Kasa z wirusa
Ile czasu potrzebuje komputerowy wirus, by rozprzestrzenić się po całym świecie? Kilka miesięcy? Dni? Godzin? Niewielkiemu programowi SQL Slammer zajęło to 15 sekund. Po co? Żeby zarobić pieniądze.
30.03.2006 | aktual.: 30.03.2006 10:43
Komputerowe podziemie zmieniło się nie do poznania. Jeszcze niedawno wirusy robiły, z grubsza rzecz biorąc, to samo co 20 lat temu - niszczyły pliki, blokowały komputery, psuły system operacyjny. Tworzyli je zwykle samotnie działający młodzi pasjonaci komputerów, najczęściej bez wykształcenia technicznego, często uczniowie szkół średnich. Mieli jeden cel - sprawdzić swoje umiejętności, tworząc coś, czego będzie się bał cały świat. A przy okazji dołożyć znienawidzonemu systemowi, korporacjom i komukolwiek, kto się tam jeszcze nawinął. Jednak kilka lat temu wszystko się zmieniło. Zniknęli samotni wojownicy działający dla idei, a ich miejsce zajęły niewielkie, silne, podziemne organizacje mające zupełnie nowy cel: zarobić jak najwięcej. Tę tendencję najlepiej widać, gdy sprawdzi się sposób działania wirusów i pokrewnych im programów z ostatnich kilku lat. Niemal nie zdarzają się przypadki klasycznego kasowania danych z dysków - główny cel starych, "dobrych" wirusów. Dzisiejsze programy wirusowe starają się być
jak najbardziej dyskretne - im mniej je widać, tym lepiej. Ich twórcy nie ograniczają się już do napisania programu i wypuszczenia go w świat. Dziś wirus to najczęściej narzędzie zdalnej kontroli nad innymi komputerami.
Sieć zombi
Scenariusz jest prosty: oto wreszcie masz wymarzone szerokopasmowe łącze. Wszystko podłączyłeś, uruchomiłeś komputer i chcesz sprawdzić, jak to działa. Uruchamiasz przeglądarkę, wpisujesz adres ulubionej strony i rozkoszujesz się błyskawicznym tempem surfowania w sieci. Tymczasem twój komputer pozostaje niezabezpieczony - w końcu przez parę minut nic mu się nie stanie. Jednak Internet pełen jest automatów, które stale przeszukują kolejne adresy, wypatrując otwartych wejść do systemu. Niezabezpieczony komputer jest idealnym celem - wystarczy skorzystać z któregoś z tak zwanych portów, czyli otwartych furtek, przez które komputery komunikują się ze sobą.
Zapewne korzystasz z Windowsów, więc pierwszym miejscem, które zostanie sprawdzone, jest port oznaczony numerem 445. System używa go do wymiany plików i zdalnego drukowania, więc zwykle to wejście stoi otworem.
Gdy dziura zostanie wykryta przez automat, ten natychmiast wysyła robaka - niewielki program, którego głównym celem jest wpełznięcie do systemu operacyjnego i usadowienie się w bezpiecznym miejscu. Jeśli uda mu się wykonać zadanie, melduje się, podając adres sieciowy twojego komputera i przesyłając kluczowe informacje o jego konfiguracji.
Cała ta operacja może trwać zaledwie kilka sekund - tyle, ile zajmie ci wpisanie adresu strony i naciśnięcie "enter". Jeśli wszystko się powiodło, to twój komputer właśnie stał się zombi. Witaj w klubie - dołączyłeś do liczącej kilkadziesiąt tysięcy członków grupy użytkowników, którzy nie są już panami swoich komputerów.
Ów niewielki program, który wdarł się do twojego systemu, to dopiero początek. W zależności od życzenia swojego pana i twórcy, który kontroluje go gdzieś z odległego komputera, może ściągać z sieci odpowiednie moduły, rozbudowując swoją funkcjonalność. Jeśli zamiarem owego Władcy Zombi będzie szybkie zarobienie kilkuset tysięcy dolarów, do twojego komputera zostanie załadowany specjalny fragment kodu, który wyznaczonego dnia o ustalonej godzinie rozpocznie wysyłanie pakietów danych na adres jednego z popularnych serwisów zarabiających na legalnym sieciowym hazardzie.
