Informační bezpečnost v roce 2005

1. 2. 2007

Sdílet

Několik let vycházela v časopise PC WORLD čtenářsky vysoce hodnocená každoroční brožura "Počítačové viry v roce..." Tu později nahradil stejnojmenný text v časopise PC WORLD Security, kde zároveň začal vycházet i přehled věnovaný celkovému stavu informační bezpečnosti. Od letošního roku jsme se rozhodli oba přehledy spojit - mj. proto, že hranice mezi škodlivými kódy a dalšími typy útoků fakticky zmizela... Rozdělovat informace do dvou samostatných článků tak bylo stále obtížnější, až nemožné.

Odpočívej v pokoji, vire
Dnes už můžeme s klidným svědomím prohlásit, že klasické počítačové viry jsou minulostí - z hrozeb v roce 2005 na ně připadalo méně než jedno zanedbatelné procento. Na jejich místo ovšem nastupují jiné škodlivé kódy, jako třeba e-mailoví červi nebo stále více trojští koně.
Právě na trojské koně připadalo loni dvakrát více nových kódů než na červy. Útočníci se totiž od klasických e-mailových červů poněkud odklonili. Teď využívají jiné vektory šíření: např. své kódy stále posílají pomocí elektronické pošty, ale ty se z napadených počítačů už dále nešíří. Důvody jsou dva. Prvním je snaha neupozorňovat na sebe - jen tak může kód dlouhodobě provádět v počítači svoji zákeřnou činnost. Druhým důvodem je fakt, že antivirový průmysl reaguje na nové hrozby poměrně rychle. Takže když se objeví nový e-mailový červ, trvá několik hodin, než dokáže "rozjet" globální epidemii. A v tu chvíli už jsou zpravidla k dispozici aktualizace antivirových programů.
Naproti tomu v případě masového rozeslání trojského koně metodou, kterou využívá spam (několik set tisíc kopií během desítek minut), je v okamžiku, kdy antivirové firmy vydávají své záplaty, už po epidemii. V tu chvíli jsou všechny kopie útočného kódu v "cílových stanicích" a prakticky žádné se po internetu už nešíří.
O tom ostatně svědčí i skutečnost, že zatímco v roce 2003 jsme celosvětově zaznamenali desítky masových útoků, v roce 2004 jich výrazně ubylo - a ty loňské bychom spočítali na prstech jedné ruky s tím, že jejich nebezpečnost se s minulými incidenty nedá srovnávat. Toto by bylo pochopitelně příjemné zjištění, jenomže statistiky nás varují: za rok 2005 došlo k nárůstu počtu škodlivých kódů o 48 procent! Každý 44. e-mail odeslaný v tomto roce přitom obsahoval nějaký škodlivý kód! (V případě epidemií i více - třeba v listopadu 2005 se šířil červ Sober.Z, takže po internetu putoval virus v každém dvanáctém e-mailu.)
Situace tedy přesně kopíruje celkový stav v ICT bezpečnosti: od viditelných a masových útoků přecházíme k méně nápadným, ale o to nebezpečnějším lokálním incidentům. Navíc se o nich méně mluví, takže poutají méně veřejné pozornosti - tím klesá informovanost a pozornost uživatelů i administrátorů. Což pochopitelně útočníkům vyhovuje.
Pokud se podíváme na deset nejrozšířenějších škodlivých kódů v roce 2005, pak jsou na prvním a druhém místě Zafi.D
a Netsky.P, které shodně zaujímají asi 15procentní podíl. Na dalších místech najdete kódy s dvou- až pětiprocentním podílem: Sober.Z, Sober.N, Zafi.B, Mytob.BE, Mytob.AS, Netsky.D, Mytob.GH a Mytob.EP. Jak vidno, v první desítce jsou čtyři kódy z rodiny Mytob a po dvou Zafi, Netsky a Sober. Mimochodem, Netsky.P se drží na vedoucí pozici dlouhodobě, neboť byl nejrozšířenějším kódem už v roce 2004!
Co vlastně aktuální škodlivé kódy dělají a nakolik jsou nebezpečné? Přes čtyřicet procent z nich umožňuje přístup do infikovaného počítače nepovolané osobě. Jen o několik procent méně obsahuje funkci, schopnou stahovat další aplikace z webových stránek. Třetina krade informace - a šestina vypíná antivirový program a/nebo firewall.
V neposlední řadě bychom chtěli upozornit na nebezpečí spywaru. Podle firmy ScanSafe se počet sledovacích programů v minulém roce každý měsíc zdvojnásobil - což je asi trochu nepřesné, protože by tento růst geometrickou řadou znamenal, že na konci roku bude stav spywaru dvoutisíckrát vyšší než na počátku roku. Takže se spíše držme konzervativnějších odhadů, hovořících i tak o radikálním meziročním nárůstu spywaru ve výši 165 procent...


Nový cíl: hry
V roce 2005 si našli útočníci velmi zajímavý cíl. Staly se jím počítačové hry. Proč? Kopíruje to totiž celosvětový trend v oblasti ICT útoků: hackeři jdou po penězích. A počítačové hry možnost velmi jednoduchého (navíc právně obtížně postihnutelného) způsobu získání financí nabízí.
Jak? Kvalitní postavy z úspěšných on-
-line her se stejně jako různé magické předměty či vlastnosti z těchto her běžně prodávají na specializovaných internetových burzách. A to za nemalé sumy: opravdu zajímavá postava s dobrými vlastnostmi stojí běžně stovky, občas i tisíce dolarů...
Přímo čítankovým příkladem takovéhoto útoku proti hře může být trojský kůň LegMir-Y, který zjišťoval, zda je v napadených počítačích on-line RPG hra Lineage-II. Pokud zde byla, LegMir-Y odesílal útočníkovi bez vědomí uživatele přihlašovací jména a hesla jeho postavy. Útočník se pak přihlásil ke hře pod dvěma účty: pod svou vlastní postavou a také pod postavu, ke které zcizil přihlašovací údaje. Herní postavu oběti následně přiměl odevzdat magické předměty, peníze, schopnosti a kdoví co všechno ještě.
A ty posléze zpeněžil na internetových aukcích. (Alternativou útoku byla změna přihlašovacího jména a hesla k této postavě a prodej celé postavy.)
Autorem trojského koně Leg-Mir-Y byl jistý čínský student, pobývající dlouhodobě v Japonsku. Nehrozí mu ale trest za prodej kradených virtuálních předmětů - na něco podobného jaksi neexistují paragrafy. Čeká ho ovšem trest za hackerské útoky proti počítačům.
Na podobném principu pracoval třeba i e-mailový červ W32/PrsKey-A, který rovnou kradl uživatelská jména a hesla k RPG hře "Priston Tale". Tato hra má celosvětově miliony uživatelů, přičemž nejvíce jich je v Jižní Koreji. Zde byl také v srpnu 2005 zadržen celý gang osob, který se na kriminalitu související s touto hrou zaměřoval.
Čínské soudy musely zase řešit žalobu jednoho hráče on-line hry na jiného hráče s tím, že poškozený byl údajně ve hře podvodem spoluhráče (nikoliv protihráče!) zabit s cílem zmocnit se meče s mimořádnými magickými schopnostmi...
Ke konci roku 2005 bylo známo přes tři sta (!) exemplářů různých škodlivých kódů, orientovaných právě na útoky proti počítačovým hrám. Takže až budete zase někdy na internetové aukci hledat "skřeta s výjimečnými kouzelnickými schopnostmi", dejte si pozor. Třeba je kradený.


