Život se zombie...

30. 10. 2007

Sdílet

Pro dnešní příběh nemusíme chodit ani do zámoří, ani do zahraničí. S jeho hlavním aktérem - říkejme mu třeba pan Michal - se nedávno setkal přímo autor těchto řádků.

Pan Michal by sám sebe charakterizoval nejspíše jako "naprosto běžného uživatele". Počítač používá jako lepší psací stroj, občas si zahraje nějakou "budgetovou" hru, brouzdá po internetu (nerozlišuje mezi bezpečným a nebezpečným chováním, takže pro něj nejsou tabu ani stránky s obsahem pro dospělé), e-mailem rozesílá žertíky a nelidsky velká videa, využívá připojení k internetu přes kabelovou televizi - nemusí počítat ani minuty, ani objem dat, takže je připojený non-stop. Antivirový program si někde ukradl a fakt, že ho nejde aktualizovat, ho vcelku netrápí.
Přesto si i při svém počítačovém analfabetismu všiml, že se s jeho počítačem něco děje. Začal se mu nenadále plnit pevný disk a kdysi výkonné připojení k internetu se drasticky zpomalilo. Počítač navíc evidentně "něco" dělal, i když nic dělat neměl. Pan Michal nelenil a povolal na pomoc autora těchto řádků.
Nebylo potřeba žádného sáhodlouhého bádání a zkoumání k tomu, aby bylo zřejmé, že v počítači je staženo přehršel velkých souborů. Při bližším ohledání bylo zjištěno, že jde o filmy. Pan Michal byl ochoten přísahat na cokoliv, že nic podobného nestahoval.
Počítač pana Michala se zkrátka stal obětí útoku hackerů, kteří z něj udělali stroj zombie. Takto se v bezpečnostním žargonu nazývá zařízení, které slouží nejen legitimnímu majiteli, ale také útočníkovi, který nad ním bez vědomí oprávněného majitele převzal správu. Takovýto hacker zpravidla nespravuje jeden počítač, ale hned celou armádu.
Tím dostáváme odpověď na velmi často mezi běžnými uživateli rozšířenou představu: "Co by u mě hacker dělal, vždyť já pro něj nemohu být zajímavý." Jak už asi tušíte, je to kardinální omyl. Útočníkům vůbec nejde o osobu počítač vlastnící, nýbrž o vlastní počítač.
A proč se agresoři počítačů takto zmocňují? Rozhodně ne z dlouhé chvíle nebo pro zábavu. Naznačuje to výše popsaný případ pana Michala: unesené počítače využívají pro svoji potřebu. Třeba právě k odkládání nějakých elektronických dat. Zpravidla se jedná o nezákonné odkládání dat - nezřídka i o nezákonný obsah.
Ovšem tím možnosti využití zombie zdaleka nekončí. Takto "unesené" počítače se zneužívají například k rozesílání spamu. Že nejde o banální problém, naznačuje studie firmy IronPort z června 2006, která praví, že osmdesát procent světového spamu (toho je každodenně generováno přes osmdesát miliard kusů) je rozesíláno právě z počítačů zombie! Princip je jednoduchý: do napadeného počítače instaluje hacker příslušný software, předá mu seznam e-mailových adres, seznam zpráv - a stroj na generování nekonečné záplavy nevyžádaných elektronických zpráv se může spustit.
Útočník zkrátka parazituje na počítači oběti. Nemusí kupovat příslušný hardware, nemusí platit peníze za komunikační linku a nemusí se bát přímých postihů (zařazení své IP adresy na blacklist, odvetná opatření ze strany ISP apod.). Evidentně tedy jde o přenášení nákladů za rozesílání spamu na třetí osobu.
Další možností použití počítačů zombie je třeba provádění DoS útoků (Denial of Service, odepření služby). Armáda deseti tisíc spojených a koordinovaných počítačů už je schopna svými dotazy beznadějně zahltit nejeden server. A nejde jen o útok proti serverům, které jsou někomu z rozličných (konkurenčních, osobních apod.) důvodů trnem v oku. V poslední době se provádění DoS útoků stává regulérním kriminálním činem, známým pod názvem vydírání. Funguje např. tak, že provozovateli webové stránky přijde požadavek na zaplacení určité částky za "ochranu". Pokud zaplacena nebude, stane se cílem DoS útoku. Zpravidla pak bývá v předem stanoveném čase provedena i jakási demoverze útoku, aby se provozovatel serveru mohl zcela svobodně rozmyslet...
