleskurychle napadena z okolních zavirovaných. Proto
bylo nutné jednotlivé stanice odpojit od sítě a postupně je k již "čisté" síti
znovu připojovat. To je samozřejmě proces pracovně i časově náročný. Navíc bylo
vhodné změnit strukturu a nastavení sítě tak, aby se podobná událost nemohla
opakovat.
Se současnými škodlivými kódy (viz níže), které využívají bezpečnostních děr,
je to o řád horší. Nikdy se totiž nepodaří vytvořit bezpečnou globální síť,
takže není možné nasadit pouze antivirovou ochranu, ale je zapotřebí také
zamezit opakovanému napadení. V praxi to odpovídá rozdílu mezi vylévání vody z
lodi a ucpáním trhliny. Vylévat voda se dá donekonečna, ale pokud ucpete díru,
už se do lodi žádná nedostane. Stejně tak je marná práce s odstraněním
škodlivého kódu, který se během několika okamžiků do počítače vrátí.
Ve šlépějích viru Funlove směle vykročila Nimda: ta měla dokonce čtyři vektory
šíření! "Chytit" ji bylo možné jako klasický souborový virus, prostřednictvím
elektronické pošty (e-mailový červ), po lokální síti (síťový červ) a i přímo z
webu.
V červenci 2001 se pak objevil další vztyčený prst varování před budoucími
kalamitami. Mělo podobu síťového červa CodeRed. Šlo o kód, který se šířil pouze
po internetu a byl schopen se na serverech aktivovat bez zásahu lidské ruky!
Stačilo jen, aby síť spravoval administrátor, který z neznalosti, lenosti či
pohodlnosti neinstalovat příslušnou záplatu na IIS server, a CodeRed tak byl
schopen získat příslušná práva a nainstalovat se na něj. Na základě
předdefinovaného algoritmu si pak generoval další IP adresy a pokoušel se šířit
na další stroje.
Šíření ale nebylo jediným projevem CodeRedu. Jeho autor zamýšlel provést
masivní útok na oficiální stránky Bílého domu www.whitehouse.gov. Po
několikadenním šíření červa měly všechny napadené stroje v jednom okamžiku
začít vysílat obrovské množství požadavků na tento server (řádově 400 MB za
hodinu). Ten by takovýto nápor samozřejmě nezvládl a zhroutil se (jedná se o
útok DDoS Distributed Denial of Service). Útok se nezdařil, protože CodeRed byl
zavčas odhalen a administrátoři výše uvedené domény si zavčas změnili IP
adresu. Následný útok tak směřoval proti již neexistující adrese šlo tedy o
jakési bušení na neexistující dveře.
Zatímco CodeRed napadal především servery, na podzim 2002 se objevil červ
Opasoft, který už ohrožoval i běžné uživatele počítačů se systémem Windows
95/98. Také Opasoft využíval známou bezpečností díru, na kterou už existovala
záplata, ale kterou drtivá většina uživatelů počítačů neaplikovala. Opasoft byl
velice sofistikovaným, šířil se po internetu i po lokální síti, ve které byl
dokonce schopen překonávat hesla! A to jednak útokem hrubou silou (vyzkoušel
všechny jednoznakové kombinace) a jednak za pomoci další bezpečnostní chyby
(nezáplatovaný počítač = automatická nákaza).

Nejsmutnější vyhlídky
Hned v úvodu této Cover Story jsme uvedli, že historie nás mnohokráte
přesvědčila o tom, že skutečný vývoj v oblasti škodlivých kódů šel jinou
cestou, než se předpokládalo. A teď bychom měli budoucí vývoj predikovat?
Nikoliv. Nebudeme se snažit odpovědět na otázku, zdali to nejhorší, co nás
čeká, je masové využívání bezpečnostních děr, útoky DoS (nebo DDoS) apod.
Na základě historických zkušeností můžeme říci jediné: ač je budoucí cesty
velmi obtížné odhadovat, množství a nebezpečnost počítačových infiltrací
dlouhodobě nemají klesající tendenci.
