Chip 07/2004: antivirový koutek
Zatímco se všichni obávají dalšího útoku počítačových virů, které se šíří elektronickou poštou, získává totální kontrolu nad velkým počtem počítačů či celých sítí trochu jiný typ škodlivých programů. Je o to nebezpečnější, že se šíří mnohem pomaleji a „plíživěji“. Jedná se o programy typu bot, které jsou umístěny na daný počítač a poté umožňují jeho vzdálené ovládání několika různými způsoby – hlavně přes kanály IRC či pomocí P2P sítí. Takto kompromitované počítače jsou v poslední době využívány k mnoha vesměs nekalým činnostem: k útokům typu DDoS (Distributed Denial of Service), k šíření spamu, ke krádežím citlivých informací nebo k vyvolání nových velmi prudkých virových epidemií.
Tyto programy jsou šířeny přes IRC, diskusní skupiny či P2P sítě a nezpůsobují zdaleka tak velký provoz jako klasické viry. Jsou umisťovány většinou na domácí počítače, které nemají příslušnou ochranu a instalovány kritické záplaty systému, často jsou ale připojeny kvalitní linkou, typicky přes kabelovou televizi nebo xDSL. Podle odhadů dnes existuje asi 750 000 počítačů, které nějaký program typu bot obsahují. To je poměrně děsivé číslo, které může mít nemalý vliv na samotný chod Internetu. Takové počítače jsou pak označovány jako „zombie“ a je možno je dávkově vzdáleným způsobem zneužívat k výše uvedeným cílům. Různých bot programů existuje celá řada, zdrojové texty několika z nich byly nedávno zveřejněny, a i proto se objevují nové a nové. Ty poslední pak dokáží zneužívat poslední bezpečnostní díry (jako LSASS, nechvalně známou kvůli viru Sasser). Dá se říci, že ty nejnovější jsou opravdu velmi sofistikované. Podle odhadů se počet různých bot programů blíží k tisíci, některé jsou poměrně primitivními trojskými koni, jiné jsou velice propracované a vykazují vlastnosti virů – jsou se tedy schopny samy o sobě šířit.
Opravdu dochází k jejich zneužívání? Nejedná se jen o teoretickou hrozbu či novinářskou kachnu?
Vezměme si útok typu DDoS: jeden z prvních větších incidentů, kdy se síť zombie počítačů naráz „probudila“, nastal už v lednu 2002, kdy na čas vyřadil z činnosti server Steva Gibsona na adrese www.grc.com. Tehdy se jednalo o DDoS útok „pouhých“ 474 počítačů, které zahltily daný server svými požadavky a prakticky jej vyřadily z provozu. Od té doby došlo k několika podobným útokům, největší z nich (způsobený virem Mydoom-A) se odehrál na začátku února proti serveru www.sco.com a to v takovém rozsahu, že tato doména musela být dočasně zrušena. Proti takovému útoku se jednoduše nedá bránit!
Sítě zombie počítačů jsou v poslední době zcela určitě využívány pro šíření spamu. Je to opravdu výnosný byznys, ve kterém jde o velké peníze. Řada vlastních sítí spammerů se ale už dostala na černé listiny, které jsou pro filtrování spamu využívány. Je pro ně proto daleko výhodnější, když mohou spam rozesílat z obrovské distribuované sítě. Jednak nejsou jednotlivé počítače předem podezřelé a jednak je jich tolik, že jejich přidávání na černou listinu je špatně proveditelné.
Podobným způsobem je možno síť zombie počítačů využít i pro vyvolání velmi prudké a rozsáhlé epidemie nového viru. I to se během posledního roku stalo velmi častou praxí – prvním příkladem mohou být varianty viru Win32:Sobig, které na napadené počítače instalovaly trojské koně (podobné bot programům) a s jejich pomocí pak kromě spamu rozšiřovaly i nové varianty sebe sama. Jiný trojský kůň byl v lednu instalován dosud nejrozšířenějším virem Win32:Mydoom – a všechny tyto počítače dnes mohou být jednoduchým způsobem zneužity. Hackeři a autoři virů zkrátka přišli na to, že vytváření celých sítí zombie počítačů nemusí být jen zábavné, ale může se jednat o velmi výnosný byznys. Proto je dnes nabízejí k prodeji či k pronájmu – vloni v létě byla cena asi 500 dolarů za 10 000 počítačů. Jaká je dnes, se můžeme jen dohadovat. V květnu byl v jižním Německu zadržen jedenadvacetiletý muž, který je podezřelý z vytvoření mnoha variant programu Agobot a Phatbot. Uvidíme, jaké výsledky přinese jeho vyšetřování!