Internetoví červi útočí - na čí popud?

Vladimír Stwora

7.8.2001 Technická poradna Témata: Počítače 1253 slov

Lidé se ještě nestačili vzpamatovat z útoku červa pojmenovaného CodeRed a už je tady jeho bratříček CodeRedII. Ačkoliv je pojmenován podobně, odborníci tvrdí, že jde o rozdílné "zvířátko". Pojmenování CodeRedII prý bylo zvoleno jen proto, že tento červ využívá stejnou bezpečnostní díru jako CodeRed. Jeho destruktivní činnost (tzv. payload) je ale úplně jiná a má také jiný (účinnější) způsob výběru adres, které se pokouší nakazit.

Intenzita útoku, s jakou se tento nový červ šíří, je ohromující. Můj syn nainstaloval na náš router rutinu sledující pokusy infikovat náš systém. Zde je kousek výpisu: Všimněte si - pokusy o nákazu červem CodeRedII se opakují téměř v minutových intervalech. Přicházejí z různých adres - strojů nic netušících a už nakažených surfařů.

[Výpis útoků CodeRedII na mém počítači]

Původní CodeRed se objevil jen jednou za celé odpoledne. To svědčí o tom, že pisatel druhé verze zvolil velmi agresivní a mnohem účinnější způsob šíření.

Co se škod týče, CodeRedII se chová celkem šetrně. Nevymaže nic, nezničí nic, alespoň ne hned. Pouze nainstaluje do napadeného systému zadní vrátka, která mu umožní dálkově (a bez vědomí majitele) ovládat napadený počítač. Prostřednictvím těchto vrátek lze na počítači nic netušícího majitele uložit např. program typu zombie, který se může po aktivaci na dálku zúčastnit útoku DoS. Samozřejmě že lze vyslat i příkaz, který zničí data na disku hostitele, ale myslím, že o to tvůrcům zadních vrátek nejde.

Útok DoS (Denial of Service) - zahlcení cílového serveru takovým objemem dat, že tento odmítne pracovat, je účinný pouze tehdy, je-li veden z několika stovek počítačů současně. K tomu, aby mohl být koordinován současně, musí mít útočník přístup k těmto počítačům.

Jeho starší bratříček, CodeRed se rovněž k hostiteli choval celkem slušně. Pokoušel se "pouze" využít hostitelův počítač k útoku DoS na server Bílého domu (www.whitehouse.gov) a to při tom ještě jen v poslední dekádě měsíce. Dobu mezi prvním a dvacátým využíval toliko k šíření sebe sama.

CodeRed II - zdá se - nemá rád Číňany (že by skrytý rasismus?). Ze strojů, na kterých je nainstalována čínská verze Windows, se totiž šíří dvakrát rychleji - vytvoří 600 threads (úloh, které aktivně vyhledávají díry na dalších počítačích). Na ne-čínských strojích vytvoří "pouze" 300 threads.

Napadá pouze počítače Windows 2000 a Windows NT/4.0, které mají nainstalován server MS IIS. Ovšem Windows NT se mu nedaří infikovat, vzhledem k rozdílné adrese skoku, kterou červ generuje v úvodu. Posunutí (offset) je správné pouze pro Windows 2000. U Windows NT tedy červ havaruje, není schopen je infikovat.

Červ obsahuje tři sekce: Infikující sekci, sekci pro šíření sebe sama a sekci obsahující vlastního trojského koně.

V sekci infikující se přesvědčí, zda už je nainstalován. Pokud ano, nedělá nic. Není-li dosud nainstalován, červ vytvoří příslušné množství threats, instaluje zadní dvířka do systému a re-startuje počítač. V sekci pro šíření nejprve ověří místní datum. Je-li měsíc větší než 10 nebo je-li rok větší než 2002, červ pouze re-startuje počítač. Jinými slovy, červ se automaticky přestane šířit od října t.r. Je-li datum menší, červ začne generovat nové náhodné adresy, přičemž se ovšem snaží zůstat v segmentu adres. To má svou logiku. Zapomněl-li administrátor zalepit bezpečnostní díru na tomto počítači, je vysoce pravděpodobné, že je nezalepil ani na dalších počítačích, o které pečuje, což budou jistě počítače v rámci stejného segmentu. Tento odhad se ukázal jako vysoce pravdivý.

