Vícevrstvá obrana sítě podlehla útoku červa

Nejnovější útok počítačového červa byl rychlejší než snahy o instalaci záplaty. Právě když jsme se v naší spo...


Nejnovější útok počítačového červa byl rychlejší než snahy o instalaci záplaty.
Právě když jsme se v naší společnosti chystali spěšně přejít na údajně
bezpečnější Windows Server 2003, byla ohlášena chyba v implementaci RPC (Remote
Procedure Call) služeb, které pro komunikaci používají technologie DCOM
(Distributed Component Object Model). Kvůli této nejnovější bezpečnostní chybě
přetečení bufferu je zranitelná každá verze Windows, a to včetně Serveru 2003,
a tak jsme začali své plány přehodnocovat.
Po oznámení chyby Microsoftem a zveřejnění příslušné bezpečnostní záplaty byl
bohužel také rychle uvolněn kód, který chyby zneužívá. Bylo nám tedy jasné, že
můžeme v blízké době očekávat útok příslušného počítačového červa. Po instalaci
záplaty dochází k restartu systému, což pro nás znamená výrazně větší objem
práce při zkoumání provedených změn v nastavení. Testy nových konfigurací se
nám však podařilo realizovat poměrně rychle, a tak byly v době, kdy červ
Blaster využívající chyby v RPC zaútočil, záplaty nainstalovány na 80 %
zranitelných zařízení.
Útok tohoto červa naštěstí dokáže zastavit i ten nejjednodušší firewall.
Spousta PC i serverů s operačním systémem Windows vně naší sítě však firewally
nemá nainstalovány, takže červ nakazil řadu počítačů připojených k internetu.
Náš firewall čelil tisícům pokusů o průnik, které nás však nijak neohrozily
alespoň prozatím.
Věděli jsme však, že ani dobře nakonfigurovaný firewall nemusí stačit k tomu,
aby úplně zabránil průniku červa do naší sítě, a proto jsme začali zjišťovat
cesty, po kterých by se k nám nákaza mohla dostat. Ihned nám bylo jasné, že
největší riziko představují uživatelé laptopů.

Pro mobilní uživatele
Všem těmto uživatelům jsme poslali e-mail a vyzvali je, aby se rozhodně
nepřipojovali k firemní síti předtím, než poskytnou své počítače ke kontrole
našemu oddělení. Také jsme od našeho dodavatele zabezpečovacího softwaru,
společnosti Network Associates, obdrželi aktualizovanou definici viru pro její
antivirový systém a začali ji instalovat.
Naštěstí většina případů zavádění tohoto antivirového softwaru nevyžaduje
restart systému. Mohli jsme jej tedy instalovat jen s nepatrným přerušením
činnosti systému a k následné instalaci záplaty Microsoftu si naplánovat
vhodnější příležitost.
Uživatelé laptopů se řídili naší výzvou a my jsme brzy zahájili kontrolu
nastavení firewallů a antivirového softwaru pro identifikaci virů na jejich
počítačích. V této fázi jsme na sebe byli opravdu hrdí. Domnívali jsme se, že
by nebylo důstojné, kdyby tak velká společnost, jako ta naše, připustila, aby
byla její síť napadena červem Blaster. Snadno aplikovatelná záplata, spousta
upozornění uživatelům a špatně napsaný program červa, jehož útok mohl být
zastaven i tím nejjednodušším firewallem. Kudy by mohl proklouznout?
Odpověď na tuto otázku přišla o pár dní později, když jeden počítač za druhým
začal podával varovná hlášení o přítomnosti červa Blaster a také aktivita
našeho systému detekce průniku (IDS) se horečnatě zvýšila. Někdo v naší síti
šířil kód červa.

