Inżynieria socjologiczna wspomaga hakerów

Nowe generacje polimorficznych trojano-robako-wirusów stawiają pod znakiem zapytania efektywność istniejących technologii zabezpieczeń.

Nowe generacje polimorficznych trojano-robako-wirusów stawiają pod znakiem zapytania efektywność istniejących technologii zabezpieczeń.

Nie mamy odpowiednich rozwiązań. Myśleliśmy, że można opracować efektywne oprogramowanie antywirusowe, które zapewni wystarczającą ochronę, ale czasy się zmieniły. Bez pomocy policji, i to współpracując w skali międzynarodowej, efektywna ochrona uczciwych użytkowników Internetu przed cyberprzestępcami w praktyce nie będzie możliwa" - otwarcie i bez ogródek powiedziała ostatnio Natalya Kaspersky, dyrektor firmy Kaspersky Lab.

Tego typu opinia wyrażona przez przedstawiciela jednego ze znanych producentów oprogramowania antywirusowego daje dużo do myślenia. Zwłaszcza że nie jest ona odosobniona, a podobne przekonanie wyraża znacznie większa liczba ekspertów od spraw bezpieczeństwa systemów IT.

Dotychczas były to jednak przede wszystkim ostrzeżenia naukowców badających teoretyczne możliwości nowych technologii i przewidujących odległą przyszłość - obecnie zagrożenia te zaczynają nabierać realizmu, a statyczne systemy IDS do zapobiegania włamaniom i programy antywirusowe oparte na sygnaturach mogą stracić swoją wartość szybciej niż się wydaje.

Już wkrótce zakup klasycznego oprogramowania antywirusowego może być tylko stratą pieniędzy, nie dlatego że znikną wirusy i robaki, ale dlatego że ich przechwycenie będzie wymagało zupełnie innych niż obecnie aktywnych mechanizmów, przede wszystkim wykorzystujących analizy ruchu pakietów i zachowania się aplikacji, jak uważa Art Coviello, prezes firmy RSA (EMC). Mówi on jednocześnie, że "tylko w tym roku pojawi się przynajmniej 200 tys. nowych wariantów wirusów. Z kolei producenci oprogramowania antywirusowego opracowują obecnie sygnaturyi mechanizmy przeciwdziałania ze średnim opóźnieniem sięgającym nawet dwóch miesięcy,a statyczne systemy IDS umożliwiają identyfikację i przechwycenie zaledwie 70% nowych zagrożeń".

Mimo to systemy IDS oparte na analizie ruchu i zachowań aplikacji są obecnie najlepszą ochroną przed nowymi generacjami robako-trojanów, choć nie oznacza to, że programy antywirusowe wykorzystujące sygnatury szybko odejdą do lamusa - wciąż są one bardzo ważnym narzędziem, które umożliwia przeciwdziałanie wielu wirusom, a przede wszystkim czyszczenie systemów IT z kodów, którym uda się oszukać IDS i przedostać do sieci, uważa Dan Hubbard, wiceprezes Websense. Przyznaje on jednocześnie, że "w skali makro liczba robaków wykorzystujących tylko e-mail będzie spadać, ale będą się one wciąż pojawiać w kombinacji z innymi, bardziej zaawansowanymi technikami ataku. Najważniejszym kierunkiem rozwoju technik hakerskich jest wprowadzenie mechanizmów automatyzacji umożliwiających samomodyfikację i aktualizację kodów, wykorzystanie stron internetowych oraz nowych technik socjologicznych wspomagających efektywność infekcji".

Stare robaki wymierają,ale pojawiają się nowe

W ciągu ostatnich lat eksperci ds. bezpieczeństwa systemów IT i producenci oprogramowania antywirusowego często podkreślali, że zagrożenie ze strony robaków systematycznie spada. Ale wszystko wskazuje na to, że tego typu ataki wciąż będą groźne, a może nawet groźniejsze niż kiedykolwiek. Choć robaki masowo generujące listy e-mail, jak dobrze znane MyDoom, Sobig lub Slammer, rzeczywiście należą do rasy zanikającej, ale jednocześnie pojawiają się kody takie jak Storm Worm, które nie mają na celu spektakularnej masowej infekcji przyciągającej uwagę mediów, a znacznie bardziej przemyślane i "inteligentne" wprowadzenie do komputerów oprogramowania ewidentnie umożliwiającego uzyskanie korzyści finansowych.

Nie ulega wątpliwości, że systematycznie wzrastająca świadomość użytkowników, zarówno biznesowych, jak i indywidualnych dotycząca zagrożeń, powoduje, że rośnie powszechność zastosowań programów antywirusowych i antyszpiegowskich, a jednocześnie zmieniają się nawyki związane z przeglądaniem stron WWW lub odbieraniem listów e-mail. W efekcie coraz trudniej jest stworzyć kod, który łatwo można rozprzestrzeniać w skali masowej.

Dlatego wysiłki hakerów zmieniły kierunek i już obecnie widać wyraźny trend w kierunku opracowywania nie masowo samopropagujących się i uderzających bez wyraźnego celu robaków, a znacznie bardziej "inteligentnych" i zaawansowanych rozwiązań polimorficznych, a oprócz tego mechanizmów umożliwiających automatyczną modyfikację kodu wirusa zapobiegającą wykryciu go przez analizę statycznych sygnatur.

Najlepszym przykładem tej tendencji jest kolejna odmiana wirusa (trojana i robaka) Storm Worm, która pojawiła się w połowie stycznia br. i jest dobrą ilustracją ewolucji zagrożeń, które najprawdopodobniej będą zmorą dla użytkowników w najbliższych latach.

