Niedziela, 15 XII 2019

wersja do druku

Zombie i MS Windows

Alians spamerów i crackerów

Specjaliści z firmy MessageLabs, specjalizującej się w ochronie antywirusowej i antyspamowej, przestrzegają że nadawcy spamu coraz częściej sięgają do agresywnych technik pochodzących od wirusów komputerowych, aby zapewnić sobie możliwość wysyłania spamu. Coraz częściej spotyka się przesyłki próbujące na komputerze odbiorcy zainstalować program słuzący spamerowi do wysyłania przesyłek poprzez komputer niczego nieświadomej ofiary. W witrynie The Register pojawiło się już kilka artykułów na temat takich przypadków: Trojan turns victims into DDoS, spam zombies, Rise of the Spam Zombies (o tym też w SecurityFocus). Natomiast InfoWorld donosił niedawno o rozsyłanym poprzez spam wirusie, który instalował na komputerach odbiorców - oczywiście bez ich wiedzy - program służący do wyświetlania na stronach www, przeglądanych na cudzuch komputerach, reklam stron pornograficznych. W taki sposób spamer tworzył sieć węzłów reklamowych które trudno było zablokować, a ich właściciela odszukać. Innym zagrożeniem są spamy zawierające wirusy instalujące na komputerze odbiorcy programy śledzące działania użytkownika i rejestrujące wpisywane przez niego hasła, numery kart kredytowych itp - o takim zagrożeniu niedawni pisał brytyjski vnunet.com. Jeszcze inne zastosowanie, to wykorzystanie armii setek tysięcy zdalnie kontrolowanych maszyn do unieruchomienia wybranego serwera na swiecie - np. banku, jak miało to miejsce w przypadku należącego do Royal Bank of Scotland serwisu WorldPay, obsługującego 27.000 klientów z całego świata.

Trojany instalują się na komputerze ofiary wykorzystując błędy w programie MS Outlook Express lub w samym systemie MS Windows. Czasem dzieje się to samoczynnie po obejrzeniu podglądu wiadomości w MS OE, czasem dopiero po kliknięciu na jakiś odnośnik lub przycisk w e-mailu.

Steve Linford prowadzący witrynę SpamHaus w swojej wypowiedzi dla magazynu The Register stwierdza, że mająca miejsce w ostatnich miesiącach epidemia ataków typu DDoS, która była powodem likwidacji kilku z najpoważniejszych serwisów antyspamowych, jest ścisle powiązana z plagą wirusów komputerowych, z jaką mieliśmy niedawno do czynienia. Matt Sergeant z MessageLabspotwierdza związek między tymi atakami a komputerami zarażonymi robakami Sobig, Fizzer lub BugBear.

Wirusy te instalują na maszynach z systemem MS Windows oprogramowanie, umożliwiające zdalnie działającemu crackerowi (nie mylić z hakerem) przejęcie kontroli nad cudzym komputerem. Zdalnie kontrolowany komputer jest często nazywany "zombie"i jest wykorzystywany takich celów jak rozsyłania ogromnych ilości spamu w sposób uniemożliwiający wyśledzenie jego rzeczywistego źródła, lub ataki typu DoS.

Ofensywa

Gwałtowny wzrost ilości "zombie", idący w setki tysięcy zdalnie kontrolowanych maszyn, zanotowano od kwietnia 2003 r. Również od połowy tego roku nasiliła się ilość ataków typu Distributed Denial of Service, czyli DoS przeprowadzany jednocześnie z wielu źródeł. To właśnie było przyczyną likwidacji w ciagu ostatnich 4 tygodni baz Osirusoftu, Delink, Monkeys i Compu.net oraz kłopotów SORBS, OpenRBL i SpamHaus. Spodziewany atak tego typu zmusił nawet Microsoft do rozproszenia ruchu jednej z witryn firmy za pomocą systemu oferowanego przez Akamai (co spowodowało przy okazji plotki, jakoby MS używał systemu Linux na swoich serwerach). Wirusa który spowodował to zamieszanie podejrzewa się również o spowodowanie 15.VIII.2003 gigantycznej awarii sieci elektrycznych w USA.

Każdy użytkownik MS Windows jest zagrożony

Dlaczego tak się rozpisałem na ten temat? Przestępcy, którzy używaja wirusów do zwalczania witryn antyspamowych, stanowią zagrożenie nie tylko dla wojowników ze spamem, ale dla każdego. Mogą zagrozić wszelkim instytucjom, używającym do swoich celów łączy internetowych. Tymczasem, według analizprzeprowadzonych przez Steve Linforda, równiez w Polsce udało się zidentyfikować pewną liczbę maszyn, na których zainstalowany jest groźny wirus.

Mówiąc krótko: ze względu na działalność komputerowych przestępców, system MS Windows plus ignorancja użytkowników stanowią zagrożenie bezpieczeństwa publicznego - podobne głosy pojawiająjuż USA - patrz raport (*.pdf) CCIA na ten temat.

