Kas notiek internetā?
Kas notiek Internetā
Beigu sākums vai sākuma beigas
2004. gads, tikko sācies, ir atnesis
kārtējo lielāko datorvīrusu epidēmiju interneta
vēsturē. Tomēr, izpētot to sīkāk, jāsecina,
ka šis notikums ir kaut kas vairāk par parastu epidēmiju un,
iespējams, iezīmē pagrieziena punktu interneta
attīstībā.
Mydoom.a - arēji vienkāršs, parasts un, kā saka
antivīrusu speciālistu žargonā, klikšķināmais
datorvīruss, kura aktivizēšanai nepieciešama paša
lietotāja līdzdalība. Tomēr tas ātri pārsniedza
visu iepriekšējo datorvīrusu rekordus. Kur tad slēpjas Mydoom.a
panākumu fenomens? Liela loma neapšaubāmi bija
kārtējam sociālās inženierijas trikam un tam, ka
datorvīrusa faili bija arhivēti populārajā ZIP
formātā. Sociālā inženierija izpaudās infekciju
nesošo vēstuļu noformējumā. Tās ļoti
atgādināja atbildes no e-pasta sistēmām par
dažādām nebūšanām ar nosūtīto
korespondenci. Šāds gājiens var samulsināt pat ļoti pieredzējušu
lietotāju. Tāpat sava loma bija arī tam, ka vēl nesen ZIP
formāts plaši tika izmantots, lai cauri aizsargātām e-pasta
sistēmām nosūtītu izpildāmos failus. Parasti
šādas sistēmas bloķēja failus ar e-pasta vīrusiem
raksturīgiem izpildāmo failu paplašinājumiem, tāpēc
lietotājiem vajadzēja lietot arhivatorus, lai
nepieciešamības gadījumā nosūtītu izpildāmos
failus, piemēram, EXE vai COM. Līdz ar to e-pasta sistēmas tika
pārsteigtas nesagatavotas. Šeit ne velti tiek lietots vārds pārsteigtas,
un tālāk tiks paskaidrota tā īpašā nozīme Mydoom.a
gadījumā. Tomēr tā ir tikai aisberga virsotne un ne ar
ko īpašu neizceļ Mydoom.a veiksmīgo datorvīrusu
garajā virknē.
Lai saprastu Mydoom.a fenomenu pilnībā un
novērtētu tā nozīmi, apskatīsim notikumus
vairākus mēnešus pirms Mydoom.a epidēmijas
uzliesmojuma. Tikai tagad iespējams šos notikumus sasaistīt un
izdarīt secinājumus. Saskaņā ar informāciju, ko
apkopojuši antivīrusu kompānijas Kaspersky Lab
datorvīrusu analītiķi, 2003. gada rudenī internetā
tika izveidots ar Trojas programmām inficētu
attālināti vadāmu datoru tīkls. Tālākie notikumi
risinājās jau 2004. gada janvāra sākumā un
izpaudās kā nesakarīga un bezmērķīga
surogātpasta masveida izsūtīšana divu nedēļu
garumā, izmantojot iepriekš minēto datoru tīklu.
Jāpaskaidro, ka pēdējā laika tendence reklāmas un cita
surogātpasta biznesā ir liela skaita zombētu
datoru izmantošana.
Analizējot faktus, ir saprotams, ka nesakarīgais
surogātpasts bija datortīkla izmēģināšana
tāpat kā ieroča piešaušana. Un tagad
iedomāsimies, kas notiek, ja reklāmas vēstuļu vietā
jau piešautā ierocī tiek ielādēts Mydoom.a.
Praktiski tas nozīmē, ka datorvīrusa epidēmija tiek
ieslēgta tikpat vienkārši kā apgaismojums birojā, ar
ko tiek panākts iepriekš minētais pārsteiguma efekts.
