Przyszłość niezbyt jasna

Plagom płynącym z Internetu nie ma końca. W wirtualnej sieci panoszą się ideowi fundamentaliści i całkiem realni przestępcy. Zręby kryptografii, długo uważane za stabilne, okazują się być słabe. Czy ogarnia nas chaos?

Plagom płynącym z Internetu nie ma końca. W wirtualnej sieci panoszą się ideowi fundamentaliści i całkiem realni przestępcy. Zręby kryptografii, długo uważane za stabilne, okazują się być słabe. Czy ogarnia nas chaos?

Nikt nie ma już wątpliwości, że 40 bitów długości klucza szyfru DES to za mało, by oprzeć się współczesnym atakom. Jednak dużo wolniej do świadomości producentów oprogramowania trafia fakt, że taki sam los powinien spotkać funkcje skrótu MD5 (128 bitów) uważaną do niedawna za całkiem dobrą. W ciągu ostatnich kilku lat nowe ataki na tę funkcje doprowadziły w końcu do opracowania praktycznej receptury na fałszowanie certyfikatów X.509 podpisywanych MD5. To powinno rozwiać wszelkie złudzenia.

Co gorsza, nowe publikacje chińskich kryptologów podważyły zaufanie do uważanej za bardzo bezpieczną funkcję skrótu SHA-1 (160 bitów) i będącej obecnie standardem w systemach podpisu elektronicznego. Gwoździem do trumny MD5 i SHA-1 była publikacja amerykańskiego instytutu standardów NIST, który zaleca rezygnację z tych algorytmów na rzecz bezpieczniejszej funkcji SHA-2 (192-512 bitów).

Czekając na superwirusa

Wirusy były przez lata cudami zwięzłości kodu, a także stosunku "możliwości do objętości". Później pojawiły się inne konkurencje, jak szyfrowanie kodu, polimorfizm, czy zaawansowane techniki ukrywania kodu wirusa w plikach wykonywalnych. Wkrótce pojawił się Internet. Młoda gwardia okazała się bardzo kreatywna i w pełni wykorzystała jego potężne możliwości. Mieliśmy już epidemie robaków uruchamiających się w makrach Worda i Excela, teraz przyszła kolej na aplikacje WWW pisane w PHP z fragmentami pisanymi w języku Perl. Poza wprowadzaniem nowych metod dystrybucji widać ciągły postęp w udoskonalaniu technik infekcji - autorzy wykorzystują coraz doskonalsze metody wyszukiwania nowych ofiar (np. generatory adresów IP ze "skłonnością" do sąsiednich sieci) i stosują coraz sprytniejsze sztuczki socjotechniczne, by skłonić ofiarę do uruchomienia wirusa.

Znaczący postęp widać również w dziedzinie wirusów dla platform, które do tej pory nie kojarzyły się zupełnie z tego typu zagrożeniami - któż podejrzewałby kilkanaście lat temu, że aparat telefoniczny, wtedy jeszcze z tarczą i dużą ebonitową słuchawką, będzie samodzielnym komputerem, komunikującym się z otoczeniem za pomocą podczerwieni, radia i wiadomości tekstowych?

Obecnie niemal każdy z tych kanałów, a w szczególności Bluetooth i MMS, został spenetrowany przez autorów wirusów. Najpopularniejszy komórkowy wirus Cabir rozprzestrzenia się po świecie powoli, ale stabilnie. W dziedzinie platform mobilnych, jak się wydaje, wszystko "co najlepsze" jeszcze przed nami.

Co nas czeka w najbliższej przyszłości? Nic dobrego. Wirusy nie wykorzystują jeszcze wszystkich możliwości masowego zarażania, które są opisane w gazetkach cyrkulujących w wirusowym podziemiu. Środowisko wirusologów z niepokojem oczekuje pojawienia się "superwirusa", który zdołałby sparaliżować dużą część Internetu. Ostatnio niepokój wzbudził robak Mytob, którego kilkanaście wariantów pojawiło się w krótkich odstępach czasu - badaczy najbardziej zaniepokoił fakt, że wirus najwyraźniej pochodził z jednego źródła i kolejne warianty były numerowane. Wyglądało to jak wypuszczanie testowych wersji w celu udoskonalenia produktu finalnego...

Trojan kasy żądny

W ciągu ostatniego roku nastąpiła też radykalna zmiana jakościowa - autorzy wirusów odkryli, że na swoich programach mogą zarabiać - i to bezpośrednio! A może było na odwrót - ci, którzy do tej pory zarabiali na wymuszeniach i rozbojach, odkryli autorów wirusów jako "nowe narzędzie"? Krążący niedawno w Internecie wirus PGPcoder szyfrował dane na dysku twardym i oferował ofierze płatną "pomoc" ("jedynie 200 USD") w ich rozszyfrowaniu. To nowy i dość niepokojący sygnał - ostatni raz tego typu wirus pojawił się w latach 90., jeszcze w czasach wirusów "dyskietkowych".

"Biznesem" działającym coraz lepiej jest phishing, opierający się na sieciach podporządkowanych włamywaczom komputerów (botnets, zombies). To doprawdy ironia losu, że miliony komputerów na całym świecie nieświadomie pomagają złodziejom w przekazywaniu wiadomości do potencjalnych ofiar, a następnie zbieraniu od nich numerów kart kredytowych i haseł do kont bankowych. Skuteczna ochrona przed phishingiem jest w praktyce niemożliwa. I nie może być, skoro połowa użytkowników nie zauważa problemu i z sobie tylko znanych powodów nie "łata" systemu Windows.