Cílem takovéhoto útoku se stala i slavná "Million Dollar Page", jejíž autor Alex Tew prodal každý z miliónu pixelů na webu za jeden dolar. Nejprve mu přišla nabídka neútočení za zaplacení 5 000 dolarů. Když ji ignoroval, stal se terčem rozsáhlého útoku - a cena za jeho přerušení vzrostla na 50 000 dolarů. Útok se nakonec podařilo zkrotit i bez placení výpalného.
A to jsme ještě zdaleka nevyjmenovali všechna rizika. Koordinované sítě mohou být použity třeba pro získávání kliknutí na určité stránky (čímž dochází k umělému navyšování návštěvnosti, tudíž i ceny nebo hodnoty pro inzerenty) nebo na reklamní pásky (zvláště v obchodních modelech PPC, pay-per-click).
Spojené počítače pak mohou posloužit i k provádění koordinovaných výpočtů - i ty mohou mít ekonomický základ. Třeba v případě, kdy hacker potřebuje velkou výpočetní kapacitu pro prolomení nějaké šifry, nebo v případě, kdy si za určité výpočty nechá prostě zaplatit. Ne každá instituce má na to, aby si pořídila superpočítač s mnoha jádry a dostatečnou kapacitou, takže pro speciální úkony se snaží služby superpočítačů outsourcovat. Přes mnohé seriózní agentury se pak dostává právě k neseriózním hackerům. Že jde o závažný problém i z hlediska ochrany zpracovávaných dat, jistě netřeba zdůrazňovat.
Problém počítačů zombie je přitom mnohem větší a širší, než by se na první pohled mohlo zdát - a netýká se pouze několika set nebo tisíc strojů. Běžně jsou objeveny sítě čítající desítky až stovky tisíc počítačů pod vládou jednoho hackera.
Na podzim 2005 provedla proti provozovatelům jedné takovéto sítě zátah nizozemská policie. Výsledky překvapily. Dalo by se říci, že nejvíce samotné policisty. Když rozkryli celou síť, zjistili, že se do ní postupně nedobrovolně zapojilo zhruba 1,5 milionu (slovy: jeden a půl milionu!) počítačů. Takovýto rozsah jedné jediné hackerské sítě nečekal opravdu nikdo...
Při nizozemském zátahu bylo zkonfiskováno množství počítačů, větší objem finančních prostředků v hotovosti a několik luxusních sportovních vozů. Zadrženi byli tři podezřelí. Vytváření sítě zombie počítačů jim umožňovalo provádět právě výše popsané DoS útoky.
Útočníci používali k získávání nových přírůstků do své sítě internetového červa W32/Toxbot alias W32/Codbot. Ten byl poprvé zaznamenaný na počátku roku 2005. Detekční systémy jej sice dokázaly odhalovat, ale útočníci červa soustavně upravovali, aby zabránili jeho nalezení.
Provozovatelům této sítě se podařilo prokázat příjem zhruba 60 tisíc eur během půl roku, skutečný zisk ale byl nepochybně vyšší. Nicméně i to stačilo, aby bylo obvinění nekompromisní a dva hlavní podezřelí ve věku 20 a 29 let mají nyní vyhlídku na tři, resp. dva roky nepodmíněně (rozsudek měl být vynesen po uzávěrce časopisu). Kromě toho je čeká nemalá finanční sankce včetně zabavení majetku. Další čtyři členové gangu včetně 22letého šéfa na rozhodnutí o (ne)vině a na rozsudek teprve čekají.
Žádná speciální obrana proti tomu, aby se z vašeho počítače nestal zombie, není potřeba. Prostě dodržujte všechny běžné zásady bezpečného chování na internetu - používejte antivirový program, záplatujte systém i aplikace, nenavštěvujte nevhodné stránky, neinstalujte si do počítače neznámý software...
Jinými slovy: nepotřebujete dělat nic víc, než dodržovat základní pravidla hygieny práce s počítačem. Zombie tak berme spíše jako další z dlouhé řady argumentů pro informační bezpečnost než jako důvod pro přijímání kdovíjakých drastických opatření.

Autor článku