Sākotnējā stadijā Mydoom.a epidēmiju
uzturēja surogātpasta izsūtīšanas mehānisms,
vēlāk tam piebiedrojās ar lietotāju palīdzību
inficēti datori, kuru daudzums strauji auga. Rezultāts
lielākā datorvīrusa epidēmija interneta vēsturē.
Līdz ar to Mydoom.a gadījumā jārunā nevis par
vienkārši veiksmīgu e-pasta vīrusu, bet par
rūpīgi sagatavotu un organizētu pasākumu, kurā izmantots
vīrusu rakstītāju, hakeru un surogātpasta jaunāko
tehnoloģiju sakausējums.
Kādam mērķim tad bija nepieciešams tik
vērienīgs pasākums? Lai uz to mēģinātu
atbildēt, apskatīsim sīkāk Mydoom.a datorvīrusu.
Pirmkārt, Mydoom.a nebija tieši
destruktīvs, tas inficētajā sistēmā
neiznīcināja informāciju.
Otrkārt, sevis izsūtīšanu pa e-pastu
no inficētajiem datoriem tas veica ierobežotā laikā
(līdz 12. februārim pēc inficēto sistēmu
pulksteņiem).
Treškārt, tas uzstādīja
inficētajā datorsistēmā attālinātas nesankcionētas
vadības komponentu.
Ceturtkārt, veica uzbrukumu (DoS denial of
service) ierobežotā laikā plaši pazīstamas
kompānijas interneta serverim (www.sco.com).
Mydoom.a īpašības runā pašas par sevi. Nu,
protams, kādēļ gan izsist no ierindas datorsistēmu, ja
tā ir pakļauta kontrolei un var tikt izmantota nākotnē.
Tāpat nav jēgas bezgalīgi mēģināt likt
vīrusam izplatīties no pakļautajām datorsistēmām,
jo noteiktā laika periodā maksimāli iespējamais skaits
inficēto ir panākts un turpmāka vīrusa
izplatīšanās var tikai kaitēt augstajiem mērķiem,
jo ļauj vieglāk atklāt pakļautās datorsistēmas.
Pakļauto datorsistēmu armija ir demonstrējusi savu spēku
visai pasaulei, izsitot no ierindas SCO Group mājaslapu. Tas
viss liek domāt par rūpīgi pārdomātu scenāriju,
kura izpildes rezultātā pagaidām nezināmu ļaundaru
rokās ir nonākusi internacionāla kiberarmija, kura sevi ir parādījusi
kā reālu spēku.
Zaudējumi no vīrusa Mydoom.a epidēmijas,
kas pēc dažādiem vērtējumiem ir no dažiem
līdz vairākiem desmitiem miljardu ASV dolāru, diemžēl
ir tikai sekas kiberarmijas veidošanas procesa blaknēm. Tās
izpaudās milzīgā e-pasta vēstuļu plūsmā,
kuras rezultātā nopietni tika traucēts e-pasta serveru un to
lietotāju darbs, kā arī daudzviet palēninātas
interneta komunikācijas. Kā liecina e-pasta trafika analīze
pasaulē, tad Mydoom.a e-pasta fāze ir praktiski beigusies
(skat. 1. zīm.). To pašu Latvijas mērogā apstiprina
lielākā bezmaksas e-pasta servisa sniedzēja Inbox.lv
dati. Savukārt rosība ap inficētajiem datoriem 10 dienas
pēc e-pasta fāzes beigām nebija norimusies, bet pat pieauga
daudzas reizes salīdzinājumā ar epidēmijas pirmajām
dienām (skat. 2. zīm.). Atliek tikai piebilst, ka ports 3127, kuru klausās
Mydoom.a attālinātās vadības komponents, gaidot
pavēles no saimniekiem, februārī bija
populārākais uzbrukumu objekts saskaņā ar Dshield.org
datiem.
