Zvědavec

Počítače, rady, zlepšení

Internetoví červi útočí - na čí popud?

Vladimír Stwora( více o autorovi > )

7.8.2001

---

Intenzita útoku, s jakou se tento nový červ šíří, je ohromující. Můj syn nainstaloval na náš router rutinu sledující pokusy infikovat náš systém. Zde je kousek výpisu: Všimněte si - pokusy o nákazu červem CodeRedII se opakují téměř v minutových intervalech. Přicházejí z různých adres - strojů nic netušících a už nakažených surfařů.

Původní CodeRed se objevil jen jednou za celé odpoledne. To svědčí o tom, že pisatel druhé verze zvolil velmi agresivní a mnohem účinnější způsob šíření.

Co se škod týče, CodeRedII se chová celkem šetrně. Nevymaže nic, nezničí nic, alespoň ne hned. Pouze nainstaluje do napadeného systému zadní vrátka, která mu umožní dálkově (a bez vědomí majitele) ovládat napadený počítač. Prostřednictvím těchto vrátek lze na počítači nic netušícího majitele uložit např. program typu zombie, který se může po aktivaci na dálku zúčastnit útoku DoS. Samozřejmě že lze vyslat i příkaz, který zničí data na disku hostitele, ale myslím, že o to tvůrcům zadních vrátek nejde.

Útok DoS (Denial of Service) - zahlcení cílového serveru takovým objemem dat, že tento odmítne pracovat, je účinný pouze tehdy, je-li veden z několika stovek počítačů současně. K tomu, aby mohl být koordinován současně, musí mít útočník přístup k těmto počítačům.

Jeho starší bratříček, CodeRed se rovněž k hostiteli choval celkem slušně. Pokoušel se "pouze" využít hostitelův počítač k útoku DoS na server Bílého domu (www.whitehouse.gov) a to při tom ještě jen v poslední dekádě měsíce. Dobu mezi prvním a dvacátým využíval toliko k šíření sebe sama.

CodeRed II - zdá se - nemá rád Číňany (že by skrytý rasismus?). Ze strojů, na kterých je nainstalována čínská verze Windows, se totiž šíří dvakrát rychleji - vytvoří 600 threads (úloh, které aktivně vyhledávají díry na dalších počítačích). Na ne-čínských strojích vytvoří "pouze" 300 threads. Napadá pouze počítače Windows 2000 a Windows NT/4.0, které mají nainstalován server MS IIS. Ovšem Windows NT se mu nedaří infikovat, vzhledem k rozdílné adrese skoku, kterou červ generuje v úvodu. Posunutí (offset) je správné pouze pro Windows 2000. U Windows NT tedy červ havaruje, není schopen je infikovat. Červ obsahuje tři sekce: Infikující sekci, sekci pro šíření sebe sama a sekci obsahující vlastního trojského koně. V sekci infikující se přesvědčí, zda už je nainstalován. Pokud ano, nedělá nic. Není-li dosud nainstalován, červ vytvoří příslušné množství threats, instaluje zadní dvířka do systému a re-startuje počítač. V sekci pro šíření nejprve ověří místní datum. Je-li měsíc větší než 10 nebo je-li rok větší než 2002, červ pouze re-startuje počítač. Jinými slovy, červ se automaticky přestane šířit od října t.r. Je-li datum menší, červ začne generovat nové náhodné adresy, přičemž se ovšem snaží zůstat v segmentu adres. To má svou logiku. Zapomněl-li administrátor zalepit bezpečnostní díru na tomto počítači, je vysoce pravděpodobné, že je nezalepil ani na dalších počítačích, o které pečuje, což budou jistě počítače v rámci stejného segmentu. Tento odhad se ukázal jako vysoce pravdivý. V sekci vlastního trojského koně červ uloží do adresáře C: a D: vlastní explorer.exe. Tato rutina se provede až po restartu systému, když se někdo přihlásí do systému. Překopíruje cmd.exe do těchto adresářů: C:/inetpub/Scripts/Root.exe D:/inetpub/Scripts/Root.exe C:/progra~1/Common~1/System/MSADC/Root.exe D:/progra~1/Common~1/System/MSADC/Root.exe Vyvolá skutečný MS IE, pak v desetiminutových intervalech vypíná ochranu souborů a řetězí diskové, jednotky C: a D: na virtuální root. Tím byla vytvořena v systému zadní vrátka, umožňující pozdější nepozorovaný návrat útočníka.