Taki sam atak w tym samym momencie przypuści jeszcze kilkanaście tysięcy innych komputerów zombi. Efekt to całkowity paraliż serwera, który zostanie zasypany bezsensownymi danymi. Po kilkunastu minutach wszystko się uspokoi, a wkrótce potem właściciel atakowanego serwisu dostanie propozycję nie do odrzucenia. Albo przeleje na wskazane konto na Karaibach 50 tysięcy dolarów, albo jego serwery padną już na dobre. Pozostaje tylko zapłacić, bo nie sposób uchronić się przed atakiem nadchodzącym jednocześnie ze wszystkich stron - przejęte przez Władcę Zombi komputery stoją w Niemczech, USA, Wielkiej Brytanii, Egipcie, Polsce, Chinach i Rosji.
Ten scenariusz zdarzył się naprawdę - w lipcu zeszłego roku w Rosji zatrzymano trzech młodych mężczyzn, którzy byli szefami międzynarodowego gangu trudniącego się wymuszeniami. Udało się do nich dotrzeć, śledząc transakcje na kontach banków z Karaibów i Łotwy.
Pieniądze znikają
Sieci komputerów zombie to tylko jeden ze sposobów zarabiania pieniędzy na wirusach i pokrewnych im programach. - Komercjalizacja zagrożeń to najbardziej widoczny trend w branży niebezpiecznego oprogramowania - mówi Michał Iwan z firmy F-Secure. - Dziś za jego tworzeniem stoją zorganizowane grupy hakerskie, których usługi można kupić. Celem ataków są numery kart kredytowych, które później sprzedawane są po 50-100 dolarów za sztukę.
Jak je zdobyć? Dyskretnie zainstalować na komputerze ofiary program, który śledzi wszystko, co piszemy na klawiaturze. Gdy wykryje interesujący ciąg znaków, na przykład adres sklepu internetowego, zaczyna zapisywać każdy klawisz, jaki nacisnęliśmy. Jeśli w którymś momencie wstukamy ciąg cyfr będący numerem karty kredytowej i datą jej ważności, jesteśmy ugotowani. Nasze bezcenne dane zostaną wysłane przez sieć gdzieś do nielegalnej bazy danych, a nasze pieniądze przestają być bezpieczne.
Popularnym sposobem jest też phising, czyli podszywanie się pod szacowne banki. Oto otrzymujesz alarmujący e-mail: "Twoje internetowe konto bankowe mogło zostać zaatakowane przez hakera! Aby uniknąć odpowiedzialności finansowej, musisz sprawdzić jego stan i potwierdzić zabezpieczenia. W tym celu kliknij w poniższy odnośnik i zaloguj się do systemu".
Mail budzi pełne zaufanie, a w dodatku sugeruje pośpiech. Logujesz się więc czym prędzej i... znowu wpadłeś. Strona, na którą skierował cię odnośnik z maila, została stworzona przez złodziei i przygotowana tak, by wyglądała jak oryginalna witryna banku. A twoje hasło oczywiście trafia w niepowołane ręce. Coraz gorzej
Naturalnie komputerowe podziemie nie jest jednolite - trwają w nim walki, których skutki czasami dotykają zwykłych użytkowników. Tak było w sierpniu 2005 roku. Raport firmy F-Secure opisuje wojnę botów, czyli programów automatycznie atakujących internetowe serwisy wielkich firm. Do ataku wykorzystano wirusa Zotob wspomaganego przez kilka pomniejszych programów. To właśnie one zaczęły walkę o to, który pozostanie na zarażonej maszynie. Efektem były tysiące zablokowanych komputerów.
Początki dzisiejszych wojen i nagłych ataków sięgają 20 lat wstecz. Pierwszy wirus komputerowy, Brain, został napisany przez dwóch braci, Pakistańczyków, którzy zarazili nim dyskietki z oprogramowaniem medycznym własnego autorstwa. Chodziło im tylko o to, by ochronić swoje dzieło przed nielegalnym kopiowaniem.
