Zombie PC: zmora naszych czasów

Fala robaków internetowych, która przetoczyła się przez Sieć w przeciągu ostatnich kilkunastu miesięcy, pozostawiła po sobie niebezpieczny spadek: armię 'komputerów zombie', które mogą zostać wykorzystane do przesyłania spamu, atakowania stron internetowych i destabilizowania pracy wielu serwisów. Dowódcami armii 'Zombie PC' są takie insekty, jak Sobig, MyDoom, czy Bagle, a liczba ich 'podwładnych' - czyli zainfekowanych maszyn - to według różnych danych od 0,5 do 2 milionów. Zdaniem producentów oprogramowania antywirusowego, od 40 do 80% niechcianej korespondencji na naszych skrzynkach pocztowych jest właśnie dziełem ubezwłasnowolnionych 'maszyn zombie'.

Producenci oprogramowania antywirusowego są zgodni co do jednego: większość spamu trafiającego na nasze komputery jest zasługą armii komputerów określanych mianem 'Zombie PC'. Są to ofiary ataku robaków internetowych pokroju Sobiga, MyDooma, czy też Bagle'a. Każdy z tych insektów zawierał ukryte w kodzie procedury, które umożliwiały zdalne przejęcie kontroli nad maszyną i wykorzystanie jej do rozsyłania nie zamawianej korespondencji lub przeprowadzania ataków typu DoS (denial of service) na serwery internetowe. Firma Akamai Technologies świadcząca usługi dla największych korporacji i serwisów internetowych (Google, Yahoo!, Microsoft), winą za ostatnie awarie serwerów obwinia właśnie 'komputery zombie'. Specjaliści z brytyjskiej firmy antywirusowej Sophos podkreślają, iż 40% spamu w Sieci jest zasługą ofiar Sobiga, MyDooma i Bagle'a, podczas gdy Sandvine - firma zajmująca się bezpieczeństwem sieci - ocenia, iż zainfekowane komputery mogą być odpowiedzialne nawet za 80% niechcianej korespondencji.

To nie jedyne zagrożenia, których sprawcą mogą być ubezwłasnowolnione komputery. Poza dystrybucją spamu i atakami DoS, te niebezpieczne urządzenia mogą służyć między innymi do rozsyłania groźnych wirusów, pobierania pornografii i wykradania prywatnych informacji bez wiedzy użytkownika. Carole Theriault, konsultant ds. bezpieczeństwa z firmy Sophos określa to dość jednoznacznie: "Twój komputer może stać się wielkim przekaźnikiem wszelkiego typu śmieci i niebezpiecznych pakunków, jakie znajdzie w Internecie, rozsyłając je do setek niewinnych użytkowników".

Zdaniem Jakuba Dębskiego z MKS: "Takie maszyny stanowią bardzo duże zagrożenie. Za ich pomocą można wysłać wielkie ilości spamu, a także przeprowadzać skoordynowane ataki na witryny internetowe, co w przypadku firm opierających na nich swoją działalność (np. portale internetowe) może doprowadzić do olbrzymich strat, mogących nawet zachwiać pozycją firmy na rynku. Zainfekowane maszyny stanowią doskonałe źródło adresów mailowych, pod które może zostać rozesłany spam lub trojan. Na dysku każdego internauty znajduje się średnio 1000 adresów mailowych: w skrzynkach pocztowych, cache'u przeglądarki internetowej czy też w archiwach czytnika news. Armię 'zombie' można wykorzystać również do innych ataków, np. do zablokowania skrzynek pocztowych za pomocą dystrybuowanego mailbombingu. Wystarczy z 1000 komputerów wysłać maila (różnie wygladającego) na określony adres i ataku nie zablokuje się filtrem na serwerze poczty".

Czy jestem Zombie?

Firma Sophos podaje, iż obecnie na całym świecie działa ponad 500 tysięcy komputerów 'Zombie PC'. Inne źródła podają zaś, że może ich być nawet 2 miliony. Ostatnie badanie firm Earthlink oraz Webroot Software jest niestety dość pesymistyczne: jeden na trzy komputery posiada zainstalowane oprogramowanie typu spyware, które może skrycie rejestrować poufne dane i wysyłać je w Sieć do zdalnego komputera (pisaliśmy o tym szerzej w artykule: "W poszukiwaniu szpiegów: 1/3 komputerów zainfekowana" - http://www.pcworld.pl/news/67804.html ). "Te statystyki mogą się jeszcze podnieść" - twierdzi Steve Gibson, ekspert ds. bezpieczeństwa z firmy Gibson Research. "Potencjalnym napastnikom w większości przypadków nie chodzi o nasze dane finansowe, zdjęcia, czy też prywatną korespondencję. Dla nich liczy się tylko dodatkowa maszyna, która powiększy zasięg rażenia armii 'komputerów zombie'".

