Historie zapowiedzianych ataków
-
- Rafał Jakubowski,
- 08.09.2003
Ostatnie ataki wirusów wykazały, że system publikowania łat do Windows jest nieefektywny.
Ostatnie ataki wirusów wykazały, że system publikowania łat do Windows jest nieefektywny.
Blaster, znany również jako MSBlast oraz LoveSAN, zaatakował w drugi poniedziałek sierpnia. Po kilkunastu godzinach zainfekował już ponad 100 tys. komputerów pracujących pod kontrolą systemów Windows XP, Windows 2000 oraz Windows NT i Windows Server 2003. Łączne żniwo względnie prymitywnego - jak oceniają eksperci - robaka szacuje się na dziesięć razy więcej. Trudno ocenić straty. Nie brak opinii, że pośrednio przyczynił się do awarii systemu energetycznego w USA i Kanadzie.
W przeciwieństwie do wielu innych ataków swój sukces Blaster nie zawdzięcza działaniu z zaskoczenia. Wykorzystywana przez niego dziura w systemie Windows znana była już w lipcu. Wówczas też Microsoft opublikował stosowne poprawki. To kolejny przykład ataku na dużą skalę, który został przeprowadzony, mimo istnienia poprawek. Z kolei robak Slammer wykorzystywał błąd odkryty rok wcześniej. Dlaczego tak się dzieje? Przynajmniej po części jest to wina skomplikowanego i nieefektywnego systemu publikowania i zarządzania poprawkami do oprogramowania oferowanego przez Microsoft. Dlatego firma zapowiada wprowadzenie w przyszłym roku znaczących zmian. Wiadomo że system będzie poprawiany etapami. Tych najbardziej znaczących zmian należy się spodziewać w ciągu najbliższych 12 miesięcy.
Redukcja instalatorów
Firma zabrała się do systemu publikowania łatek dwa lata temu, wkrótce po atakach Code Red i Nimda. Jednak dopiero niedawno powstał trzydziestoosobowy zespół, który pracuje nad kompleksowym przebudowaniem systemu obejmującego wszystkie serie produktów. Wydaje się, że Blaster mocno zdopingował załogę w Redmond. Jeden z ważniejszych elementów całego systemu wszedł właśnie w decydującą fazę - rozpoczęto testy beta Microsoft Installer (MSI) 3.0. Będzie to jeden z dwóch programów instalacyjnych, który zastąpi osiem technologii odpowiedzialnych za instalowanie poprawek.
Obecnie firma korzysta z ośmiu różnych instalatorów dla różnych serii produktów. Niestety, żaden nie oferuje raportów informujących, że łatka została skutecznie zainstalowana. Równocześnie programy narzędziowe wykorzystywane do sprawdzania, czy łatki są zainstalowane, często generują sprzeczne raporty, pozostawiając użytkowników w przeświadczeniu, że ich systemy są bezpieczne w sytuacji, gdy faktycznie tak nie jest.
MSI 3.0 będzie przeznaczony dla takich aplikacji, jak SQL Server, Office oraz Exchange. Systemy operacyjne będą wykorzystywały Update.exe. Premiera MSI 3.0 została zaplanowana na połowę 2004 r. A wszystkie produkty Microsoftu mają korzystać z nowych mechanizmów do końca przyszłego roku. MSI 3.0 będzie można zainstalować na Windows Server 2003, Windows XP i Windows 2000 z Service Pack 3 lub wyższym. Instalator będzie zintegrowany z systemem operacyjnym Longhorn, którego premiera nastąpi najpóźniej w 2006 r.
Zmiany, zmiany, zmiany
Prace dotyczą również zestawu funkcji, które sprawią, że łatki będą nazywane zgodnie z jednolitą konwencją nazewnictwa. Ułatwi to użytkownikom zorientowanie się, czego dotyczą już po przeczytaniu ich tytułu. Znajdą się w nim informacje o platformie, wersji łatki oraz wszelkie dane dotyczące jej dokumentacji. Innym pomysłem jest redukcja rozmiarów łatek, co pozwoliłoby w mniejszym stopniu obciążać łącza internetowe i sieci lokalne podczas dystrybucji poprawek.
Zostaną rozszerzone funkcje związane z deinstalacją poprawek. Możliwe będzie usunięcie nie tylko łatek dla systemu Windows, ale także dowolnej łatki dla dowolnego systemu (taką funkcję wprowadzono w przeglądarce Internet Explorer w marcu br.).