Szpieg pod klawiaturą

Autorzy wirusów szybko adaptują wszelkie techniczne nowinki, jakie pojawiają się w Internecie. Przebojem tego sezonu są urządzenia do przechwytywania klawiszy (keyloggery), dostępne za grosze w postaci małych przejściówek wpinanych między komputer a klawiaturę. Tego typu urządzenia znaleziono w londyńskim Sumitomo Bank podczas śledztwa w sprawie próby kradzieży niemal 320 mln euro.

To właśnie za pomocą "pluskiew" przestępcy zgromadzili wszelkie niezbędne dane - hasła menedżerów, kody dostępu i inne informacje potrzebne do wykonania przelewów. Wpadli w ostatniej chwili - tylko dzięki czujności oddziału ds. przestępczości komputerowej brytyjskiej policji. Wiadomo jednak, że w początkowej fazie operacji złodzieje wykorzystali także konie trojańskie działające na analogicznej zasadzie, jak ich sprzętowe odpowiedniki. Programy wysłane pracownikom banku e-mailem instalowały się w ich systemach i przechwytywały wszystkie wciskane klawisze, odsyłając "urobek" porcjami do przestępców.

Atak "wygooglany"

Popularność Google w dużej mierze wynika z wielkiej liczby zaindeksowanych stron i przemyślanych mechanizmów interpretacji zapytań. Częścią tego sukcesu są bezimienne automaty indeksujące, żmudnie przeczesujące bezmiar Internetu. Od kiedy automaty naśladują zachowanie typowego użytkownika i przeglądarki, w serwisach wyszukiwawczych indeksowane są strony, od których wczesne wyszukiwarki trzymały się z daleka. Tak oto przed użytkownikami Google stanęły otworem miliony stron wykorzystujących menu tworzone w JavaScript, Javie, przez skrypty CGI i inne technologie dynamicznego generowania stron.

Precyzja Google uczyniła ten serwis ulubionym narzędziem włamywaczy. Jedno proste, acz umiejętnie skonstruowane zapytanie pozwala w kilka sekund zbudować listę setek serwisów korzystających z dziurawej wersji phpBB czy innej "osłabionej" aplikacji. Wcześniej na poszukiwanie takich stron trzeba było poświęcać mnóstwo czasu. Włamywacze nie są specjalnie subtelni - wykorzystują po prostu charakterystyczne dla określonych wersji rozwiązań nazwy plików, napisy, fragmenty kodu HTML itp.

Cyberwojny już się toczą

Rosja jest prekursorem wojny informacyjnej w Internecie, o której sporo dyskutowano kilka lat temu, a która stała się obiektem zainteresowania państw, kiedy Internet stał się medium powszechnym. W ubiegłym miesiącu przez RuNet przetoczyła się, rozpoczęta przez rosyjskich neonazistów (a raczej przez wynajętych przez nich włamywaczy), fala włamań na serwisy umiarkowanych partii politycznych, które "upiększano" swastykami i obraźliwymi hasłami. Druga strona nie pozostała dłużna - strony neofaszystów również zostały wkrótce podmienione.

Wcześniej w ubiegłym roku portal informacyjny czeczeńskich separatystów opublikował logi systemowe, wskazujące na to, że prowadzony przez kilka dni atak DoS (Denial of Service) pochodził z klasy adresowej należącej do rosyjskiej służby bezpieczeństwa (FSB), a w 2001 r. Amerykanie zatrzymali wysoko postawionego pracownika FBI Roberta Hanssena, który w latach 1985-2000 pracował dla rosyjskiej służby wywiadowczej (SVR), otrzymując za to ponad pół miliona dolarów.

W tym roku również w USA zatrzymano osoby zajmujące się szpiegostwem gospodarczym na rzecz Chin, a służba bezpieczeństwa Wlk. Brytanii (MI5) wydała specjalne oświadczenie ostrzegające pracowników firm hi-tech przed nasileniem się aktywności zagranicznego wywiadu. Tymczasem uciekinierzy z Korei Północnej donoszą o armii komputerowych włamywaczy liczącej ponad pół tysiąca osób, która ma być szkolona do działań ofensywnych w Internecie...

Sąsiedzi ze Wschodu

Rosyjska gospodarka wciąż daleka jest od rynkowej i większość pracy naukowej prowadzonej przez zdolnych naukowców jest albo sprzedawana na Zachód, albo leży przykryta kurzem, nie mogąc doczekać się inwestora. Co ma robić doktorant z krańców Federacji Rosyjskiej, zarabiający miesięcznie równowartość 100 USD i drugie tyle na łapówkach za egzaminy? Trudno się dziwić, że z ich perspektywy kupienie upragnionego laptopa czy komórki za pomocą karty kredytowej jakiegoś Johna z Ameryki nie jest ciężkim grzechem. Tym bardziej, że ich wiedza o kryptografii i zabezpieczeniach systemów pozwala im to robić bez wysiłku.

Rosyjskojęzyczny Internet (RuNet) jest pełen serwisów poświęconych pisaniu wirusów i całkiem otwarcie działających grup dyskusyjnych, na których zainteresowani bez skrępowania dyskutują o technikach "skimmingu" (kopiowania kart kredytowych), narzekają na nowe zabezpieczenia w sklepach internetowych i polecają sobie adresy sklepów, które ich jeszcze nie wdrożyły. Na jednym z największych serwisów tego typu można znaleźć setki ofert kupna bądź wymiany, np. takich: "swieżyj karton prosto z USA", "hiszpańskie fulle z kodami CVV2", czy "konta eBay" - a więc wszystko, co tylko może zainteresować miłośników szybkich kradzieży. Świat ten pozostaje jednak poza zasięgiem większości służb zachodnich, mających doświadczenie i możliwości, by walczyć z internetowym paserstwem.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200