Zvoní hrana e-mailovým červům?

Ač se v poslední době může zdát, že e-mailoví červi pomalu odcházejí ze scény, pravdou je pravý opak. I když...


Ač se v poslední době může zdát, že e-mailoví červi pomalu odcházejí ze scény,
pravdou je pravý opak.

I když se o nových epidemiích příliš nemluví, neznamená to, že neexistují.
Prostě se jen staly tak pevnou součástí kyberprostoru, že se nad příchodem
dalšího červa pozastavuje už jen málokdo. Technologických novinek na tomto poli
se objevuje málo. Červi se tak od sebe liší vlastně jen používanými metodami
sociálního inženýrství. Jednou informují o tom, že sebevraždu spáchal Usáma bin
Ládin, jindy Michael Jackson. Jednou slibují přinést dokumenty s usvědčujícími
informacemi o zavraždění papeže. Jindy se zase snaží namluvit, že obsahují
videozáznam z teroristických útoků v Londýně. Jak vidno, fantazii se meze
nekladou a společné mají tyto škodlivé kódy jedno: působí škody v počítačích.
E-mailoví červi nás opravdu neopouštějí a těžko se s nimi v nejbližší době
rozloučíme. Svědčí o tom třeba kalamita ze srpna 2005, kdy se během
čtyřiadvaceti hodin objevilo sedm verzí červa Bagle. Podobná situace se
opakovala 19. září 2005, kdy se objevilo během noci osm nových verzí tohoto
kódu. Zajímavé je, že první verze Bagle nás začaly obtěžovat už počátkem roku
2004 a že se stále drží na předních příčkách pomyslných hitparád červů.
I když v případě kódu Bagle je situace trochu složitější: dříve to byl
plnohodnotný e-mailový červ, dnes jde v drtivé většině případů o škodlivý kód,
který sice využívá e-mail, ale nemá schopnost samošíření. Nynější Bagle
představuje jednoduché prográmky, které jsou masově rozesílány podobně jako
spam na obrovské množství e-mailových adres. Pokud je někdo na počítači spustí,
je infikován, ale k dalšímu šíření nedochází. Autoři Bagle pochopili, že
jednodušší než vymýšlet složité distribuční mechanismy je využít právě spamu
jako distribučního média. Nicméně Bagle má stále všechny ostatní vlastnosti a
nebezpečnost e-mailových červů.
Nejedná se přitom pouze právě o Bagle, ale i o další škodlivé kódy jako Sober,
Mytob, Netsky, Zafi, Lovgate a další. Statistiky (například Messagelabs)
názorně dokládají, že přestože počet škodlivých kódů v posledních dvou letech
narůstá o čtyřicet procent ročně, počet skutečně velkých epidemií se za stejné
období snížil o plnou polovinu.
Pro někoho je možná trochu zarážející ta skutečnost, že navzdory skoro dvouleté
existenci kódů řady Bagle si s nimi antivirové programy stále nedokáží poradit.
Důvod je ten, že tvůrci škodlivého malwaru mají možnost si z internetu stáhnout
různé zkušební verze antivirových programů a svůj kód pak upravují tak dlouho,
dokud všem (nebo alespoň většině těch nejvýznamnějších) produktům virus
"neuteče". Ovšem i tak dokáží heuristické analýzy identifikovat v průměru přes
padesát procent "neznámých" virů. A když už by snad heuristika selhala, měly by
nastoupit jiné metody. Třeba automatické blokování spustitelných příloh apod.
Právě spustitelné přílohy představují největší nebezpečí. Statistiky hovoří o
tom, že výrazně méně než jedno procento zaslaných spustitelných souborů má pro
příjemce skutečně nějakou hodnotu. O zbytek se svorně dělí malware a žertovné
prográmky. Navíc produkování celých "rodin" škodlivých kódů je současným
trendem, který umožňuje jejich autorům se z minulých chyb poučit tento trend je
přitom nebezpečnější, než by se mohlo zdát.
Historicky nejpočetnější rodinu červů vytvořili v případě e-mailového Gaobota
neznámí autoři. Dosud jsme zaznamenali 4 200 jeho odlišných podob, avšak reálná
nebezpečnost jednotlivých variant byla velmi nízká. Navíc modifikace byly
mnohdy kosmetického rázu, takže je spíše otázkou, kde končí modifikace jednoho
kódu a kde už můžeme hovořit o novém typu. Nicméně díky tomuto "zasypání"
internetu kódy Gaobot je pravděpodobnost toho, že se s nimi setkáte, poměrně
vysoká.