Jest również rozwijana technologia pozwalająca ocenić, czy potrzeba zainstalować łatkę i ewentualnie czy została zainstalowana poprawnie. Mechanizm ten (assesment engine) będzie wspólny dla Windows Update, Software Update Services, Microsoft Baseline Security Analyzer oraz Systems Management Server. Obejmie także właśnie przygotowywany pakiet zarządczy o nazwie System Center powstający z połączenia SMS i Microsoft Operations Manager. Mechanizm zostanie doposażony w funkcje raportujące, dzięki którym będzie można łatwo sprawdzić szczegóły wszelkich wykonanych działań "poprawkowych".
Jedną z bardziej kontrowersyjnych propozycji jest wprowadzenie mechanizmów, które umożliwiłyby automatyczne zdalne instalowanie poprawek do oprogramowania. Obecnie decyzja o instalowaniu poprawek dla Windows: XP, 2000 i Me należy do użytkowników. Firma deklaruje, że chce zachować równowagę pomiędzy zapewnieniem bezpieczeństwa (poprzez automatyczny system instalowania poprawek) a pozostawieniem użytkownikom kontroli nad systemem.
Wszystko na miejscu
Nieco wcześniej firma zapowiedziała modyfikację stron internetowych, na których poprawki są publikowane. Ma to doprowadzić do stworzenia jednego serwisu, gdzie będą publikowane łatki dla wszystkich produktów. Obecnie Windows Update jest przeznaczona dla użytkowników indywidualnych, SUS natomiast dla przedsiębiorstw (łatki wyłącznie dla systemów operacyjnych). Własną, odrębną stronę ma seria Office. Exchange i SQL Server nie mają dedykowanych im stron.
Zdaniem Russa Coopera, moderatora listy dyskusyjnej NTBugtraq, wiele rzeczy, o których mówi Microsoft, jest już możliwych z wykorzystaniem oprogramowania firmy Shavlik Technologies (licencjonującej niektóre swoje technologie firmie Microsoft). Inne firmy oferujące podobne rozwiązania to: Aelita Software, BigFix, ConfigureSoft, Ecora, PatchLink i St. Bernard Software.
Kilka dni po ataku Blastera FBI aresztowało osiemnastoletniego Amerykanina z Minnesoty, Jeffreya Lee Parsona, odpowiedzialnego za wprowadzenie do sieci jednej z odmian robaka, pod zarzutem uszkodzenia lub zamiaru uszkodzenia chronionych systemów komputerowych.
Odmiana W32.Blaster-B, której autorem był Parson, pojawiła się w Internecie 14 sierpnia br. Zasadniczo nie różniła się od W32.Blaster-A, który został odkryty trzy dni wcześniej. Oba wykorzystywały tę samą dziurę w systemie Windows dotyczącą interfejsu DCOM (Distributed Component Object Model), który obsługuje wiadomości przesyłane za pomocą protokołu zdalnych wywołań funkcji systemowych - RPC (Remote Procedure Call). Inna była nazwa pliku - teekids.exe (plik zawierający Blaster-A nazywał się msblast.exe). Kod robaka został również rozszerzony o konia trojańskiego (Lithium), który pozwalał autorowi na podłączenie się do zainfekowanych komputerów.
Agenci trafili na ślad Parsona, ustalając personalia właściciela strony internetowej www.t33kid.com, gdzie robak przesyłał informacje o zainfekowanych komputerach (Teekid to internetowy pseudonim Parsona). Choć nadal trwa analiza zarekwirowanych dysków twardych, podczas przesłuchania Parson przyznał się do stworzenia teekids.exe. Jeśli zostanie uznany za winnego, będzie zagrożony karą od 5 do 20 lat pozbawienia wolności. Grozi mu także zapłacenie wysokich odszkodowań.
Na razie Jeffrey Lee Parson po przesłuchaniu w sądzie federalnym został zwolniony za kaucją w wysokości 25 tys. USD. Zastosowano jednak wobec niego areszt domowy. Może on uczęszczać do szkoły, lekarza i sądu, ale nie może korzystać z komputerów ani jakichkolwiek urządzeń z dostępem do Internetu. Miejsce jego pobytu będzie monitorować specjalne urządzenie elektroniczne.
Prawo amerykańskie i w krajach Europy Zachodniej zostało znacznie zaostrzone w ostatnich latach. W lipcu brytyjski sąd skazał 22-latka Simona Vallora za napisanie i wprowadzenie do sieci innego robaka internetowego na karę dwóch lat więzienia.
Kwestie tego typu pozostają nie uregulowane w krajach rozwijających się. Przykładowo, autor jednego z najgroźniejszych wirusów ostatnich lat, LoveBug, nie został skazany, ponieważ prawo na Filipinach nie mówi o przestępstwach komputerowych.
