Szeryf poszukiwany

Hakerzy i twórcy wirusów stali się częścią komputerowej subkultury, a nawet przedmiotem podziwu. Posługując się armiami nieświadomych pośredników, pozostają trudni do wytropienia. Nawet jeśli wpadną, sądom brakuje paragrafów do wymierzenia sprawiedliwej kary.

Hakerzy i twórcy wirusów stali się częścią komputerowej subkultury, a nawet przedmiotem podziwu. Posługując się armiami nieświadomych pośredników, pozostają trudni do wytropienia. Nawet jeśli wpadną, sądom brakuje paragrafów do wymierzenia sprawiedliwej kary.

W rezultacie komputerowe zbójnictwo przybrało zastraszające rozmiary. W ubiegłym roku straty wywołane przez wirusy, robaki i trojany oszacowano na blisko 200 miliardów dolarów. Przy sześciuset milionach instalacji rozmaitych Windows wypada po trzysta dolarów na jedną. Nie widać siły zdolnej zatrzymać szerzenie się tej plagi. Nic dziwnego, że niektórzy internauci postanowili wziąć sprawiedliwość w swoje ręce i zrewanżować się hakerom. Zorganizowało się kilka grup samozwańczych strażników, którzy wymyślili parę sprytnych pociągnięć. Nie zawsze w granicach obowiązującego prawa.

Czy przyłączenie się do nich oznacza wejście w szarą strefę? Opinie są podzielone. Jedni wzbraniają się przed naruszaniem przepisów nawet w imię szczytnych celów, inni wyżej cenią skuteczność. Zanim wypowiesz swoją opinię, przeczytaj o mechanizmie i sposobach działania tarczy i miecza.

Dla pieniędzy

Oprócz dowcipnisiów, atakujących serwery dla czystej satysfakcji, jest coraz więcej hakerów profesjonalistów, uprawiających ten proceder dla pieniędzy. Ich bronią z wyboru jest atak Denial of Service (DoS), polegający na zablokowaniu usług. Wykorzystuje się w nim tę cechę protokołu sieciowego, która nakazuje serwerowi odpowiadać na każde zapytanie klienta. Wystarczy wysyłać odpowiednio wiele zapytań, aby spowodować najpierw przedłużanie się kolejki nieobsłużonych, a w końcu załamanie całego systemu.

Top 10 szkodników. Wywiadownia mi2g ( http://www.mi2g.com ) sumaryczne straty spowodowane wirusami, robakami i trojanami w 2004 roku szacuje na 185 miliardów dolarów. To ponad dwa razy więcej niż w roku poprzednim. Indywidualny dorobek rekordzistów z ostatnich lat pokazaliśmy w tabeli.

Top 10 szkodników. Wywiadownia mi2g ( http://www.mi2g.com ) sumaryczne straty spowodowane wirusami, robakami i trojanami w 2004 roku szacuje na 185 miliardów dolarów. To ponad dwa razy więcej niż w roku poprzednim. Indywidualny dorobek rekordzistów z ostatnich lat pokazaliśmy w tabeli.

Mogłoby się wydawać, że DoS jest łagodnym rodzajem ataku. Nie niszczy przecież ani sprzętu, ani danych. Pozwala tylko na czasowe wyeliminowania z Internetu serwera, a z nim niektórych informacji tam zapisanych. Jednak byt wielu firm i rodzajów działalności zależy od dobrego połączenia z siecią. Odcięcie od Internetu oznacza dla nich klęskę, a co najmniej utratę prestiżu. Są gotowe zapłacić okup za pozostawienie w spokoju.

Zorganizowanie ataku dużej mocy jest stosunkowo proste. Nie potrzeba superkomputera, pod ręką znajduje się masa nieodpowiednio zabezpieczonych maszyn - świadczy o tym znajdowanie wirusów i robaków wypuszczonych w świat wiele lat temu, które krążą po Sieci do tej pory, nie trafiając na żaden z programów ochronnych. Hakerzy bez trudu mogą zamaskować miejsce, z którego następuje atak - wystarczy znaleźć drogę do słabo zabezpieczonego komputera gdziekolwiek. W wielu wypadkach właściciel nawet nie będzie zdawał sobie sprawy, że ktoś wykorzystuje jego maszynę.

Moc w liczbie

Groźniejszy jest atak Distributed DoS, DDoS, poprowadzony z wielu komputerów naraz. Jego moc przełamuje zabezpieczenia nawet dużego celu z wielką łatwością. Aby umożliwić sobie taki atak, haker musi zorganizować całą armię tzw. zombie - niewystarczająco zabezpieczonych komputerów. Skutecznym nośnikiem jest robak lub wirus, który szybko się rozpowszechni i zainstaluje w opanowanych maszynach oprogramowanie uruchamiające w wybranym momencie lawinowy DDoS.

Zaatakowany serwer internetowy otrzymuje miliony żądań połączenia się od komputerów z całego świata. Skutku można się domyślić: maszyna usiłuje sprostać zapotrzebowaniu, ale jej rezerwy szybko się kończą, więc zwalnia, aż wreszcie staje. W tym momencie właściciel serwera przestaje istnieć w Internecie. Powrót do życia serwera zależy od atakującego.

Tak silny instrument nacisku na firmy komercyjne i administrację państwową nie mógł pozostać niezauważony przez gangi kryminalistów. DDoS stał się skutecznym narzędziem wymuszania okupu. Przez kilka ostatnich lat specjalnym zainteresowaniem hakerów cieszyły się internetowe firmy bukmacherskie. Panuje w nich senna atmosfera oprócz kilku dni i godzin, kiedy zbliża się jedno z ważnych wydarzeń - supermecz, gonitwa czy finał. Przyjmujące wówczas stosy zakładów firmy nie mogą sobie pozwolić na zwolnienie obrotów. Idealny moment na rozmowę o zagrożeniach...