Svět plný zombie
V roce 2005 bylo detekováno více než deset tisíc vzorků tzv. botů - automatických aplikací, které pročesávají internet a hledají zranitelné nebo nedostatečně zabezpečené počítače, aby je napadly. Oproti předchozímu roku je to nárůst o 175 procent! Boty tak představují přes dvacet procent veškerého malwaru (malign software - škodlivého softwaru).
Boty (z anglického bots, což je zkratka z robots - automaty) jsou programy, které mohou do počítače vstoupit různými cestami, zůstat zde aktivní a následně očekávat příkazy od svých tvůrců (nejčastěji IRC). Jejich nebezpečí spočívá v tom, že jsou schopné vykonat prakticky cokoliv.
Na celém světě jsou obrovské sítě tzv. zombie počítačů, které byly infikovány pomocí botů a které následně kontrolu-
jí "pasáci" (herders), jak se hackerům využívajícím tyto sítě říká. Jedná se vlastně o gigantické virtuální sítě či jistou formu superpočítačů, kdy se mnoho jednotlivých zařízení (bez vědomí svých majitelů) spojí do jednoho celku. Ten pak může provádět úkony, kterých by jednotlivé počítače nebyly schopné.
Bohužel se v těchto případech jedná o úkony nelegální nebo neetické. Sítě zombie slouží k masovému rozesílání spamu (stopy pak nevedou ke skutečnému útočníkovi, který navíc nemusí investovat do vlastního hardwaru), provádění DDoS útoků (více podrobností o tomto fenoménu jsme přinesli v PC WORLD Security 3/2005), monitorování uživatelů (a jejich zvyklostí) k "marketingovým účelům", získávání "kliknutí" (jednak pomocí ovládaných počítačů dochází k umělému zvyšování návštěvnosti některých webových stránek, jednak se v případě speciálních reklamních kampaní za jedno kliknutí platí až desítky dolarů!), vytváření virtuálních superpočítačů (např. k prolamování šifer) apod.
Uvádí se, že celosvětově se v sítích zombie nachází nedobrovolně miliony počítačů. Pravděpodobně nejde o číslo nikterak nadsazené, protože jen nizozemská policie dokázala v říjnu 2005 rozbít gang, který spravoval více než půl druhého milionu (!) infikovaných počítačů...


Dosažena mobilní stovka
V závěru roku 2005 padla magická hranice jednoho sta známých škodlivých kódů pro mobilní zařízení jako jsou PDA, smartphony apod. To je další z aktuálních trendů v oblasti ICT útoků: snaha napadnout zranitelné body sítí. Ne nadarmo se uvádí, že jedním z největších bezpečnostních problémů roku 2006 a let následujících bude používání MP3 přehrávačů, nekontrolovaně připojovaných do podnikových sítí...
Je přitom zajímavé, že sedmdesát procent organizací nebere hrozbu vyplývající z infiltrace mobilních zařízení vážně a považuje ji za nafouknutou bublinu bezpečnostních firem. Což je i není pravda. Nejde o to, že by nám hrozila mobilní virová epidemie: musíme si uvědomit, jak je svět mobilních technologií pestrý - hardwarově i softwarově. Což se třeba o světě informačních technologií říci nedá: devět z deseti počítačů na světě má operační systém od jednoho výrobce. S kancelářskými aplikacemi, poštovními klienty nebo internetovými prohlížeči je to velmi podobné. Různorodé prostředí (mnoho výrobců, mnoho platforem, rychlý vývoj kupředu, pomalá výměna starších přístrojů aj.) přitom škodlivým kódům vůbec nesvědčí. Potřebují totiž k úspěšnému šíření jednoduché a pokud možno unifikované prostředí.
Na druhé straně je ale pravdou, že mobilní zařízení začínají obsahovat stejné nebo velmi podobné funkce jako klasické počítače a jejich možnosti rostou přímo astronomickou rychlostí. Už to nejsou jednoúčelové nástroje (jako třeba kapesní kalkulátor, jehož zavirování je nemožné), nýbrž zařízení, jejichž nastavení i funkčnost lze softwarově měnit. A to je z hlediska virů a jejich potřeb opravdový ráj.
V současné době neexistuje žádný škodlivý kód, který by byl ve světě mobilních zařízení schopen způsobit větší epidemii. Což ale neznamená, že dříve či později nemůže vzniknout a že mobilní technologie jsou bezpečné.
Je to skutečně tak: to, že epidemie nejsou globální, vůbec neznamená, že se nám vyhýbají incidenty lokální. Možná jimi z globálního pohledu pohrdáme, ale pro jednotlivce nebo organizace jsou stejně nepříjemné jako celosvětový problém. Příkladem budiž třeba virus Cabir, který se dokáže šířit prostřednictvím technologie Bluetooth po zařízeních s operačním systémem Symbian Series 60. Poprvé se objevil v polovině roku 2004 a dosud byl zaznamenaný ve 27 různých verzích. Co je ale podstatnější: zaznamenaný byl také ve více než dvaceti zemích světa!
Přes 95 procent známých škodlivých kódů pro mobilní zařízení bylo vytvořeno pro platformu Symbian Series 60. Tedy nikoliv pro Windows CE, které mnozí analytici považovali z hlediska hackerů za "prestižní". Důvod je prostý: Symbian má totiž více než šedesátiprocentní podíl na trhu. A tudíž i jednodušší vektor šíření. Virus má prostě statisticky větší šanci, že na napadaném zařízení narazí spíše na Symbian než na jakoukoliv jinou platformu.
Existují přitom čtyři základní způsoby "chycení" viru - tedy čtyři cesty, jak se do zařízení může dostat. Jednak je to pomocí technologie Bluetooth, déle pak pomocí MMS, instalací z webu (buď přímo, nebo prostřednictvím počítače), a přes paměťovou kartu. Podotýkáme přitom, že jediný možný způsob infekce bez souhlasu uživatele je teoreticky při použití napadené paměťové karty. Vzhledem k tomu, že uživatelé si paměťové karty ale nikterak často nevyměňují/nepůjčují, tento způsob nepředstavuje velkou hrozbu.
A ještě jednu skutečnost si v případě škodlivých kódů pro mobilní zařízení musíme uvědomit: pro útočníky jsou velmi lákavým cílem, protože představují možnost snadného finančního zisku. Každé zavolání nebo poslání SMS zprávy je totiž finanční transakcí - s okamžitým převodem prostředků třeba směrem k majiteli vysoce zpoplatněného čísla, které bylo vytočeno...


