Wirusy to dochodowy biznes

W ciągu ostatnich kilkunastu miesięcy w Internecie pojawiło się wyjątkowo wiele bardzo groźnych robaków i wirusów. Rozprzestrzeniają się poprzez pocztę elektroniczną, błędy w oprogramowaniu, czy też wykorzystując ignorancję i naiwność użytkowników. "Coraz więcej firm zainteresowanych jest tym, żeby w Sieci pojawiały się groźne, skuteczne wirusy" - mówi w wywiadzie dla PC World Online Mirosław Maj, kierujący CERT Polska. Z szefem Computer Emergency Response Team rozmawialiśmy również o historii "insektów", wirusie idealnym, podziemiu spamowym, zadaniach CERT Polska oraz o tym, co użytkownicy i producenci oprogramowania mogą zrobić, by w Internecie było bezpieczniej.

PCWK: Co się właściwie ostatnio dzieje w Internecie? Wciąż, w odstępach kilkutygodniowych, pojawiają się nowe, groźne robaki - skąd tak niezwykły wzrost aktywności ich twórców?

Mirosław Maj - szef CERT Polska

Mirosław Maj - szef CERT Polska

Mirosław Maj: Przyczyn takiej sytuacji jest kilka i nie sposób wymienić wszystkich. Skupmy się więc może na tych najbardziej istotnych: po pierwsze, tworzenie robaków i wirusów jest teraz znacznie łatwiejsze niż kilka lat temu - w Internecie dostępne są gotowe narzędzia, umożliwiające tworzenie wirusów. Często zdarza się nawet, że ludzie zupełnie nieświadomie, podczas "testowania" takich programów, tworzą i wprowadzają do Internetu groźne wirusy. Co ciekawe, dość często bywa tak, że ludzie, którzy piszą wirusy, wcale nie udostępniają ich w Sieci - oni wiedzą, czym to grozi. Piszą je, bo to po prostu ciekawe zagadnienie dla programisty - stworzenie wydajnego, skutecznego algorytmu propagacji. A udostępnieniem ich "dzieła" w Internecie zajmują się inne osoby - czasami bez wiedzy autora.

Druga sprawa to fakt, iż coraz więcej firm zainteresowanych jest tym, żeby w Sieci pojawiały się groźne, skuteczne wirusy - i nie mam tu wcale na myśli, wbrew głoszonej przez niektórych spiskowej teorii, firm zajmujących się tworzeniem oprogramowania antywirusowego. Myślę raczej o firmach zajmujących się spammowaniem - przykładem niech będzie wirus Sobig, który po zainfekowaniu komputera wykorzystywał go do rozsyłania spamu. Dla firm "spammerskich" wirusy są więc źródłem dochodów - spam to olbrzymi, dochodowy biznes. Wiem, że wynajęcie sieci takich zainfekowanych maszyn, które mogą posłużyć np: do rozsyłania spamu kosztuje już od 5 tys. USD - choć to oczywiście zupełnie nieoficjalny, "podziemny" cennik. Za wirusami stoi pewna nieformalna społeczność, rządząca się własnymi zasadami i posługująca się własnym językiem - tzw. eblish [czyli opartym na języku angielskim slangu, występującym głównie w formie pisemnej. W eblish z reguły pisane są "oświadczenia" hakerów, które znaleźć można na zhakowanych przez nich stronach - red.].

Oprócz celów finansowych warto również wspomnieć o celach "osobistych" - gdy ktoś chce komuś (np. jakiejś firmie) zaszkodzić oraz celach politycznych. W przeszłości wielokrotnie można było zaobserwować jasną zależność między wzrostem napięcia politycznego a pojawianiem się nowych wirusów czy wzmożoną aktywnością hakerów. Co ciekawe, zdarza się, że takie akcje mają ciche przyzwolenie zaangażowanych w dany konflikt rządów - tak było np. kilka lat temu, po strąceniu przez Amerykanów chińskiego myśliwca. Chiński rząd, który słynie z ostrego reagowania na wszelkie przejawy "sieciowego wandalizmu", okazał się wtedy wyjątkowo pobłażliwy dla tamtejszych hakerów, atakujących amerykańskie serwisy.

