Obecne trendy w zagroeniach sieciowych

Transkrypt

1 Obecne trendy w zagroeniach sieciowych Sławomir Górniak CERT Polska 1 Wprowadzenie Mijajcy rok miało mona nazwa przełomowym jeeli si wemie pod uwag nowoci w dziedzinie bezpieczestwa teleinformatycznego patrzc zarówno od strony specjalistów zajmujcych si zabezpieczaniem sieci komputerowych, jak i ich przeciwników hakerów. Sukcesy s niestety po obu stronach barykady róne firmy wprowadzaj na rynek coraz to nowsze i doskonalsze produkty słuce poprawie bezpieczestwa, wiele instytucji inwestuje w bezpieczestwo swoich sieci, a jednoczenie mamy do czynienia z coraz doskonalszymi atakami zautomatyzowanymi, coraz bardziej wymylnymi próbami oddziaływania socjotechnicznego na uytkowników sieci, a take z bezsilnoci w zetkniciu z kolejnymi powanymi i niemoliwymi do załatania lukami w najpopularniejszych przegldarkach internetowych. W niniejszym referacie chciałbym si głównie skupi na rozwoju zagroe, które przyniósł mijajcy rok. Pojawiło si w tym czasie bardzo wiele nowoci, takich jak pierwszy robak zaprogramowany na destrukcj; robak, rozprzestrzeniajcy si poprzez luk w innym robaku; wirus, okrzyknity wirusem zagłady, który zdołał mimo wysiłków administratorów skutecznie zablokowa witryn sieciow SCO; a take inne wirus rozmnaajce si dziki naiwnoci uytkowników niemal jak osławiony wirus albaski. Dalsz cz referatu powiciłem zagadnieniu dosy nowemu, jakim s ataki na honeypoty, czyli garnki z miodem przynty na hakerów. Tak, jak mona si było tego spodziewa, pojawiło si w ostatnim czasie wiele metod ich zdalnego wykrywania, obchodzenia lub oszukiwania. Osobnym problemem jest bezpieczestwo przegldarek internetowych. Nigdy wczeniej nie wykryto w nich takiej iloci luk, w dodatku trudnych lub niemoliwych do załatania, prowadzcych do moliwoci przeprowadzenia udanych ataków. W mijajcym roku wyranie dało si zauway rosnce zainteresowanie polskich mediów tematami zwizanymi z bezpieczestwem teleinformatycznym. O ile jeszcze rok temu były to kwestie niemal egzotyczne i bardzo rzadko mona było znale informacje o nowych wirusach czy robakach, to po spektakularnych atakach Blastera o zagroeniach pisze si i mówi ju duo. Nie zawsze zagroenia te s rzetelnie przedstawione, czsto zawieraj zbyt duo ładunku sensacyjnego, w wiadomoci wkradaj si

2 czasem wiele błdy merytoryczne, jednak jest to bez wtpienia kierunek bardzo pozytywny. 2 Zagroenia Zespoły typu CSIRT/CERT obsługuj coraz wiksz liczb incydentów. Zeszły rok, 2003, był rekordowy dla CERT Polska obsłuono niemal 1200 incydentów. Nie ma wtpliwoci, e rekord ten w tym roku zostanie pobity. Trend wzrostowy w zgłaszaniu incydentów zespołom reagujcym ma zwizek nie tylko ze zwikszajc si iloci zagroe, lecz take z cigłym rozwojem Internetu i wzrostem wiadomoci bezpieczestwa wród uytkowników. Coraz wicej jest przypadków skanowania systemów komputerowych, które jest wynikiem automatyzacji ataków. Jednak o tym, e sytuacja w dziedzinie bezpieczestwa Internetu dramatycznie pogarsza si wiadczy fakt, e zgłaszana jest coraz wiksza liczba incydentów okrelanych jako bardzo powane. Jednorodno przypadków naruszania bezpieczestwa, bdcych celem tylko dla samych siebie, powoli odchodzi do przeszłoci. Zjawiska, które wystpowały kiedy osobno, takie jak włamania na konta, wirusy, ataki DoS lub DDoS, spam, tworz wzajemne sieci zagroe. Robaki sieciowe otwieraj open proxy na atakowanych komputerach, poprzez które nastpnie wysyłany jest spam; wirusy otwieraj serwery FTP słuce do wymiany nielegalnych treci lub programowane s na atak DoS na konktetny adres; przejte komputery, na których dokonano włamania, łczone s w sieci zwane botnetami, w celu jednoczesnego uruchomienia z nich ataku DDoS. Zmienił