Internetoví červi útočí - na čí popud?

Vladimír Stwora

7.8.2001 Technická poradna Témata: Počítače 1253 slov

Lidé se ještě nestačili vzpamatovat z útoku červa pojmenovaného CodeRed a už je tady jeho bratříček CodeRedII. Ačkoliv je pojmenován podobně, odborníci tvrdí, že jde o rozdílné "zvířátko". Pojmenování CodeRedII prý bylo zvoleno jen proto, že tento červ využívá stejnou bezpečnostní díru jako CodeRed. Jeho destruktivní činnost (tzv. payload) je ale úplně jiná a má také jiný (účinnější) způsob výběru adres, které se pokouší nakazit.

Intenzita útoku, s jakou se tento nový červ šíří, je ohromující. Můj syn nainstaloval na náš router rutinu sledující pokusy infikovat náš systém. Zde je kousek výpisu: Všimněte si - pokusy o nákazu červem CodeRedII se opakují téměř v minutových intervalech. Přicházejí z různých adres - strojů nic netušících a už nakažených surfařů.

[Výpis útoků CodeRedII na mém počítači]

Původní CodeRed se objevil jen jednou za celé odpoledne. To svědčí o tom, že pisatel druhé verze zvolil velmi agresivní a mnohem účinnější způsob šíření.

Co se škod týče, CodeRedII se chová celkem šetrně. Nevymaže nic, nezničí nic, alespoň ne hned. Pouze nainstaluje do napadeného systému zadní vrátka, která mu umožní dálkově (a bez vědomí majitele) ovládat napadený počítač. Prostřednictvím těchto vrátek lze na počítači nic netušícího majitele uložit např. program typu zombie, který se může po aktivaci na dálku zúčastnit útoku DoS. Samozřejmě že lze vyslat i příkaz, který zničí data na disku hostitele, ale myslím, že o to tvůrcům zadních vrátek nejde.

Útok DoS (Denial of Service) - zahlcení cílového serveru takovým objemem dat, že tento odmítne pracovat, je účinný pouze tehdy, je-li veden z několika stovek počítačů současně. K tomu, aby mohl být koordinován současně, musí mít útočník přístup k těmto počítačům.

Jeho starší bratříček, CodeRed se rovněž k hostiteli choval celkem slušně. Pokoušel se "pouze" využít hostitelův počítač k útoku DoS na server Bílého domu (www.whitehouse.gov) a to při tom ještě jen v poslední dekádě měsíce. Dobu mezi prvním a dvacátým využíval toliko k šíření sebe sama.

CodeRed II - zdá se - nemá rád Číňany (že by skrytý rasismus?). Ze strojů, na kterých je nainstalována čínská verze Windows, se totiž šíří dvakrát rychleji - vytvoří 600 threads (úloh, které aktivně vyhledávají díry na dalších počítačích). Na ne-čínských strojích vytvoří "pouze" 300 threads.

Napadá pouze počítače Windows 2000 a Windows NT/4.0, které mají nainstalován server MS IIS. Ovšem Windows NT se mu nedaří infikovat, vzhledem k rozdílné adrese skoku, kterou červ generuje v úvodu. Posunutí (offset) je správné pouze pro Windows 2000. U Windows NT tedy červ havaruje, není schopen je infikovat.

Červ obsahuje tři sekce: Infikující sekci, sekci pro šíření sebe sama a sekci obsahující vlastního trojského koně.

V sekci infikující se přesvědčí, zda už je nainstalován. Pokud ano, nedělá nic. Není-li dosud nainstalován, červ vytvoří příslušné množství threats, instaluje zadní dvířka do systému a re-startuje počítač. V sekci pro šíření nejprve ověří místní datum. Je-li měsíc větší než 10 nebo je-li rok větší než 2002, červ pouze re-startuje počítač. Jinými slovy, červ se automaticky přestane šířit od října t.r. Je-li datum menší, červ začne generovat nové náhodné adresy, přičemž se ovšem snaží zůstat v segmentu adres. To má svou logiku. Zapomněl-li administrátor zalepit bezpečnostní díru na tomto počítači, je vysoce pravděpodobné, že je nezalepil ani na dalších počítačích, o které pečuje, což budou jistě počítače v rámci stejného segmentu. Tento odhad se ukázal jako vysoce pravdivý.