Jak Pan sądzi, dlaczego większość z nowych wirusów - takich jak np. Slammer, Blaster czy Sasser - nie posiada funkcji destrukcyjnych w ścisłym tego słowa znaczeniu - tzn. nie kasują one danych, nie uszkadzają komputera (co oczywiście nie znaczy, że nie są uciążliwe)?

To stosunkowo proste - dla twórców wirusów takich jak np. wspomniany już spammujący Sobig, byłoby to po prostu nieopłacalne - w ich interesie jest przecież, by zainfekowany komputer był sprawny i mógł dalej wysyłać spam. Warto tu również zwrócić uwagę na analogię do biologii - prawdziwe wirusy też z reguły nie zabijają zainfekowanego organizmu, bo natychmiast tracą swoje medium dystrybucji. Co z tego, że jakiś wirus zaraz po zainfekowaniu komputera uszkodzi go, skoro w ten sposób uniemożliwi sobie rozprzestrzenianie się. Gdyby np. Slammer był destrukcyjny, to z pewnością nie zdołałby poczynić takich szkód, jakie poczynił - bo liczba zainfekowanych przez niego komputerów byłaby znacznie mniejsza. A tak robak w kilka minut zrobił wszystko co miał zrobić - tzn. zainfekował miliony komputerów. Dzięki temu możemy mówić, że spełnił jedno z wymagań tzw. "idealnego wirusa".

Idealny wirus - co to takiego?

To taki akademicki termin - oznacza wirusa, który byłby praktycznie prawie niemożliwy do powstrzymania. W tym celu musiałbym spełnić dwa podstawowe warunki - po pierwsze, być niezależnym od platformy systemowej, po drugie cały czas powinien mutować, tak, by producenci oprogramowania antywirusowego nie byli w stanie dostarczyć na czas odpowiednich "szczepionek" - chociaż już teraz bywają z tym kłopoty - tu znów można przywołać Slammera, który zrobił co miał zrobić - tzn. przeprowadzić masowy atak na komputery na całym świecie - zaledwie w kilkanaście minut, zanim producenci antywirusów zdołali zareagować.

Zdecydowana większość współczesnych wirusów atakuje systemy Windows. Z czego, Pana zdaniem, wynika fakt, iż praktycznie nie ma wirusów linuksowych - czy to kwestia odpowiedniego zabezpieczenia tego systemu, czy raczej jego niewielkiej, w porównaniu z Windows, popularności?

Każde z tych twierdzeń jest w pewnym sensie prawdziwe - dodatkowo warto zwrócić uwagę na fakt, iż spora część autorów wirusów wojuje z Microsoftem. Oni często mają "antyglobalistyczne" poglądy i szczególną satysfakcję sprawia im atakowanie giganta z Redmond.

Myślę jednak, że sytuacja w przyszłości się zmieni - na razie Linux wydaje się być znacznie bardziej odporny na działanie wirusów, ale proszę zwrócić uwagę na fakt, iż w ciągu ostatnich kilku miesiącach pojawiły się sporo informacji o błędach w systemach open source'owych. Być może zaowocuje to pojawieniem się jakichś wyjątkowo groźnych robaków. Na pewno warto w tym miejscu wspomnieć, że pojawienie się skutecznego, groźnego robaka atakującego Linuksa miałoby bardzo niebezpiecznie konsekwencje - przecież zdecydowana większość najcenniejszych zasobów i usług internetowych działa właśnie na systemach uniksowych. Na szczęście są one również zazwyczaj lepiej chronione. Zaletą open source jest z pewnością fakt, iż kod tych systemów może w każdej chwili sprawdzić, zaudytować - to z pewnością podnosi bezpieczeństwo systemu.

