Rosnące zagrożenie ze strony robaków IM

Symantec ostrzega – w Sieci pojawiły się niebezpieczne robaki, które wykorzystując słabe punkty obecne w oprogramowaniu klienta IM (Instant Messaging) mogą w ciągu kilku sekund zainfekować tysiące komputerów.

Okazuje się, że w oprogramowaniu IM (bezpośrednia wymiana wiadomości) istnieje szereg "furtek", które mogą być wykorzystane przez nowy typ wirusów do zainfekowania komputera i szybkiego rozprzestrzeniania się w Internecie.

Jak dotąd znanych jest 60 takich "furtek". Jedne mogą być wykorzystane do przeprowadzenia ataku DoS i unieruchomienia komputera, a inne pozwalają włamywaczowi instalować i uruchamiać na zdalnym komputerze szkodliwe programy.

Nieszczelności obecne w oprogramowaniu IM są bardzo niebezpieczne, ponieważ włamywacz może przeprowadzić atak przy pomocy aplikacji opartej na udokumentowanych interfejsach programistycznych API. Interfejsy takie mogą być wykorzystane do napisania programu, który w niedostrzegalny sposób rozsyła wirusy lub programy zawierające konie trojańskie, względnie który przechwytuje listy zdalnych rozmówców przechowywane w pamięci komputera.

A przechwycenie takich list powoduje, że atak na oprogramowanie IM może poczynić dużo więcej szkód, niż ma to miejsce przypadku takich wirusów jak Code Red, Slammer czy Blaster, które rozprzestrzeniają się przez Internet nie angażując w to sieci IM.

Inaczej niż wymienione powyżej robaki internetowe, robaki IM nie muszą skanować Internetu w poszukiwaniu adresów IP (po to, aby zidentyfikować niezabezpieczone systemy i wyprowadzić atak). Poza tym, skanowanie spowalnia zawsze szybkość z jaką wirus rozprzestrzenia się po Sieci. Robak IM wynajduje nowe ofiary w inny sposób – posługuje się listami rozmówców budowanymi przez oprogramowanie IM.

Okazuje się, że opierając się na takim scenariuszu i zakładając, że listy rozmówców w zainfekowanym komputerze i w komputerze docelowym różnią się tylko jednym wpisem, robak IM może zainfekować w ciągu 31 sekund 500 tysięcy komputerów. A grzechem projektantów najpopularniejszych sieci IM (takich jak AOL Instant Messenger, Microsoft MSN Messenger czy Yahoo Messenger) jest to, że zadbali o to, aby sieć pracowała wydajnie, nie zwracając uwagi na zabezpieczenia. Hasła użytkowników oraz inne dane nie są szyfrowane, dlatego można je przechwytywać. I teraz to się mści.

Specjaliści twierdzą, że istnieje już ok. 30 robaków IM. Pocieszające jest to, że można je w prosty sposób unieszkodliwiać. Dlaczego? Ponieważ sieci IM bazują na centralnych serwerach, które można szybko "zaszczepić" (wyposażając je np. w opcje filtrujące pakiety rozsyłane przez użytkowników korzystających z ich usług, czy też zmuszając klientów do zainstalowania najnowszych poprawek, które likwidują "furtki" - użytkownik bez zainstalowanej poprawki nie ma dostępu do serwera).

Przedsiębiorstwa, które chcą zawczasu zminimalizować niebezpieczeństwo grożące im ze strony wirusów IM, mogą po prostu zamknąć porty wykorzystywane przez klientów IM. Można też tak skonfigurować zapory oparte na technologii dogłębnej inspekcji pakietów, aby wychwytywały tego rodzaju zagrożenia.

A jeśli już w firmie musi koniecznie pracować oprogramowanie IM, to musi to być taki produkt, który szyfruje hasła i dane, albo taki, który obsługuje lokalny intranet, nie wypychając pakietów IM na zewnątrz do sieci Internet.


Zobacz również