Środowisko hakerów nie jest jednolite, a motywacje nimi kierujące są niekiedy skrajnie różne. Dla popularnych mediów, a także producentów systemów zabezpieczeń rzeczywistość pozostaje jednak czarno-biała.

BBC doniosło, że dwaj mężczyźni - Farid Essebar i Atilla Ekici zostali aresztowani jako podejrzani o stworzenie wirusa Zotob - tego, który zarażając komputery z systemem Windows (głównie 2000) zaatakował i postawił w trudnej sytuacji bardzo dużo firm. Według serwisu cała sprawa rzuca nowe światło na motywacje hakerów, ponieważ domniemani twórcy wirusa zostali zatrzymani w... Maroku.

Jako że z tego kraju nie wywodziły się dotąd żadne poważne ataki, BBC dochodzi do wniosku, że jest to dowód wzrostu zainteresowania masowymi włamaniami przez osoby liczące na szybki zarobek. O taki wniosek nietrudno - w końcu obecnie wiele wirusów tworzonych jest z myślą o bezpośredniej lub pośredniej gratyfikacji finansowej. Ostatnio do takiego właśnie motywu przyznał się autor robaka Mytob, który kierował użytkowników na określone strony WWW i generował w ten sposób odsłony reklam. Wnioski formułowane przez popularne media mają pewną wadę: są powierzchowne. To, co dla mediów jest motywem zarobkowym, dla osób znających realia sceny może być zgoła czym innym - próbą taniego zabłyśnięcia. Z hakerską profesją jest bowiem tak jak z każdym innym zawodem - ludzie o wysokich kwalifikacjach nie potrzebują kraść czy kombinować, a miernoty chwytają się wszelkich metod, aby zaspokoić ambicje.

Liczne rodzeństwo

Nie tylko BBC wyciągnęło pochopne wnioski. Trend Micro, jeden z większych producentów oprogramowania antywirusowego, stwierdził, że Zotob jest "wirusem nowej generacji" sygnalizującym nową erę w ich rozwoju. Dobre sobie. Naprawdę ciekawe, skąd firmy takie jak Trend Micro biorą owe informacje o przełomowości, bo z rzeczywistością mają one niewiele wspólnego.

Zotob, Sasser, Mytob i inne wirusy łączy jedno: są oparte na tym samym kodzie źródłowym - z lekkimi poprawkami. Do wprowadzenia takich poprawek nie są potrzebne: wiedza specjalistyczna, umiejętność zaawansowanego programowania ani dużo czasu. Zmiana jednej czy dwóch linijek kodu umożliwia wybór sposobu instalacji w systemie, zakresu zmian w systemie po zdobyciu uprawnień administratora itp. I to wszystko.

Nic więc dziwnego, że wirusów takich jak Zotob powstało już setki, a każdy, komu przyjdzie to do głowy - zwykle młody zapaleniec określany popularnie "kiddie" - zmienia go według własnego uznania, nadaje mu nową nazwę i wprowadza do Internetu. Czytając rewelacje na "advisory" Trend Micro, autor Zotoba musiał zrywać boki.

Zabezpieczenie się przed takim wirusem było i nadal jest bardzo proste i sprowadza się do poprawnego skonfigurowania zapory sieciowej. Poszkodowane przez wirusy wielkie koncerny nie miałyby problemów z Zotobem i spółką, gdyby zamiast wsłuchiwać się w pseudorady i wątpliwe wnioski po prostu zainwestowały w poprawne skonfigurowanie tego, co już mają.

Gry wojenne

Zasada działania wirusów typu Zotob jest bardzo prosta. Zainfekowany komputer wykonuje pewną sekwencję operacji: wykorzystuje lukę w zabezpieczeniach i zdobywa uprawnienia administracyjne, by następnie pobrać z Internetu kod konia trojańskiego. Potem, według życzenia autora, instalowane są reklamy lub też wyczyniane są inne, mniej wybredne sztuki, jak kasowanie czy szyfrowanie plików. Drugim etapem jest rozprzestrzenienie się na inne komputery, które wybierane są według losowego doboru adresu IP.

Jeśli sekwencja losowa zostanie powtórzona setki czy tysiące razy, namierzenie autora jest w zasadzie niemożliwe. Tak przynajmniej sądzą amatorzy - ludzie, którzy chętnie przerabiają wirusy już istniejące. Tymczasem do zarządzania siecią zainfekowanych komputerów powszechnie wykorzystywany jest program SDbot. Aplikacja instaluje się wprawdzie i działa w sposób niewidoczny, ale łączy się z centralą, wykorzystując protokół IRC (Internet Relay Chat). Centralą mogą być najpopularniejsze serwery pogawędek internetowych (ircnet, efnet), zwykle na kanałach obwarowanych hasłami.

Tutaj pojawia się największa słabość tych wirusów i ich autorów. SDbota można namierzyć w bardzo prosty sposób, analizując ruch wychodzący z komputera. Analiza prowadzi wprost do konkretnego serwera IRC i kanału. Bez problemu można też poznać hasło - komunikacja wcale nie jest szyfrowana! W taki właśnie sposób student z Uniwersytetu Pensylwania namierzył domniemanego twórcę Zotoba, łączącego się z Maroko. Zarejestrował wszystkie uzyskane informacje i poinformował FBI.

Ale i hakerzy często pozwalają zainfekować swoje komputery, aby odkryć, kto się aktualnie włamuje i po co. Przy tej okazji często robią psikusy, np. przedstawiają się jako agenci FBI i mówią, że cieszą się, że namierzyli tak dużą sieć SDbotów. Zwykle w głowach młodych "kiddies" powstaje wtedy panika i cała sieć zostaje natychmiast zniszczona.

Źle, czyli dobrze

Nagłaśniane przez media i producentów systemów antywirusowych opinie, jakoby najgroźniejsze były robaki wykorzystujące niezaktualizowane komputery z systemami Windows, to miód na serca administratorów. Im więcej uwagi użytkownicy poświęcą bezpieczeństwu własnych komputerów, tym lepiej. Większość z nich nie wie, że z Internetu korzystają za pośrednictwem serwerów i routerów, na których działają systemy z rodziny Unix, jak BSD Unix czy Linux. Tymczasem tak naprawdę to one znajdują się pod obstrzałem. Na nich bowiem przechowywane są cenne informacje pozwalające na poznanie topologii sieci i to one mają dostęp do pasma w sieci WAN.

Zamieszanie wokół wirusów Zotob i innych ma tę dobrą stronę, że odciąga młodych, ambitnych programistów od prawdziwego wyzwania, czyli serwerów opartych na rodzinie systemów Unix. Na scenie pojawią się robaki dla Linuxa, BSD Unix czy dla innych systemów, ale ponieważ systemy te są zwykle pilnie strzeżone, efekty ich rozprzestrzeniania się byłyby z gruntu marne. Oczywiście, i tu zdarzają się wyjątki. Trzy lata temu pojawił się robak na serwer WU-FTPD, który okazał się bardzo groźny i zainfekował tysiące maszyn.

A zatem, wirusy-klony, jak Sasser czy Zotob, będą powstawać z dnia na dzień. Setki takich wirusów krążą po Internecie i szukają otwartych portów - zwykle tych samych. Z biegiem czasu powstanie ich jeszcze więcej, ale nie będzie to żaden przełom, lecz ewolucja już istniejącego kodu. Zamiast wierzyć przepowiedniom wielkiej katastrofy i wydawać fortuny na nowe, superinteligentne systemy zabezpieczeń, warto zająć się poprawnym skonfigurowaniem tych już działających. Dobrze skonstruowany system zabezpieczeń powinien uchronić organizację przed większością nowych zagrożeń.