si te profil przecitnego hakera. Script kiddies ( dzieciaki skryptowe ) nie przedstawiaj a tak powanego zagroenia w porównaniu z profesjonalistami. rodowisko hakerskie zmieniło si w potne podziemie. Jeszcze kilka lat temu specjalici od zabezpieczania systemów komputerowych wypełniali pewn nisz w zagadnieniach teleinformatycznych. Pomimo tego, e starali si zwróci uwag opinii publicznej na problem zagroe, ich wysiłki były czsto niedoceniane. Nie było bowiem zbyt poprawne jakiekolwiek przeciwstawianie si dzikiemu rozwojowi Internetu. Czas jednak działał na niekorzy uytkowników sieci. Nie zostały w por opracowane odpowiednie protokoły i narzdzia zapewniajce bezpieczestwo. Zaczto wprowadza standardy bdce nakładkami na ju istniejce, które dobudowywały bezpieczestwo, a nie tworzyły z niego integralnej czci. Z upływem czasu udało si jednak przekona tak uytkowników, jak i twórców oprogramowania do wysiłków skierowanych na zabezpieczanie systemów. Obecnie w powszechnym uyciu s firewalle, systemy detekcji zagroe i zaawansowane metody logowania zachowania si systemu i sieci. To wszystko spowodowało fakt, e haker, aby jego działania były skuteczne, musi wykazywa si coraz wiksz wiedz i nie moe sobie pozwoli na amatorstwo. Powanym zagroeniem dla bezpieczestwa sieci jest społeczne przyzwolenie na działania hakerów. Wci pokutuje mit o młodym, zdolnym, nieszkodliwym

3 człowieku, który w ten sposób realizuje swoj pasj, rozwija umiejtnoci i bawi si sieci. Wród opinii publikowanych na polskich forach dyskusyjnych dominuje wrcz yczliwa pobłaliwo, a czasem nawet duma gdy haker okazuje si by Polakiem. Ogólnie jednak wzrasta wiadomo uytkowników. Specjalici z firmy Qualys ogłosili, e liczba dni które upływaj od informacji o wydaniu uaktualnienia do załatania połowy wszystkich podatnych systemów zmniejszyła si z 30 w zeszłym roku do 21 w biecym. Ma to duy wpływ na skuteczno złoliwego oprogramowania przenoszcego si w sposób zautomatyzowany. 3 Ataki zautomatyzowane Do ataków zautomatyzowanych nale przede wszystkim ataki przeprowadzane przez wirusy i robaki komputerowe (dla przypomnienia, rónica midzy nimi polega na sposobie rozprzestrzeniania si; robaki robi to samoczynnie, bez udziału uytkownika, wirusy potrzebuj jego interakcji takiej jak np. kliknicie myszk w ikonk pliku dołczonego do wiadomoci elektronicznej). Midzy tymi dwiema odmianami złoliwego kodu od pewnego czasu trwa nieustajcy wycig o prymat nad ciemn stron Internetu. Poprzedni rok, 2003, bez wtpienia naleał do robaków. Pojawił si wtedy midzy innymi Slammer, najszybszy do tej pory zauwaony robak, który w cigu 10 minut przeskanował 90% przestrzeni adresowej IPv4, oraz Blaster i Welchia, wykorzystujce luki w interfejsie DCOM RPC. Wirusy chwilowo oddały pole robakom, jednak po to, by obecnie powróci na czoło niechlubnych statystyk. 3.1 Wirusy Pierwszy powany wirus 2004 roku pojawił si ju w styczniu. Mona powiedzie, e zrobił to w sposób bardzo spektakularny, zajmujc pierwsze miejsca w serwisach informacyjnych. Równie w pierwszym kwartale zauwaono wirusy Beagle i Netsky, których rywalizacja przysparzała kłopotów uytkownikom systemów Windows przez kolejne miesice MyDoom 26 stycznia systemy antywirusowe zaczły rejestrowa ogromne iloci nowego wirusa, nazwanego MyDoom lub Novarg. Rozprzestrzeniał si on na znaczn skal jako wykonywalny załcznik mailowy. Listy wysyłane były ze sfałszowanym polem From: i jednym z kilku losowo wybranych zaprogramowanych tematów. Wirus rozprzestrzeniał si te przez sieci peer-topeer. Po zainfekowaniu komputera, otwierany był port 3127/TCP, majcy zwizek z zainstalowaniem tylnej furtki. MyDoom został zaprogramowany przez swojego twórc na atak DDoS na witryn w dniu 1 lutego.