V sekci vlastního trojského koně červ uloží do adresáře C: a D: vlastní explorer.exe. Tato rutina se provede až po restartu systému, když se někdo přihlásí do systému. Překopíruje cmd.exe do těchto adresářů:


C:/inetpub/Scripts/Root.exe
D:/inetpub/Scripts/Root.exe
C:/progra~1/Common~1/System/MSADC/Root.exe
D:/progra~1/Common~1/System/MSADC/Root.exe

Vyvolá skutečný MS IE, pak v desetiminutových intervalech vypíná ochranu souborů a řetězí diskové, jednotky C: a D: na virtuální root. Tím byla vytvořena v systému zadní vrátka, umožňující pozdější nepozorovaný návrat útočníka.

Na to, jak dobře jsou oba červi naprogramováni a jak hluboké znalosti museli mít jejich autoři, je s podivem, že oba červi udělají tak málo škod. Nejsem sám, který si tohoto faktu všiml. Co vedlo autory červů CodeRed a CodeRedII k vytvoření potenciálně smrtícího viru, kterého ale nakonec vypustili jako celkem neškodného strašáka? Že by neměli dostatečné znalosti k tomu, aby své miláčky obdařili něčím ničivějším?

Je to podobné, jako když vláda určité země investuje čas a peníze, aby vyvinula raketu, která může dopravit na vzdálené území protivníka jadernou nálož. A pak tutéž raketu použije k doručení neškodného ohňostroje. Šlo o pouhý žert, nebo pokus ukázat těm druhým svou sílu, popř. jen o přátelské upozornění na chyby v obraně druhé země? Varování? Anebo něco jiného?

Poprvé mě tato myšlenka napadla, když jsem v televizi sledoval dobře organizované útoky zdánlivě neorganizovaných anti-globalistů proti policejním zátarasům v Janově v průběhu schůzky hlav států minulý měsíc. Přišlo mi totiž, že ti zakuklení násilníci se snaží programově a promyšleně především ničit, že to dělají celkem šikovně a že je někdo zřejmě musí cvičit a platit. Kdo? Odpověď na klasickou otázku římského (nebo řeckého?) práva "komu to prospěje?", může leccos napovědět.

V případě červů - (v podstatě neškodných) strašáků si položme stejnou otázku. Komu vlastně prospěje, jestliže se po Internetu bude šířit strach a hrůza před nebezpečnými hackery, schopnými vyrobit něco, co se dostane přes všechny ochrany dovnitř počítače nic netušícího majitele? Odpověď je, že tato situace nahrává především těm, kteří se snaží zavést na Internetu tuhou cenzuru. Filtrování emailů, odposlouchávání komunikace, šmírování obsahů disků, prostě praktiky Velkého bratra. Jsou to vlády rozvinutých západních demokracií ruku v ruce s nadnárodními monopoly. Tyto vlády už přišly na to, jak je pro ně výhodné vědět o každém svém občanovi vše. Teď jde jen o to, tyto šmírovací zákony (už jsou ostatně napsány a připraveny v šuplíku) nějak zdůvodnit, vysvětlit, aby se ochránci lidských svobod nezačali příliš bouřit. A jak jinak se dá taková věc vysvětlit, než vyvoláním hysterie strachu před kriminalitou. Začalo to před několika roky strašením před dětskou pornografii, které prý je Internet plný. To ale už nestačí, proto je nutno přijít s něčím novým. Takže se - dejme tomu - vyrobí červ, který se dokáže skvěle šířit, ale jinak žádnou zvláštní škodu nenadělá. Noviny se pak už postarají o ten zbytek. Průměrný uživatel Internetu je pak natolik dostatečně vystrašen, aby souhlasil s přísnými monitorujícími zákony, které jeho laskavá vláda zavede jako obranu před zlovolnými hackery.

Možná to vše vidím jen prismatem své paranoické obavy o ztrátu svobod, ale je zřejmě pravdou, že kdyby odpovědným autoritám opravdu šlo o likvidaci červů, jako je CodeRed, mohly by v rozhodujících uzlových bodech páteřní sítě Internetu instalovat celkem účinné filtry. Tyto filtry by mohly - podobně jako nechvalně známý šmírovací systém Carnivore sledovat provoz ve všech směrech a příslušné sekvence CodeRed prostě nepustit (CodeRed obou verzí totiž vysílá do sítě přesně definovanou a neměnnou sekvenci znaků, kterými se pokoušejí vyvolat přetečení bufferu u serverů MS IIS). A nemuselo by ani jít o páteřní routery. Filtry by mohly být instalovány u jednotlivých poskytovatelů IS.