Jaki był najgroźniejszy wirus/robak w historii Internetu?

Wyjątkowo trudno odpowiedzieć na tak postawione pytanie - wiele zależy od tego, jakie kryterium się przyjmie. Jeśli tym kryterium miałaby być szybkość rozprzestrzeniania się, to z pewnością palma pierwszeństwa przysługuje Slammerowi, jeśli chodzi o zaskoczenie - to pewnie byłby to pierwszy robak, Internet.Worm.Morris, wprowadzany do sieci 2 listopada 1988 przez studenta MIT, robak ten błyskawicznie sparaliżował działanie ówczesnego Internetu w bardzo krótkim czasie. Może warto tu wspomnieć, że pojawienie się tego robaka było jedną z przyczyn powołania amerykańskiego CERT-u. Kolejne "historyczne" robaki to: Mellisa, I Love you, Blaster, Code Red, czy Nimda - naprawdę jest ich zbyt wiele, by wymienić tego jednego.

Jeśli kryterium oceny miałoby być to, który z nich najbardziej wpłynął na życie ludzi, to z pewnością był to Slammer - istnieją bardzo silne przesłanki by uznać, że robak ten przyczynił się w jakimś stopniu do kryzysu energetycznego w USA (tzn. poważnych zakłóceń w dostawach energii elektrycznej w kilku stanach w 2003 r.). Z opublikowanego raportu federalnego w tej sprawie wynika, że problemy z systemem monitorowania zagrożeń w sieci energetycznej zbiegły się w czasie z okresem szczytowej aktywności Blastera. Eksperci przypuszczają, że zakłóciło to możliwość monitorowania stanu sieci energetycznej - tym samym Blaster przyczynił się do problemu.

Czy sądzi Pan, że zapowiadany przez Microsoft na lipiec Service Pack 2 dla Windows XP rzeczywiście uczyni ten system bezpiecznym i - pośrednio - przyczyni się do poniesienia poziomu bezpieczeństwa w Internecie?

Z pewnego punktu widzenia wygląda to o.k., ponieważ zmiany idą w kierunku użytkownika masowego, który nie zna się na bezpieczeństwie - co więcej, ja wcale nie uważam, ze powinien się znać, bo nie po to się kupuje komputer, żeby spędzać codziennie kilka godzin na zabezpieczaniu systemu. Działania Microsoftu w kierunku zautomatyzowania funkcji związanych z bezpieczeństwem uważam więc za zdecydowanie dobre. Z drugiej jednak strony boję się, że dodawania do systemu coraz to nowych opcji może zaowocować stworzeniem kolejnych słabych punktów, które mogą zostać wykorzystane przez hakerów czy autorów wirusów. Dlatego też podoba mi się pomysł, by SP2 wyłączał w systemie cały szereg niepotrzebnych użytkownikowi usług - to one często stanowią "bramę" dla wirusów.

Microsoft intensywnie promuje ostatnio swoją nową "politykę bezpieczeństwa" - koncern zaleca użytkownikom tzw. system trzech kroków, czyli: uaktualniony system, uaktualniony program antywirusowy i firewall. Czy taki zestaw rzeczywiście wystarczy, by czuć się bezpiecznym w Sieci?

To chyba rzeczywiście podstawy - aczkolwiek koniecznie tu trzeba dodać czwarty, najważniejszy element - zdrowy rozsądek. Przecież większość wirusów do rozprzestrzeniania się wykorzystuje niewiedzę użytkowników. Ale zestaw - regularnie uaktualniony system, program antywirusowy i firewall - rzeczywiście może zapewnić ochronę przed podstawowymi zagrożeniami.

Co jeszcze użytkownik może zrobić, by poczuć się bezpiecznym w Internecie?