Brain, podobnie jak niemal wszystkie wirusy aż do 1995 roku, rozprzestrzeniał się przez dyskietki. - To były piękne i spokojne czasy - wspomina Andrzej Kontkiewicz, specjalista z firmy Symantec. - Od napisania wirusa do szczytu jego aktywności mijały długie miesiące. Było więc mnóstwo czasu na przygotowanie i rozesłanie odpowiedniej szczepionki.
Pierwsza poważna zmiana miała miejsce w 1995 roku, gdy pojawił się system Windows 95. Ruszyła wtedy fala makrowirusów, czyli programów wykorzystujących słabe punkty systemu operacyjnego. Jednak to wszystko była tylko zabawa - wirus rozpełzał się wolno, zainfekowanie kilku tysięcy komputerów zajmowało miesiąc.
Rewolucja nastąpiła pod koniec lat 90., wraz z upowszechnieniem Internetu i poczty elektronicznej. Wirusy, takie jak słynny ILOVEYOU z 1999 roku, opanowywały świat w ciągu jednego dnia. Nieprzygotowane na taki atak przedsiębiorstwa i prywatni ludzie w ciągu kilku dni ponieśli straty szacowane w milionach dolarów. Potem było już tylko gorzej.
W 2001 roku robaki sieciowe, takie jak Nimda, rozprzestrzeniały się w ciągu godziny, a rekordzista, SQL Slammer z 2003 roku, w kilka sekund rozpełzł się po całym świecie, a już po 10 minutach zaraził ponad 75 tysięcy maszyn.
Dzisiejsze robaki działają w coraz bardziej wyrafinowany sposób. Potrafią wyłączać programy antywirusowe, blokować dostęp do pewnych stron WWW, przejmować kontrolę nad całym systemem operacyjnym. Rozsyłane mailem programy nie potrzebują już nawet serwerów pocztowych, by rozprzestrzeniać swoje kopie - przynoszą własne mikroserwery zapisane w ich kodzie.
Taki program jest wyjątkowo perfidny - pobiera adresy z książki adresowej programu pocztowego i rozsyła na nie swoje kopie. Aby trudniej było go zlokalizować, jako adresata podaje losowo wybranego nieszczęśnika, który potem wysłuchuje od znajomych pretensji, jakoby miał zawirusowany komputer.
Zagrożone konsole
Co nas czeka w przyszłości? Zdaniem specjalistów sytuacja może się tylko pogarszać. Wirusy stały się niezwykle sprytne, bo nie są jedynie narzędziem zniszczenia, ale też maszynami do zarabiania pieniędzy.
Tymczasem świat zachłystuje się kolejnymi nowinkami technicznymi - inteligentnymi telefonami, bezprzewodowym dostępem do sieci. To idealne pole do popisu dla twórców niebezpiecznego kodu. Wraz z popularyzacją systemów operacyjnych Mac OSX i odmian Linuksa zaczynają się pojawiać pierwsze programy atakujące te, dotąd bezpieczne, platformy. Na razie ich użytkownicy mogą jeszcze czuć się bezpieczni, ale wkrótce ich maszyny również mogą zostać zainfekowane. To tym groźniejsze, że mało kto zabezpiecza dziś takie systemy przed wirusami.
Stale rośnie liczba ataków na telefony komórkowe. Te, które wyposażone są w łącze Bluetooth, mogą zostać zainfekowane zabójczą parą wirusów - Doomboot i Commwarior. Pierwszy z nich uniemożliwia ponowne włączenie telefonu, a drugi rozładowuje baterię w ciągu godziny. Mamy więc tylko 60 minut na uratowanie telefonu - potem czeka nas kosztowna naprawa systemu i utrata wszystkich danych. Celem ataku wirusów przyszłości staną się z pewnością nowe konsole do gier i odtwarzacze mp3. Są to miniaturowe komputery, a więc idealny cel ataku hakera. Konsola Sony PSP już teraz może zostać uszkodzona przez konia trojańskiego, który usuwa z pamięci pliki krytyczne dla systemu. Na razie ten program nie ma możliwości samodzielnego rozprzestrzeniania się, ale przecież PSP jest wyposażona w system wi-fi, dzięki któremu gracze mogą łączyć się ze sobą i Internetem. Czegóż więcej może sobie życzyć wirus?
Za pomoc przy tworzeniu tekstu dziękuję firmom Symantec i F-Secure