Zombie i MS Windows
Alians spamerów i crackerów
Specjaliści z firmy MessageLabs, specjalizującej się w ochronie antywirusowej i antyspamowej, przestrzegają że nadawcy
spamu coraz częściej sięgają do agresywnych technik pochodzących od wirusów komputerowych, aby zapewnić sobie możliwość
wysyłania spamu. Coraz częściej spotyka się przesyłki próbujące na komputerze odbiorcy zainstalować program słuzący
spamerowi do wysyłania przesyłek poprzez komputer niczego nieświadomej ofiary. W witrynie
The Register pojawiło się już kilka artykułów
na temat takich przypadków: Trojan turns victims into
DDoS, spam zombies , Rise of the Spam
Zombies (o tym też w SecurityFocus). Natomiast
InfoWorld donosił niedawno o
rozsyłanym poprzez spam wirusie, który instalował na komputerach odbiorców - oczywiście bez ich wiedzy - program służący
do wyświetlania na stronach www, przeglądanych na cudzuch komputerach, reklam stron pornograficznych. W taki sposób spamer
tworzył sieć węzłów reklamowych które trudno było zablokować, a ich właściciela odszukać. Innym zagrożeniem są spamy
zawierające wirusy instalujące na komputerze odbiorcy programy śledzące działania użytkownika i rejestrujące wpisywane przez
niego hasła, numery kart kredytowych itp - o takim zagrożeniu niedawni pisał brytyjski
vnunet.com . Jeszcze inne zastosowanie, to wykorzystanie armii setek tysięcy
zdalnie kontrolowanych maszyn do unieruchomienia wybranego serwera na swiecie - np. banku, jak
miało to miejsce w przypadku należącego do Royal Bank of
Scotland serwisu WorldPay , obsługującego 27.000 klientów z całego świata.
Trojany
instalują się na komputerze ofiary wykorzystując błędy w programie MS Outlook Express lub w samym systemie MS Windows.
Czasem dzieje się to samoczynnie po obejrzeniu podglądu wiadomości w MS OE, czasem dopiero po kliknięciu na jakiś odnośnik
lub przycisk w e-mailu.
Steve Linford prowadzący witrynę SpamHaus w swojej
wypowiedzi dla magazynu The Register stwierdza,
że mająca miejsce w ostatnich miesiącach epidemia ataków typu
DDoS , która była powodem
likwidacji kilku z najpoważniejszych serwisów antyspamowych, jest ścisle powiązana z plagą wirusów komputerowych,
z jaką mieliśmy niedawno do czynienia. Matt Sergeant z MessageLabs potwierdza związek między tymi atakami a komputerami zarażonymi robakami
Sobig ,
Fizzer lub
BugBear .
Wirusy te instalują na maszynach z systemem MS Windows oprogramowanie, umożliwiające zdalnie działającemu
crackerowi (nie mylić z hakerem )
przejęcie kontroli nad cudzym komputerem. Zdalnie kontrolowany komputer jest często nazywany "zombie" i jest wykorzystywany takich celów jak rozsyłania ogromnych ilości spamu
w sposób uniemożliwiający wyśledzenie jego rzeczywistego źródła, lub ataki typu DoS .
Ofensywa
Gwałtowny wzrost ilości "zombie", idący w setki tysięcy zdalnie kontrolowanych maszyn, zanotowano od kwietnia 2003 r. Również od połowy
tego roku nasiliła się ilość ataków typu Distributed Denial of Service, czyli DoS przeprowadzany jednocześnie z wielu źródeł.
To właśnie było przyczyną likwidacji w ciagu ostatnich 4 tygodni baz Osirusoftu,
Delink, Monkeys i
Compu.net oraz kłopotów
SORBS, OpenRBL
i SpamHaus. Spodziewany atak tego typu zmusił nawet Microsoft do
rozproszenia ruchu jednej z witryn firmy za pomocą
systemu oferowanego przez Akamai (co spowodowało przy okazji plotki,
jakoby MS używał systemu Linux na swoich serwerach). Wirusa który spowodował
to zamieszanie podejrzewa się również o spowodowanie
15.VIII.2003 gigantycznej awarii sieci elektrycznych w USA.
Każdy użytkownik MS Windows jest zagrożony
Dlaczego tak się rozpisałem na ten temat? Przestępcy, którzy używaja wirusów do zwalczania witryn antyspamowych, stanowią zagrożenie
nie tylko dla wojowników ze spamem, ale dla każdego. Mogą zagrozić wszelkim instytucjom, używającym do swoich celów łączy internetowych.
Tymczasem, według analiz przeprowadzonych przez Steve Linforda, równiez w Polsce udało się zidentyfikować pewną
liczbę maszyn, na których zainstalowany jest groźny wirus.