Chyby, chybky, chybičky
Jedním z nejvýraznějších trendů v oblasti útoků ICT je zneužívání chyb, nedostatků a nedokonalostí programů. Hlavním důvodem je prostý fakt, že programátorská chyba umožňuje provést nekorektní operace. Tím objede všechny bezpečnostní prvky a procedury a dosáhne cíle de facto "bez boje". Statistiky organizace Computer Emergency Response Team/Coordination Center (CERT/CC), sledující bezpečnostní nedostatky již od roku 1995, přitom hovoří neúprosně: v roce 2005 došlo k významnému nárůstu na poli objevených bezpečnostních nedostatků. Zatímco v roce 2004 jich bylo zaznamenáno 3 780, v loňském roce jejich počet narostl na
5 990 (tedy o téměř šedesát procent).
Chyby se v počítačových programech vyskytovaly, vyskytují a vyskytovat budou. To je fakt, se kterým se musíme naučit žít. Ale "naučit žít" neznamená, že bychom s tím nemohli nic dělat. Pochopitelně s možností výskytu chyb musíme počítat - třeba implementací vícestupňové ochrany nebo vypracováním aktualizačních postupů.
Největší pozornost poutaly v roce 2005 už tradičně chyby, které se vyskytly v produktech společnosti Microsoft. A to jednak proto, že světový lídr v oblasti operačních systémů a aplikací na bezpečnost v letech uplynulých příliš nedbal. A jednak také proto, že software od Microsoftu je instalovaný na devadesáti procentech počítačů a serverů na světě - čili každá chyba se týká velmi širokého okruhu uživatelů a bez nadsázky se dá říci, že ohrožuje celosvětové ICT. V roce 2005 se na všech platformách Windows objevilo celkem 812 problémů. Je to hodně nebo málo? Záleží pochopitelně na úhlu pohledu: ideálním stavem by asi byla velká nula v kolonce "zranitelnosti" - na straně druhé je to méně než v letech minulých. A je to také méně než počet zranitelností, se kterými se setkal třeba systém Linux/Unix - těch bylo 2 328! Ovšem pochopitelně není možné počítat jen kusy: je zapotřebí rozlišovat závažnost chyb, počet zasažených platforem apod. Faktem každopádně je, že bezpečnost pod taktovkou Microsoftu se rok od roku zlepšuje.
Nicméně přesto postihlo největší světovou softwarovou firmu několik nepříjemných chyb - jednou z nich byla v samotném závěru roku zranitelnost spojená s multimediálním formátem WMF (Windows MetaFile). Tento je používaný řadou aplikací (Word aj.), přičemž chyba umožňuje při vložení speciálního kódu např. do obrázku způsobit na cílovém systému buffer overflow (přetečení zásobníku). To je nesmírně nebezpečný útok, který umožňuje na napadeném systému "násilím" vynutit spuštění prakticky jakéhokoliv kódu.
Uživatelé přitom mohou svůj počítač nakazit pouhou navštěvou některé infikované webové stánky. Problém s formátem WMF byl o to závažnější, že se týkal prakticky všech platforem Windows. Zastánci "teorií spiknutí" hovořili dokonce o tom, že jde o záměrnou sabotáž a záměrné infikování systémů, protože není možné mít jednu chybu tak dlouho na tolika platformách. Vysvětlení Microsoftu, že k chybě došlo kdysi dávno a že do všech platforem se rozšířila pouhým kopírováním kusu kdysi vyvinutého kódu (v době, kdy bezpečnost nebyla na prvním místě), ovšem zní celkem logicky. A kromě toho se dá historicky doložit. Ostatně v době svého vzniku (kolem roku 1990!) tato chyba nepředstavovala díky malému rozšíření internetu a svému charakteru žádné nebezpečí: musel by ji tedy vytvářet sabotér s neuvěřitelnými vizionářskými schopnostmi...
Faktem každopádně je, že díky snadné zneužitelnosti této chyby se v krátké době na internetu objevilo přes sedmdesát "infikovaných" typů WMF souborů. Situaci navíc nepomohla ani skutečnost, že Microsoftu trvalo vydání záplaty déle než obvykle a déle než by v daném případě bylo třeba. Důvodem byla skutečnost, že spíše než o programátorskou chybu šlo o vlastnost WMF souborů, která jim byla před patnácti lety dána do vínku...
Ovšem nejen Microsoft zápolil v roce 2005 s chybami. Na legendární "hackerskou" konferenci Black Hat v Las Vegas se počítalo s vystoupením odborníka Michaela Lynna, který pracoval pro firmu Internet Security System. Ten hodlal představit zranitelnost v Cisco IOS (Internetwork Operating System). Firma Cisco se mu v tom ale snažila všemožným způsobem zabránit. Vyvíjela mj. tlak na Lynnova zaměstnavatele - Lynn se nakonec dokonce rozhodl podat výpověď a přednášku přece jen přednést takříkajíc "na vlastní triko". Cisco se následně snažilo zmírnit dopad jeho přednášky tím, že se pomocí svých lidí pokoušeli odstranit z papírových sborníků stránky s Lynnovou přednáškou - ne ve všech případech se jim to pochopitelně podařilo. Firma Cisco argumentovala tím, že zveřejnění chyby představuje nebezpečnou záležitost a že některé podklady pro prezentaci byly získané nelegálním způsobem.
Lynn se ale bránil, že chybu objevil při regulérní práci pro ISS. A navíc připomínal, že zdrojové kódy IOS byly už dříve ukradeny, takže je jen otázkou času, kdy může být jím popsaný problém zneužit a útočníci tedy získají nezanedbatelnou výhodu zneužitím "neznámé" chyby. Kdyby nevznikl tento humbuk, prezentace na konferenci by nejspíše prošla bez povšimnutí - takto patřila k těm nejsledovanějším. Cisco krátce po konferenci vydalo na popsaný problém záplatu - a Lynn získal nové zaměstnání u firmy Juniper Networks.
V roce 2005 jsme se také dočkali internetového červa pro platformu Oracle - červ Voyager je ale "jen" prototypem z kategorie proof-of-concept (důkaz, že to jde). Stejně tak Voyager prokazatelně nemá některé rutiny, které jsou v případě "ostrého" kódu nezbytné pro zajištění funkčnosti. Bezpečnostní specialisté však upozorňují, že ty není obtížné doplnit a vytvořit tak skutečně nebezpečný kód. Americké středisko SANS mj. upozorňuje: "V současném stavu není červ nikterak výraznou hrozbou. Ale měl by být brán jako včasná výstraha před budoucími variantami, které budou obsahovat metody šíření."
Voyager používá UTL_TCP balíčky ke skenování vzdálených oraclovských databází v lokální síti. Při nalezení další da-
tabáze se do ní červ pokouší nakopírovat - používá známá defaultní hesla a uživatelská jména. K těmto známým přihlašovacím dvojicím patří kombinace: system/
/manager, sys/change_on_install, dbsnmp/
/dbsnmp, outln/outln, scott/tiger, mdsys/
/mdsys a ordcommon/ordcommon. (Toto zároveň upozorňuje na obecný problém současné ICT bezpečnosti: ponechávání hesel v systému v základním tvaru, který je známý každému útočníkovi.)
Voyager ukazuje na trend odklonu útočníků od platforem společnosti Microsoft, protože ty začínají být díky nově implementovaným technologiím poměrně solidně zabezpečené. Hackeři se proto zaměřují na další platformy, které tak důkladně ošetřené nejsou.

