Internetoví červi útočí - na čí popud?

Vladimír Stwora

7.8.2001 Technická poradna Témata: Počítače 1253 slov

Lidé se ještě nestačili vzpamatovat z útoku červa pojmenovaného CodeRed a už je tady jeho bratříček CodeRedII. Ačkoliv je pojmenován podobně, odborníci tvrdí, že jde o rozdílné "zvířátko". Pojmenování CodeRedII prý bylo zvoleno jen proto, že tento červ využívá stejnou bezpečnostní díru jako CodeRed. Jeho destruktivní činnost (tzv. payload) je ale úplně jiná a má také jiný (účinnější) způsob výběru adres, které se pokouší nakazit.

Intenzita útoku, s jakou se tento nový červ šíří, je ohromující. Můj syn nainstaloval na náš router rutinu sledující pokusy infikovat náš systém. Zde je kousek výpisu: Všimněte si - pokusy o nákazu červem CodeRedII se opakují téměř v minutových intervalech. Přicházejí z různých adres - strojů nic netušících a už nakažených surfařů.

[Výpis útoků CodeRedII na mém počítači]

Původní CodeRed se objevil jen jednou za celé odpoledne. To svědčí o tom, že pisatel druhé verze zvolil velmi agresivní a mnohem účinnější způsob šíření.

Co se škod týče, CodeRedII se chová celkem šetrně. Nevymaže nic, nezničí nic, alespoň ne hned. Pouze nainstaluje do napadeného systému zadní vrátka, která mu umožní dálkově (a bez vědomí majitele) ovládat napadený počítač. Prostřednictvím těchto vrátek lze na počítači nic netušícího majitele uložit např. program typu zombie, který se může po aktivaci na dálku zúčastnit útoku DoS. Samozřejmě že lze vyslat i příkaz, který zničí data na disku hostitele, ale myslím, že o to tvůrcům zadních vrátek nejde.

Útok DoS (Denial of Service) - zahlcení cílového serveru takovým objemem dat, že tento odmítne pracovat, je účinný pouze tehdy, je-li veden z několika stovek počítačů současně. K tomu, aby mohl být koordinován současně, musí mít útočník přístup k těmto počítačům.

Jeho starší bratříček, CodeRed se rovněž k hostiteli choval celkem slušně. Pokoušel se "pouze" využít hostitelův počítač k útoku DoS na server Bílého domu (www.whitehouse.gov) a to při tom ještě jen v poslední dekádě měsíce. Dobu mezi prvním a dvacátým využíval toliko k šíření sebe sama.

CodeRed II - zdá se - nemá rád Číňany (že by skrytý rasismus?). Ze strojů, na kterých je nainstalována čínská verze Windows, se totiž šíří dvakrát rychleji - vytvoří 600 threads (úloh, které aktivně vyhledávají díry na dalších počítačích). Na ne-čínských strojích vytvoří "pouze" 300 threads.

Napadá pouze počítače Windows 2000 a Windows NT/4.0, které mají nainstalován server MS IIS. Ovšem Windows NT se mu nedaří infikovat, vzhledem k rozdílné adrese skoku, kterou červ generuje v úvodu. Posunutí (offset) je správné pouze pro Windows 2000. U Windows NT tedy červ havaruje, není schopen je infikovat.

Červ obsahuje tři sekce: Infikující sekci, sekci pro šíření sebe sama a sekci obsahující vlastního trojského koně.

V sekci infikující se přesvědčí, zda už je nainstalován. Pokud ano, nedělá nic. Není-li dosud nainstalován, červ vytvoří příslušné množství threats, instaluje zadní dvířka do systému a re-startuje počítač. V sekci pro šíření nejprve ověří místní datum. Je-li měsíc větší než 10 nebo je-li rok větší než 2002, červ pouze re-startuje počítač. Jinými slovy, červ se automaticky přestane šířit od října t.r. Je-li datum menší, červ začne generovat nové náhodné adresy, přičemž se ovšem snaží zůstat v segmentu adres. To má svou logiku. Zapomněl-li administrátor zalepit bezpečnostní díru na tomto počítači, je vysoce pravděpodobné, že je nezalepil ani na dalších počítačích, o které pečuje, což budou jistě počítače v rámci stejného segmentu. Tento odhad se ukázal jako vysoce pravdivý.