Kas sekos tālāk? Situācijas
attīstības perspektīvas nenoliedzami ir draudīgas un
prasīs atbilstošu reakciju. Statistika rāda, ka pat Latvijā
Mydoom.a inficēšanās gadījumiem pakļauto
datoru skaits mērāms desmitos tūkstošu. Jebkurš
speciālists datoru drošībā pateiks, ka pietiek ar
mazāku daudzumu uzbrucēju, lai bloķētu lielu interneta
resursu funkcionēšanu, bet liels skaits ļaundariem dod
iespējas efektīvi slēpt pēdas. Ja apskatām
situāciju pasaules mērogā, tad nezināmu personu
kontrolē atrodas milzums attālināti vadāmu visā pasaulē
izkliedētu datoru, ar kuriem var veikt jebkuras darbības, sākot
no informācijas zādzības līdz koordinētiem uzbrukumiem
vai masveida surogātpasta izsūtīšanai. Šeit var
izdomāt daudzus scenārijus. Jau ir zināmi tiešsaistes
spēļu biznesa pārstāvju šantāžas
gadījumi ar nolūku dalīties peļņā. Pasaulē
ir milzums tiešsaistes veikalu, banku un citu servisu, kuru darbība
vismaz daļēji bāzējas uz internetu, un tie visi ir
pakļauti riskam vairāk nekā jebkad iepriekš. Protams, ka Mydoom.a
inficēto un ļaundaru kontrolē nonākušo datoru
skaits samazināsies un interneta sabiedrībai vajadzēs sastapties
ar jauniem draudiem.
Tagad bez īpaša pārspīlējuma var
teikt, ka no parasta datorhuligānisma gadījumiem internets ir
izaudzis līdz organizētai kibernoziedzībai. Tā kā jau
ilgāku laiku speciālisti runā par interneta un izmantojamās
programmatūras principiālām nepilnībām, tad Mydoom.a
epidēmija ar tās vērienīgumu un
tehnoloģiskajām novitātēm šādā
kontekstā šķiet diezgan likumsakarīga un
neapšaubāmi stimulēs darbus nepilnību novēršanā.
Valdis ŠĶESTERS
Kaspersky Lab pārstāvis
SIA Datoru drošības
tehnoloģijas mārketinga direktors
Resursi internetā:
Beigu sākums vai sākuma beigas
2004. gads, tikko sācies, ir atnesis kārtējo lielāko datorvīrusu epidēmiju interneta vēsturē. Tomēr, izpētot to sīkāk, jāsecina, ka šis notikums ir kaut kas vairāk par parastu epidēmiju un, iespējams, iezīmē pagrieziena punktu interneta attīstībā.
Mydoom.a - arēji vienkāršs, parasts un, kā saka antivīrusu speciālistu žargonā, klikšķināmais datorvīruss, kura aktivizēšanai nepieciešama paša lietotāja līdzdalība. Tomēr tas ātri pārsniedza visu iepriekšējo datorvīrusu rekordus. Kur tad slēpjas Mydoom.a panākumu fenomens? Liela loma neapšaubāmi bija kārtējam sociālās inženierijas trikam un tam, ka datorvīrusa faili bija arhivēti populārajā ZIP formātā. Sociālā inženierija izpaudās infekciju nesošo vēstuļu noformējumā. Tās ļoti atgādināja atbildes no e-pasta sistēmām par dažādām nebūšanām ar nosūtīto korespondenci. Šāds gājiens var samulsināt pat ļoti pieredzējušu lietotāju. Tāpat sava loma bija arī tam, ka vēl nesen ZIP formāts plaši tika izmantots, lai cauri aizsargātām e-pasta sistēmām nosūtītu izpildāmos failus. Parasti šādas sistēmas bloķēja failus ar e-pasta vīrusiem raksturīgiem izpildāmo failu paplašinājumiem, tāpēc lietotājiem vajadzēja lietot arhivatorus, lai nepieciešamības gadījumā nosūtītu izpildāmos failus, piemēram, EXE vai COM. Līdz ar to e-pasta sistēmas tika pārsteigtas nesagatavotas. Šeit ne velti tiek lietots vārds pārsteigtas, un tālāk tiks paskaidrota tā īpašā nozīme Mydoom.a gadījumā. Tomēr tā ir tikai aisberga virsotne un ne ar ko īpašu neizceļ Mydoom.a veiksmīgo datorvīrusu garajā virknē.