Výzva: bezpečnostní software
Jen za prvních pět měsíců roku 2005 bylo veřejně oznámeno 77 nově objevených chyb a zranitelností v antivirových a dalších bezpečnostních programech. A toto číslo se v průběhu celého roku 2005 následně rapidně zvyšovalo. Jde přitom o zcela nový fenomén.
Co je jeho příčinou? Těžko budeme hledat jednu, důvodů tohoto stavu je totiž několik. V první řadě jde o to, že díky společnosti Microsoft, filozofii Trustworthy Computing a její iniciativě Security Development Lifecycle dochází k tomu, že útoky proti klasickým cílům (operační systém, související aplikace apod.) jsou stále obtížnější. Ano, stále se ještě vyskytuje mnoho problémů (viz výše), ale jejich počet dlouhodobě klesá a stejně má klesající tendenci nebezpečnost těchto zranitelností. Útočníkům tak nezbývá než přesouvat svoji pozornost k jiným cílům.
A těmi jsou právě bezpečnostní aplikace. Lákavé jsou především tím, že jejich vlastní bezpečnostní mechanismy nejsou mnohdy nastaveny tak, aby odolaly stávajícím útokům. Metody, které fungovaly před několika lety, totiž proti dnešním kódům nemají šanci. Není náhodou, že šestnáct procent (!) škodlivých kódů se snaží po svém vstupu do počítače vypnout antivirový program a následně blokovat jeho opětovné spuštění. Antivirové programy jsou zkrátka primárně založené na vyhledávání kódů podle svých pravidelně aktualizovaných databází - a odhalit mnohé nové hrozby je pro ně těžkým oříškem.
Útočníci se dále snaží napadat standardní a masově rozšířené programy - a třeba antivirová ochrana něčím podobným rozhodně je. Celosvětový počet dodavatelů se pohybuje v řádu desítek, přičemž na většině počítačů je instalováno řešení od několika málo výrobců. Třeba trh ve Spojených státech je fakticky rozdělen mezi tři největší hráče, na ostatní připadají jen bezvýznamná procenta.
Provedení útoku proti antivirovým programům či jiným obdobným aplikacím je relativně snadné, protože tyto prvky jsou první instancí, která přichází s daty proudícími do počítače/serveru do styku. A pohříchu bývají i instancí poslední... Úspěšný útok na ně se tedy rovná úspěšnému útoku na celý systém.
V neposlední řadě si je nutné uvědomit, že bezpečnostní systémy běží zpravidla s vysokými lokálními právy - a kompromitace programu pak znamená získání těchto práv. Útočník vždy musí překonávat ochranný prvek (je-li vůbec instalován). Tak proč tento prvek rovnou nezneužít?
Seznam kritických zranitelností pro Windows a Unix SANS Top 20 v roce 2005 obsahoval nejen chyby v platformách, ale i v meziplatformových aplikacích (včetně antivirových a bezpečnostních programů). Chyby byly i v produktech největších dodavatelů jako Symantec, McAfee a Trend Micro. Ovšem cílem útoků byly nejen antivirové aplikace: v listopadu 2005 byl i Microsoft Antispyware beta zasažený chybou, která umožňuje provedení nepřátelského kódu. Další zranitelnosti se objevily třeba ve Snortu, populárním opensourcovém IDS (Intrusion Detection Software).
A takto bychom mohli pokračovat - bezpečnostní programy jsou pro útočníky velkou výzvou. A ochrana před útočníky je zase velkou výzvou pro bezpečnostní průmysl...