V sekci vlastního trojského koně červ uloží do adresáře C: a D: vlastní explorer.exe. Tato rutina se provede až po restartu systému, když se někdo přihlásí do systému. Překopíruje cmd.exe do těchto adresářů:


C:/inetpub/Scripts/Root.exe
D:/inetpub/Scripts/Root.exe
C:/progra~1/Common~1/System/MSADC/Root.exe
D:/progra~1/Common~1/System/MSADC/Root.exe

Vyvolá skutečný MS IE, pak v desetiminutových intervalech vypíná ochranu souborů a řetězí diskové, jednotky C: a D: na virtuální root. Tím byla vytvořena v systému zadní vrátka, umožňující pozdější nepozorovaný návrat útočníka.

Na to, jak dobře jsou oba červi naprogramováni a jak hluboké znalosti museli mít jejich autoři, je s podivem, že oba červi udělají tak málo škod. Nejsem sám, který si tohoto faktu všiml. Co vedlo autory červů CodeRed a CodeRedII k vytvoření potenciálně smrtícího viru, kterého ale nakonec vypustili jako celkem neškodného strašáka? Že by neměli dostatečné znalosti k tomu, aby své miláčky obdařili něčím ničivějším?

Je to podobné, jako když vláda určité země investuje čas a peníze, aby vyvinula raketu, která může dopravit na vzdálené území protivníka jadernou nálož. A pak tutéž raketu použije k doručení neškodného ohňostroje. Šlo o pouhý žert, nebo pokus ukázat těm druhým svou sílu, popř. jen o přátelské upozornění na chyby v obraně druhé země? Varování? Anebo něco jiného?

Poprvé mě tato myšlenka napadla, když jsem v televizi sledoval dobře organizované útoky zdánlivě neorganizovaných anti-globalistů proti policejním zátarasům v Janově v průběhu schůzky hlav států minulý měsíc. Přišlo mi totiž, že ti zakuklení násilníci se snaží programově a promyšleně především ničit, že to dělají celkem šikovně a že je někdo zřejmě musí cvičit a platit. Kdo? Odpověď na klasickou otázku římského (nebo řeckého?) práva "komu to prospěje?", může leccos napovědět.

V případě červů - (v podstatě neškodných) strašáků si položme stejnou otázku. Komu vlastně prospěje, jestliže se po Internetu bude šířit strach a hrůza před nebezpečnými hackery, schopnými vyrobit něco, co se dostane přes všechny ochrany dovnitř počítače nic netušícího majitele? Odpověď je, že tato situace nahrává především těm, kteří se snaží zavést na Internetu tuhou cenzuru. Filtrování emailů, odposlouchávání komunikace, šmírování obsahů disků, prostě praktiky Velkého bratra. Jsou to vlády rozvinutých západních demokracií ruku v ruce s nadnárodními monopoly. Tyto vlády už přišly na to, jak je pro ně výhodné vědět o každém svém občanovi vše. Teď jde jen o to, tyto šmírovací zákony (už jsou ostatně napsány a připraveny v šuplíku) nějak zdůvodnit, vysvětlit, aby se ochránci lidských svobod nezačali příliš bouřit. A jak jinak se dá taková věc vysvětlit, než vyvoláním hysterie strachu před kriminalitou. Začalo to před několika roky strašením před dětskou pornografii, které prý je Internet plný. To ale už nestačí, proto je nutno přijít s něčím novým. Takže se - dejme tomu - vyrobí červ, který se dokáže skvěle šířit, ale jinak žádnou zvláštní škodu nenadělá. Noviny se pak už postarají o ten zbytek. Průměrný uživatel Internetu je pak natolik dostatečně vystrašen, aby souhlasil s přísnými monitorujícími zákony, které jeho laskavá vláda zavede jako obranu před zlovolnými hackery.

Možná to vše vidím jen prismatem své paranoické obavy o ztrátu svobod, ale je zřejmě pravdou, že kdyby odpovědným autoritám opravdu šlo o likvidaci červů, jako je CodeRed, mohly by v rozhodujících uzlových bodech páteřní sítě Internetu instalovat celkem účinné filtry. Tyto filtry by mohly - podobně jako nechvalně známý šmírovací systém Carnivore sledovat provoz ve všech směrech a příslušné sekvence CodeRed prostě nepustit (CodeRed obou verzí totiž vysílá do sítě přesně definovanou a neměnnou sekvenci znaků, kterými se pokoušejí vyvolat přetečení bufferu u serverů MS IIS). A nemuselo by ani jít o páteřní routery. Filtry by mohly být instalovány u jednotlivých poskytovatelů IS.

