Internetoví červi útočí - na čí popud?

Vladimír Stwora

7.8.2001 Technická poradna Témata: Počítače 1253 slov

Lidé se ještě nestačili vzpamatovat z útoku červa pojmenovaného CodeRed a už je tady jeho bratříček CodeRedII. Ačkoliv je pojmenován podobně, odborníci tvrdí, že jde o rozdílné "zvířátko". Pojmenování CodeRedII prý bylo zvoleno jen proto, že tento červ využívá stejnou bezpečnostní díru jako CodeRed. Jeho destruktivní činnost (tzv. payload) je ale úplně jiná a má také jiný (účinnější) způsob výběru adres, které se pokouší nakazit.

Intenzita útoku, s jakou se tento nový červ šíří, je ohromující. Můj syn nainstaloval na náš router rutinu sledující pokusy infikovat náš systém. Zde je kousek výpisu: Všimněte si - pokusy o nákazu červem CodeRedII se opakují téměř v minutových intervalech. Přicházejí z různých adres - strojů nic netušících a už nakažených surfařů.

[Výpis útoků CodeRedII na mém počítači]

Původní CodeRed se objevil jen jednou za celé odpoledne. To svědčí o tom, že pisatel druhé verze zvolil velmi agresivní a mnohem účinnější způsob šíření.

Co se škod týče, CodeRedII se chová celkem šetrně. Nevymaže nic, nezničí nic, alespoň ne hned. Pouze nainstaluje do napadeného systému zadní vrátka, která mu umožní dálkově (a bez vědomí majitele) ovládat napadený počítač. Prostřednictvím těchto vrátek lze na počítači nic netušícího majitele uložit např. program typu zombie, který se může po aktivaci na dálku zúčastnit útoku DoS. Samozřejmě že lze vyslat i příkaz, který zničí data na disku hostitele, ale myslím, že o to tvůrcům zadních vrátek nejde.

Útok DoS (Denial of Service) - zahlcení cílového serveru takovým objemem dat, že tento odmítne pracovat, je účinný pouze tehdy, je-li veden z několika stovek počítačů současně. K tomu, aby mohl být koordinován současně, musí mít útočník přístup k těmto počítačům.

Jeho starší bratříček, CodeRed se rovněž k hostiteli choval celkem slušně. Pokoušel se "pouze" využít hostitelův počítač k útoku DoS na server Bílého domu (www.whitehouse.gov) a to při tom ještě jen v poslední dekádě měsíce. Dobu mezi prvním a dvacátým využíval toliko k šíření sebe sama.

CodeRed II - zdá se - nemá rád Číňany (že by skrytý rasismus?). Ze strojů, na kterých je nainstalována čínská verze Windows, se totiž šíří dvakrát rychleji - vytvoří 600 threads (úloh, které aktivně vyhledávají díry na dalších počítačích). Na ne-čínských strojích vytvoří "pouze" 300 threads.

Napadá pouze počítače Windows 2000 a Windows NT/4.0, které mají nainstalován server MS IIS. Ovšem Windows NT se mu nedaří infikovat, vzhledem k rozdílné adrese skoku, kterou červ generuje v úvodu. Posunutí (offset) je správné pouze pro Windows 2000. U Windows NT tedy červ havaruje, není schopen je infikovat.

Červ obsahuje tři sekce: Infikující sekci, sekci pro šíření sebe sama a sekci obsahující vlastního trojského koně.

V sekci infikující se přesvědčí, zda už je nainstalován. Pokud ano, nedělá nic. Není-li dosud nainstalován, červ vytvoří příslušné množství threats, instaluje zadní dvířka do systému a re-startuje počítač. V sekci pro šíření nejprve ověří místní datum. Je-li měsíc větší než 10 nebo je-li rok větší než 2002, červ pouze re-startuje počítač. Jinými slovy, červ se automaticky přestane šířit od října t.r. Je-li datum menší, červ začne generovat nové náhodné adresy, přičemž se ovšem snaží zůstat v segmentu adres. To má svou logiku. Zapomněl-li administrátor zalepit bezpečnostní díru na tomto počítači, je vysoce pravděpodobné, že je nezalepil ani na dalších počítačích, o které pečuje, což budou jistě počítače v rámci stejného segmentu. Tento odhad se ukázal jako vysoce pravdivý.