Phishing stále aktuální
Stále větší problém začíná ve světovém měřítku představovat phishing. Přestože ani v roce 2005 nebyl v České republice oficiálně zaznamenaný ani jeden případ phishingu, není vůbec otázkou, zda dorazí i do našich zeměpisných šířek, ale KDY se tak stane.
Jaké máme k tomuto tvrzení důvody? Především provedení phishingového útoku (blíže viz PC WORLD Security 2/2005) je nesmírně jednoduché a nevyžaduje prakticky žádné technické a technologické znalosti. Dále je to fakt, že díky dosavadní absenci útoků jsou uživatelé v ČR poměrně nepoučení a nezkušení, čili případným útočníkům spíše sednou na lep. Totéž platí o firmách, které mají největší šanci stát se cílem phisherů (banky a internetové obchody), jež nemají implementované dostatečné bezpečnostní mechanismy, schopné podobné útoky odhalit a zastavit.
A konečně: jednoznačným celosvětovým trendem v oblasti phishingu je napadání tzv. měkkých cílů. Tedy cílů, které se špatně chrání, které samy nepředpokládají, že by se staly terčem zájmu, při napadení nevyvolají kdovíjakou mediální pozornost (mluvíme o pozornosti globální), nemají ekonomickou sílu rozjet nadnárodní vyšetřování apod. A přesně tyto podmínky platí pro české instituce.
Na celém světě bylo každopádně v roce 2005 zaznamenáno výrazně více pokusů o phishingový útok než v roce předcházejícím. To ostatně dokládají i statis-
tiky zveřejněné společností IBM, podle nichž v roce 2004 připadal na každých 943 e-mailů jeden "phishingový". V roce loňském to ovšem byl už jeden pokus o phishing na 304 e-mailů.
Toto ale automaticky neznamená, že se situace horší. Světovým trendem totiž je, že lidé phishingu méně věří, roste informovanost a do boje s tímto druhem zločinu jsou nasazovány nejmodernější technologie (což jsou důvody, které v konečném důsledku povedou k přesunu phishingu právě do zemí jako je naše republika). A kromě toho se globálně zlepšuje legislativa, takže první dopadení phisheři končí za mřížemi.
Ze celý rok 2005 bylo každopádně celosvětově zablokováno přes 41 tisíc webových stránek, které byly zneužívané k phishingu. Jejich počet v průběhu roku rozhodně narůstal - zatímco za červen bylo blokováno 3 000 URL adres, v září jich bylo 5 000 a v listopadu dokonce 8 000. K nejoblíbenějším cílům útočníků přitom stále patří firmy eBay a Paypal - na ně loni směřovalo 62 procent útoků (přestože toto číslo má dlouhodobě sestupnou tendenci, a to právě kvůli přesunu pozornosti směrem k tzv. měkkým cílům). Ze 41 tisíc blokovaných adres jich 13 tisíc obsahovalo slova "paypal" nebo "ebay". Skoro čtyři tisíce z nich používalo velmi podobné domény (oproti názvům paypal nebo ebay vložily jen nějaký znak, zaměnily písmenko apod.). Přes 4 700 URL obsahovalo text "webscr", což je označení cgi skriptu v systému Paypal.
Jako zajímavost uvádíme, že rumunský poskytovatel home.ro/Go.ro hostil v roce 2005 přes 760 URL pro phishery. Rumunsko zřejmě bude této aktivitě zemí zaslíbenou, protože zde bylo odhaleno 1 397 stránek vytvořených útočníky, což představuje 3,3 procenta domácího internetu! Podobně je na tom Tchajwan, kde bylo pro phishing zneužito 1 276 stránek - také tři procenta. Nicméně z procentuálního hlediska patří absolutní primát Jižní Koreji, kde 3 807 phishingových stránek představovalo 9,1 procenta místního internetu...