4 Pomimo szybkiej reakcji producentów oprogramowania antywirusowego, udostpniajcych nawet darmowe narzdzia do usuwania wirusa, w Internecie jego aktywno nie zmniejszała si przez kolejne dni. Firma SCO, cel ataku wirusa, przygotowywała si na odparcie ataku na swoj stron WWW. 1 lutego okazało si jednak, e MyDoom osignł sukces. Serwer bdcy celem ataku został obciony ogromn iloci zapyta i przestał funkcjonowa. Firma SCO zdecydowała si na usunicie wpisu z serwerów DNS, wprowadzajc zamiast niego www2.sco.com. MyDoom pozbawiony został celu. W midzyczasie w sieci pojawiła si mutacja wirusa, nazwana MyDoom.B. Miała na celu atak 3 lutego na witryn firmy Microsoft. MyDoom.B, pomimo ogromnego rozgłosu, jaki nadały mu media, był jednak bardzo rzadki, monaby go uzna wrcz za okaz kolekcjnerski. Obie pierwsze wersje tego wirusa zawierały błdy, przez które nie dezaktywował si on po ustalonej dacie ataku. Z biegiem czasu programy antywirusowe dały sobie jednak z nim rad. Skutkiem ubocznym, zapewne nieplanowanym przez twórc MyDooma, był wirus nadgorliwego administratora. Antywirusowe systemy pocztowe czsto były programowane na wysyłanie wiadomoci o próbie wysłania zawirusowanej poczty na zwrotny adres maila. MyDoom jednak fałszował ten adres, niewinni ludzie dostawali wic czsto du ilo informacji o rzekomych wirusach, które jakoby przesyłali. Ciekawa była obserwacja zachowania si mediów w stosunku do MyDooma. Jakby chciały one nadrobi czas, w którym o zagroeniach internetowych nie informowały w ogóle, okrzyknły go wirusem zagłady i zaczły wieszczy nieuchronny koniec Internetu. Podawane równie były straty liczone w miliardach dolarów, jakie rzekomo poniosły firmy i instytucje z powodu wirusa. Padały stwierdzenia o przeładowaniu serwerów pocztowych i opónieniach w przesyłaniu maili, a jednoczenie przytaczano informacje o tym, e listy wysyłane przez MyDoom stanowiły 20-30% ogólnej korespondencji elektronicznej. W praktyce oznaczałoby to, e Internet ju teraz jest mocno przeładowany. Gorcej atmosfery nie studziły nawet rzeczowe wypowiedzi ekspertów, a pomidzy informacjami o bezradnoci uytkowników trudno było znale porady jak si przed wirusem ochroni. MyDoom miał ponad dwadziecia rónych wersji, działajcych na tej samej zasadzie. Pojawiło si równie sporo robaków wykorzystujcych tyln furtk zostawian przez MyDooma na porcie 3127/TCP. Jednym z nich był Doomjuice (znany równie jako MyDoom.C), przeprowadzajcy bez wielkiego sukcesu witryn Beagle kontra Netsky

5 Od koca lutego zainteresowanie MyDoomem zaczło spada, pojawiły si bowiem dwie nowe serie wirusów Beagle i Netsky. Były one do siebie bardzo podobne. Propagowały si przede wszystkim za pomoc poczty elektronicznej i wymagały do zainfekowania komputera otwarcia załcznika przez uytkownika. W niektórych wersjach przesyłki wygldały jak raport o odrzuceniu korespondencji. W Polsce propagowały si głównie wirusy z serii Netsky. Jednake to Beagle, jako pierwszy wirus, zaczł wykorzystywa metody socjotechniczne, znane wczeniej z fałszywych alarmów znanych pod nazw hoax. W celu uniknicia filtrowania przez systemy antywirusowe, kod wirusa był przesyłany w zzipowanym załczniku