Viry v 2004: bude to jen horší

Pokud byste měli občas záchvaty virového optimismu, asi to nebude to pravé. I přední experti na bezpečnost se shodují, že to bude spíše horší.

Pomalu každý rok v nedávné historii přinesl nějakou výraznou změnu na poli počítačových virů. A pokud bude letošní rok s něčím spojován, tak to bude červ Blaster, který dokázal velmi účinně automaticky zamořit celou počítačovou planetu a i nadále se sem tam objevuje. Blaster dokázal úspěšně proniknout i do vnitřních firemních sítí s nižším zabezpečením, nejčastěji díky vzdálenému připojení nakaženého počítače přes VPN spojení. Přesto se obecně všichni shodují, že Blaster nebyl zdaleka tak účinný, jak by mohl být - přišel relativně pozdě po záplatě kritické chyby, kterou zneužíval, stejně tak byl relativně neškodný co do dopadu na data uživatelů. Vzhledem ale k tomu, že se objevují stále lépe propracované virové kuchařky a principy Blasteru mohou být stejné i při útoku přes jinou chybu, je velmi pravděpodobné, že se v budoucnu zkrátí doba od zveřejnění chyby po její faktické zneužití.

Na konferenci InfoSecurity 2003 věnované bezpečnosti počítačových systémů se přímo hovořilo o takzvaných zero-day exploit, tedy o zneužitích uskutečněných ještě dříve, než je veřejně publikována chyba s případnou opravou. Nadále budou zřejmě zneužívány různé modifikace průniků přes RPC, přičemž se záběr rozšíří z Windows i na podobné chyby v Unixu a Linuxu. Přesto to asi nebude tak výrazné, jelikož obrana proti RPC útokům již byla slušně aktivována a bylo podniknuta řada preventivních kroků proti dalším podobným útokům.

Hackeři se v současné době zaměřují na "heap" oblasti paměti, které se vytváří dynamicky při běhu programu. Postupně se totiž zlepšuje ochrana proti přetečení zásobníku (stack overflow) a tak je hledat nová pole působnosti.

Zajímavý postřeh zazněl od ředitele globální bezpečnosti u firmy Siebel Davida Mortmana, Siebel totiž na základě útoků Blasteru značně zkrátil dobu na podrobné vyhodnocování nových záplat, zda nepůsobí nějaké chyby v aplikacích, a uspíšil jejich aplikování. Případně chybná záplata totiž způsobí méně škody než virový útok. Prostě lék může mít sice vedlejší účinky, ty ale budou spíše menší než případná nemoc.

Příští rok můžeme čekat zejména zkrácení mezi uvedením záplaty a zneužitím chyby, kterou opravuje. Ač například Microsoft není moc sdílný, jak je chyba konkrétně zneužitelná, hackeři často rekompilováním záplat analyzují, co se opravovalo a kde tedy byla konkrétně chyba. Zakrátko již jsou k dispozici nástroje na její zneužití. Tato metoda se pochopitelně postupně vylepšuje a zrychluje, takže se citelně zkrátí čas od zveřejnění chyby k jejímu zneužití.

Často se objevuje názor "ještě že ten virus nebyl destruktivní, to by bylo o poznání horší". Zde je ale na místě analogie s běžnými viry napadající nás lidi. Aby nemoc byla co nejrozšířenější, nesmí napadnutého člověka hned skolit, ideální je samozřejmě vysoká nakažlivost a dlouhá inkubační doba - než stihnete zaregistrovat nějaké příznaky, už jste mezitím nakazili spoustu lidí. Úspěšná je tak chřipka, která je velmi nakažlivá, ale zpočátku se maskuje za obyčejné nachlazení. Zcela také nezablokuje svého nositele, který se dokáže pohybovat a nakazit pár dalších lidí. Smrtelné choroby se šíří zejména díky dlouhé inkubační době, kdy než si postižený něčeho všimne, stačí nakazit spoustu dalších lidí.

V oblasti počítačových virů se sice také objevují případy s delší inkubační dobou (vir sedí v počítači, čeká na konkrétní datum, kdy něco provede), ale nejsou moc úspěšné, zejména díky pokročilé kontrole integrity počítačů. Antivirové programy prostě dokáží zjistit, že něco není v pořádku a vir případně eliminovat ještě před tím než stihne něco provést. Počítačový virus má v ruce jediný trumf – rychlost počítačů. Než programátoři antivirových firem stihnou zareagovat, musí být díky rychlosti světové sítě dostatečně rozlezlý a mít to hlavní, co chce udělat, už dávno za sebou. V současné době tak počítačoví červi raději volí maximální rychlost šíření - případná destrukce je až na druhém místě. Sází také na to, že je lepší nebýt viděn, a nakažené systémy v tichu zneužívat k vlastním záměrům. Pojem "rychle se šířící destruktivní červ" je tak zatím protimluvem - nenechte se ale ukolébat falešným pocitem klidu na duši, rok 2004 přece jen zatím nezačal, natož skončil.

Diskuze (38) Další článek: Střední hrozba – emailový červ Scold@mm

Témata článku: , , , , , , , , , , , , ,