Objavljeno: 22.10.2005 11:29 | Avtor: Uroš Mesojedec | Monitor Marec 2004

Uroš Mesojedec: Zadnje opozorilo

Uroš Mesojedec: Zadnje opozorilo

Virusi, črvi in druga digitalna zalega imajo tudi koristno plat. So dobro opozorilo, kako zares nevarni so omreženi računalniki, če jih ne uporabljamo previdno. V časih pred internetom so bili virusi povsem drugače "vzgojeni". Njihovi avtorji so iskali zadoščenje predvsem v uničenju podatkov na disku. Pri nas je bil najbolj znan tak primer epidemija Michelangela. Po dveh uspešnih sezonah brisanja diskov so uporabniki počasi le doumeli, da velja preverjati vsebino disket, ki jih vtikamo v računalnik. Ali pa tudi ne. Prav enako verjetno je, da je smrt te nadlege povzročilo odmiranje uporabe disket in dokaj učinkovita protivirusna zaščita, ki so jo izdelovalci računalnikov vgradili v računalniško drobovje. Neomejeno pisanje po disku se je poslovilo, ko smo začeli uporabljati resnejše operacijske sisteme, ki tega početja preprosto ne dovolijo, s tem pa tudi učinkovito omejijo tako destruktivne programe.

Na izkušnjah se učimo. Kmalu pa zna biti cena izkušnje previsoka.

Novi časi pa so prinesli nove priložnosti. V omreženem svetu so našli plodna tla najrazličnejši črvi, ki se širijo predvsem z e-pošto. Črvi večinoma ne uničujejo datotek na disku, njihova poglavitna naloga je brezmejno razmnoževanje. Prvi črv, ki je nastal bolj po naključju in je povzročil tudi prvi internetni mrk, je povedal marsikaj o ranljivosti omrežja, ki nima vgrajenih učinkovitih varnostnih mehanizmov. Danes črvi najpogosteje zlorabljajo razpoke v varnosti najbolj priljubljenega programa za branje e-pošte, ki je sestavni del najbolj priljubljenega operacijskega sistema za osebne računalnike. Zato je delo avtorjem zlonamernih programov precej olajšano, saj imajo opravka s programsko monokulturo. Ta ima tudi v digitalnem svetu pogubne posledice za uspeh vrste. Pa se uporabniki iz slabih izkušenj s črvi, kot so bili "SirCam", "I Love You" ali "Blaster", kaj naučijo? Nedavni neverjetni pohod črva "MyDoom" nam govori, da bržkone nič. Slaba novica za uporabnike pa je, da je bil omenjeni črv zelo verjetno zadnje opozorilo pred pravo katastrofo.

Zaradi prevladujočega senzacionalističnega poročanja v medijih, ki so se osredotočili predvsem na aktualne ameriške pravne bedastoče in z njimi povezane stranske učinke črva, je resnična narava te izjemno nevarne zalege ostala osamljeno secirana na tehničnih spletnih straneh ponudnikov protivirusnih programov. Kaj so ugotovili? Črv je nedvomno delo strokovnjakov. Že način, kako nagovarja uporabnike, je precej drugačen od tipičnih neumnosti, ki nam polnijo e-nabiralnike. Neizkušenemu uporabniku je videti kakor običajno sporočilo e-poštnega strežnika, ki ga prejme v primeru napake. Prvi "filter", ki je pogosto uporaben v naših krajih - kratka sporočila v angleščini so mnogo pogosteje e-smet kakor pa e-sporočilo - v tem primeru odpove, saj so sistemska sporočila strežnikov pogosto prav v angleščini. Tudi priponka je drugačna kakor navadno. Namesto izvršljive je pripeta stisnjena datoteka. Uporabnik, ki bo sporočilu nasedel, jo bo shranil na disk in pregledal, s tem pa so avtorji črva zaobšli drugi, izkustveno pridobljeni uporabniški "filter": ne poganjaj priponk e-sporočila. Tretja zvijača je še posebej zanimiva: izvršljiva datoteka v paketu je navidez poimenovana z nenevarnim podaljškom, npr. doc, a to seveda ni pravi podaljšek datoteke, saj mu v imenu sledi velikansko število presledkov, ki jih uporabnik pogosto ne bo niti opazil, za njimi pa pravi podaljšek, ki je lahko bat, pif, exe, scr, cmd - oznaka datoteke, ki jo bo priljubljeni operacijski sistem pognal z vsemi pravicami uporabnika, te pa so praviloma zelo velike. Nič hudega sluteča žrtev torej misli, da bo odprla dokument, dejansko pa požene nevaren program. Okuženci tako niso šli le enkrat, temveč kar trikrat na led.

Zdaj pa še tisto najbolj zanimivo: le vsak četrti okuženi računalnik je zares sodeloval v časovno omejenem napadu na izbrani spletni strežnik, vsi po vrsti pa so postali zombiji. In to so najverjetneje še danes. Najbolj razvpita lastnost črva je pravzaprav le krinka za njegov pravi namen: prevzeti nadzor nad računalnikom. Črv ima vgrajen lasten e-poštni strežnik. Najprej ga izkoristi za to, da se sam razpošlje na vse naslove, ki jih najde na disku okuženega računalnika, tako da prebere vsebino vseh datotek s podaljški asp, dbx, tbb, htm, sht, php, adb, pl, wab in txt. Zatem vzpostavi stranska vrata na številkah od 3127 do 3198 in s tem okuženi računalnik spremeni v daljinsko upravljanega zombija, računalnik, ki ga pravzaprav nimamo več pod nadzorom. Napadalec lahko skozi stranska vrata v nezaščitenih računalnikih požene poljuben program in škoda, ki jo lahko povzroči, je omejena le z dosegom njegove zlobe. Vgrajeni e-poštni strežnik je raziskovalce delovanja črva napeljal k razmišljanju, da so njegovi avtorji pravzaprav združba, ki pošilja e-smeti, pridobljene zombije pa bodo izkoristili prav v ta namen. A to je lahko slepilo, prav tako kot razvpiti napad na spletni strežnik.

Kaj če se avtorji črva odločijo, da bodo v okuženih računalnikih začeli zbirati vse pritisnjene tipke? Avtorjem tako izpopolnjenega črva iz pridobljenih informacij ne bo težko razbrati identitete, zaupnih gesel in številk kreditnih kartic nič hudega slutečih žrtev. Hitro se lahko ponovi tudi zgodba angleškega očeta, ki se je moral odreči skrbništvu nad hčerko, ker so v njegovem računalniku našli slike otroške pornografije. Možak najverjetneje ni bil nič kriv, te ostudne podobe je v njegov računalnik vnesel podoben črv/trojanski konj, ki je neopazno prevzel nadzor nad njegovim računalnikom in ga spremenil v eno izmed tisočerih razpršenih shramb za razpečevanje teh grozot.

Samo upamo lahko, da bodo učinkovita zdravila in zdrava pamet uporabnikov prehiteli zlobne nakane avtorjev črvov, ki še prihajajo. Teh ne pišejo več nedozoreli najstniki s preveč prostega časa, temveč izurjeni programerji, ki jih bogato plačuje organiziran kriminal.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji