Atak robaków - krajobraz po bitwie

"Najwięcej 'szumu informacyjnego' generuje w tej chwili Zotob, ale łatwo jest przewidzieć pojawienie się jego kolejnych mutacji, które rozpoczną kolejny wyścig w dostarczaniu szczepionek mających je neutralizować" - mówi w rozmowie z PCWK Online Michał Jarski z firmy Internet Security Systems. "Prawdopodobnie za kilka tygodni lub nawet miesięcy nastąpi wtórny atak za pomocą tego samego mechanizmu, który będzie wymierzony w niezałatane systemy. Hackerzy liczą na łatwe zdobycze - im bardziej nieznany mechanizm wykorzystają, tym bardziej rosną ich szanse sukcesu" - prognozuje przedstawiciel ISS.

Przypomnijmy - pierwsze robaki, atakujące systemy Windows 2000 przez załataną w ubiegłym tygodniu przez Microsoft lukę w zabezpieczeniach, pojawiły się już kilka dni temu. Wczoraj i przedwczoraj aktywność "insektów" przybrała rozmiary epidemii - różne wersje Zotoba i Rbota masowo infekowały komputery na całym świecie (paraliżując m.in. pracę kilku wielkich amerykańskich koncernów medialnych. Szerzej pisaliśmy o tym w tekście "Robaki atakują Windows".

Postanowiliśmy również porozmawiać na ten temat z Michałem Jarskim, ekspertem ds. bezpieczeństwa z firmy Internet Security Systems:

Jak groźna jest w tej chwili sytuacja? Czy może grozić nam nawet tak poważne zakłócenie pracy sieci, jak podczas ataku osławionego Slammera?

Michał Jarski, Internet Security Systems

Michał Jarski, Internet Security Systems

Michał Jarski: Pojedyncze przedsiębiorstwa wykorzystujące masowo Windowsy 2000 mogą paść ofiarą robaka, który efektywnie sparaliżuje ich funkcjonowanie. Ma to związek z powszechną polityką homogenizacji systemów operacyjnych w danym środowisku, co ma zredukować koszty utrzymania całości. W efekcie firma utrzymuje poprzednią generację systemu operacyjnego przez dosyć długi czas, aż do podjęcia decyzji o masowym przejściu na nową edycję (czyli Windows XP w tym przypadku). Dlatego wiele dużych firm nadal "tkwi" w epoce Windows 2000, które w tym przypadku stały się wrotami dla włamywaczy.

Z tych samych powodów nie jest możliwe odpowiednio szybkie załatanie systemów korporacyjnych (patchami udostępnionymi już 9.08.2005) i robaki mogą tam szaleć w najlepsze. Cykl testowy mający zapewnić bezproblemowe wdrożenie patcha oraz czas jego późniejszej dystrybucji (np. do użytkowników mobilnych) decydują o opóźnieniach, które są skwapliwie wykorzystywane przez hackerów i ich automatyczne narzędzia atakujące.

W tej chwili TYLKO systemy Windows 2000 są zagrożone atakami sieciowymi (np. w formie robaka, jak w przypadku Zotoba), ponieważ mechanizm Plug&Play wykorzystuje w ich przypadku anonimowe "named pipes". Dla Windows XP i nowszych konieczna jest uprzednia autentykacja i uzyskanie praw administratora w celu uruchomienia ataku na P&P (czyli przez uwierzytelnione "named pipes" - Microsoft udoskonalił ten sposób dostęp do witalnych mechanizmów systemu, jest to efekt uboczny procesu udoskonalania Windows), a więc bezpośredni atak sieciowy nie jest możliwy. Ewentualne przyszłe generacje ataków mogłyby jednakże wykorzystywać lukę w P&P do pewnych zadań, jako następny krok po przejęciu kontroli nad systemem operacyjnym

Którego z kilku aktywnych w tej chwili trzech robaków uznałby Pan za najbardziej groźnego?

Najwięcej "szumu informacyjnego" generuje w tej chwili Zotob, ale łatwo jest przewidzieć pojawienie się jego kolejnych mutacji, które rozpoczną kolejny wyścig w dostarczaniu szczepionek mających je neutralizować. Tradycyjne technologie bezpieczeństwa wymagają bowiem zawsze zdobycia "egzemplarza 0" do stworzenia "wzorca wroga", który jest potem wykorzystywany do rozpoznawania i neutralizowania ataków. Każda, nawet minimalna zmiana w wyglądzie robaka, wbudowanie kodu w inny mechanizm atakujący (np. dołączenie do pirackiego oprogramowania) powoduje konieczność tworzenia nowych szczepionek oraz ich jak najszybszej dystrybucji. Administratorzy ścigają się w ten sposób z hakerami, a stosując technologie reaktywne są po prostu skazani na przegraną.