V sekci vlastního trojského koně červ uloží do adresáře C: a D: vlastní explorer.exe. Tato rutina se provede až po restartu systému, když se někdo přihlásí do systému. Překopíruje cmd.exe do těchto adresářů:


C:/inetpub/Scripts/Root.exe
D:/inetpub/Scripts/Root.exe
C:/progra~1/Common~1/System/MSADC/Root.exe
D:/progra~1/Common~1/System/MSADC/Root.exe

Vyvolá skutečný MS IE, pak v desetiminutových intervalech vypíná ochranu souborů a řetězí diskové, jednotky C: a D: na virtuální root. Tím byla vytvořena v systému zadní vrátka, umožňující pozdější nepozorovaný návrat útočníka.

Na to, jak dobře jsou oba červi naprogramováni a jak hluboké znalosti museli mít jejich autoři, je s podivem, že oba červi udělají tak málo škod. Nejsem sám, který si tohoto faktu všiml. Co vedlo autory červů CodeRed a CodeRedII k vytvoření potenciálně smrtícího viru, kterého ale nakonec vypustili jako celkem neškodného strašáka? Že by neměli dostatečné znalosti k tomu, aby své miláčky obdařili něčím ničivějším?

Je to podobné, jako když vláda určité země investuje čas a peníze, aby vyvinula raketu, která může dopravit na vzdálené území protivníka jadernou nálož. A pak tutéž raketu použije k doručení neškodného ohňostroje. Šlo o pouhý žert, nebo pokus ukázat těm druhým svou sílu, popř. jen o přátelské upozornění na chyby v obraně druhé země? Varování? Anebo něco jiného?

Poprvé mě tato myšlenka napadla, když jsem v televizi sledoval dobře organizované útoky zdánlivě neorganizovaných anti-globalistů proti policejním zátarasům v Janově v průběhu schůzky hlav států minulý měsíc. Přišlo mi totiž, že ti zakuklení násilníci se snaží programově a promyšleně především ničit, že to dělají celkem šikovně a že je někdo zřejmě musí cvičit a platit. Kdo? Odpověď na klasickou otázku římského (nebo řeckého?) práva "komu to prospěje?", může leccos napovědět.

V případě červů - (v podstatě neškodných) strašáků si položme stejnou otázku. Komu vlastně prospěje, jestliže se po Internetu bude šířit strach a hrůza před nebezpečnými hackery, schopnými vyrobit něco, co se dostane přes všechny ochrany dovnitř počítače nic netušícího majitele? Odpověď je, že tato situace nahrává především těm, kteří se snaží zavést na Internetu tuhou cenzuru. Filtrování emailů, odposlouchávání komunikace, šmírování obsahů disků, prostě praktiky Velkého bratra. Jsou to vlády rozvinutých západních demokracií ruku v ruce s nadnárodními monopoly. Tyto vlády už přišly na to, jak je pro ně výhodné vědět o každém svém občanovi vše. Teď jde jen o to, tyto šmírovací zákony (už jsou ostatně napsány a připraveny v šuplíku) nějak zdůvodnit, vysvětlit, aby se ochránci lidských svobod nezačali příliš bouřit. A jak jinak se dá taková věc vysvětlit, než vyvoláním hysterie strachu před kriminalitou. Začalo to před několika roky strašením před dětskou pornografii, které prý je Internet plný. To ale už nestačí, proto je nutno přijít s něčím novým. Takže se - dejme tomu - vyrobí červ, který se dokáže skvěle šířit, ale jinak žádnou zvláštní škodu nenadělá. Noviny se pak už postarají o ten zbytek. Průměrný uživatel Internetu je pak natolik dostatečně vystrašen, aby souhlasil s přísnými monitorujícími zákony, které jeho laskavá vláda zavede jako obranu před zlovolnými hackery.

Možná to vše vidím jen prismatem své paranoické obavy o ztrátu svobod, ale je zřejmě pravdou, že kdyby odpovědným autoritám opravdu šlo o likvidaci červů, jako je CodeRed, mohly by v rozhodujících uzlových bodech páteřní sítě Internetu instalovat celkem účinné filtry. Tyto filtry by mohly - podobně jako nechvalně známý šmírovací systém Carnivore sledovat provoz ve všech směrech a příslušné sekvence CodeRed prostě nepustit (CodeRed obou verzí totiž vysílá do sítě přesně definovanou a neměnnou sekvenci znaků, kterými se pokoušejí vyvolat přetečení bufferu u serverů MS IIS). A nemuselo by ani jít o páteřní routery. Filtry by mohly být instalovány u jednotlivých poskytovatelů IS.