Określenie czy nasz komputer stał się 'maszyną zombie' nie jest wcale takie łatwe, tak przynajmniej twierdzi Fred Felman, szef marketingu firmy Zone Labs, producenta doskonałego firewalla programowego Zone Alarm: "Do podejrzanych symptomów mogących świadczyć o przejęciu kontroli nad naszym komputerem możemy zaliczyć nadmierną aktywność dysku twardego, podwyższoną eksploatację połączenia z Siecią, nagłe i niespodziewane ruchy kursora po ekranie odbywające się bez udziału użytkownika, czy też wiadomości w skrzynce pocztowej od ludzi, z którymi nigdy się nie kontaktowaliśmy. Co ważne, nasz komputer może zdradzać wszystkie powyższe objawy, nadal pozostając nie zainfekowanym".

Firewall, antywirus i aktualizacje

Aby zredukować do minimum ryzyko zainfekowania naszego komputera i przejęcia nad nim zdalnej kontroli, eksperci zalecają korzystanie z firewalla, oprogramowania antywirusowego oraz regularne dokonywanie aktualizacji. W dalszym ciągu większość domowych użytkowników naraża się na niebezpieczne ataki. Badanie przeprowadzone przez National Cyber Security Alliance w maju 2003 roku wykazało, iż 2/3 z nich nie posiada poprawnie skonfigurowanej zapory ogniowej. "Tak samo jak każdy z nas odpowiedzialny jest za podwyższoną ostrożność w miejscach publicznych, lotniskach czy w sąsiedztwie, tak i w Sieci powinien wypatrywać wszelkich podejrzanych zachowań. W pierwszej kolejności musimy jednak zacząć od siebie i swoich komputerów" - podkreśla Fred Felman.

Jak mówi Przemysław Jaroszewski z CERT Polska: "Około połowy zgłaszanych nam incydentów ma bezpośredni związek z wykorzystaniem komputera 'zombie' - czy to do rozsyłania spamu za jego pośrednictwem, czy do przeprowadzania konkretnych ataków. Na znaczną ilość przejętych maszyn wpływa nie tylko aktywność wirusów, ale również działalność przestępców, budujących całe sieci kontrolowanych przez siebie maszyn - tzw. botnety. Łatwo sobie wyobrazić, jaką mocą dysponuje ktoś mający pod kontrolą choćby kilka tysięcy maszyn (średni botnet), z których każda podłączona jest pasmem 1Mb. Konsekwencją jest handel "usługami" przeprowadzanymi przy pomocy botnetów, w którym obowiązują mniej lub bardziej oficjalne cenniki a walutą jest przelewana elektronicznie gotówka. Obrona przed nieświadomym wzięciem udziału w takim procederze jest bardzo prosta. Najczęściej wystarczającą ochronę stanowi firewall, oddzielający naszą sieć od Internetu. W przypadku pojedynczego domowego komputera może to być zainstalowany na nim firewall osobisty. Ponadto, nie należy zapominać o regularnych aktualizacjach systemu".

Opinię tę potwierdza Jakub Dębski z MKS: "Przede wszystkim należy dbać o aktualizację oprogramowania. Pojawia się coraz więcej robaków tworzonych przez spammerów, które wykorzystują znane błędy w systemach operacyjnych Windows. Choć na błędy te istnieją łaty, na wielu komputerach nie są one zainstalowane. Głównym problemem jest sposób dystrybucji systemu - użytkownik jest zmuszony do instalacji systemu sprzed kilku lat, a dopiero później instaluje na niego setki megabajtów łat. Czasami otrzymuje płytę z aktualizacjami, ale płyta taka nie zawiera łat na najnowsze, najgroźniejsze dziury. Rozwiązaniem miał być mechanizm Windows Update, spełnia on jednak zadanie tylko w przypadku instalacji nowo pojawiających się łat - samo podłączenie niezabezpieczonego komputera do Internetu w celu ściągnięcia aktualizacji kończy się zainfekowaniem komputera. Każdy użytkownik zamierzający przyłączyć się do sieci powinien zainstalować program typu 'firewall', który zablokuje większość ataków. Istnieje wiele programów darmowych, lub darmowych do użytku domowego. Użytkownik domowy powinien również posiadać aktualne oprogramowanie antywirusowe, z włączonym monitorem rezydentnym oraz skanerem poczty przychodzącej. Skuteczna ochrona sieci korporacyjnych jest znacznie bardziej skomplikowana".


Zobacz również