Smutnou současnou realitou je ale využívání bezpečnostních děr a nedostatků. O
tom ostatně svědčí i stávající stav na poli škodlivých kódů. Prakticky každý
e-mailový červ využívá bezpečnostní tzv. I-Frame trik (bezpečnostní nedostatek,
který umožňuje aktivaci přiloženého souboru bez zásahu lidské ruky něco A la
BubbleBoy, viz výše). Přitom tato slabina je známa už od března 2001 a stejně
dlouho existuje i příslušná záplata. Úspěch "samospouštěcích" škodlivých kódů
ale svědčí o tom, že jsme si stále na aplikaci záplat nezvykli.
Co se budoucího vývoje týká, mohou nám ledasco napovědět také aktuální škodlivé
kódy. Potvrzují, že trendy nastolené v letech minulých se rozhodně hned tak
nestanou minulostí, která by nás nemusela trápit. Značné pozdvižení způsobil v
červnu 2003 červ BugBear.B. Dočkal se nesmírného rozšíření, přestože technicky
i technologicky nepředstavoval nic nového. Využití I-Frame triku, sociálního
inženýrství... To vše tady už bylo ve stovkách různých podob. A přitom
BugBear.B představoval nebezpečí s velkým "N", protože byl z napadených
počítačů schopen odcizovat hesla k bankovním účtům, pro přístup do počítačových
sítí apod. A nejen to: pokud napadl počítač v některé z 1 376 předdefinovaných
bankovních institucí, pokoušel se jej otevřít pro přístup zvenčí bez jakékoliv
autentizace! Ač doba prázdnin, srpen 2003 přinesl několik virových "smrští". Za
zmínku rozhodně stojí útok proti aktualizačním serverům společnosti Microsoft,
který byl proveden červem Blaster (alias Lovsan, MSBlast nebo Poza). Zneužíval
bezpečnostní chybu DCOM/RPC (Buffer Overrun In RPC Interface: MS03-026)
objevenou v polovině července. Vzhledem k tomu, že se (úspěšně) šíří i kódy
využívající bezpečnostní chyby známé i několik let (viz I-Frame), znamenal
jeden měsíc starý nedostatek pro Blaster živnou půdu pod nohama. Navíc v době
pracovně "líných" letních prázdnin...
Počínaje 16. srpnem začal Blaster odesílat velké množství paketů z infikované
stanice na doménu www.windowsupdate.com. To by teoreticky mohlo vést až k DDoS
útoku na tento server. Microsoft jej ale stihl zavčas odstavit: tím ale na
druhé straně znemožnil administrátorům stáhnout si odtud příslušnou záplatu na
bezpečnostní chybu, kterou Blaster využívá. Na šíření tohoto škodlivého kódu
zareagoval velmi promptně neznámý programátor vytvořením "antičerva", který
dostal označení Welchi. Využíval nachlup stejnou bezpečnostní díru a techniky
šíření jako Blaster, ale sloužil k jedinému účelu: k jeho odstranění. Navíc je
Welchi naprogramovaný tak, že se nejpozději k 1. lednu 2004 sám z "napadeného"
systému odstraní.
Přes svou záslužnou roli ale patří i Welchi do kategorie malware (malign
software škodlivé programy). Jedná se totiž o aplikaci, která se do systému
instaluje bez vědomí uživatele, může způsobit kolizi s dalšími programy,
generuje nadbytečný síťový provoz atd.

Nové triky a technologie
Škodlivé kódy sice na jedné straně využívají starých a osvědčených triků a
technologií, na straně druhé se snaží stále "modernizovat", aby neztratily svůj
náskok. Přitom nejde o náskok před antivirovými technologiemi: stačí se podívat
na rychlost reakcí bezpečnostních firem na různé incidenty, a zjistíme, že onen
náskok se pohybuje v řádu desítek minut či několika hodin. A ten se těžko
změní, ať již k horšímu nebo lepšímu. Jde především o náskok před uživateli a
administrátory.