zabezpieczonym hasłem. Hasło to było jawnie podane w treci maila. O dziwo, chtnych do otwarcia tych załczników znalazło si bardzo wielu i wirus rozprzestrzeniał si tak, jak poprzednie jego wersje. Póniej pojawiła si równie wersja z hasłem w postaci pliku graficznego. Jeszcze inna wersja Beagle nie zawierała kodu umieszczonego w załczniku, lecz wykorzystywała jedn z luk w przegldarce Internet Explorer. Niekonwencjonalne pomysły mieli równie twórcy Netsky. Przede wszystkim odcinali si oni od kryminalnych pobudek ich wirus nie posiadał tylnych furtek, nie otwierał open proxy i nie pomagał w rozsyłaniu spamu. Netsky.Q wził sobie za cel serwisy rozpowszechniajce cracki oraz serwery peer-to-peer. Pomidzy 7 a 23 kwietnia przeprowadzonych zostało wiele ataków, które spowodowały konieczno przeniesienia najwikszych serwisów pod inne adresy. Netsky walczył równie z tylnymi furtkami pozostawianymi przez MyDoom i Beagle i usuwał je. Pojawiły si (niepotwierdzone niestety) hipotezy, e wirus w ten sposób przyczynił si do zmniejszenia iloci spamu w Internecie. Inn nowoci wykorzystywan w wirusie Netsky była wielojzyczno. W pole tematu maila i w jego tre wpisywany był tekst w zalenoci od adresu odbiorcy, w jednym z wielu jzyków, w tym nawet jzyka uywanego na wyspach Turks i Caicos. Polska wersja była jednak wyranie tłumaczona automatycznie, programem komputerowym. Do tej pory pojawiło si ponad trzydzieci wersji Beagle i podobna ilo Netsky. W pewnym momencie twórca Netsky ogłosił, e nie bdzie ju tworzył kolejnych wersji, ale za to opublikował kod wirusa. Według specjalistów, póniejsze wersje istotnie róni si od pocztkowych. 3.2 Robaki sieciowe Jakkolwiek nie mona powiedzie, e robaki sieciowe zaznaczyły w szczególny sposób mijajcy rok, to jednak te, które spowodowały wiksze kłopoty administratorom, były bardzo ciekawe z punktu widzenia swojej konstrukcji i działania. Twórcy tego rodzaju złoliwego kodu wykorzystuj nowe metody rozprzestrzeniania si, wychodzc poza zdefiniowane do tej pory ramy. Analizujc ich działalno i czas mijajcy od wykrycia luki do pokazania si robaka mona stwierdzi, e czsto algorytm infekcji opracowywany jest duo

6 wczeniej, a haker tylko czeka na pojawienie si luki. Pojawia si take coraz wiksza ilo mutacji robaków, np. w cigu trzech dni od ataku Sassera naliczono jego cztery odmiany. Najwaniejszym spostrzeeniem w dziedzinie robaków komputerowych jest fakt drastycznego wrcz skrócenia czasu od powstania zagroenia do jego wykorzystania. W roku 2003 po ukazaniu si informacji o błdach w interfejsie DCOM RPC systemu Windows specjalici przewidywali, e nowy robak pojawi si w sieci w cigu kilku miesicy. Pojawił si jednak równo po miesicu, czym bardzo zdziwił ekspertów. Tegoroczny rekord wynosi niecałe 48 godzin i wydaje si bardzo prawdopodobne, e czas ten si jeszcze skróci. Fakt ten daje sporo do mylenia specjalistom. Powstaje pytanie, czy uywane do tej pory sposoby aktualizacji oprogramowania s dostosowane do potrzeb uytkowników sieci komputerowych. W przypadku duych instutycji posiadajcych rozbudowane sieci, dwa dni to stanowczo zbyt krótki czas na wdroenie wszystkich poprawek tam, gdzie