Mówiąc krótko: ze względu na działalność komputerowych przestępców, system MS Windows plus ignorancja użytkowników stanowią zagrożenie
bezpieczeństwa publicznego - podobne głosy pojawiają już USA - patrz raport (*.pdf) CCIA na ten temat.
Przy okazji, jak okazało się 29.IX.2003, jeden ze współautrów wspomnianego raportu, Dan Geer, światowej sławy ekspert od spraw
bezpieczeństwa, był zatrudniony jako Chief Technology Officer w @Stake ,
firmie powiązanej kapitałowo z Microsoftem. Był, bo po publikacji raportu nagle
przestał być zatrudniony. Okazuje się,
że szef do spraw bezpieczeństwa powinien raczej wychwalać płot, a nie szukać w nim dziur. Ale chyba reakcja taka -
pośrednio - dowodzi też słuszności przedstawionych w raporcie tez...
Jak bronić sie przed tego typu spamem
Jak się bronić? Tak jak przed typowymi wirusami. Najbardziej skuteczne jest oczywiście wyjście radykalne - rezygnacja z drogiego
i pełnego błędów systemu MS Windows firmy Microsoft i przejście na darmowe i znacznie bezpieczniejsze oprogramowanie typu
OpenSource - np.
Knoppix lub któraś z innych dystrybucji
Linux'a, choć przy wyborze konkretnej zachęcałbym raczej do sięgnięcia do pomocy osoby, która w razie problemów
może pomóc, przynajmniej na początku. Wbrew pozorom przejście na takie oprogramowanie wcale nie jest bolesne. Większość
dystrybucji Linux'a zawiera "menager okienek" nie tylko bardzo przypominający popularne Windowsy, ale wręcz prześcigający
je w wygodzie i funkcjonalności. Darmowy program OpenOffice bez problemu czyta większość
plików MS Office (z wyjątkiem niektórych funkcji w bardzo zaawansowanych arkuszach MS Excel'a - dla zabezpieczenia
przed taką ewentualnością na całe biuro zupełnie wystarczy jedna instalacja MS Office). Do czytania poczty i przeglądania
stron WWW świetnie nadaje się Mozilla - pakiet podobny, lecz bardziej zaawansowany i
wygodniejszy od Internet Explorera i MS OutlookExpress'a razem wziętych.
Jeśli jednak ktoś obawia się aż tak radykalnych zmian, to przed większością wirusów uchroni go instalacja "windowsowej"
wersji Mozilli, do której można też zaimportować archiwum poczty z MS OutlookExpress'a. Następnie należy całkowicie usunąć
MSOE. Może to jednak nie być łatwe, ponieważ Microsoft w każdej kolejnej wersji MS Windows stara się coraz bardziej
utrudnić taką operację.
A przede wszystkim!
Znajdź w panelu sterowania "Windows update". Musisz regularnie i często aktualizować swoją wersję MS Windows
oraz program antywirusowy - instalować wszelkie updaty, patche itp. Masz zainstalowany program antywirusowy, prawda?
Jeśli jednak nie, MKS_vir udostępnia darmowy
Skaner On-Line - korzystaj z tej usługi.
Aktualizować regularnie i często, to znaczy raz na tydzień, a góra - raz na 2 tygodnie. Najlepiej w każdy poniedziałek
rano, między poranna kawą a początkiem pracy. Co? Że często, i że kłopot? Trudno. Jeśli nie musisz korzystać z
MS Windows, zainstaluj lepszy system operacyjny. Jeśli musisz, to - prznajmniej do mementu aż Microsoft dokona
jakiegoś zadziwiającego przełomu w poziomie zabezpieczeń swoich programów - musisz też dbać o to, by nie narażać się
na niebezpieczeństwa, jakie grożą wszystkim użytkownikom tego systemu, a są to różne niebezpieczeństwa.
Polski akcent
W X.2003 pojawił się następny składnik układanki: okazało się,
że pewna polska firma, według własnych deklaracji, kontroluje 450.000 rozrzuconych po całym świecie komputerów połączonych z
Internetem za pomocą szybkich łączy. Przedstawiciel tej firmy, posługujący się pseudonimem Tubul twierdzi, że mogą zaoferować
spamerom "bulletproof hosting" z usługą rozpraszania routingu w taki sposób, by mocno utrudnione było
znalezienie firmy świadczącej usługi dla spamera. Koszt takiego maskowania to, bagatela, 1.500 USD miesięcznie.
W grupie dyskusyjnej news.admin.net-abuse.email już
rozpoczęło się polowanie na "zatrojanowane"
maszyny (1,
2,
3,
4,
5,
6). Dodam, że wśród nich znajdują
sie również komputery polskich użytkowników, w tym 2
w pierwszej 20-ce (jeśli chodzi o intensywność ataków).
Zobacz też komentarze w Slashdot.org...
Odnośniki
|