Jeden wirus w 40 tysiącach mutacji

Pierwsze wersje Storm Worm pojawiły się w grudniu ub.r. - był to polimorficzny trojan-robak rozsyłany za pośrednictwem poczty e-mail, a jego podstawowym zadaniem było przejęcie kontroli nad zainfekowanymi komputerami i dołączenie ich do sieci botnet, umożliwiającej dystrybucję spamu i wirusów. Obecnie znanych jest już ponad 40 tys. różnych jego wersji i odmian.

Storm Worm pojawił się w wielu blogach i internetowych biuletynach, w których publikowane teksty zostały "uzupełnione" o dodatkowe linki kierujące czytelników na strony WWW zawierające złośliwe oprogramowanie.

Podstawowy link dodawany przez Storm Worm do tych tekstów zawierał pytanie "have you seen this?" (czy widziałeś to?), po którym umieszczony był adres URL zawierający takie określenia jak "freepostcards" lub "funvideo" (darmowe kartki, zabawne wideo) itp.

Storm Worm jest wirusem typu rootkit, który integruje się z systemem operacyjnym i może skanować ruch wychodzący i przychodzący do komputera, a w efekcie przechwytywać wszelkie wysyłane informacje, jak również kontrolować system, który staje się elementem sieci botnet, czyli komputerem, którego aktywność może być zdalnie sterowana przez hakera i wykorzystywana np. do rozsyłania spamu lub ataków DoS.

Jednocześnie kod Storm Worm jest wyjątkowo szybko modyfikowany, by utrudnić jego detekcję przez programy antywirusowe, m.in. wykorzystuje on stale zmieniającą się listę adresów URL i IP. Jedyną prostą i pewną metodą jego wykrycia jest obecnie publikacja wiadomości w blogu lub biuletynie i sprawdzenie, czy nie została ona "uzupełniona" o jakiś dodatkowy, niewprowadzony przez autora link.

Narzędzia heurystyczne stosujące analizę ruchu i zachowań programów w sieci mogą ograniczyć możliwości propagacji wirusa, ale też nie jest to takie proste, bo w porównaniu z innymi robakami Storm Worm nie generuje masowej poczty, ani nie przeprowadza masowych ataków na przypadkowe cele, a jednocześnie wykorzystanie stron WWW do wspomagania procesu propagacji jest metodą bardzo efektywną.

Ten polimorficzny wirus nie wykonuje niepożądanych działań na komputerze ofiary, nie kasuje lub modyfikuje danych, nie blokuje żadnych programów ani łączy, w praktyce jego obecność jest niewidoczna i nie ma bezpośredniego, szkodliwego wpływu na funkcjonowanie komputera. Jednocześnie generowane przez niego linki do szkodliwych stron WWW są umieszczane w listach lub na stronach WWW, które budzą zaufanie, bo są przesyłane przez osoby znane odbiorcy lub strony niebudzące wątpliwości co do ich źródła.

Jak wynika z analizy kodu Storm Worm, opublikowanego pod koniec lutego przez Secure Computing, po zainfekowaniu komputera program spokojnie oczekuje, aż użytkownik zacznie wysyłać list e-mail lub publikować tekst na stronie biuletynu internetowego dostępnego online lub blogu i do wysyłanej wiadomości automatycznie dołącza link URL, przekierowujący każdą osobę, która na niego kliknie, na stronę WWW zawierającą złośliwe oprogramowanie różnego typu. Wśród stron tych są takie, które zawierają kolejne warianty Storm Worm, ale również inne programy, przede wszystkim przeznaczone do wykradania haseł lub ważnych informacji osobistych i finansowych.

<hr>Amir Lev, prezes Commtouch Software, producent silników do skanowania plików i aplikacji

"Dotychczas zagrożeniem były przede wszystkim złośliwe kody propagujące się masowo w niewielu wariantach, ale przyszłość to wirusy rozprzestrzeniające się we względnie niewielkiej liczbie, ale w bardzo wielu różnych wariantach i wymykające się systemom zabezpieczeń opartym na sygnaturach".

Dmitri Alperovitch, kierujący badaniami w firmie Secure Computing

"Nie należy lekceważyć zagrożeń ze strony klasycznych ataków mających na celu wykradzenie informacji finansowych, ale z reguły wymagają one od hakera znacznego wysiłku i pracy, by zrealizować cel. Kody takie jak Storm Worm są znacznie bardziej efektywne i umożliwiają szybszy zwrot inwestycji przy mniejszym wysiłku. Można więc oczekiwać, że wkrótce zacznie się pojawiać coraz więcej tego typu zagrożeń".

Dave Cole, dyrektor Symantecsecurity Response Team

"Dzisiaj największym zagrożeniem nie są klasyczne robaki masowo atakujące systemy IT, a trojany wykorzystujące zaawansowane techniki socjologiczne. Oczywiście robaki wciąż się pojawiają i będą się pojawiać, ale w praktyce nie są już tak groźne jak kiedyś, bo mechanizmy zabezpieczeń przed nimi są dobrze opracowane i rozpowszechnione - dlatego też nowe techniki ataku stwarzają znacznie większe zagrożenie".

Eugene Kaspersky, dyrektor ds. rozwoju technologii w Kaspersky Lab

W 2004 r. na świecie aresztowano ok. 100 twórców szkodliwego oprogramowania, w 2005 r. liczba ta wzrosła do kilkuset osób, a w 2006 r. znowu spadła do poziomu 100. "Do więzienia trafiają tylko najgłupsi, a wyśledzenie i oskarżenie prawdziwych specjalistów jest niezwykle trudne. Sądzę też, że żaden producent oprogramowania nie może uczciwie zapewnić, że będzie w stanie na bieżąco poradzić sobie ze wzrastającą liczbą zagrożeń. Trzeba to otwarcie powiedzieć".

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200