s one konieczne. Problemem jest konieczno ustawicznego ledzenia statusu uywanych w sieci programów, a nastpnie łatanie wszystkich komputerów na których s one zainstalowane. Alternatyw mogłoby by szersze stosowanie systemów wczesnego ostrzegania lub te IDS. Systemy te musiałyby jednak by na tyle sprawne, by powstrzyma przedostawanie si zagroenia w minimalnym czasie. Trzeba pamita, e najszybszy do tej pory robak, Slammer, zaliczany do grupy Warhol worms, potrzebował tylko 10 minut do przeskanowania 90% wszystkich podatnych komputerów na wiecie. Hipotetyczny flash worm, skracajcy ten czas do 1 minuty jeszcze nie został zaobserwowany, lecz teoria dopuszcza moliwo jego pojawienia si. Jednym z najwikszych zagroe dla funkcjonowania całego Internetu według ekspertów od bezpieczestwa jest pojawienie si w sieci robaka bazujcego na tak zwanym 0-day exploit, czyli wykorzystaniu niezałatanej powanej luki w uywanym powszechnie oprogramowaniu sieciowym. Gdyby został wyposaony w dobry mechanizm rozprzestrzeniania si, byłby w stanie wyrzdzi niewyobraalne wrcz szkody w sieci. Zatrzymanie takiego robaka byłoby zadaniem wyjtkowo trudnym. Pewn nadziej na globalne rozwizanie problemu robaków sieciowych daje IPv6. Losowe przeskanowanie całej przestrzeni adresowej, liczcej 2^128 adresów, w krótkim czasie jest niewykonalne (obecna przestrze IPv4 liczy 2^32 adresy). Naley jednak pamita o moliwoci uycia do rozmnaania przekształce permutacyjnych, a take informacji topologicznych. Obecne w tym roku robaki nie sprawiaj tak duych kłopotów uytkownikom i administratorom systemu jak jeszcze niedawno. Warto jednak przyjrze si z bliska ich konstrukcji i działaniu Sasser

7 W cigu ostatnich dni kwietnia w sieci pojawiło si sporo exploitów i narzdzi wykorzystujcych błdy opisane w biuletynie Microsoft MS Najwiksze zagroenie niosły luki w MC SSL PCT oraz w LSASS (Local Security Authority Subsystem Service), elemencie systemu odpowiedzialnym midzy innymi za uwierzytelnienie w maszynie lokalnej oraz w domenie lokalnych mechanizmów bezpieczestwa i Active Directory. Z tych dwóch mechanizmów LSASS jest usług bardziej uniwersaln, działajc w wikszej iloci komputerów podłczonych do Internetu. Eksperci, midzy innymi z CERT Polska, przewidywali bliskie pojawienie si robaka sieciowego i zalecali natychmiastowe aktualizacje systemów. Zalecenia jednak, jak zazwyczaj, nie odniosły pełnego skutku. 1 maja, w tydzie po opublikowaniu informacji o moliwoci wykorzystania luki w LSASS zaobserwowano nowego robaka, który otrzymał nazw Sasser. Rozprzestrzeniał si on skanujc losowo cał przestrze adresow. Po stwierdzeniu podatnoci w usłudze LSASS na zdalny komputer ładowany był kod pobierajcy właciwego robaka z serwera FTP otwartego na porcie 5554/TCP maszyny dokonujcej infekcji. W przecigu paru dni zaobserwowano siedem rónych odmian Sassera. wiadczyło to o dokonywaniu wielu poprawek w treci robaka. Najwiksze nasycenie osigneła wersja oznaczona jako W32.Sasser.B. Robak Sasser, chocia na pocztku porównywany do zeszłorocznego Blastera, nie spowodował a takich szkód. Jego aktywno zaczła male ju 5 maja. Szybko zareagowała firma Microsoft, publikujc na