Snad to technicky není možné (ví-li některý čtenář o tom více, rád se nechám poučit). Ale jestliže to možné je, a přesto to nikoho nenapadne, pak je tato ne-existence filtrů jen dalším argumentem, kterým se dá potvrzovat mou bláznivou teorii o spiknutí vlád západních zemí proti svobodám svých občanů.


Známka 1.0 (hodnotilo 1)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Káva pro Zvědavce

46

Být v obraze něco stojí.
Připojte se k ostatním a staňte se
také sponzorem Zvědavce, stačí
částka v hodnotě jedné kávy měsíčně.

Za měsíc srpen přispělo 92 čtenářů částkou 13 777 korun, což je 46 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010
Ze Slovenska 2000368066/8330
IBAN: CZ4720100000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
165eUVffx5CuUNwr12JbqqZi6AtrbN22Y7
Další možnosti platby › Související články ›

Ve zkratce

Düsseldorf: V pondělí ráno ubodal íránský migrant na ulici německou ženu21.08.18 01:28 Německo 0

Chorvatsko: Ve srovnání s minulým rokem se počet migrantů zvýšil o 26 %21.08.18 01:05 Chorvatsko 0

Převálcují na podzim volební žoldáci vůli občanů ČR?21.08.18 00:46 Česká republika 0

Útok na policajtov v Katalánsku, muž kričal Alláhu akbar. Polícia to vyšetruje ako teroristický čin21.08.18 00:04 Španělsko 1

V roce 1968 pozvali cizí armádu, v roce 2018 pozvali cizího prezidenta - historie se opakuje21.08.18 00:00 Česká republika 0

Konec promenády v plavkách u Miss Germany17.08.18 10:46 Německo 6

Jak si rakouské dráhy představují rodinu16.08.18 16:51 Rakousko 8

Deep state ukazuje svou moc: 343 novin vyjde s uvodníkem proti Trumpovi16.08.18 12:58 USA 4

První transgender babochlap vyhrál/a nominaci demokratů na guvernéra Vermontu15.08.18 18:14 USA 2

Charitativní organizace Age UK radí britským dědkům a babkám, jak změnit pohlaví13.08.18 23:21 Británie 2

Pozvánka na dramatizovanou četbu hry Lenky Procházkové Rozhovor v Moskvě10.08.18 19:36 Česká republika 1

Ukrajinské zvěrstvo: Vojáci rozstříleli sanitku DLR - všichni zemřeli! 10.08.18 15:50 Ukrajina 1

Cikánské děti dráždily přivázaného psa, když je kousl, dospělí cikáni brutálně zbili majitelku09.08.18 12:25 Slovensko 9

Leteckým koridorem se budou přepravovat azylanti z táborů v Etiopii09.08.18 09:48 Itálie 3

Cikánská férovka na koupališti v Dubí08.08.18 16:46 Česká republika 6

Neříkejte nám žoldáci, žádají žoldáci08.08.18 16:22 Česká republika 8

Ministr povýšil padlé vojáky. A co na to padlí vojáci?08.08.18 10:09 Česká republika 2

Mainstream se zoufale snaží obhájit smrt českých žoldnéřů a udělat z nich hrdiny. Marně08.08.18 00:24 Česká republika 5

Izrael opět upirátil loď s humanitární pomocí směřující do Gazy07.08.18 14:35 Izrael 1

Maduro přežil údajný pokus o atentát prostřednictvím dronů05.08.18 20:25 Venezuela 2

Měnové kurzy

USD
22,31 Kč
Euro
25,71 Kč
Libra
28,63 Kč
Kanadský dolar
17,13 Kč
Australský dolar
16,41 Kč
Švýcarský frank
22,57 Kč
100 japonských jenů
20,26 Kč
Čínský juan
3,26 Kč
Polský zloty
5,97 Kč
100 maď. forintů
7,94 Kč
Ukrajinská hřivna
0,81 Kč
100 rublů
33,32 Kč
1 unce (31,1g) zlata
26 642,31 Kč
1 unce stříbra
330,42 Kč
Bitcoin
140 738,23 Kč

Poslední aktualizace: 21.8.2018 06:33 SEČ

Tuto stránku navštívilo 13 436