Sotva se lidé naučili neklikat na přílohy, objevilo se sociální inženýrství,
které je ke klikání opět "svedlo". Odnaučili se to podruhé a přišly
samospouštěcí viry, které už žádné klikání nepotřebovaly. Nějaký čas lidé
potřebovali, aby pochopili, že podezřelé e-maily je lepší mazat rovnou bez
otvírání a že aktivní funkce Preview je koledováním si o průšvih. Jenomže to už
byly viry zase o kousek dál: dostaly se do počítačů přes bezpečnostní chyby. Až
se je lidé naučí záplatovat, škodlivé kódy už budou nepochybně o kus dál.
Ovšem škodlivé kódy nevyužívají nové triky pouze pro to, aby se dostaly do
počítače. Byť toto je pro ně klíčová otázka, bytostně se týkající jejich bytí
či nebytí. Jedním z relativně nových triků, kterak se v počítači udržet, je
falšovat adresu odesílatele. Prostě napadnou určitý počítač a při odesílání
modifikují hlavičku e-mailu tak, že tento vypadá jako odeslaný odjinud.
Samozřejmě, že veškerá varování (ať již generovaná automaticky antivirovými
programy nebo zasílaná postiženými lidmi) pak směřují na adresu nevinného
člověka. A ze skutečně napadeného stroje se červ šíří a šíří a šíří...
Dávno pryč je také doba, kdy byl jediným zdrojem e-mailových adres pro červy
adresář v poštovním klientovi. To bylo sice pohodlné, ale zároveň velmi
úzkoprsé: šíření se tak omezovalo na relativně velmi malý okruh osob kolem
napadeného člověka. V současnosti už škodlivé kódy dokáží adresy obětí získávat
podobně jako různé spamovací roboty jen s tím rozdílem, že je zpravidla
získávají na lokálním disku a ne na internetu. Zkrátka a dobře prohledají
všechny soubory (zpravidla s příponami HTM, HTML či ASP), které si na pevný
disk odložil internetový prohlížeč. Z nich vyberou řetězce, které se podobají
e-mailovým adresám, a na ně se následně rozešlou. Záběr je tak nepoměrně širší
a vytěžených adres nepoměrně více.
Ovšem škodlivé kódy také získávají nové dovednosti, o kterých se nám před
několika lety ani nesnilo. Jsou schopny třeba odcizovat hesla (viz BugBear.B),
jsou schopny používat napadené stroje k dalším útokům (viz Blaster či CodeRed)
atd.

Bitva na mnoha frontách
Ruku v ruce se škodlivými kódy roste potřeba a důležitost antivirové ochrany i
dalších opatření. Kdysi dávno byl antivirový program na každé pracovní stanici.
Žádné sítě prakticky neexistovaly, data se předávala na disketách...
S příchodem počítačových sítí panovalo přesvědčení: "Přeneseme ochranu na
servery. Uživatele to nebude obtěžovat a škodlivé kódy zastavíme už při vstupu
do firmy." Ale ouha, tato filozofie měla několik vážných nedostatků. Jednak
nebyla schopná zachytit nákazu, která prošla přes tyto servery (šifrované
soubory, krátkodobý výpadek AV ochrany). Jednak nebyly chráněny všechny vstupní
body (CD, diskety...).
Současným jednoznačným trendem je nasazovat ochranu na servery i stanice. Tím
jsou blokovány všechny vstupní body a v případě krátkodobého výpadku nebo
selhání jedné "bariéry" ji zastupuje druhá. Uživatelé informačních technologií
už vědí, že riziko škodlivých kódů není dobré podceňovat viry už dávno nejsou
neškodnými programy, které náhodně smažou pár souborů nebo zobrazí nějaký vzkaz
na monitoru. Viry představují nebezpečí pro stabilitu firmy či instituce jako
takové (ochrana dat a osobních údajů, obchodní tajemství, dobrá pověst...).
