Již několikrát jsme se v minulosti měli možnost setkat s opravdovým wormem, který se dokáže velice rychle rozšířit po mnoha počítačích v celosvětovém měřítku. Takový worm nepotřebuje pro své šíření jakýkoli zásah člověka, využívá bezpečnostních chyb v systémech a aplikacích a jeho důsledky mohou být skutečně velmi nepříjemné. Jeho základní vlastností je velká rychlost, se kterou se dokáže hlavně na počátku své existence šířit. Prvním takovým wormem byl Morrisův červ už v listopadu 1988, zatím posledním velmi známý CodeRed z července 2001. Nedávno se na Internetu objevilo několik zajímavých teoretických studií, které rozebírají možnosti, principy, rychlost šíření a nebezpečí budoucích wormů. A právě o nich si dnes a příště budeme trochu podrobněji povídat.

Síťové wormy využívají známých či dosud neznámých bezpečnostních děr. Bohužel takových děr existuje mnoho a denně se objevují nové. I ty staré a dlouho známé, pro něž existují bezpečnostní záplaty, však nejsou v řadě případů správci systému opraveny, a to znamená, že takové systémy mohou být masově zneužívány. Díry se vyskytují ve všech operačních systémech (Unix, Windows), ale i v aplikacích, například v MS IIS serveru či v sítích typu peer to peer. Oběma výše zmíněným wormům (Morrisův worm i Codered) trvalo počáteční rozšíření několik hodin, ale i tak bylo velkým problémem rychle a správně reagovat – a to jak pro antivirové firmy a bezpečnostní specialisty, tak pro uživatele a správce systémů.

Největší výzvou pro takový superworm je co nejrychlejší nalezení dalších vhodných obětí. Dosud existující wormy používaly většinou náhodné hledání, které ale není příliš efektivní, a proto jejich rozšíření trvalo tak dlouho. Některé z nich (CodeRedII či Opas) proto začaly při hledání preferovat právě platné či sousední podsítě. Ani to však nevedlo k vyšší efektivitě. První teoreticky navržený worm, který jeho autor pojmenoval Warhol, proto využívá předem sestavený seznam vhodných obětí. Při simulaci se ukázalo, že zcela dostačující je seznam s 10 až 50 tisíci položkami. Worm potom při svém šíření využívá dělení takového seznamu (půlku si nechá sám, půlku předá svému potomkovi), a tak z původních 200 kilobytů velikost seznamu během několika generací rychle klesne na velmi malou úroveň. Po vyčerpání všech položek seznamu worm přejde na jinou metodu hledání obětí (náhodné, či lépe pomocí algoritmu permutací), v té chvíli je už ale značně rozšířen. Pokusně bylo prokázáno, že k napadení asi třista tisíc počítačů by takovému wormu stačilo pouhých 15 minut – proto ho také autor studie nazval Warhol worm (Andy říkal: „každý si prožije svých 15 minut slávy“…). Problémem je i možnost zahlcení sítě požadavky wormu, proto autor kladl velký důraz na rychlé testování případné oběti a na to, aby nedocházelo k napadání již napadeného systému. Pro přežití wormu je důležité provádět čas od času i nové hledání, protože některé systémy mohly být vypnuty či odpojeny či z nich mohl být worm odstraněn (a použitá bezpečnostní díra ne).

Velké vylepšení přinesla další studie, která hovoří o wormu Flash. Pokud si autor wormu předem zjistí všechny dostupné oběti – systémy s bezpečnostní dírou - a pokud navrhne i správný vektor šíření (cesty, po kterých se bude worm ze začátku šířit musí mít velice silné linky), pak lze čas infekce velice radikálně zkrátit. Autor uvažuje o tom, že původní nekomprimovaný seznam všech vhodných obětí bude mít kolem 48 MB, worm se nebude půlit ale každá instance wormu napadne až deset dalších systémů. V případě úspěšnosti při napadání pouhých 26% dojde k napadení všech vhodných počítačů v pouhých sedmi vrstvách, napadeny bodou 3 milióny systémů, a to za pouhých 30 sekund!

Je zřejmé, že takto rychle se šířící worm je už za hranicí nějaké adekvátní obranné reakce. Během 30 sekund není prakticky možno ani zjistit, že se něco děje, natož se proti podobnému útoku bránit. Co nás tedy v budoucnu čeká? Otázkou už dnes není zda, ale kdy se podobný worm vyskytne. Další studie pak dále rozvíjí teoretické možnosti takového wormu a zabývá se nejen jeho šířením ale i jeho dalším vývojem a možnostmi. O tom si ale něco řekneme až příště.

Po velké epidemické vlně, kterou způsobily na začátku října viry BugBear a Opas, se situace na virové scéně opět vrací k normálu letošního roku: obě novinky pomalu ustupují do pozadí a na čelo se opět vrací letošní rekordman – virus Klez-H, který je podle všech příznaků nezničitelný. Před několika dny se objevil nový virus Braid, který je zajímavý tím, že do systému vypouští i variantu známého viru FunLove. Podobně jako všechny viry z poslední doby využívá již dlouho známou bezpečnostní díru IFRAME, a proto Vám doporučuji: pokud používáte Windows, aplikujte všechny důležité záplaty operačního systému a aplikací od Microsoftu!