Chraňte si data!
Ani rok 2005 nebyl k útokům na elektronická data kdovíjak milosrdný. Celosvětově byly zaznamenány stovky více či méně zajímavých případů.
Jednou z obětí se stala firma CardSystems, která zpracovává platby pro mnoho firem poskytujících kreditní karty. Tato firma se v květnu 2005 vyznamenala tím, že jí byly odcizeny údaje o 40 milionech platebních karet společností Master-
Card, Visa, American Express a Discover.
Další problém postihl firmu Guidance Software, která byla samozvaným "vedoucím subjektem na globálním trhu světové ICT bezpečnosti". Firma si nechala odcizit informace o platebních kartách
3 800 zákazníků, což sice není v absolutních číslech kdovíjak mnoho, ale tyto údaje byly uchovávané společně s nešifrovanými údaji o jednotlivých zákaznících (hacker k nim získal rovněž přístup) a společně s třímístnými verifikačními kódy Card Value Verification (CVV). Pravidla MasterCard a Visa přitom zakazují uchovávat kódy CVV po provedení transakce a nařizují databáze zákazníků udržovat šifrované. "Vedoucí subjekt na globálním trhu světové ICT bezpečnosti" se bránil mj. tvrzením, že vůbec nevěděl, že kódy CVV přechovává...
Firma se vyznamenala nejen tímto bezpečnostním incidentem, ale i následnou komunikací se zákazníky. Přestože problém odhalila 25. listopadu 2005, zákazníky na možné problémy související se zneužitím jejich osobních údajů varovala až 7. prosince! A použila k tomu "nejrychlejšího" média na světě - běžnou poštu. Žádné varovné e-maily, SMS nebo telefonáty...
Problémy s únikem dat řešila i University of Georgia v USA, z jejíhož serveru zmizelo 1 600 čísel sociálního pojištění (ta jsou pro Američany svatým grálem, protože jsou obdobou našich rodných čísel a údajem pro ověřování totožnosti). Tedy čísel bylo nelegálně zkopírováno
2 429, ale zhruba osm set čísel z tohoto množství bylo v inkriminované databázi dvakrát. Univerzita přitom zdůrazňovala, že nedošlo k žádným problémům s odcizením údajů ke kreditním kartám - takový incident ji totiž potkal v lednu 2004, kdy se nezjištěný hacker naboural do univerzitní databáze a odnesl si odtud 32 tisíc čísel platebních karet...
Podobný problém řešili i na University of California v Berkeley, kde došlo v březnu 2005 ke krádeži notebooku, obsahujícího osobní data 98 tisíc osob! V září byl notebook nalezen u muže v Jižní Karolíně, který jej zakoupil od neznámého kupce na internetu.
Problémy se nevyhnuly ani americké armádě: US Air Force zaznamenaly podezřelou aktivitu na účtech v zaměstnanecké databázi AMS (Assignment Management System). Ta obsahuje hodnosti jednotlivých osob, čísla sociálního pojištění a data narození (neobsahuje adresy nebo jakékoliv kontaktní údaje). Šetření ukázalo, že hacker použil přihlašovací údaje legitimního uživatele, aby se dostal k citlivým datům na letecké základně Randolph Air Force Base v Texasu. Získal tak přístup k informacím o celkem 33 tisících příslušnících amerického letectva.
A ještě jednou americká armáda: při kontrole bylo odhaleno, že se z přísně střeženého armádního zařízení Fort Carson v Coloradu ztratily čtyři pevné disky k počítačům. Ty obsahovaly podrobné osobní údaje o celkem patnácti tisících vojáků, sloužících nyní v Iráku.
Mezi údaji byly adresy, informace o platech, čísla sociálního pojištění a mnoho dalších kritických dat. Americká armáda ihned varovala všech patnáct tisíc vojáků a jejich rodiny, že by se mohli stát terčem podvodů s odcizenou identitou, což je v USA nesmírně dynamicky se rozvíjející oblast zločinu (blíže viz PC WORLD Security 1/2005).
Další případ odcizených dat pochází z Japonska. Zdejší tisk přinesl informaci o tom, že se na internet dostalo 40 MB tajných zpráv, týkajících se mj. inspekcí jaderných elektráren. Třicetiletý zaměstnanec společnosti Mitsubishi Electric Plant Engineering (MPE) použil v rozporu s předpisy domácí počítač k firemním účelům. A když pak byl jeho počítač infikován nejmenovaným virem, došlo ke zpřístupnění lokálních dat všech uživatelů peer-to-peer sdílené sítě Winny, která je se čtvrt milionem uživatelů v Japonsku nejpopulárnější. Tajné dokumenty obsahovaly fotografie jaderných elektráren nebo jména a adresy inspektorů.
A v Japonsku ještě zůstaneme: zde se totiž v roce 2005 na internetu zcela nečekaně objevily přístupové kódy k celkem sedmnácti letištím. Přístupové kódy představují tři- až pětimístná hesla, která slouží k otevírání automaticky blokovaných dveří. Systém je navržen tak, aby do vybraných prostor měly přístup pouze autorizované osoby - a nikoliv návštěvníci letišť nebo lidé nepovolaní. Celkem bylo takto postiženo šestnáct japonských letišť (včetně dvou v hlavním městě Tokiu) a navíc mezinárodní letiště na ostrově Guam.
K incidentu došlo tak, že nejmeno-
vaný 29letý pilot JAL (Japanese Airlines)
přechovával dokumenty s výše uvede-
nými kódy ve svém domácím počítači (přestože JAL podobné aktivity svým zaměstnancům vysloveně zapovídá). Domácí počítač byl připojený k výměnné síti - a tímto způsobem následně i infikován škodlivým kódem. Ten se poté postaral o "transport" dat do nepovolaných rukou. Aby toho nebylo málo: kromě přístupových kódů došlo i k úniku podrobného pilotního manuálu pro Boeing-767 (tedy dokumentu, který je po událostech z 11. září 2001 považovaný přinejmenším za neveřejný).
Japonské ministerstvo dopravy sice vydalo varování a následně i výzvu ke změně přístupových kódů a zvýšení bezpečnostních opatření, nicméně také upozornilo na fakt, že s odcizenými kódy se nelze dostat na palubu letadel - kromě automatických dveří je totiž vždy nutné projít i kolem fyzické ostrahy.
Takto bychom s představováním více či méně zajímavých a více či méně podobných incidentů mohli pokračovat takřka donekonečna. Proto tuto pasáž raději uzavřeme. Navíc americké ministerstvo obchodu a průmyslu upozorňuje, že sedmdesát procent organizací, které postihnou problémy s únikem dat, zmizí do osmnácti měsíců po incidentu z trhu. Buď se transformují do nové společnosti, mnohem častěji však jsou pohlceny konkurencí nebo krachují...

Cesty vedou za mříže
Je jen dobře, že stále více pachatelů kybernetických útoků končí v rukou spravedlnosti - a následně jsou odpovídajícím způsobem za svoji nelegální činnost "odměňováni". Když už nic jiného, u počítačových útoků postupně mizí punc bez-
trestnosti, který v uplynulých letech získaly.
Bohužel cesta kybernetických útoků je velmi lákavá, protože naše právní prostředí stále ještě není dokonalé, zajišťování důkazů je obtížné a internet je díky absenci hranic a nedostatečné znalostní bázi uživatelů/správců k něčemu podobnému ideálním podhoubím. To ostatně dokládá i zpráva amerického úřadu pro federální vyšetřování FBI, která hovoří o tom, že v roce 2005 stály počítačové útoky americkou ekonomiku 67 mld. dolarů. Devadesát procent amerických firem v tomto období muselo řešit nějaký bezpečnostní incident - a dvacet procent se potýkalo s více než dvaceti nepříjemnými událostmi. Průměrná cena jednoho incidentu přitom byla vyčíslena na 24 tisíc dolarů.
Incidenty měly nejčastěji podobu virů a e-mailových červů, které pronikly do sítě. Na druhém místě následovaly problémy se sledovacími programy - spywarem. Pětina organizací oznámila, že měla problémy se sabotáží! A celých 44 procent problémů způsobili interní útočníci...
I ve světle těchto informací představuje stále více zadržených pachatelů elektronické trestné činnosti pozitivní zprávu. A třeba německý autor škodlivých kódů Sasser a Netsky Sven Jaschan byl 8. července 2005 za svoji "práci" odsouzen k podmíněnému vězení v délce 21 měsíců a k nepodmíněným třiceti hodinám veřejně prospěšných prací.
A pak zde máme celou řadu hackerů, kteří skončili v rukou zákona. Nejméně rok nebudou bolet oči od práce u monitoru Petera Moshou (37), který byl v USA odsouzen ke dvanáctiměsíčnímu vězení a pokutě 120 tisíc dolarů za rozesílání
nevyžádané elektronické pošty. Moshou z Auburndale na Floridě rozeslal miliony kopií spamu, v nichž inzeroval finanční služby. Přitom modifikoval adresu odesílatele, takže bylo obtížné zjistit, odkud zpráva pochází. Tím znemožňoval příjemcům zpráv se odhlásit, což je podle amerického zákona Controlling the Assault of Non-Solicited Pornography and Marketing Act, platného od 1. ledna 2004, nezbytné.
Za rozesílání spamu zadržela americká FBI i jistého Alana Ralskyho. Cílem prohlídky bylo především počítačové vybavení, z něhož Ralsky odesílal denně přes 100 milionů e-mailů. Je totiž podezřelý ze zneužívání mnoha virů a dalších nelegálních nebo přinejmenším neetických technik. Ralsky měl údajně získávat i přístup do cizích počítačových systémů: při prokázání něčeho podobného je americká legislativa velmi přísná, ač je jinak ve věci spamu stále poměrně benevolentní.
Ve Španělsku pak byl zadržen 18letý mladík, který byl obviněn z průniku do informačního systému americké námořní základny v San Diegu. Zadržený podle oficiálního prohlášení "vážným způsobem kompromitoval korektní operace a bezpečnost v údržbářském suchém doku pro nukleární ponorky". Američtí specialisté zahájili vyšetřování v okamžiku, kdy zaznamenali neoprávněný přístup do počítače ministerstva obrany na námořní základně Point Loma v San Diegu. Všechny stopy přitom vedly právě do Španělska. Bezprostředně po zadržení podezřelého prohlásila americká ambasáda v Madridu, že zatím nebyl ze strany USA proveden žádný další úkon.
Zadržený hacker byl členem skupiny zaměřené na pronikání do počítačových systémů. Je dokumentováno, že na svém kontě jich má nejméně sto, se škodou přes 500 tisíc dolarů. Zatčen byl na základě svědectví čtyř dalších členů skupiny, kteří zůstávají na svobodě.
Za velký úspěch je považováno i dopadení 18letého Farida Essebara, Maročana narozeného v Rusku, a 21letého Atilly Ekiciho z Turecka. Essebar totiž naprogramoval červy Zotob a Mytob právě pro Ekiciho, který mu za ně zaplatil. Přezdívky obou výtečníků byly Diabl0 a Coder - a právě ty se objevují v kódu červa Zotob. Samozřejmě to ale není jediný důkaz proti oběma pachatelům.
Právě internetový červ Zotob způsobil v roce 2005 jednu z největších epidemií. Napadal zranitelné systémy (Windows 2000) posíláním kompromitačních dat na port 445. Pokud byl úspěšný, vytvářel FTP server a používal ho pro další šíření na ostatní zranitelné systémy v internetu. Infikované počítače se přitom pokoušely komunikovat s předem definovanou IRC seancí - kdo k ní znal heslo, mohl s napadenými stroji komunikovat a ovládat je. Červ Zotob využívající bezpečnostní chybu MS05-039 Plug and Play Vulnerability přitom zasáhl i vysílání zpravodajské stanice CNN nebo ABC Television či vydavatelství novin The New York Times a Financial Times. 06s0001/jp o


Sociální inženýrství a viry v roce 2005

V případě e-mailových červů a trojských koní se v uplynulém roce prakticky nic nového neobjevilo. Alespoň z hlediska technologií - maximálně využití starého nebo nového bezpečnostního nedostatku (na který se ale stejně vzápětí objevila záplata). Škodlivé kódy spoléhaly na sílu sociálního inženýrství, na to, že pod falešnými záminkami nutily uživatele spouštět přílohy.
Seznam těchto hrozeb za rok 2005 může svým způsobem posloužit jako seznam zajímavých událostí, které nás v tomto roce potkaly. Sociální inženýrství totiž reaguje zpravidla na aktuální události, které lidi zajímají a kde potřebují nebo přinejmenším očekávají informace.
Hned na počátku roku se objevil kód Zar.A, který se vydával za zprávu o úderu ničivých vln tsunami na konci roku 2004 a jenž se uživatele snažil přesvědčit, že v příloze jsou informace o možnostech příspěvku na humanitární pomoc obětem katastrofy.
Na jaře 2005 se pak objevil trojský kůň Trojan-Downloader.Win32.Small.axr, který se snažil uživatele přinutit spustit přílohu následujícím textem (volně přeloženo z angličtiny): "Zapni si televizi. Usáma bin Ládin byl zajat. CNN zatím nemá žádné obrázky, ale vojenský kanál (PPV) už je dal k dispozici. Několik z nich jsem zaznamenal ze své televize. Omlouvám se za jejich nízkou kvalitu, ale jsou tím nejlepším, co jsem mohl v tuto chvíli získat." A pochopitelně následovala nezbytná příloha pics.scr.
Na počátku dubna 2005 ztratil svět jednu z největších osobností konce dvacátého století - papeže Jana Pavla II. Během několika dní se začal po světových počítačových sítích šířit červ Kedebe.F, který sliboval informace o pozadí skonu papeže po kliknutí na přílohu. Příslib byl opravdu lákavý: hlava církve měla být zabita dvojicí "doktorů", dokument měl obsahovat jejich jména, podrobnosti o činu apod.
Červenec 2005 přinesl nejen tragické sebevražedné útoky (a následně další podobné pokusy) v londýnské městské hromadné dopravě, ale také e-mailového červa Delf.h, který na těchto smutných událostech parazitoval. Sliboval uživateli unikátní amatérské záběry z útoků - pokud spustí přiložený soubor. Ten měl zajímavý název: "London Terror Moovie.avi[124 mezer]Checked by Norton Antivirus.exe". Jinými slovy: díky mnoha mezerám uprostřed názvu si mnozí uživatelé vůbec nemuseli všimnout, že skutečné jméno souboru je výrazně delší než jen "London Terror Moovie.avi". A pokud si toho všimli, mohli ti méně zkušení považovat poznámku na konci názvu za potvrzení o virové čistotě. Což je pochopitelně z technického hlediska holý nesmysl...
V okamžiku, kdy se v Německu začaly prodávat vstupenky na fotbalové mistrovství světa 2006, se objevil e-mailový červ Sober.P. Ten se vydával za nabídku bezplatných vstupenek. Kdo neuvěřitelné nabídce neodolal, přílohu fifa_info_text.zip rozbalil a otevřel, nedopadl nejlépe. Samozřejmě nešlo o žádnou dobročinnou akci, nýbrž o škodlivý kód, který napadl počítač a šířil se dále světem.
Na přelomu srpna a září 2005 zasáhl jižní státy USA hurikán Katrina, takže svět byl bohatší hned o několik škodlivých e-mailů, které buď samy nesly nákazu, nebo se snažily přimět uživatele k návštěvě určitých (infikovaných) webových stránek. To proto, aby se předešlo možné detekci útočníka na úrovni AV programu na poštovním serveru. Ale konkrétně: tyto kódy dostaly jména Cgab.A, Borobot.P, Borobot.Q, Borodldr.H a Inor.R.
Tvůrci škodlivých kódů ovšem reagovali i na události, které se vůbec nestaly. A tak jeden e-mailový červ přinášel podrobnosti o tom, že se americký zpěvák Michael Jackson pokusil spáchat sebevraždu. Podle jiného červa se o sebevraždu pokusil dokonce bývalý herec a nyní guvernér státu Kalifornie Arnold Schwarzenegger. A třetí avizovaná sebevražda měla být dokonce dovedena do zdárného konce: v hlavní rolu měl být Usáma bin Ládin.
"Vážená paní/pane, zaznamenali jsme z vaší IP adresy více než třicet přístupů na ilegální webové stránky. Důležité: prosíme odpovězte na naše otázky! Jejich seznam najdete v příloze. S úctou Steven Allison, FBI." (A následuje několik kontaktů.) Podobný e-mail loni vyděsil (resp. se snažil vyděsit) mnoho uživatelů počítačů. Přestože zpráva obsahuje několik logických nejasností (co to je "ilegální stránka", proč bych měl na otázky odpovídat, když oficiálně nejsem ani svědek, ani vyšetřovaný, proč FBI využívá takovouto nedůvěryhodnou formu komunikace, proč jsou otázky v příloze a ne v těle zprávy aj.), na mnoho uživatelů zapůsobila. Rozbalili přílohu questions_list.zip, spustili ji (proč nejsou otázky v dokumentu, ale v aplikaci?) - a měli počítač zavirovaný nejnovější verzí e-mailového červa Sober.
A pozor: tento kód stál u zrodu zcela kuriózního případu, kdy se v Německu přihlásil na policii šiřitel dětské pornografie, který tento zavirovaný e-mail dostal. Vyděsil se a rozhodl se přiznat úřadům, aby mu to bylo v nadcházejícím soudním líčení přičteno k dobru.
Pak že viry nemohou být i užitečné...


