Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
15.08.2003 - Tomáš VOBRUBA - Publikácie
Červi – noční můra Internetu? II.  (článok – CZ)

V předchozí části článku jsme poukázaly na to, že prioritou úspěšného červa je jeho rychlost šíření! Ambiciózní pisatel červů se tedy zajímá jak by donutil svého červa aby byl opravdu rychlý, tak rychlý, aby byl rychlejší než distribuce antivirových definic, a tak rychlý, aby byl schopen života a ještě něco ošklivého vyváděl? Podívejme se tedy hlouběji na to, jak takový rychlý červ může v praxi pracovat... .

Největším problémem, který silně infekční červ musí vyřešit, je počáteční populace potomků, která provede rychlý útok. Přestože vyhledávání dalších napadnutelných hostů má exponenciální složitost, je počáteční fáze infekcí dosti pomalá a čas infekce prvních 10 000 počítačů je dominantní pro celou dobu infekce (... jak ostatně ukazuje názorný graf šíření červa CodeRed).

Počet infikovaných serverov v počiatočnej fáze šírenia sa červa CodeRed...

Existuje jednoduchá cesta, jak tento problém obejít a výrazně tak zkrátit časové podmínky – tou cestou je skenování s připraveným seznamem potenciálních hostitelů. Dlouho předtím než autor červa vypustí do sítě, posbírá si předem informace řekněme od 10 000 do 50 000 napadnutelných počítačů s dobrým síťovým připojením.
Červ, uvolněný na počáteční stroj na tomto seznamu, začíná skenování dolů skrz celým seznamem. Když nakazí další stroj, rozdělí seznam v polovině, předá jednu polovinu novému příjemci, a zároveň si udržuje druhou polovinu. Toto rychlé dělení zajišťuje, že i kdyby jenom 10-20 % všech počítačů na seznamu bylo opravdu infikovatelných, Warholův červ projde celým seznamem a zajistí svoje nakopírování na všechny zranitelné počítače v čase pod jednu minutu. A přestože počáteční seznam může mít velikost okolo 200 kB, je jeho velikost s každou další infekcí sražena na minimum.

Ukážka rýchlosti šírenia sa vírusovej infiltrácie pri použití metódy skenovania s predpripraveným zoznamom...

Teď si asi většina z Vás řekne, že je to sice pěkné, ale takový seznam vytvořit může být dosti pracné, a také neefektivní. To není tak docela pravda, útočník má velmi mnoho možností, jak takové počáteční podmínky zajistit například pomalým oskenováním. Na webových stránkách skriptem, nebo čímkoliv jiným. S tímto pomalým skenováním se přece každý z administrátorů setkává skoro denně v log souborech svého firewallu.

Přestože náhodné skenování je metoda na začátku velmi efektivní, začíná pomalu umírat na tom, jak jde počet dosud neinfikovaných počítačů dolů. Toto utichání může být zredukováno za použití permutačního skenování. V permutačním skenu infikovaný stroj odpovídá jinak než potenciální nový cíl, je to cesta říkající skenujícímu červu, že stroj je již infikovaný. Toto nejen zabraňuje zbytečné znovuinfikekci, ale může to být použito jako koordinace červa.

V permutačním skenu, všichni červi sdílí společný pseudo náhodnou permutaci IP rozsahu adres. Taková permutace může být vygenerována za použití jakékoliv blokové šifry s 32bitovým předvoleným klíčem. Což se v praxi projeví tak, že červ, který se na hostitelský počítač dostal pomocí předchozí fáze infekce za použití připraveného seznamu, začne vyhledávat potenciálně napadnutelné počítače za použití nové metody – tedy permutačního skenu. Jakmile ale nalezne stanici, která již infikována byla, změní náhodně počáteční podmínky v permutačním skenu a začne znovu s novou náhodnou permutací
Smíšením permutačního skenovaní s metodou "dělením na půl", která byla popsána v předchozí části, se dosáhne obrovské rychlosti vyhledávání nových potenciálně napadnutelných počítačů (... tak, jak ukazuje obrázek).

Porovnanie rýchlosti šírenia sa vírusovej infiltrácie pri použití skenovania náhodného, permutačného a permutačného s delením zoznamu na polovicu…

Pan Nicolas Weaver na základě těchto hypotéz vytvořil simulační program, který měl ukázat rychlost šíření takového programu. Výsledek ukázal, že pro jeden milion zranitelných počítačů se skupinou předdefinovaných 10 000 zranitelných počítačů na počátečním seznamu, které budou nakaženy za dobu přesně jedné minuty se 100 skeny za sekundu a jednou sekundou na infekci nového hostitele (... vzpomeňte si na začátek článku), bude milión zranitelných systémů nakaženo v 99 % za dobu 6 minut a 30 vteřin!

To je vskutku ohromující rychlost – a vezměme v potaz, že je zde obrovská cílová skupina napadnutelných počítačů, že se nejedná pouze o matematickou nebo laboratorní simulaci. Existuje hromada dobře napadnutelných cílových programů: MS Exchange, MS IIS, některé P2P programy, chat programy nebo samotné operační systémy. Nově objevené bezpečnostní díry na těchto programech mohou způsobit vznik právě takto vysoce nakažlivých červů.

Vůbec nejlepšího výsledku bychom s takovým potenciálním červem dosáhli, pokud bychom nepoužili pouze jednu zneužitelnou bezpečnostní díru v jednom programu, ale pokud bychom použili metodu zaměřující se na vícero programů a vícero bezpečnostních děr najednou. Pak bychom mluvili a vlastně již mluvíme o tzv. multimode wormech. A proč už mluvíme?
Protože jeden takový už tady přece jen je – je ním Nimda. Tento virus se byl schopen šířit e-mailem (... jako např. BadTrans), přes webové servery (... jako např. CodeRed) nebo přes souborová sdílení (... jako např. FunLove). A snad nemusíme připomínat, jaké následky nám Nimda přinesla a jak rychle a jak dlouho se dokázal tento internetový červ šířit.

Pokud by někdo chtěl být opravdu důsledný, mohl by do našeho nového a vysocenakažlivého programu umístit zadní vrátka, jako například ta, co byla umístěna v červu Slapper. Pomocí takových vrátek by bylo možné po dokončení infekce stanic, řekněme 20 minut po spuštění červa, spustit DDoS útok na nějaký důležitý server nebo skupinu serverů. Zajímavé by bylo, kdyby cílem DDoS útoku byly rootovské servery systému DNS v internetu. Pokud by takový útok byl úspěšný, byly by to obrovský problém. V nejhorších představách by se internet, který je dnes na systému DNS zcela závislý, na nějakou dobu (... dnů nebo týdnů) stal zcela nefunkčním.

To jsou dosti neradostné vyhlídky a co se týče obrany proti takovému útoku, budeme znovu a znovu mluvit o všeobecně známých věcech: bezpečnost jako základ systému, rozumná nastavení a rozmanitost prostředí. Jenomže toto v širokém pojetí internetu s miliony připojených stanic v různém stádiu zabezpečení nebo nezabezpečení, prostě nemůže projít.

Přestože vysoce virulentní program s destrukční nebo ochromující rutinou je lákavým cílem pro pisatele, není naštěstí v praxi tato myšlenka dovedena v opravdový program. To proto, že složitost zdrojového kódu a nároky na matematické a jiné znalosti kladené na pisatele, jsou naštěstí příliš vysoké.

Dlužno podotknout, že rychlejší přechod na novou verzi protokolu IPv6 by riziko vzniku červů založených na permutačních skenech značně snížilo, protože IP adresní rozsahy pro permutační skeny by byly příliš velké a vytváření všech možných kombinací by zabralo opravdu hodně času. Pravděpodobně nejdůležitějším obraným prvkem proti takovému typu červa je dobře a citlivě nastavený firewall na vstupní bráně a systém personálních firewallů na počítačích ve vnitřních sítích.

Závěrem lze říci, že červ, jako škodlivý kód představuje vážné ohrožení pro homogenní, silně propojené sítě. Právě proto i v podstatě velmi vlídné a pomalé programy jako SirCam nebo CodeRed dokázaly nadělat velké škody. Vytvoření hyper virulentního programu, který se šíří rychleji než dokáží lidé zareagovat a porozumět tomu, co se stalo, může znamenat ochromení, nebo zastavení internetu nebo zničení terabajtů a terabajtů dat na postižených počítačích. Máme se tedy v budoucnu čeho bát?! Zamyslete se nad tím, když vylepšujete nebo stavíte bezpečnost Vaší počítačové sítě.


Vytlačiť článok... Zdroj: AEC.cz


Súvisiace články:
12.08.2003  Červi – noční můra Internetu? I. - Publikácie


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.