swoich stronach WWW narzdzie do usuwania robaka wraz z dokładn instrukcj. Po analizie jego działa w Polsce okazało si, e zdołał on zainfekowa przede wszystkim sieci akademickie oraz uytkowników domowych. Firmy i instytucje komercyjne zdołały w por zabezpieczy si. Autorem Sassera okazał si niemiecki nastolatek, Sven Jaschan. Policja aresztowała go po niespełna dwóch tygodniach od odkrycia Sassera. Pocztkowo tłumaczył, e do stworzenia robaka skłoniły go arty kolegów, którzy uznali jego próby napisania programu usuwajcego aktualnie rozpowszechnione wirusy za zadanie zbyt proste. W cigu dalszego ledztwa Jaschanowi postawiono równie zarzut sterowania wirusami z serii Netsky. Nie jest jednak jasne, czy przy tym działał on sam, czy w wikszej grupie. O autorze Sassera wiat nie zapomniał. Twórcy wirusa MyDoom w jednej z jego wersji umiecili zdjcie Jaschana. We wrzeniu nastolatkowi, oczekujcemu na rozpraw, została zaoferowana praca w niemieckiej firmie zajmujcej si produkcj firewalli.

8 Rys.1 Atak robaka Sasser Dabber Niedługo po pojawieniu si Sassera, opublikowana została informacja, e robak ten zawierał w sobie powany błd, mogcy by wykorzystany do przejcia kontroli nad zainfekowanym komputerem. Luka polegała na moliwoci przepełnienia bufora w otwieranym przez robaka serwerze FTP, działajcym na porcie 5554/TCP. Równoczenie w sieci ukazał si exploit wykorzystujcy t luk. Bardzo szybko zaobserwowano automatyczne próby wykorzystania błdu. W połowie maja stało si jasne, e w Internecie pojawił si kolejny robak, który rozprzestrzeniał si wród systemów zainfekowanych Sasserem. Nazwa Dabber została mu nadana przez LURHQ Threat Intelligence Group, która pierwsza go opisała. Jego działanie przejawiało si otwieraniem tylnej furtki umoliwiajcej kontrol komputera poprzez port 9898/TCP. Po próbie infekcji przez port 5554/TCP robak sprawdzał czy jego atak si powiódł próbujc si połczy przez 9898/TCP. Skala rozpowszechnienia si tego robaka nie była zbyt wielka, przede wszystkim dlatego, e rezydował on tylko w systemach zainfekowanych Sasserem. Uytkownicy jednak do szybko zauwaali spowolnienie pracy swoich komputerów spowodowane przez Sassera i pozbywali si go. Nie mogło to zapewni dobrych warunków rozwoju Dabbera. Do tej pory w sieci zauwaane s cykliczne skany portu 9898/TCP. Dabber nie był pierwszym robakiem-pasoytem, przenoszcym si za pomoc innego złoliwego kodu. Wyprzedził go Doomran, który w marcu rozprzestrzeniał si poprzez tyln furtk otwieran przez wirusa MyDoom. Dabber jednak wykorzystywał błd w Sasserze, a nie za zaprojektowany backdoor Witty 18 marca 2004 opublikowana została informacja o moliwoci zdalnego przepełnienia bufora w produktach ISS, takich jak RealSecure Network, RealSecure Server Sensor, RealSecure Desktop i BlackICE. Niecałe 48 godzin póniej luka ta została wykorzystana przez robaka nazwanego Witty ze

