Strider HoneyMonkey - systém pro detekci zákeřných stránek

Microsoftu je mimo mnoha další věcí často vytýkána špatná bezpečnost aplikací a systému vůbec. Pravidelně se objevují nové a nové chyby, které jsou následně záplatovány a běžný uživatel by asi ani nebyl schopen či ochoten toto dění sledovat a věc řeší pomocí funkce automatických updatů. O jednom z projektů, kterým se snaží Microsoft zvýšit bezpečnost svých systémů, si povíme právě v tomto článku.

Bezpečnost především

Související odkazy

Slovník
administrátor
hacker
PDF
server
update
URL
virus

Nebudeme hned na začátku článku vyvolávat nějaké spory a ohnivé diskuse. Faktem je, že stejně jako aplikace či systémy ostatních firem jsou i produkty Microsoftu "děravé". Chyby v programech zde byly, jsou a budou a obzvláště ty bezpečnostní pak vyvolávají vrásky na čelech mnoha administrátorů i běžných uživatelů. Propojení počítačů do sítě prostě nese jisté riziko a kombinace nezabezpečeného systému a prohlížeče může být nebezpečná.

Téma bezpečnosti je prostě moderní, i když v tomto případě to není myšleno nijak negativně. Na bezpečnosti a spolehlivosti systémů často závisí fungování velkých firem, u nichž může i krátký výpadek způsobit značné finanční ztráty. A to všechno jen kvůli zákeřné webové stránce a děravému prohlížeči. Až jednou téma ochrany a zabezpečení počítačů moderní nebude, protože již bude vše bezpečné, teprve tehdy budeme nejspíš žít v dokonalém světě.

Ačkoliv se to může zdát řadě uživatelů neuvěřitelné, i Microsoft má snahy o zvýšení bezpečnosti Windows, Internet Exploreru a dalších produktů. Microsoft Security Response Center monitoruje veřejné konference o bezpečnosti, stránky hackerů a další zdroje s cílem najít slabiny ve svých systémech. Jsou ověřovány různé zprávy od uživatelů o "podivném" chování počítače a vyhodnocováno potenciální riziko. Pokud je opravdu hrozba odhalena, její "objevitel" je kontaktován pro podrobnější informace, aby mohl být útok nasimulován, analyzován a chyba odstraněna. Tak by to alespoň mělo být, i když se občas objevují komentáře od některých "nálezců chyb" o špatné komunikaci s Microsoftem.

Bezpečnost je zkrátka v současnosti i v souvislosti s příští verzí Windows velmi ožehavé téma a snahy firmy o vylepšení reputace jsou patrné. Ponechme teď stranou hodnocení, jak se jim to daří či nikoliv a představme si jeden projekt, který má k vyšší bezpečnosti přispět. Jedná se o Strider HoneyMonkey Project.

HoneyMonkey Project

Velká část útoků či ohrožení bezpečnosti je způsobena využitím objevené díry v prohlížeči a systému. Stačí pak navštívit patřičným způsobem napsanou webovou stránku, která tyto otevřené dveře využije a nainstaluje do systému spyware, keylogger či virus. To vše bez vědomí uživatele a bez potřeby jeho aktivní účasti (kromě návštěvy takových stránek).

Projekt Strider HoneyMonkey má za cíl vyhledat a analyzovat webové servery, na kterých lze najít potenciálně nebezpečný kód. Nejde však jen o nějaký "vyhledavač exploitů", věc je o trochu složitější (viz dále). Cílem je pak podobné zdroje analyzovat a systém zabezpečit.

Jak celá věc funguje? Pro detailnější popis doporučuji zájemcům pročíst tento dokument (PDF, 617 kB), který osvětluje základní principy projektu a popisuje koncept tzv. Automated Web Patrol. Zjednodušeně řečeno se ve své podstatě jedná o skupiny virtuálních počítačů s Windows XP a různou úrovní záplatování, které jsou vystavovány útokům webových stránek a monitorovány. Běží na nich tzv. "monkey" programy, které dokáží ovládat např. Internet Explorer a určitým způsobem "simulovat chování člověka". Nejde pochopitelně o žádnou umělou inteligenci, zkrátka jde jen o zautomatizování činností, tedy klikání na odkazy, resp. navštěvování webových stránek dle zadaného seznamu.

Seznam nebezpečných serverů

Klíčové jsou samozřejmě dvě otázky - jak najít mezi miliardami stránek ty nebezpečné a jak poznat, že stránka nějaký "exploit" obsahuje? Co se první otázky týče, vychází se ze seznamu přibližně 5000 stránek s potenciálně nebezpečným kódem, který byl vytvořen jednak na základě upravených "hosts" souborů pro blokaci reklamních a jiných "zákeřných" serverů. Tyto soubory byly nalezeny obvyklým způsobem na Internetu.

Zbytek seznamu pak byl doplněn o notoricky známé a problémové stránky. Tento počáteční seznam pak bude postupně rozšiřován. Většina zákeřných stránek často odkazuje na své "kolegy", exploity přesměrovávají prohlížeč na další stránky a podobně, takže tímto způsobem se pak dá původní seznam ještě dále rozšiřovat.

Detekce podezřelého kódu

Druhá klíčová otázka je, jak nebezpečný kód rozpoznat. Na příslušném počítači je spuštěn zmiňovaný "opičí program" společně s tzv. Strider Flight Data Recorder. Tento software monitoruje všechny změny v souborech a registrech. "Opička" spustí prohlížeč a navštíví podezřelé stránky. Nesmí odkliknout žádný dialogový box či povolit instalaci, pouze čeká několik minut. Pokud se během této doby na disku objeví nějaký podezřelý soubor (potenciální spyware, virus), bude odhalen SFDR. Pokud ne, navštíví další stránku ze svého seznamu podezřelých.

Použitá metoda "černé skříňky", která je často používána i antivirovými programy, pak dokáže odhalit nejen útoky na již nalezené chyby, ale stejným způsobem odchytit i zneužití chyby dosud neobjevené (resp. nezveřejněné). Kromě kontroly náhodně vzniknuvších souborů je hlídána i sekce automaticky spouštěných aplikací a nebo programů, které se snaží ukrýt své běžící procesy.

Armáda virtuálních počítačů

Již bylo řečeno, že je využíváno virtuálních počítačů (není jisté, zda je to přímo VirtualPC od Microsoftu a nebo je používán jiný virtualizér). Proč tomu tak je? Když totiž tento virtuální stroj narazí na potenciální exploit, je informován tzv. Monkey Controller, který však již běží jako běžná aplikace v hostujícím systému. "Vedoucí opice" provede záznam, restartuje virtuální počítač s "čistou instalací" a ten pak pokračuje v testování dalších serverů ze seznamu. Pokud je počítač dostatečně výkonný, dokáže takto provozovat i několik virtuálních systémů současně (s různou úrovní záplatování), čímž se sníží náklady na celý projekt a zvýší rychlost.

A výsledek?

Jaké jsou první úspěchy projektu? Popisovanou technologií bylo odhaleno celkem 752 unikátních nebezpečných URL na 287 serverech (data pocházejí z přelomu května a června 2005). Nejohroženější je samozřejmě nejstarší systém WinXP SP1 bez záplat (688 exploitů), kompletně záplatovaný systém WinXP SP2 pak nebyl ohrožen žádným potenciálním kódem. Dnes je již situace pochopitelně jiná, údaje jsou staré dva měsíce. Výsledek je však pochopitelně jasný a logický - čím méně záplatovaný systém, tím větší riziko. Cílem projektu pochopitelně nebylo toto primitivní zjištění, spíše jej jen statisticky dokládá.

HoneyMonkey je v každém případě velmi zajímavý projekt. Pokud pak bude jeho výsledků náležitě využito k zlepšení bezpečnosti systému a aplikací, mohou být uživatelé jen rádi. Zatím je však předčasné cokoliv hodnotit, řada technologicky pozoruhodných projektů nakonec neměla pozitivní výsledky v praxi. Jak tomu bude v tomto případě uvidíme časem.

Diskuze (3) Další článek: Discovery: On-line videopřenos z přistání

Témata článku: Microsoft, Bezpečnost, Pozoruhodný projekt, Podivný program, Dialog box, Podivné chování, Potenciální riziko, Potenciální aplikace, Krátký výpadek, Pace, Flight, Špatný klíč, Záplatovaný systém, Monkey, Str, Podezřelý soubor, Ožehavé téma, Hon, Patrol, Klíčová otázka, Obvyklý způsob


Určitě si přečtěte

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

** Loni ajťáky vystrašilo přetečení GPS čítače týdnů ** Nemělo se stát vůbec nic, ale svět opět nebyl připravený ** Za 18 let nás ale čeká ještě něco mnohem většího

Jakub Čížek | 62

Hledá se způsob, jak uložit elektřinu. Možná pomohou obří gravitační baterie

Hledá se způsob, jak uložit elektřinu. Možná pomohou obří gravitační baterie

** Jak uložit elektřinu z fotovoltaiky a větrných turbín ** Pomohou třeba staré autobaterie, nebo setrvačníky ** A pak tu jsou bizarní gravitační akumulátory velikosti mrakodrapu

Jakub Čížek | 254

10 mýtů a polopravd o bateriích, kterým možná ještě věříte

10 mýtů a polopravd o bateriích, kterým možná ještě věříte

** Kolem baterií a akumulátorů koluje řada mýtů, nepravd a polopravd ** Dnes vám devět z nich zkusíme vyvrátit na základě faktů ** Většina z nich totiž neplatí pro moderní lithiové baterie

Karel Kilián, David Polesný | 102

Co všechno se spouští se startem Windows a proč by vás to mělo zajímat

Co všechno se spouští se startem Windows a proč by vás to mělo zajímat

** Společně s operačním systémem se spouští řada aplikací a služeb ** Mohou mít negativní dopad na celkovou dobu startu Windows ** Jak získat kontrolu nad automaticky spouštěnými programy?

Karel Kilián | 60

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 112



Aktuální číslo časopisu Computer

Test 9 bezdrátových reproduktorů

Jak ovládnout Instagram

Test levných 27" herních monitorů

Jak se zbavit nepotřebných věcí na internetu