Moim zdaniem, jednym z głównych błędów użytkowników, jest mieszanie w komputerze dwóch światów - świata poważnych zajęć, związanych z pracą czy załatwiania ważnych spraw ze światem rozrywki. Błędem jest wykorzystywanie tego samego komputera zarówno do poważnych celów, jak i do rozrywki. Cele rozrywkowe, z natury rzeczy, są bardziej narażone na różne "przygody" - może się zdarzyć, że użytkownik zacznie odwiedzać różne dziwne strony, pobierać z nich pliki, testować tajemnicze programy itd. W ten sposób najłatwiej narazić można się na "złapanie" konia trojańskiego czy innego niebezpiecznego "insekta", np wykradającego dane osobowe. Potem okazuje się, że "trojan" zainstalowany podczas "rozrywkowego" surfowania wykrada dane niezbędne do zalogowania się do e-banku.

Jakie jest rozwiązanie tego problemu?

Oczywiście, idealnym sposobem byłoby korzystanie z dwóch komputerów lub dwóch środowisk wirtualnych - rozsądnym rozwiązaniem wydaje się też np. stworzenie dwóch profili użytkownika - jednego do celów poważnych, drugiego do zabawy, z różnymi uprawnieniami.

Na czym dokładnie polegają zadania CERT Polska?

CERT Polska powstał 8 lat temu. Naszym podstawowym zadaniem jest reagowanie na zgłaszane do nas przypadki naruszeń bezpieczeństwa w Internecie - niezależnie od tego, czy zgłasza je użytkownik z Polski, czy też użytkownik z zagranicy, który skarży się, że zaszkodził mu ktoś z obszaru Polski. To podstawa, jednak od pewnego czasu zaangażowani jesteśmy w najróżniejsze inicjatywy związane z bezpieczeństwem. Podzieliłbym je na dwa rodzaje: inicjatywy związane z uświadamianiem użytkowników (stąd decyzja o uruchomieniu naszej strony, na której publikujemy bieżące alerty bezpieczeństwa - http://www.cert.pl ) oraz najróżniejsze projekty z zakresu bezpieczeństwa, które prowadzimy z innymi zespołami z Europy czy ze świata. Teraz np. jesteśmy w trakcie prac nad uruchomieniem specjalnej "gorącej linii", za pośrednictwem której będzie można zgłaszać przypadki publikowania nielegalnych treści w Internecie (a szczególnie pornografii dziecięcej) - mam nadzieję, że taki hotline powstanie jeszcze w tym roku.

Jak dokładnie wygląda owo "reagowanie" na incydenty? Przypuśćmy, że do CERT Polska trafia zgłoszenie, że ktoś z Polski włamał się na zagraniczną witrynę...

Przede wszystkim staramy się skontaktować z źródłem ataku - aczkolwiek atak z reguły odbywa się za pośrednictwem kilku komputerów, więc zadanie nie jest proste. Ze źródłem kontaktujemy się na dwa sposoby - albo bezpośrednio, albo przez odpowiedni zespół bezpieczeństwa (jeśli problem dotyczy np. klienta TP SA, to kontaktujemy się z zespołem TP SA abuse). W momencie, gdy da się ustalić odpowiednio dużo faktów, -namawiamy poszkodowanych do zgłaszania sprawy do Policji. Z rozwiązywaniem poważnych spraw przez Policję nie jest tak źle jak mogłoby się niektórym wydawać - proszę zwrócić uwagę, że w ostatnim czasie polska Policja miała kilka udanych akcji, w trakcie których zatrzymała wielu "przestępców internetowych".

-----

CERT (Computer Emergency Response Team) Polska jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet. CERT Polska działa od 1996 roku (do końca roku 2000 pod nazwą CERT NASK), a od roku 1997 jest członkiem FIRST (Forum of Incidents Response and Security Teams). W ramach tej organizacji współpracuje z podobnymi zespołami na całym świecie. Zespół CERT Polska działa w strukturach Naukowej i Akademickiej Sieci Komputerowej. Działalność zespołu jest finansowana przez NASK.

Więcej informacji:

http://www.cert.pl


Zobacz również