Vyděrač Gpcodem
Koncem května 2005 byl poprvé zachycen trojský kůň Gpcode (známý také jako PGPCoder), který měl jednu zajímavou a nebezpečnou vlastnost. Na infikovaném počítači zašifroval některé soubory a následně požadoval "poplatek" za poskytnutí dešifrovacího klíče. Šifrovací algoritmus ovšem nebyl nikterak silný, takže si s ním antivirové programy snadno poradily samy, případně bezpečnostní firmy vydaly příslušné jednorázové utility.
Mimochodem podobné činnosti se věnoval už slavný slovenský virus OneHalf. V roce 1994...

Vymazaná nevymazaná data...

Nepochybně si vzpomenete na aféru kolem tragické smrti italského agenta Nicoly Calipariho v Iráku, který vlastním tělem chránil novinářku propuštěnou ze zajetí a kterého zastřelili američtí vojáci.
Vzhledem k tomu, že událost vyvolala mezinárodní politickou roztržku, věnovala se americká armáda důkladně jejímu vyšetření. Dokument, který obsahoval kompletní informace o celém incidentu, následně bez jakékoliv publicity zveřejnila na jedné ze svých webových stránek. Dokument byl zveřejněn v oblíbeném formátu PDF, přičemž neveřejné informace v něm byly "začerněné". Jenomže zvolená metoda "začernění" byla velmi nešťastná - někdo použil na černé písmo černý podklad. Takže na první pohled se text jevil jako nečitelný (a třeba po vytištění na papír takový skutečně byl), ale stačilo vybranou pasáž v PDF dokumentu zvýraznit kurzorem myši - a veškeré tajné informace byly ve zlomku sekundy odtajněny. A tak se svět dozvěděl věci, které se dozvědět neměl - včetně jmen vojáků, kteří na skupinu Italů stříleli.
Základem bezpečnosti je pochopitelně celou informaci smazat, nikoliv ji ponechat a změnit její formát. Navíc program Adobe pro tvorbu PDF dokumentů obsahuje funkci skutečného "začernění", kdy jsou data z dokumentu opravdu vymazána a nahrazena černými pruhy...

Čínské hackerské choutky

Nejlidnatější země světa, Čínská lidová republika, je nechvalně známá svými praktikami v oblasti informačních technologií a průmyslové špionáže. Je veřejným tajemstvím, že čínští vládní hackeři se snaží systematicky (a často úspěšně) pronikat (nejen) do amerických vládních a průmyslových ICT systémů.
Před tímto fenoménem nedávno varoval Alan Paller, ředitel střediska informační bezpečnosti SANS. Zároveň upozornil na některé zajímavé souvislosti. Třeba na to, že stopy největších a nejlépe prováděných útoků vedou do čínské provincie Guangdong. Techniky používané místními hackery jsou aplikovány s velmi tvrdou disciplínou - takže je těžko představitelné, že by pocházely od nějaké špatně organizované nebo amatérské skupiny. Vše nasvědčuje tomu, že mezi těmito útočníky panuje vpravdě "vojenská kázeň" (jak doslova uvedl Paller).
Zároveň vyslovil varování, že ač jsou útoky prováděny opakovaně a stojí za nimi velmi usilovná snaha, obrana je v mnoha případech neadekvátní. "Víme o vážných průnicích do systémů dodavatelů amerických obranných prvků," upozorňuje Paller. A dodává, že vláda USA celý problém záměrně nebo velkoryse dlouhodobě podceňuje. "Naše počítačové sítě jsou rozsáhle a hluboce napadnutelné a my to tajíme. Kdo z toho má prospěch? Jedině útočníci," říká Paller.

Autor článku