Snad to technicky není možné (ví-li některý čtenář o tom více, rád se nechám poučit). Ale jestliže to možné je, a přesto to nikoho nenapadne, pak je tato ne-existence filtrů jen dalším argumentem, kterým se dá potvrzovat mou bláznivou teorii o spiknutí vlád západních zemí proti svobodám svých občanů.


Známka 1.0 (hodnotilo 1)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Káva pro Zvědavce

44

Být v obraze něco stojí.
Připojte se k ostatním a staňte se
také sponzorem Zvědavce, stačí
částka v hodnotě jedné kávy měsíčně.

Za měsíc listopad přispělo 91 čtenářů částkou 13 065 korun, což je 44 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010
Ze Slovenska 2000368066/8330
IBAN: CZ4720100000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
165eUVffx5CuUNwr12JbqqZi6AtrbN22Y7
Další možnosti platby › Související články ›

Ve zkratce

Prohrávají, prohrávají! A jsou čím dál zběsilejší :-)))21.11.18 00:19 Česká republika 0

Německo se připravuje na hromadné letecké dovážení afrických migrantů do EU20.11.18 15:46 Německo 0

Špinavá dohoda mezi Bruselem a Renziho Itálií: Itálie bude brát všechny migranty a Brusel jí zajistí flexibilitu veřejných účtů20.11.18 14:59 Itálie 0

Slovenská obdoba ÚOOZ začala vyšetřovat organizátory demonstrací, které vypukly po vraždě Jána Kuciaka! Stejné procesy probíhají nyní i v Praze20.11.18 13:13 Slovensko 0

Migrant v Německu podřízl otce aktivistky, která jej otci doporučila na výpomoc19.11.18 20:13 Německo 2

Migrant v Německu znásilnil ovci19.11.18 20:09 Německo 3

Fico: Globálny pakt o migrácii nie je v súlade s migračnou politikou Slovenskej republiky 19.11.18 12:48 Slovensko 0

Bulharsko odmítlo Globální pakt pro migraci a ... vypukla v něm barevná revoluce19.11.18 12:39 Bulharsko 1

Slovensko sa k paktu OSN o migrácii asi nepripojí, “nie sme však ešte za vodou,” hovorí poslanec Paška a očakáva ešte brutálny nátlak zo strany EÚ19.11.18 12:34 Slovensko 1

Vánoční svátky v Evropě 201819.11.18 11:18 Evropská unie 5

Výbušná výpověď: Čtveřice vyšetřovatelů promluvila. Kauza Čapí hnízdo vznikla na příkaz Chovance, tvrdí.18.11.18 22:24 Česká republika 0

Španělská facka USA: Ruské námořnictvo se vrací do španělské Ceuty18.11.18 17:35 Španělsko 1

Německo čeká růžová budoucnost18.11.18 17:10 Německo 1

17. listopadu v Marseille. Demonstranti požadují rezignaci Macrona18.11.18 16:56 Francie 0

Imám v Německu: Vaše dcery si vezmou muslimy a šaría se stane německým právem18.11.18 16:37 Německo 4

Rozkopejte hroby rodičů Fialy (ODS) a Rakušana (STAN). Je to pouze projev občanské nespokojenosti...18.11.18 12:56 Česká republika 2

Už víme, kdo je chátra z Národní: senátoři Hilšer a Drahoš v čele18.11.18 12:45 Česká republika 1

Úřady s velkou slávou hlásí, že ušetřily 657 milionů na dětech17.11.18 15:08 Česká republika 4

Takto aktivisté skupiny Kaputin vyhodili květiny Babiše a Okamury17.11.18 12:15 Česká republika 3

5G sítě v ČR. Operátoři slintají blahem17.11.18 11:24 Neurčeno 11

Měnové kurzy

USD
22,87 Kč
Euro
26,02 Kč
Libra
29,26 Kč
Kanadský dolar
17,19 Kč
Australský dolar
16,55 Kč
Švýcarský frank
23,00 Kč
100 japonských jenů
20,26 Kč
Čínský juan
3,29 Kč
Polský zloty
6,04 Kč
100 maď. forintů
8,10 Kč
Ukrajinská hřivna
0,83 Kč
100 rublů
34,73 Kč
1 unce (31,1g) zlata
27 926,30 Kč
1 unce stříbra
327,45 Kč
Bitcoin
102 586,66 Kč

Poslední aktualizace: 21.11.2018 07:33 SEČ

Tuto stránku navštívilo 13 472