Jak už ale bylo uvedeno v předchozích odstavcích, antivirová ochrana není a ani
nemůže být všelékem. Pro úspěšný boj s počítačovou infiltrací je zapotřebí
nasadit nejen programy, ale také nové postupy: aplikovat bezpečnostní záplaty,
vzdělávat uživatele, šifrovat data atd. Zkrátka a dobře: musíme bezpečně nejen
myslet, ale i konat.

Aktuální hrozby
Svět počítačových virů se mění nesmírně dynamicky. Mnoho škodlivých kódů zazáří
jako kometa a jen velmi málo se stane stálicí na "virovém nebi". Toto je pět
nejrozšířenějších e-mailových červů, které udeřily v průběhu letošních
prázdnin:
Sobig.F
Už šestá verze škodlivého kódu Sobig, která se od počátku roku 2003 objevila.
Falšuje e-mailovou adresu odesílatele, adresy potencionálních obětí hledá na
počítači v souborech s příponami DBX, HLP, MHT, WAB, EML, TXT, HTM a HTML.
Obsahuje rutinu, která automaticky ukončila jeho šíření k 10. září 2003.
MiMail.A
Červ, který využívá sociální inženýrství. Vydává se za zprávu od administrátora
s tím, že brzy skončí funkčnost e-mailového účtu. Bližší informace viz
přiložený soubor. Ten se jmenuje message.zip a obsahuje htm soubor s
nebezpečným skriptem.
Klez.H
Varianta červa Klez (ten trápí svět IT už od loňského roku), která se objevila
v dubnu 2003. Využívá bezpečnostní díru I-Frame trik k automatickému
sebespuštění po vstupu do počítače.
Yaha.E
První varianta kódu Yaha se objevila už v únoru 2002, "éčková" je známa od
června 2002! A přesto se stále drží mezi nejrozšířenějšími škodlivými kódy.
Červ se šíří nejen e-mailem, ale také po lokální síti. Obsahuje velké množství
maskovacích technik, např. se pokouší vypnout běžící procesy AV programů.
BugBear.B
Nebezpečí z června 2003. Nevyužívá žádnou novou techniku, technologii nebo
trik, přesto je velmi nebezpečný. Z napadeného počítače dokáže odcizovat hesla;
pokud je počítač v bankovní síti, dokáže jej zpřístupnit pro ovládání hackery.
Navíc se bylo možné setkat i s dvojicí síťových červů:
Lovsan/Blaster
Červ, který zneužívá bezpečnostní chybu DCOM/RP. Šestnáctého srpna se pokusil
provést masivní DDoS útok na server www.windowsupdate.com.
Welchi
Jakási "odpověď" na incident Lovsan/Blaster. Šíří se stejným způsobem, ale
svého zákeřného předchůdce likviduje a ještě ke všemu postižený počítač
záplatuje. K prvnímu lednu 2004 automaticky ukončí svoji činnost.

Základní kategorie škodlivých kódů
Počítačové viry (computer viruses)
jsou to kusy programového kódu, které jsou schopné se prostřednictvím
hostitelské aplikace replikovat, a to více než jednou. Přeloženo do
srozumitelného jazyka: virus je počítačový program, který se prostě šíří, aniž
by o tom člověk sedící za počítačem věděl.
Červi (worms)
škodlivý kód, který pro své šíření využívá služeb jakékoliv sítě (lokální i
globální). Zatímco počítačový virus potřebuje pro své šíření hostitelské
aplikace, červ je zpravidla škodlivým kódem sám o sobě.
Zadní vrátka (backdoor)
jak již název tohoto software napovídá, jedná se o aplikace, které počítač
"otevírají" (většinou bez vědomí uživatele) útočníkům ať již samotná data v něm
obsažená či jako prostředek k dalším útokům.
Trojští koně (trojan horses)
jakékoliv počítačové programy, které na jedné straně vykonají činnost, kterou
uživatel očekává, ale zároveň provedou činnost, o které nemá ani ponětí a s níž
by pravděpodobně nesouhlasil (např. přesměrování linky vytáčeného spojení
internetu na dražší číslo).









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.