Na farsę zakrawają stwierdzenia producentów systemów antywirusowych zachęcających klientów do regularnych aktualizacji. Najczęściej albo nie jest to wykonalne, albo i tak za wolne. Aktualizacje codzienne, co 8 godzin, co 4 godziny, co godzina, a może ciągłe? To i tak nie wystarczy, bo musimy być gotowi na ataki przyszłości - zmieniające się co kilka godzin, a nawet samo-mutujące, polimorficzne, dla których zwyczajnie nie będzie możliwe stworzenie stałego "wzorca".

Tymczasem natura ataku pozostaje ta sama. Korzysta on przecież zawsze z tego samego, znanego, opublikowanego przez producenta systemu operacyjnego mechanizmu luki. Wystarczy chronić lukę, aby móc rozpoznać i zablokować każdy, nawet nieznany atak! Zamiast zastanawiać się, która z kropel może wpaść przez dziurę w dachu, lepiej pokryć tę lukę tymczasową osłoną. W ten sposób działa nasz mechanizm Virtual Patch, który bez konieczności uciążliwego, czasochłonnego i podatnego na błędy testowania pozwala w sposób ciągły chronić system firmowy uprzedzając ataki.

Jakie są, Pana zdaniem, scenariusze sytuacji - co się będzie działo w ciągu najbliższych dni? Czy liczba infekcji będzie raczej rosła, czy powoli spadała?

Ze względu na natłok informacji o aktywności Zotoba firmy z pewnością przyspieszą wdrażanie patchy i zablokują ruch na port TCP/445, ograniczając rozpęd infekcji. Powinna ona w najbliższym czasie się uspokoić.

Prawdopodobnie za kilka tygodni lub nawet miesięcy nastąpi wtórny atak za pomocą tego samego mechanizmu, który będzie wymierzony w niezałatane systemy. Hackerzy liczą na łatwe zdobycze - im bardziej nieznany mechanizm wykorzystają, tym bardziej rosną ich szanse sukcesu.

W tej chwili nie chodzi już o zdobycie sławy z powodu ślepo rozprzestrzeniającego się, głośnego robaka. Włamywacze stali się chciwi i starają się zarobić na swojej działalności. Mogą to zrobić tworząc botnety, a następnie wykonując za ich pomocą nielegalne operacje lub sprzedając je na czarnym rynku. a stworzenie botnetu jest najłatwiejsze za pomocą specjalnego rodzaju robaka, który działa po cichu, bez rozgłosu, który nie powoduje bezpośrednich strat, a jedynie pozwala na wykonywanie dowolnych zadań na zainfekowanym komputerze.

Z takiego zombi nadal korzysta się jak przed infekcją (przecież komputer nie dostaje wysypki :-)). Tyle, że nieświadomy niczego użytkownik udostępnia swój komputer przestępcom do przeprowadzania działań o naturze kryminalnej. Co więcej - może być za te działania pociągnięty do odpowiedzialności.

Kogo można uznać za winnego obecnej sytuacji?

Winnym nie jest ani Microsoft, gdyż udostępnia narzędzie, które naprawia błąd w systemie operacyjnym. Ani nie są nimi użytkownicy skazani na "błędne koło" patchowania systemu. Musimy po prostu nauczyć się radzić sobie z pojawiającymi się tak błyskawicznie lukami i wykorzystującymi je atakami. Na pewno nie jest możliwe poleganie ani na szybkim załataniu systemu (trwa to zazwyczaj 30-40 dni w skali całego systemu IT), ani na typowych rozwiązaniach firewall czy AV, które za każdym razem muszą ścigać się z włamywaczami i z kolejnymi opracowywanymi przez nich mutacjami wirusów, robaków, trojanów czy exploitów.

Można tej sytuacji zaradzić stosując technologie obronne rzeczywiście wyprzedzające atak. Fundamentami tych technologii są szeroko zakrojone badania nad bezpieczeństwem (i to nie w formie kupowania informacji o lukach, jak to starają się robić niektórzy producenci, tylko w ramach własnych zespołów badawczych i w oparciu o współpracę między takimi zespołami) oraz mechanizmy obronne skoncentrowane na zapobieganiu wykorzystaniu luk, a nie blokowaniu konkretnych przykładów exploitów (co pociągałoby za sobą konieczność posiadania "egzemplarza 0", a na to nie możemy sobie pozwolić).

Żadna "reakcja" na pojawienie się nowego zagrożenia nie będzie wystarczająco szybka. Nowe robaki rozprzestrzeniają się w oszałamiającym tempie, zdecydowanie przewyższającym wszelkie możliwości pozyskiwania wrogiego kodu, jego analizy i tworzenia szczepionek.

"Po owocach ich poznacie" - wystarczy sprawdzić jak "zareagowali" na ZOTOBa producenci rozwiązań bezpieczeństwa: czy ślepo rzucili się w wir wyścigu o dostarczenie szczepionek, czy mogli swobodnie powiedzieć - nasi klienci są bezpieczni. Klienci ISS są chronieni od 13 kwietnia 2005 r.


Zobacz również