Skrytá hrozba jménem zombie

Spojit desítky, stovky či tisíce samostatně stojících počítačů do jedné velké sítě s možnostmi superpočítače...


Spojit desítky, stovky či tisíce samostatně stojících počítačů do jedné velké
sítě s možnostmi superpočítače je určitě myšlenka zajímavá. Ale dnes je tato
pozitivní idea zneužívána hackery, kteří napadají počítače a následně je (bez
vědomí jejich právoplatných majitelů) zapojují do rozsáhlých sítí. Tyto
"počítače dvou pánů" se pak označují jako zombie.

Co iniciuje vznik?
Jak vlastně dojde k tomu, že se z počítače stane zombie? V podstatě jde o to,
že útočník získá přístupová práva k napadenému počítači, a pak už mu nic v
ovládání inkriminované stanice nebo serveru nebrání. Práva si uzme nejčastěji
instalací speciálního programu, který mu umožní vzdálenou komunikaci (jedná se
v podstatě o určitou formu administrátorského přístupu). Tento program se do
počítače instaluje buď společně s jinou aplikací (jako je trojský kůň), jako
škodlivý kód například ve formě apletu nebo skriptu ve webové stránce, pomocí
e-mailového červa nebo třeba prostřednictvím peer-to-peer sítí. Nepoměrně
vzácnější jsou pak přímé hackerské útoky, kdy se nezvaný host dokáže dostat do
počítače a ten si následně překonfiguruje podle svých potřeb.
Útočný kód přitom nemusí být nijak obsáhlý - stačí, aby měl několik
jednoduchých funkcí (velmi často je v základním repertoáru příslušného programu
blokování antivirové ochrany nebo firewallu) a následně aby se dokázal připojit
k mateřskému serveru, počítači nebo webové stránce, odkud si stáhne potřebné
komponenty nebo získá další informace či instrukce.
A co zombie dělají, respektive k čemu jsou využívané? Seznam nejčastějších
aktivit najdete popsaný v samostatném boxu, nicméně obecně se dá říci, že
nasazovány jsou k provádění prakticky jakýchkoliv neetických nebo rovnou
nelegálních aktivit - třeba i k ukládání pirátských programů, rasistických nebo
jinak diskriminujících materiálů, dětské pornografie apod. Postižená osoba se
tak může dostat do problémů nejen například s nefunkčností vlastní techniky,
ale i do nepříjemné konfrontace se zákonem.
Denně je podle řady statických údajů do sítí zombie "zavlečeno" třicet až
padesát tisíc dalších počítačů nicnetušících uživatelů. Existují sice i
statistiky hovořící až o statisících celosvětově denně takto infikovaných
systémů, ale v těchto případech je často zpochybňována použitá metodika
(zobecňování zjištěných hodnot).
Jakmile se napadený počítač dostane do spárů útočníka (v daném případě
označovaného jako zombie master), je zpravidla automaticky zařazen do
hierarchie určité sítě. Ostatně, manuální kontrola nebo zařazování není v
případě rozsáhlých sítí čítajících i přes milion počítačů z pochopitelných
důvodů možné. Tyto sítě jsou přitom někdy obdivuhodně sofistikované, což svědčí
mimo jiné o tom, že jejich autory nejsou jen obyčejní programátoři. Často se
lze setkat i s několikaúrovňovým řízením, protože jeden stroj by těžko dokázal
obsloužit desítky či stovky tisíc koncových zařízení - hlavní počítač by se tak
buď sám stal cílem DDoS útoku dotazujících se "podřízených" nebo by je prostě
nezvládal obsluhovat.
Velmi často se přitom lze setkat s počítači zombie, které jsou zapojené i do
několika různých sítí. Důvodem je fakt, že ne všechny počítače jsou stále
potřebné, takže si hackeři navzájem vypomáhají zapůjčováním či výměnou
získaných strojů. Obsluha zombií se děje mnoha různými způsoby, nejčastěji
ovšem pomocí technologie IRC na portu 6667 (nemusí to být ale pravidlem,
protože tento port lze poměrně snadno změnit).