V sekci vlastního trojského koně červ uloží do adresáře C: a D: vlastní explorer.exe. Tato rutina se provede až po restartu systému, když se někdo přihlásí do systému. Překopíruje cmd.exe do těchto adresářů:


C:/inetpub/Scripts/Root.exe
D:/inetpub/Scripts/Root.exe
C:/progra~1/Common~1/System/MSADC/Root.exe
D:/progra~1/Common~1/System/MSADC/Root.exe

Vyvolá skutečný MS IE, pak v desetiminutových intervalech vypíná ochranu souborů a řetězí diskové, jednotky C: a D: na virtuální root. Tím byla vytvořena v systému zadní vrátka, umožňující pozdější nepozorovaný návrat útočníka.

Na to, jak dobře jsou oba červi naprogramováni a jak hluboké znalosti museli mít jejich autoři, je s podivem, že oba červi udělají tak málo škod. Nejsem sám, který si tohoto faktu všiml. Co vedlo autory červů CodeRed a CodeRedII k vytvoření potenciálně smrtícího viru, kterého ale nakonec vypustili jako celkem neškodného strašáka? Že by neměli dostatečné znalosti k tomu, aby své miláčky obdařili něčím ničivějším?

Je to podobné, jako když vláda určité země investuje čas a peníze, aby vyvinula raketu, která může dopravit na vzdálené území protivníka jadernou nálož. A pak tutéž raketu použije k doručení neškodného ohňostroje. Šlo o pouhý žert, nebo pokus ukázat těm druhým svou sílu, popř. jen o přátelské upozornění na chyby v obraně druhé země? Varování? Anebo něco jiného?

Poprvé mě tato myšlenka napadla, když jsem v televizi sledoval dobře organizované útoky zdánlivě neorganizovaných anti-globalistů proti policejním zátarasům v Janově v průběhu schůzky hlav států minulý měsíc. Přišlo mi totiž, že ti zakuklení násilníci se snaží programově a promyšleně především ničit, že to dělají celkem šikovně a že je někdo zřejmě musí cvičit a platit. Kdo? Odpověď na klasickou otázku římského (nebo řeckého?) práva "komu to prospěje?", může leccos napovědět.

V případě červů - (v podstatě neškodných) strašáků si položme stejnou otázku. Komu vlastně prospěje, jestliže se po Internetu bude šířit strach a hrůza před nebezpečnými hackery, schopnými vyrobit něco, co se dostane přes všechny ochrany dovnitř počítače nic netušícího majitele? Odpověď je, že tato situace nahrává především těm, kteří se snaží zavést na Internetu tuhou cenzuru. Filtrování emailů, odposlouchávání komunikace, šmírování obsahů disků, prostě praktiky Velkého bratra. Jsou to vlády rozvinutých západních demokracií ruku v ruce s nadnárodními monopoly. Tyto vlády už přišly na to, jak je pro ně výhodné vědět o každém svém občanovi vše. Teď jde jen o to, tyto šmírovací zákony (už jsou ostatně napsány a připraveny v šuplíku) nějak zdůvodnit, vysvětlit, aby se ochránci lidských svobod nezačali příliš bouřit. A jak jinak se dá taková věc vysvětlit, než vyvoláním hysterie strachu před kriminalitou. Začalo to před několika roky strašením před dětskou pornografii, které prý je Internet plný. To ale už nestačí, proto je nutno přijít s něčím novým. Takže se - dejme tomu - vyrobí červ, který se dokáže skvěle šířit, ale jinak žádnou zvláštní škodu nenadělá. Noviny se pak už postarají o ten zbytek. Průměrný uživatel Internetu je pak natolik dostatečně vystrašen, aby souhlasil s přísnými monitorujícími zákony, které jeho laskavá vláda zavede jako obranu před zlovolnými hackery.

Možná to vše vidím jen prismatem své paranoické obavy o ztrátu svobod, ale je zřejmě pravdou, že kdyby odpovědným autoritám opravdu šlo o likvidaci červů, jako je CodeRed, mohly by v rozhodujících uzlových bodech páteřní sítě Internetu instalovat celkem účinné filtry. Tyto filtry by mohly - podobně jako nechvalně známý šmírovací systém Carnivore sledovat provoz ve všech směrech a příslušné sekvence CodeRed prostě nepustit (CodeRed obou verzí totiž vysílá do sítě přesně definovanou a neměnnou sekvenci znaků, kterými se pokoušejí vyvolat přetečení bufferu u serverů MS IIS). A nemuselo by ani jít o páteřní routery. Filtry by mohly být instalovány u jednotlivých poskytovatelů IS.