Po raz pierwszy w 2003 roku mgliste pogróżki o możliwości zakłócenia zdalnego zawierania zakładów dotarły do specjalnej jednostki brytyjskiej policji, ale nic szczególnego się nie wydarzyło. Od tego czasu kryminaliści zyskali większe umiejętności. W październiku 2004 roku, po trwającym pięć godzin ataku DDoS na jedną z sieci przyjmujących zakłady, napastnicy zażądali siedmiu tysięcy euro. Grozili, że w razie odmowy roześlą w imieniu tej sieci morze e-maili z dziecięcą pornografią. W innych dziedzinach życia podobny szantaż jest ścigany przez prawo, ale ataków typu DoS nie wymienia z nazwy żaden kodeks.

Atak na hakera

Dokładny opis, jak ominąć konieczność podania hasła, wykorzystując błąd przepełnienia bufora, znajduje się na stronie CyberArmii.

Dokładny opis, jak ominąć konieczność podania hasła, wykorzystując błąd przepełnienia bufora, znajduje się na stronie CyberArmii.

Zamiast czekać na rozwiązanie ustawowe, kilka zaniepokojonych i znających się na rzeczy osób zainicjowało powstanie specjalnych grup, które miałyby patrolować cyberprzestrzeń. Ten pomysł, wsparty pieniędzmi, zaowocował zakupem specjalistycznych narzędzi do identyfikowania i udaremniania ambicji hakerów. W roku 2002 trzej naukowcy z Illinois, Vikas Jayaswal, David Doss i William Yurcik, napisali artykuł o nowym zjawisku - hakowaniu hakerów. Autorzy stwierdzili, że potencjalne ofiary mają trzy wyjścia: po pierwsze, mogą uporządkować bałagan w komputerze i wzmocnić zabezpieczenia. Po drugie, mogą śledzić źródło ataku i podać dane sprawcy odpowiednim władzom. Po trzecie, już na pograniczu prawa, mogą podjąć walkę z hakerami ich własnymi środkami.

Kilka grup programistów napisało aplikacje namierzające komputery przeprowadzające atak DDoS. Do pierwszego usunięcia infekcji zdalnie doszło w roku 2002. Tim Mullen z firmy AnchorIS ( http://www.anchoris.com), niezadowolony z lekceważących odpowiedzi właścicieli komputerów niezabezpieczonych i zainfekowanych robakiem Nimda, wobec braku zainteresowania postanowił sam odkazić ich maszyny. Nimda uruchamia się dzięki podrzuceniu niewielkiego kodu zwanego Mutex do startowej kolejki systemu Windows. Po restarcie komputera robak rozpoczyna poszukiwania następnej ofiary do zarażenia. Program Mullena wykorzystywał tę samą słabość systemu i podrzucał swoją wersję kodu, także nazwaną Mutex, przed wersję robaka do kolejki startowej zainfekowanej maszyny. System nie mógł uruchomić drugiego Muteksa o tej samej nazwie, więc prawdziwy Nimda się nie uruchamiał. W zainfekowanym komputerze program Mullena generował także informację o tym, co się dzieje, co zostało zrobione i dlaczego.

Sąd nad samosądem

W tym samym czasie Jonathan Morton z firmy Chromatix napisał program Fizzer Killer, który w sieci IRC wyszukiwał wirusa o tej nazwie. Piętą achillesową Fizzera była tylna furtka, która służyły autorowi wirusa do utrzymywania kontroli, a Mortonowi do uruchamiania polecenia deinstalacji.

Nawet darmowa wersja programu w bardzo czytelny sposób raportuje przebieg ataku.

Nawet darmowa wersja programu w bardzo czytelny sposób raportuje przebieg ataku.

Ten sam wirus wykorzystano do wypróbowania kolejnej metody - ataku na infrastrukturę współpracującą ze szkodnikiem. W roku 2003 grupie Fizzer Task Force udało się wyśledzić, że wirus pobiera uaktualnienia z jednego z serwerów sieci Geocities. Serwer zhakowano i oryginalny kod zamieniono na inny, uruchamiający proces deinstalacji. Zakładano, że wraz z pobieraniem uaktualnień stopniowo dojdzie do usunięcia infekcji z Internetu. Eksperyment się nie udał, a Task Force zamiast sławy doczekała się oskarżeń o włamanie i nieautoryzowane zmiany, które wprowadziła w kodzie bez zgody właściciela. Doszło do tego, że autorów wirusa i szczepionki uznano za jednakowych szkodników. Sugerowano, że zidentyfikowanie kontaktu z serwerem uaktualnień należało zgłosić kompetentnym władzom i cierpliwie czekać, aż znajdą i oskarżą autora wirusa. Oskarżano zgodnie z literą prawa, ale w sprzeczności ze zdrowym rozsądkiem.

Unieszkodliwić

Internet, z trudem dający się ująć w karby prawa, zaczął pod tym względem przypominać Dziki Zachód. Niektórzy rozpoczęli projektowanie narzędzi do ingerowania w oprogramowanie DDoS. Komputery zombie stają się bezużyteczne, jeśli je pozbawić informacji o celu czy terminie ataku. Na tym pomyśle opiera się oprogramowanie napisane w teksańskiej firmie BindView ( http://www.bindview.com ). Ich produkt ma wykryć komputery zombie, polecić im zatrzymanie ataku, a nawet próbować odinstalować system DDoS.


Zobacz również