Snad to technicky není možné (ví-li některý čtenář o tom více, rád se nechám poučit). Ale jestliže to možné je, a přesto to nikoho nenapadne, pak je tato ne-existence filtrů jen dalším argumentem, kterým se dá potvrzovat mou bláznivou teorii o spiknutí vlád západních zemí proti svobodám svých občanů.


Známka 1.0 (hodnotilo 1)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Káva pro Zvědavce

39

Být v obraze něco stojí.
Připojte se k ostatním a staňte se
také sponzorem Zvědavce, stačí
částka v hodnotě jedné kávy měsíčně.

Za měsíc listopad přispělo 97 čtenářů částkou 11 568 korun, což je 39 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010
Ze Slovenska 2000368066/8330
IBAN: CZ4720100000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
165eUVffx5CuUNwr12JbqqZi6AtrbN22Y7
Další možnosti platby › Související články ›

Ve zkratce

Jak funguje MMF22.11.17 10:28 Neurčeno 0

Učitel suspendován poté, co oslovil transgendera jako dívku20.11.17 11:33 Británie 6

Šéf Pirátů: Chceme jenom změnit poměry, aby odpovídaly západní Evropě19.11.17 11:21 Česká republika 0

17. listopad - panoptikum na Václaváku financoval Soros, oligarchové Tomáš a Karel Janečkovi a jejich kámoš Winkler18.11.17 12:00 Česká republika 1

17. litopad - varování před "diktaturou referend" 18.11.17 11:33 Česká republika 2

Dohoda KGB a CIA. Dělení majetku a moci. Schůzka Havla a Sorose v roce 1986 na ambasádě USA v Praze17.11.17 15:08 Česká republika 4

Neatraktivní ženy si stěžují, že je nikdo sexuálně neobtěžoval. Rozjely kampaň Why not me17.11.17 11:13 Neurčeno 7

Lana Lokteff - Proč nechci být menšinou16.11.17 21:33 Neurčeno 4

Šašek Hradílek vydírá Zemana hladovkou16.11.17 12:14 Česká republika 11

Dva články z dnešních novin16.11.17 10:57 Neurčeno 3

Otec sedmi dětí se stal šestiletou holčičkou16.11.17 01:42 Kanada 3

Vánoční trhy se v Rakousku i Německu mění 16.11.17 00:44 Německo 4

EU ruší Dublin a chce brát trvale i ekonomické migranty z Afriky15.11.17 23:14 Evropská unie 3

Jurečka a chemická lobby: Glyfosát15.11.17 08:28 Evropská unie 4

Francie řeší přibývající sebevraždy policistů14.11.17 23:41 Francie 2

Šťastná nálezkyně13.11.17 21:09 Česká republika 0

Jiný pohled na aféru #MeToo13.11.17 12:12 Rusko 2

Stropnický st.: "občané by neměli mít možnost rozhodovat o věcech, u kterých nedokážou posoudit všechny důsledky"12.11.17 18:13 Česká republika 7

Je v pořádku být bílý?12.11.17 17:18 USA 2

Republikánský kandidát měl před 40 lety osahávat 14letou dívku10.11.17 10:16 USA 5

Měnové kurzy

USD
21,72 Kč
Euro
25,50 Kč
Libra
28,79 Kč
Kanadský dolar
17,01 Kč
Australský dolar
16,43 Kč
Švýcarský frank
21,92 Kč
100 japonských jenů
19,35 Kč
Čínský juan
3,28 Kč
Polský zloty
6,04 Kč
100 maď. forintů
8,14 Kč
Ukrajinská hřivna
0,82 Kč
100 rublů
36,73 Kč
1 unce (31,1g) zlata
27 806,03 Kč
1 unce stříbra
368,60 Kč
Bitcoin
177 249,04 Kč

Poslední aktualizace: 22.11.2017 07:33 SEČ

Tuto stránku navštívilo 13 242