Przy okazji, jak okazało się 29.IX.2003, jeden ze współautrów wspomnianego raportu, Dan Geer, światowej sławy ekspert od spraw bezpieczeństwa, był zatrudniony jako Chief Technology Officer w @Stake, firmie powiązanej kapitałowo z Microsoftem. Był, bo po publikacji raportu nagle przestał być zatrudniony. Okazuje się, że szef do spraw bezpieczeństwa powinien raczej wychwalać płot, a nie szukać w nim dziur. Ale chyba reakcja taka - pośrednio - dowodzi też słuszności przedstawionych w raporcie tez...

Jak bronić sie przed tego typu spamem

Jak się bronić? Tak jak przed typowymi wirusami. Najbardziej skuteczne jest oczywiście wyjście radykalne - rezygnacja z drogiego i pełnego błędów systemu MS Windows firmy Microsoft i przejście na darmowe i znacznie bezpieczniejsze oprogramowanie typu OpenSource - np. Knoppix lub któraś z innych dystrybucji Linux'a, choć przy wyborze konkretnej zachęcałbym raczej do sięgnięcia do pomocy osoby, która w razie problemów może pomóc, przynajmniej na początku. Wbrew pozorom przejście na takie oprogramowanie wcale nie jest bolesne. Większość dystrybucji Linux'a zawiera "menager okienek" nie tylko bardzo przypominający popularne Windowsy, ale wręcz prześcigający je w wygodzie i funkcjonalności. Darmowy program OpenOffice bez problemu czyta większość plików MS Office (z wyjątkiem niektórych funkcji w bardzo zaawansowanych arkuszach MS Excel'a - dla zabezpieczenia przed taką ewentualnością na całe biuro zupełnie wystarczy jedna instalacja MS Office). Do czytania poczty i przeglądania stron WWW świetnie nadaje się Mozilla - pakiet podobny, lecz bardziej zaawansowany i wygodniejszy od Internet Explorera i MS OutlookExpress'a razem wziętych.

Jeśli jednak ktoś obawia się aż tak radykalnych zmian, to przed większością wirusów uchroni go instalacja "windowsowej" wersji Mozilli, do której można też zaimportować archiwum poczty z MS OutlookExpress'a. Następnie należy całkowicie usunąć MSOE. Może to jednak nie być łatwe, ponieważ Microsoft w każdej kolejnej wersji MS Windows stara się coraz bardziej utrudnić taką operację.

A przede wszystkim!

Znajdź w panelu sterowania "Windows update". Musisz regularnie i często aktualizować swoją wersję MS Windows oraz program antywirusowy - instalować wszelkie updaty, patche itp. Masz zainstalowany program antywirusowy, prawda? Jeśli jednak nie, MKS_vir udostępnia darmowy Skaner On-Line - korzystaj z tej usługi.

Aktualizować regularnie i często, to znaczy raz na tydzień, a góra - raz na 2 tygodnie. Najlepiej w każdy poniedziałek rano, między poranna kawą a początkiem pracy. Co? Że często, i że kłopot? Trudno. Jeśli nie musisz korzystać z MS Windows, zainstaluj lepszy system operacyjny. Jeśli musisz, to - prznajmniej do mementu aż Microsoft dokona jakiegoś zadziwiającego przełomu w poziomie zabezpieczeń swoich programów - musisz też dbać o to, by nie narażać się na niebezpieczeństwa, jakie grożą wszystkim użytkownikom tego systemu, a są to różne niebezpieczeństwa.

Polski akcent

W X.2003 pojawił się następny składnik układanki: okazało się, że pewna polska firma, według własnych deklaracji, kontroluje 450.000 rozrzuconych po całym świecie komputerów połączonych z Internetem za pomocą szybkich łączy. Przedstawiciel tej firmy, posługujący się pseudonimem Tubul twierdzi, że mogą zaoferować spamerom "bulletproof hosting" z usługą rozpraszania routingu w taki sposób, by mocno utrudnione było znalezienie firmy świadczącej usługi dla spamera. Koszt takiego maskowania to, bagatela, 1.500 USD miesięcznie.

W grupie dyskusyjnej news.admin.net-abuse.email już rozpoczęło się polowanie na "zatrojanowane" maszyny (1, 2, 3, 4, 5, 6). Dodam, że wśród nich znajdują sie również komputery polskich użytkowników, w tym 2 w pierwszej 20-ce (jeśli chodzi o intensywność ataków). Zobacz też komentarze w Slashdot.org...

Odnośniki

• Czy jest bezpiecznie? - doskonały felieton Lecha Stępniewskiego z lipica 2001, poglądowo pokazujący skalę zagrożeń ze strony komputerów zombie i ataków typu DDoS.
• Artykuły w SecurityFocus: Rise of the Spam Zombies i Joe Average User Is In Trouble
• Viruses Are Riding On Spam, MessageLabs Says - artykuł w InternetWeek.
• Trojan horse found responsible for child porn
• WorldPay under siege from internet attack
• Spam block lists bombed to oblivion
• Cloaking Device Made for Spammers
• Sobig.e - Evolution of the Worm, Sobig.a and the Spam You Received Today
• Opisy kilku wirusów na stronie Symantec'a: W95.Tenrobot.C, Backdoor.Guzu, Backdoor.Jeem.
• Prawa Nowych Technologii. Odpowiedzialność karna za włamanie do systemu komputerowego
• A. Adamski - Hacking a nowy kodeks karny

Data ostatniej modyfikacji: 23 XII 2003

wersja do druku