Přerod červů
Než o poklesu množství e-mailových červů bychom tak měli hovořit spíše o jejich
transformaci. Musíme se na něj totiž dívat z několika úhlů pohledu. Tím jedním
je třeba celková míra nebezpečnosti (nemluvme teď o narůstající nebezpečnosti
některých konkrétních kódů, ale o obecné situaci). Ta rozhodně klesá, ovšem za
podmínky, že celý problém je uživateli či správci brán vážně a zodpovědně.
Nebezpečí totiž nemůže klesat v případě, že ho budeme ignorovat. Nicméně na
základě zkušeností z minulosti už jsme schopni vyvinout dostatečné kontrolní
mechanismy, které nám zaručují téměř absolutní ochranu. Proč se tedy e-mailoví
červi (úspěšně) stále šíří? Pořád totiž existuje (a bezpochyby existovat bude)
skupina uživatelů a správců, kteří budou problém ignorovat nebo řešit ne zrovna
nejšťastnějším způsobem.
Pokud míra nebezpečnosti e-mailových červů klesá, rozhodně se totéž nedá říci o
jejich počtu. Ten naopak narůstá. Důvodů je několik. Způsobit větší epidemii je
jak už bylo výše rozebráno čím dál obtížnější. Nicméně tvůrci e-mailových červů
potřebují zasáhnout co nejvíce počítačů a aby toho dosáhli, musejí se
soustředit na kvantitu. O tom ostatně svědčí i výše zmíněné útoky červa Bagle
(sedm různých variant za jednu noc), protože očekávají, že se uplatní alespoň
některá.
Kromě toho narůstá i aktivita amatérských tvůrců e-mailových červů (script
kiddies), kteří si své výtvory (zpravidla s minimální mírou nebezpečnosti,
nicméně zanedbávat je nelze) chtějí testovat v reálném světě. Na internetu
přitom mohou nalézt spoustu studijních kódů, návodů, tipů či rad.

Komplexní problém
Ovšem snad nejdůležitějším trendem je skutečnost, že dochází ke stírání hranice
mezi jednotlivými typy malwaru. Jinými slovy: e-mailoví červi mají vlastnosti
zadních vrátek, spywaru, adwaru či jiných škodlivých kódů. Právě elektronická
pošta je totiž velmi snadným a pohodlným distribučním médiem a díky masové
podobě internetu není potřeba napadat co nejvíce počítačů, ale stačí jen velmi
úzký okruh. Příkladem může být jeden ze zatčených phisherů, který zaměstnával
(přesnější by bylo napsat platil) dalších sedmnáct spolupracovníků a který si
údajně stěžoval na to, že "práce bylo tolik, že nebylo v lidských silách
všechny získané informace zpracovávat".
Aktivních škodlivých kódů (tedy těch, se kterými se lze setkat) je něco kolem
čtyř tisíc. Je pravdou, že mezi deseti nejrozšířenějšími škodlivými kódy
zpravidla naleznete jen dva až tři e-mailové červy (viz například dokument na
webové adrese www.pandasoftware.com/virus_info/encyclopedia).
Jen proto, že internetoví červi scházejí z očí, by neměli sejít i z mysli. Ze
sítě totiž nesešli a nějaký ten pátek zřejmě ještě nesejdou...



Tipy proti e-mailovým červůmZablokujte na serveru příchod e-mailů s přílohami,
které nejsou potřeba (EXE, VBS, CHM apod.).
Veškeré přílohy z e-mailů před otevřením uložte na pevný disk, až poté je
otevřete. Předejdete tak situaci, kdy je virus rychlejší než antivirový program
nebo kdy má tento program problémy s kontrolou příloh uložených v systému v
pracovním adresáři (temporary).
Pokud je vám na e-mailu cokoliv podezřelého, raději ho nebo jeho přílohu vůbec
neotevírejte. V případě, že si nejste jisti, pošlete ověřovací zprávu.
Pravidelně záplatujte a poučujte uživatele o správném používání elektronické
pošty (nepoužívat HTML formátování apod.).
Používejte dvoustupňovou ochranu: jednak na serverech, jednak na stanicích.
Předejdete tak potížím při selhání jedné z nich. Šifrované soubory není na
serveru možné obvykle kontrolovat.
Vítaným pomocníkem (i když ne všelékem) je elektronický podpis, který zajišťuje
integritu celého e-mailu nebo alespoň jeho přílohy.
Čas od času překontrolujte funkčnost systému třeba pomocí řešení EICAR
(www.eicar.org).









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.