Kdo je ohrožen
První generace zombií se před několika lety skládala prakticky výhradně z
počítačů korporátního sektoru. Důvod byl víceméně jednoduchý. Jedině firemní
stroje tehdy měly dostatečnou kapacitu komunikačních linek a byly stále
on-line. Kromě toho se ve firmách na bezpečnost až tolik nehledělo. Ne že by na
tom domácí uživatelé byli s bezpečností lépe, ale k internetu se připojovali
jen na krátké chvíle a jejich linky měly velmi malou kapacitu.
Současný trend útoků je přitom přesně opačný: orientace na domácí počítače. Ty
totiž již disponují relativně silnými komunikačními kanály i značnými výkony a
jsou zbytečně ponechávané připojené on-line k internetu (a to prakticky s
minimálním zabezpečením). Navíc domácí uživatelé jsou obvykle neproškolení a v
případě problémů se nemají s kým poradit - takže pokud jejich situace není
vyloženě kritická, raději se na specializovanou firmu neobracejí.
Nicméně i dnes se lze stále ještě setkat s relativně velkým množství zombie v
podnikových sítích, kde představují značné bezpečnostní riziko. Zarážející by
měl už být sám o sobě fakt, že se cizí software do firemní lokální sítě dokáže
dostat, zde se uchytit, nebo dokonce vykonávat nějakou činnost.
Prevence před tím, abychom se naše počítače nestaly zombiemi, není ničím
mimořádným. Platí zde úplně stejná pravidla jako pro ostatní oblasti informační
bezpečnosti. Tedy používání aktuálního antivirového a antispywarového softwaru
včetně zajištění nejnovějších záplat či správně nakonfigurovaného firewallu.
Vůbec neškodí rovněž provádění pravidelného softwarového auditu (uživatelé si
minimálně budou dávat pozor na to, co do počítačů instalují) a častá školení
všech zaměstnanců (včetně správců nebo členů vrcholového managementu, který
bývá v mnoha organizacích extrémně časově přetížený a leckdy také zdrojem mnoha
problémů).
Prevence totiž může představovat více než devadesát procent úspěšného boje s
problémem. Manuální nebo automatická kontrola chodu antivirového programu a
firewallu (personálního firewallu) je také vhodná, neboť jednou z prvních
aktivit útočných programů bývá snaha o jejich zablokování.
Do boje se zombiemi se často pouštějí i sami poskytovatelé internetu, kteří se
snaží podezřele se chovající stroje odstavovat nebo alespoň důrazně upozorňovat
jejich majitele. Ostatně, je právě v zájmu ISP, aby zombií bylo na světě co
nejméně - nemusejí pak totiž zbytečně rozšiřovat přetěžované
komunikační kanály.
Článek "Rootkity a boti: Sílící nebezpečí pro PC", který jsme uveřejnili v
minulém vydání Computerworldu, poukazoval na nové typy ohrožení uživatelských
PC. Mezi ně patří i dnes podrobněji popisované zombie počítače. ¨


K čemu slouží zombie?

DDoS útoky - Snad nejčastěji se sítě zombie využívají k nastartování
distribuovaných DoS útoků. Útočník pak nemusí disponovat vlastním výkonným
počítačem a silnou linkou, ale spojí síly mnoha slabých stanic - výsledek je
ovšem stejný. Kromě toho stopy DDoS útoku nevedou přímo k útočníkovi, ale k
mnoha jiným zúčastněným počítačům.
Rozesílání spamu - Uvádí se, že 50 až 80 % celosvětové nevyžádané pošty
(spamu) je rozesíláno právě pomocí zombie. Ty umožňují chrlit pomalý, leč
nekonečný proud nevyžádaných zpráv z velmi vysokého množství pramenů. Výhoda z
hlediska útočníka je stejná jako při využití cizích počítačů k DDoS útokům.
Navíc odstavení i většího množství počítačů (stejně jako při DDoS) útočníka
nezastaví.
Vytvoření superpočítačů - Spojení mnoha samostatných systémů do jednoho celku
může posloužit nejen ke koordinovaným DDoS útokům nebo rozesílání spamu, ale
třeba i třeba ke složitým matematickým výpočtům nebo k jiným úkonům vyžadujícím
větší než obvyklou výpočetní, diskovou či jinou kapacitu.
Monitorování uživatelů - Monitorování širokých skupin uživatelů současně
umožňuje vytvářet marketingové modely nebo jiné statisticky směrodatné vzorky.
Ty se pak po "zoficiálnění" mohou prodávat jako seriózní studie nebo se jejich
výsledkům mohou přizpůsobovat neetické reklamní kampaně.
Získávání impresí - Síť zombie může posloužit také k získávání neexistujících
kliknutí v rámci různých reklamních kampaní. Za nejdražší jednotlivá kliknutí
se totiž někdy platí až desítky dolarů. Zadavatelé si ale pochopitelně hlídají,
aby každá žádost o zobrazení šla například z jiné IP adresy.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.