Kdo je vinen
Pomocí IDS jsme jako zdroj problému urychleně identifikovali jednoho uživatele
laptopu. Zatímco mu moji kolegové zběsile telefonovali, aby se odpojil od
firemní sítě, já jsem doslova letěl do jeho kanceláře. Po běhu budovou našeho
podniku jsem byl celý rudý, udýchaný a rozzlobený. S dodržováním postupu, který
používáme při zjištění bezpečnostního incidentu, jsem se neobtěžoval. Jakmile
jsem si byl jist, že se skutečně jedná o onen inkriminovaný počítač, beze slov
vysvětlení jsem jej zabavil a odešel z kanceláře. Pociťoval jsem ze strany
onoho uživatele takovou zradu, že jsem opravdu nevěděl, co bych býval řekl,
kdybych v jeho kanceláři zůstal.
Po návratu do našeho oddělení nastalo pár nervózních a tichých okamžiků, během
nichž jsme pozorně sledovali činnost IDS. Naštěstí se po odpojení laptopu
obnovil běžný stav. Objevilo se ještě několik antivirových alarmů, byla to však
pouze opožděná varování.
Zasáhli jsme tedy včas. Přestože žádný další počítač nebyl nakažen, stáli jsme
na prahu katastrofy. Počítače, které neměly aplikovanou záplatu, byly chráněny
antivirovým softwarem, a nakažený laptop se naštěstí nepokoušel o kontakt s
počítači bez záplaty nebo bez aktualizované databáze virů.
Pak jsme se blíže podívali na napadený laptop. Databáze virů byla několik
měsíců stará a důvěřivá konfigurace firewallu ponechala počítač otevřený
síťovému provozu, takže umožnila průnik červa.
Když jsem ovládl svůj vztek, šel jsem si s oním uživatelem pohovořit. Nedokázal
vysvětlit, jak ke změně konfigurace firewallu došlo, nicméně připustil, že
předtím, než nám chtěl svůj počítač předložit ke kontrole, chtěl ze svého
laptopu zkopírovat pár souborů. Ignoroval naše rady a dřív, než jsme měli
možnost laptop prověřit, jej připojil přímo do sítě. Tak mohl červ vniknout do
naší sítě a začít hledat možnosti, jak se šířit dál.
Příště budu muset při přesvědčování uživatelů laptopů, aby nám důvěřovali,
vynaložit větší úsilí. Bude také třeba najít způsob, jak přimět uživatele, aby
se chovali tak, jak se to od nich vyžaduje. Na druhou stranu je zřejmé, že naše
spokojenost s obrannými opatřeními nebyla na místě. Abychom měli šanci přežít
příští vlny útoků počítačových červů, potřebujeme vždy rychle instalovat
bezpečnostní záplaty a aktualizovaný antivirový software na každé zařízení.

Redukce spamu
Strategie redukce spamu metodou "návratu odesilateli", kterou jsme v naší
společnosti zavedli a o které jsem psal v této rubrice v CW 41/2003, vyvolala
velkou odezvu čtenářů. Snad největší jejich obava pramení z faktu, že někteří
odesilatelé spamu používají jako adresy "od" skutečné adresy nevinných
uživatelů e-mailových služeb. Podle některých čtenářů posílání automatických
odpovědí na adresy, které byly zneužity, problém jen komplikuje.
Ve skutečnosti ale neodpovídáme na každou zprávu. Abychom příjemce nezahlcovali
zprávami, je náš systém navržen tak, aby na každou adresu odesilatele byla
doručena pouze jedna kopie našeho varování a žádosti o prokázání identity
uživatele účtu. Naše odpovědi také obsahují úplné hlavičky námi obdržených
nevyžádaných zpráv, takže pokud někdo adresu příjemce zneužil k nekalé
činnosti, oprávněný uživatel může zahájit vyšetřování. Všechny další zprávy
odeslané z této adresy jsou mazány.
Tato strategie není dokonalá, avšak funguje, a doposud si nikdo nestěžoval.
Pokud máte někdo lepší řešení, které zajistí našim uživatelům ochranu před
otravnými nevyžádanými zprávami, aniž bychom přitom přišli o důležitou poštu, a
jeho provoz bude stát méně než 100 000 dolarů ročně, rád se s ním seznámím.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.