Lai saprastu Mydoom.a fenomenu pilnībā un novērtētu tā nozīmi, apskatīsim notikumus vairākus mēnešus pirms Mydoom.a epidēmijas uzliesmojuma. Tikai tagad iespējams šos notikumus sasaistīt un izdarīt secinājumus. Saskaņā ar informāciju, ko apkopojuši antivīrusu kompānijas Kaspersky Lab datorvīrusu analītiķi, 2003. gada rudenī internetā tika izveidots ar Trojas programmām inficētu attālināti vadāmu datoru tīkls. Tālākie notikumi risinājās jau 2004. gada janvāra sākumā un izpaudās kā nesakarīga un bezmērķīga surogātpasta masveida izsūtīšana divu nedēļu garumā, izmantojot iepriekš minēto datoru tīklu. Jāpaskaidro, ka pēdējā laika tendence reklāmas un cita surogātpasta biznesā ir liela skaita zombētu datoru izmantošana.
Analizējot faktus, ir saprotams, ka nesakarīgais surogātpasts bija datortīkla izmēģināšana tāpat kā ieroča piešaušana. Un tagad iedomāsimies, kas notiek, ja reklāmas vēstuļu vietā jau piešautā ierocī tiek ielādēts Mydoom.a. Praktiski tas nozīmē, ka datorvīrusa epidēmija tiek ieslēgta tikpat vienkārši kā apgaismojums birojā, ar ko tiek panākts iepriekš minētais pārsteiguma efekts. Sākotnējā stadijā Mydoom.a epidēmiju uzturēja surogātpasta izsūtīšanas mehānisms, vēlāk tam piebiedrojās ar lietotāju palīdzību inficēti datori, kuru daudzums strauji auga. Rezultāts lielākā datorvīrusa epidēmija interneta vēsturē. Līdz ar to Mydoom.a gadījumā jārunā nevis par vienkārši veiksmīgu e-pasta vīrusu, bet par rūpīgi sagatavotu un organizētu pasākumu, kurā izmantots vīrusu rakstītāju, hakeru un surogātpasta jaunāko tehnoloģiju sakausējums.
Kādam mērķim tad bija nepieciešams tik vērienīgs pasākums? Lai uz to mēģinātu atbildēt, apskatīsim sīkāk Mydoom.a datorvīrusu.
Pirmkārt, Mydoom.a nebija tieši destruktīvs, tas inficētajā sistēmā neiznīcināja informāciju.
Otrkārt, sevis izsūtīšanu pa e-pastu no inficētajiem datoriem tas veica ierobežotā laikā (līdz 12. februārim pēc inficēto sistēmu pulksteņiem).
Treškārt, tas uzstādīja inficētajā datorsistēmā attālinātas nesankcionētas vadības komponentu.
Ceturtkārt, veica uzbrukumu (DoS denial of service) ierobežotā laikā plaši pazīstamas kompānijas interneta serverim (www.sco.com).
Mydoom.a īpašības runā pašas par sevi. Nu, protams, kādēļ gan izsist no ierindas datorsistēmu, ja tā ir pakļauta kontrolei un var tikt izmantota nākotnē. Tāpat nav jēgas bezgalīgi mēģināt likt vīrusam izplatīties no pakļautajām datorsistēmām, jo noteiktā laika periodā maksimāli iespējamais skaits inficēto ir panākts un turpmāka vīrusa izplatīšanās var tikai kaitēt augstajiem mērķiem, jo ļauj vieglāk atklāt pakļautās datorsistēmas. Pakļauto datorsistēmu armija ir demonstrējusi savu spēku visai pasaulei, izsitot no ierindas SCO Group mājaslapu. Tas viss liek domāt par rūpīgi pārdomātu scenāriju, kura izpildes rezultātā pagaidām nezināmu ļaundaru rokās ir nonākusi internacionāla kiberarmija, kura sevi ir parādījusi kā reālu spēku.