Na to, jak dobře jsou oba červi naprogramováni a jak hluboké znalosti museli mít jejich autoři, je s podivem, že oba červi udělají tak málo škod. Nejsem sám, který si tohoto faktu všiml. Co vedlo autory červů CodeRed a CodeRedII k vytvoření potenciálně smrtícího viru, kterého ale nakonec vypustili jako celkem neškodného strašáka? Že by neměli dostatečné znalosti k tomu, aby své miláčky obdařili něčím ničivějším?

Je to podobné, jako když vláda určité země investuje čas a peníze, aby vyvinula raketu, která může dopravit na vzdálené území protivníka jadernou nálož. A pak tutéž raketu použije k doručení neškodného ohňostroje. Šlo o pouhý žert, nebo pokus ukázat těm druhým svou sílu, popř. jen o přátelské upozornění na chyby v obraně druhé země? Varování? Anebo něco jiného?

Poprvé mě tato myšlenka napadla, když jsem v televizi sledoval dobře organizované útoky zdánlivě neorganizovaných anti-globalistů proti policejním zátarasům v Janově v průběhu schůzky hlav států minulý měsíc. Přišlo mi totiž, že ti zakuklení násilníci se snaží programově a promyšleně především ničit, že to dělají celkem šikovně a že je někdo zřejmě musí cvičit a platit. Kdo? Odpověď na klasickou otázku římského (nebo řeckého?) práva "komu to prospěje?", může leccos napovědět.

V případě červů - (v podstatě neškodných) strašáků si položme stejnou otázku. Komu vlastně prospěje, jestliže se po Internetu bude šířit strach a hrůza před nebezpečnými hackery, schopnými vyrobit něco, co se dostane přes všechny ochrany dovnitř počítače nic netušícího majitele? Odpověď je, že tato situace nahrává především těm, kteří se snaží zavést na Internetu tuhou cenzuru. Filtrování emailů, odposlouchávání komunikace, šmírování obsahů disků, prostě praktiky Velkého bratra. Jsou to vlády rozvinutých západních demokracií ruku v ruce s nadnárodními monopoly. Tyto vlády už přišly na to, jak je pro ně výhodné vědět o každém svém občanovi vše. Teď jde jen o to, tyto šmírovací zákony (už jsou ostatně napsány a připraveny v šuplíku) nějak zdůvodnit, vysvětlit, aby se ochránci lidských svobod nezačali příliš bouřit. A jak jinak se dá taková věc vysvětlit, než vyvoláním hysterie strachu před kriminalitou. Začalo to před několika roky strašením před dětskou pornografii, které prý je Internet plný. To ale už nestačí, proto je nutno přijít s něčím novým. Takže se - dejme tomu - vyrobí červ, který se dokáže skvěle šířit, ale jinak žádnou zvláštní škodu nenadělá. Noviny se pak už postarají o ten zbytek. Průměrný uživatel Internetu je pak natolik dostatečně vystrašen, aby souhlasil s přísnými monitorujícími zákony, které jeho laskavá vláda zavede jako obranu před zlovolnými hackery.

Možná to vše vidím jen prismatem své paranoické obavy o ztrátu svobod, ale je zřejmě pravdou, že kdyby odpovědným autoritám opravdu šlo o likvidaci červů, jako je CodeRed, mohly by v rozhodujících uzlových bodech páteřní sítě Internetu instalovat celkem účinné filtry. Tyto filtry by mohly - podobně jako nechvalně známý šmírovací systém Carnivore sledovat provoz ve všech směrech a příslušné sekvence CodeRed prostě nepustit (CodeRed obou verzí totiž vysílá do sítě přesně definovanou a neměnnou sekvenci znaků, kterými se pokoušejí vyvolat přetečení bufferu u serverů MS IIS). A nemuselo by ani jít o páteřní routery. Filtry by mohly být instalovány u jednotlivých poskytovatelů IS.

Snad to technicky není možné (ví-li některý čtenář o tom více, rád se nechám poučit). Ale jestliže to možné je, a přesto to nikoho nenapadne, pak je tato ne-existence filtrů jen dalším argumentem, kterým se dá potvrzovat mou bláznivou teorii o spiknutí vlád západních zemí proti svobodám svých občanů.