Snad to technicky není možné (ví-li některý čtenář o tom více, rád se nechám poučit). Ale jestliže to možné je, a přesto to nikoho nenapadne, pak je tato ne-existence filtrů jen dalším argumentem, kterým se dá potvrzovat mou bláznivou teorii o spiknutí vlád západních zemí proti svobodám svých občanů.


Známka 1.0 (hodnotilo 1)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Káva pro Zvědavce

53

Být v obraze něco stojí.
Připojte se k ostatním a staňte se
také sponzorem Zvědavce, stačí
částka v hodnotě jedné kávy měsíčně.

Za měsíc březen přispělo 95 čtenářů částkou 18 536 korun, což je 53 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010

IBAN: CZ4720100000002000368066
Ze Slovenska 2000368066/8330
IBAN: SK5883300000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
bc1q40mwpus89teua4ruhxrtal6v45lc3ye5a9ttud

Další možnosti platby ›

Ve zkratce

Harabin měl vyzvat své voliče, aby ve druhém kole podpořili národního kandidáta28.03.24 19:22 Slovensko 0

Armáda plánuje nákup 76 moderních Leopardů 2A828.03.24 18:45 Česká republika 0

Drony útočí na ruské rafinerie28.03.24 17:22 Rusko 0

Prohlášení Dr. Füllmicha z vězení: „Jejich domeček z karet se hroutí“ (video)27.03.24 19:41 Německo 2

Generál Flynn vznáší otázky ohledně zasažení mostu v Baltimoru (video)27.03.24 18:37 USA 0

Farmáři přitvrdili 27.03.24 12:30 Belgie 1

Nejcennější část korunovačních klenotů v Německu! »Zaprodali naši zemi,« kritizuje Národní proud26.03.24 19:16 Česká republika 4

Cenzurní legislativy DSA a EMFA prošly. Česká vláda v obou případech poslušně souhlasila.26.03.24 19:03 Evropská unie 0

Puškov vyzval k ostražitosti vůči WHO26.03.24 18:46 Rusko 0

STK pro pacienty26.03.24 13:24 Česká republika 0

Nájemní teroristé, kteří zaútočili na Crocus, jednali velmi neprofesionálně.26.03.24 08:15 Rusko 5

Americké zdravotnické úřady v tichosti odebraly Američanům právo na informovaný souhlas, které bylo kodifikováno v Norimberském kodexu26.03.24 08:04 USA 0

Útok spáchali islamisté, prohlásil Putin25.03.24 21:47 Rusko 0

Ruský plyn v ČR - fakta25.03.24 10:06 Česká republika 0

Korčok s příznivci na náměstí, Pellegrini nahrál video24.03.24 21:56 Slovensko 1

Bombardování části Prahy 25. března 1945 24.03.24 19:51 Česká republika 0

Policie bude nabírat do svých řad cizince24.03.24 15:35 Česká republika 4

Naštvaní Češi z Václaváku Fialu „nezaujali“.24.03.24 06:31 Česká republika 1

Střelba, výbuchy a požár. Ozbrojenci zabili na okraji Moskvy přes 40 lidí 22.03.24 21:05 Rusko 8

V Anglii zemřelo téměř 7 krát víc očkovaných proti covidu, než neočkovaných. Oficiální data.22.03.24 16:41 Británie 9

Měnové kurzy

USD
23,45 Kč
Euro
25,30 Kč
Libra
29,60 Kč
Kanadský dolar
17,31 Kč
Australský dolar
15,28 Kč
Švýcarský frank
26,00 Kč
100 japonských jenů
15,49 Kč
Čínský juan
3,24 Kč
Polský zloty
5,87 Kč
100 maď. forintů
6,42 Kč
Ukrajinská hřivna
0,60 Kč
100 rublů
25,33 Kč
1 unce (31,1g) zlata
52 102,56 Kč
1 unce stříbra
583,51 Kč
Bitcoin
1 662 657,11 Kč

Poslední aktualizace: 28.3.2024 22:00 SEČ

Tuto stránku navštívilo 14 850