Zaudējumi no vīrusa Mydoom.a epidēmijas, kas pēc dažādiem vērtējumiem ir no dažiem līdz vairākiem desmitiem miljardu ASV dolāru, diemžēl ir tikai sekas kiberarmijas veidošanas procesa blaknēm. Tās izpaudās milzīgā e-pasta vēstuļu plūsmā, kuras rezultātā nopietni tika traucēts e-pasta serveru un to lietotāju darbs, kā arī daudzviet palēninātas interneta komunikācijas. Kā liecina e-pasta trafika analīze pasaulē, tad Mydoom.a e-pasta fāze ir praktiski beigusies (skat. 1. zīm.). To pašu Latvijas mērogā apstiprina lielākā bezmaksas e-pasta servisa sniedzēja Inbox.lv dati. Savukārt rosība ap inficētajiem datoriem 10 dienas pēc e-pasta fāzes beigām nebija norimusies, bet pat pieauga daudzas reizes salīdzinājumā ar epidēmijas pirmajām dienām (skat. 2. zīm.). Atliek tikai piebilst, ka ports 3127, kuru klausās Mydoom.a attālinātās vadības komponents, gaidot pavēles no saimniekiem, februārī bija populārākais uzbrukumu objekts saskaņā ar Dshield.org datiem.
Kas sekos tālāk? Situācijas attīstības perspektīvas nenoliedzami ir draudīgas un prasīs atbilstošu reakciju. Statistika rāda, ka pat Latvijā Mydoom.a inficēšanās gadījumiem pakļauto datoru skaits mērāms desmitos tūkstošu. Jebkurš speciālists datoru drošībā pateiks, ka pietiek ar mazāku daudzumu uzbrucēju, lai bloķētu lielu interneta resursu funkcionēšanu, bet liels skaits ļaundariem dod iespējas efektīvi slēpt pēdas. Ja apskatām situāciju pasaules mērogā, tad nezināmu personu kontrolē atrodas milzums attālināti vadāmu visā pasaulē izkliedētu datoru, ar kuriem var veikt jebkuras darbības, sākot no informācijas zādzības līdz koordinētiem uzbrukumiem vai masveida surogātpasta izsūtīšanai. Šeit var izdomāt daudzus scenārijus. Jau ir zināmi tiešsaistes spēļu biznesa pārstāvju šantāžas gadījumi ar nolūku dalīties peļņā. Pasaulē ir milzums tiešsaistes veikalu, banku un citu servisu, kuru darbība vismaz daļēji bāzējas uz internetu, un tie visi ir pakļauti riskam vairāk nekā jebkad iepriekš. Protams, ka Mydoom.a inficēto un ļaundaru kontrolē nonākušo datoru skaits samazināsies un interneta sabiedrībai vajadzēs sastapties ar jauniem draudiem.
Tagad bez īpaša pārspīlējuma var teikt, ka no parasta datorhuligānisma gadījumiem internets ir izaudzis līdz organizētai kibernoziedzībai. Tā kā jau ilgāku laiku speciālisti runā par interneta un izmantojamās programmatūras principiālām nepilnībām, tad Mydoom.a epidēmija ar tās vērienīgumu un tehnoloģiskajām novitātēm šādā kontekstā šķiet diezgan likumsakarīga un neapšaubāmi stimulēs darbus nepilnību novēršanā.
Valdis ŠĶESTERS
Kaspersky Lab pārstāvis
SIA Datoru drošības tehnoloģijas mārketinga direktors
Resursi internetā: