Rosnąca liczba ataków komputerowych sprawia, że coraz większą wartość w ochronie informacji mają wczesne informacje o potencjalnym zagrożeniu dla zasobów komputerowych.

Jeśli ostrzeżenie pojawi się dostatecznie wcześnie, możliwe (choć nie gwarantowane) staje się przygotowanie się do ochrony przed atakiem i uniknięcie jego potencjalnych skutków. Powstaje pytanie, jakie informacje mają znaczenie w przewidywaniu nadchodzącego ataku. Słowem kluczowym w przewidywaniu ataków jest "luka".

Cykl życia ataku

Proces "zaistnienia" luki składa się z kilku etapów. Pierwszy etap to opublikowanie informacji o luce, drugi to opublikowanie exploita dla niej. Kolejny etap to pojawienie się exploita w atakach, zaś czwarty - pojawienie się samopropagującego się kodu, który w sposób zautomatyzowany wykorzystuje lukę. Podczas każdego z etapów pojawia się inny charakter informacji, które mogą być wykorzystane do wczesnego ostrzegania. Można wyróżnić trzy podstawowe rodzaje informacji związanych z powyższym "cyklem życia ataku komputerowego": (1) podatnościach, (2) zagrożeniach oraz (3) incydentach.

Poprzez zagrożenie rozumiane jest narzędzie umożliwiające wykorzystanie danej luki (podatności) do ominięcia zabezpieczeń. Incydent to z kolei efekt wykorzystania tego narzędzia. Obecnie dosyć typowy jest fakt "dotarcia" do robaka dopiero po zaobserwowaniu sygnałów wykorzystania luki. Exploity zazwyczaj są publikowane wcześniej. Nie jest to jednak jedyny możliwy scenariusz. Coraz częściej zdarzają się przypadki, gdy pojawiają się sygnały wykorzystania zupełnie nowej, wcześniej nieopublikowanej luki. W skrajnym przypadku sygnały włamania mogą być efektem propagacji nowego robaka.

Informacje o podatnościach. Na etapie analizy podatności możliwe jest określenie jej skali zagrożenia. Oczywiście luki, których waga zostanie określona jako niska, mogą dla pewnych organizacji okazać się groźne ze względu na specyfikę wykorzystania bądź konfiguracji podatnej aplikacji. Prawie wszystkie masowe infekcje hostów zdarzały się dopiero po opublikowaniu informacji o luce. Jednakże reakcja wielu administratorów jest wciąż zbyt wolna. Według badań (http://www.qualys.com/research/rnd/vulnlaws/ ), czas od opublikowania informacji o istnieniu łaty dla luki do momentu załatania połowy systemów podatnych na tę lukę wynosi obecnie 21 dni (w 2003 r. czas ten wynosił 30 dni).

Informacje o zagrożeniach. Drugim sygnałem ostrzegawczym o możliwym ataku jest opublikowanie exploita dla określonej luki. Zazwyczaj oznacza to, że luka już jest wykorzystywana w sieci. Jest to ostatni sygnał dla administratorów do podjęcia działania. Następnym etapem jest (zależy to oczywiście od cech danej luki) zagrożenie w postaci robaka lub wirusa. Biorąc pod uwagę szybkość propagacji tychże, informacje o tym fakcie to już raczej przysłowiowa "musztarda po obiedzie", a nie "wczesne ostrzeżenie". Oczywiście, zdarzają się wyjątki, np. jeżeli wykorzystywany jest exploit typu "0-day".

Informacje o incydentach. Pozwalają na wczesne ostrzeżenie o nowych rodzajach ataków. Incydenty mogą być bardzo różne - np. informacje o włamaniu, log z systemu IDS, e-mail z dziwnym załącznikiem (co sugeruje nowy rodzaj wirusa, niewykrytego przez oprogramowanie antywirusowe) lub przypadek phishingu.

Mechanizmy propagacji

Szczególnym przypadkiem informacji o incydentach są informacje uzyskiwane w wyniku monitorowania sieci rozległej pod kątem występujących w niej anomalii i nowych, charakterystycznych wzorców zachowań. W wyniku takich obserwacji często możliwe jest rozpoznanie ataków o charakterze zautomatyzowanym, zanim staną się powszechne, i podjęcie próby zablokowania ich. Z takich właśnie metod korzystają producenci narzędzi antywirusowych.

Zautomatyzowane zagrożenia wykrywa się na podstawie metody wyboru celu i metody propagacji. W taksonomii robaków zidentyfikowano następujące sposoby wyboru celu: (1) skanowanie, (2) wcześniej przygotowana lista celów, (3) zewnętrznie generowana lista celów, (4) wewnętrznie generowana lista celów, (5) pasywny wybór celu.

Skanowanie jest najczęściej stosowaną metodą wyboru celu (często różniącą się samym algorytmem). Jest ono wykorzystywane przez wiele najsłynniejszych robaków, w tym: Code Red, Nimda, MS Blaster, Sasser czy wspominany już wcześniej Slammer. Ponieważ skanowanie wiąże się z generacją dużej ilości nietypowego ruchu, propagacja takich zagrożeń jest stosunkowo prosta do wykrycia. Atakujący może jednak sam określić cele.

Zewnętrzne generowanie listy celów również jest możliwe, np. przez wyszukiwarkę Google, jak robił to wirus mydoom.O. Z kolei wewnętrznie generowana lista celów odbywa się na podstawie danych zebranych z już zainfekowanych komputerów (słynny robak Internet Worm z 1988 r.). Tak działa też większość obecnie spotykanych wirusów pocztowych.

Pasywny wybór celu to metoda zupełnie inna od pozostałych. Tutaj wyzwalaczem jest użytkownik aplikacji (zwykle WWW), w której zaszyte jest zagrożenie. Przykładem takiego zagrożenia jest wirus Download.ject.

Dużo zagrożeń transmituje pełny złośliwy kod jako część procesu infekcji (przykładem może tutaj być Slammer). Inne otwierają drugi kanał do transmisji złośliwego kodu - np. robak Blaster wykorzystywał exploit na RPC DCOM do włamania się do systemu, następnie otwierał kanał TFTP do źródła ataku, aby ściągnąć swoją kopie. Można sobie też wyobrazić zagrożenia, które będą się maskować jako część normalnego kanału komunikacyjnego, sprawiając poważne trudności w wykryciu propagacji.

Obecnie liczba typów źródeł, z jakich automatyczne systemy wczesnego ostrzegania korzystają, jest ograniczona, co ogranicza możliwość wykrywania różnych typów ataków. Wynika to w dużej mierze z faktu, że monitorowane są tylko dane dotyczące ruchu na poziomie portów. Tak można wykryć anomalię, co nie oznacza od razu wykrycia i zrozumienia istoty ataku. Najlepsze rezultaty dają analizy "ręczne", lecz ponieważ są one czasochłonne, trwają próby ich automatyzacji, np. e-CSIRT.net (http://www.ecsirt.net ).

Jaka przyszłość?

Przyszłość wczesnego ostrzegania wiąże się przede wszystkim z dalszą automatyzacją i próbami wykorzystywania technik sztucznej inteligencji, w tym drążenia zebranych już danych, do efektywniejszej korelacji zdarzeń i wnioskowania.

Trwają prace nad stworzeniem standardów wymiany informacji o incydentach (IODEF), wspólnym formatem dotyczącym zaleceń (jak np. CAIF), a także wspólnym formatem dotyczącym opisu podatności (VEDEF). Standardy te mają na celu m.in. ułatwienie procesu automatyzacji. Trwają również badania nad wczesnym ostrzeganiem na podstawie zdarzeń sieciowych.

Coraz większe znaczenie będą miały ataki na poziomie aplikacji i zagrożenia propagujące się pasywnie. Zjawisko zautomatyzowanych zagrożeń jest stosunkowo nowe, związane z dominacją jednego typu systemu operacyjnego. Nowe technologie, jak w przypadku Windows XP SP2, a także próby zwalczania "monokultury systemowej" mogą wpłynąć na zmianę obrazu zagrożeń w przyszłości.

Ewolucja zagrożeń, jak i samego Internetu, może w przyszłości znacząco wpłynąć na podejścia do wczesnego ostrzegania - w sieciach IPv6 skanowanie jest mało praktycznym podejściem do zagadnienia wyboru celu ze względu na znacznie rozszerzoną - w stosunku do IPv4 - przestrzeń adresową.

Autor jest specjalistą ds. bezpieczeństwa w zespole CERT Polska.