Koń, nie robak

Nowy, na razie niegroźny koń trojański Stumbler to zapowiedź nowej klasy narzędzi hakerskich - tzw. pasywnych skanerów portów.

Nowy, na razie niegroźny koń trojański Stumbler to zapowiedź nowej klasy narzędzi hakerskich - tzw. pasywnych skanerów portów.

Krążące od pewnego czasu na forach dyskusyjnych plotki o nowym programie typu koń trojański znalazły niedawno potwierdzenie w ostrzeżeniach opublikowanych przez dwie firmy zajmujące się bezpieczeństwem: ISS i IntruSec. Program określany nazwą Trojan 55808 lub Stumbler wykorzystuje technikę pasywnego skanowania portów komputerów pracujących pod kontrolą systemu operacyjnego Linux, wykorzystując popularne na tej platformie biblioteki funkcji sieciowych: Libpcap i Libnet. Nie rozprzestrzenia się za pomocą samokopiującego się wirusa, lecz wymaga "ręcznego" skopiowania i uruchomienia.

Po zainstalowaniu na komputerze, Stumbler wyszukuje w dostępnych sieciach systemy z otwartymi portami TCP, wysyłając w ich kierunku pakiety TCP SYN, służące do nawiązywania połączeń, z losowo wybranym numerem portu docelowego. W wysyłanych pakietach program nie zawiera prawdziwego źródłowego adresu IP - wykorzystuje technikę spoofing, polegającą na podszywaniu się pod wyimaginowany adres. Stumbler podmienia nie tylko adres źródłowy IP, ale także adres MAC karty sieciowej.

Spoofing, choć niewątpliwie utrudnia ustalenie rzeczywistego umiejscowienia w sieci komputera z uruchomionym Stumblerem, uniemożliwia równocześnie programowi otrzymywanie odpowiedzi od skanowanych komputerów. Aby temu zaradzić, Stumbler posługuje się wbudowanym "analizatorem ruchu" przełączającym kartę sieciową w tryb pracy promiscuous, dzięki czemu jest możliwy odczyt wszystkich transmisji odbywających się w podsieci. Odpowiedzi wysyłane przez zdalne komputery na podany wcześniej fałszywy adres IP wraz z numerami portów są zapisywane, a następnie wysyłane na jeden adres IP.

Technika pasywnego skanowania ze względu na niewielką liczbę zainfekowanych komputerów nie stwarza większego zagrożenia. Specjaliści z IntruSec zwracają jednak uwagę, że w połączeniu z możliwościami szybkiego rozprzestrzeniania charakteryzującymi robaki internetowe może być potencjalnie niebezpieczny. Po wyposażeniu w skuteczny kod samokopiujący zasięg działania Stumblera mógłby być znacznie większy. Zainfekowane komputery mogłyby wtedy zostać użyte do dystrybucji innych niebezpiecznych aplikacji lub jako platforma do prowadzenia ataków typu DDoS (Distributed Denial of Service).

Niewykluczone że, jak to nieraz miało miejsce, Stumbler to jedynie próba możliwości techniki pasywnego skanowania, która po pewnym czasie spowoduje pojawienie się nowej, bardziej niebezpiecznej odmiany. Błędy i niedoróbki odkryte w kodzie źródłowym Stumblera mogą zostać naprawione. Wiadomo już, że program funkcjonuje w Internecie w dwóch wersjach, z których jedna jest "aktualizacją" wersji oryginalnej.

Bezpośrednim efektem działania programu jest znaczne zwiększenie ruchu TCP/IP w podsieci, w której działa zainfekowany komputer. Zgodnie z zaleceniami ISS i IntruSec administratorzy podejrzewający, że ich systemy zostały zainfekowane, powinni zwrócić uwagę na połączenia wychodzące w kierunku adresu: 12.108.65.76 oraz pliki o nazwach "a" oraz "r" pojawiające się w katalogach tymczasowych .../tmp/. Najbardziej charakterystyczną cechą nowego narzędzia jest jednak - nietypowa dla wyrafinowanych programów hakerskich - stała wielkość wykorzystywanego okna TCP - 55 808 bajtów (stąd zresztą wzięła się jego nazwa). Okno TCP określa liczbę bajtów, jaką system może wysłać poprzez sieć przed otrzymaniem potwierdzenia odbioru przez adresata.