9 wzgldu na tre któr zawierał (^.^) insert witty message here (^.^). Witty uywał nowatorskiego sposobu rozprzestrzeniania si, znanego jako preseeding. Mechanizm ten polegał na zainstalowaniu robaka na grupie uprzejnio przejtych komputerów, które zaraały kolejne. Dawało mu to do dobr szybko infekcji po 45 minutach doszedł on stanu nasycenia, zaraajc około komputerów. Witty był pierwszym robakiem zawierajcym niszczcy kod, któremu udało si rozprzestrzeni na szerok skal. Nie istniał on w postaci pliku, jedynie rezydował w pamici. Po infekcji rozsyłał pakietów do losowy wybranych adresów, po czym nadpisywał partie danych na dysku twardym. O ile komputer jeszcze działał, cykl si powtarzał. Infekcja odbywała si zawsze z portu ródłowego 4000/UDP. Robak zanikł stosunkowo szybko, ze wzgldu na niszczc zawarto i stosunkowo niewielk liczb podatnych systemów. W wielu innych dziedzinach Witty równie był pierwszy. Do zaraenia wykorzystywał najwiksz do tej pory liczb komputerów. Pojawił si najszybciej z dotychczas obserwowanych robaków, nie dajc szans administratorom na wprowadzenie koniecznych poprawek. Nowoci równie był fakt zaatakowania grupy komputerów słucych włanie do ochrony bezpieczestwa, nie za niewiadomych uytkowników. Rys. 2 Atak robaka Witty 4 Ataki na honeypoty Honeypoty, czyli przynty majce zwabi hakerów, rozwijaj si od niezbyt długiego czasu. Ich działanie polega na symulowaniu działania prawdziwego komputera (lub te całej sieci komputerów), z konkretnym systemem operacyjnym, zainstalowanym oprogramowaniem sieciowym i generujcym ruch podobny do rzeczywistego. Usługi oferowane na zewntrz przez honeypot czsto symuluj take wykryte błdy w ich oryginałach. Wszelki ruch sieciowy, który dociera do podstawionego komputera, jest rejestrowany. Dotyczy to wic zarówno pakietów ICMP (takich jak ping), jak i na przykład dokładnych zapyta kierowanych do symulowanego serwera WWW.

10 Instalowanie honeypotów ma kilka, rónicych si znacznie od siebie celów. Pierwszym z nich jest zwabienie prawdziwego hakera do swojej sieci w celu poznania jego metod działania i ewentualnie identyfikacji go. Innym celem jest traktowanie honeypota jako sondy do systemów typu IDS. Z definicji wszelki ruch do tego komputera jest ruchem nielegalnym, w najlepszym wypadku oznaczajcym prób pozyskania informacji. Specjalici czsto równie uywaj honeypotów do identyfikacji zagroe automatycznych. Aby udało si dokładnie sprawdzi działanie robaka sieciowego, zidentyfikowa wszystkie kroki, które robak przechodzi aby zainfekowa zdalny komputer, konieczna jest interakcja z nim. W innym przypadku program uzna, e zdalny system nie jest podatny i nie spróbuje nawet go złama. Rozwiniciem tego celu jest automatyczne generowanie sygnatur ataków dla systemów IDS przez moduły honeypota. W zwizku z faktem, e stosowanie honeypotów stało si powszechne (i modne) wród specjalistów, hakerzy nie czekali długo przed próbami złamania ich zabezpiecze. Ich celem jest przede wszystkim wykrycie honeypota i/lub pozbawienie go funkcjonalnoci logowania. Wybadanie, czy w zdalnej podsieci nie stoi honeypot, jest podstawowym działaniem hakera. Zastosowanie autorskiego systemu włama do zaatakowania atrapy spowodowałoby poznanie metody, jak równie umoliwiłoby poznanie jego samego. Próbuje on wic zwykle po prostu wej w interakcj z usług, sprawdzajc dokładnie otrzymywane odpowiedzi. W przypadku posiadania kontroli nad innym komputerem w tej samej podsieci, haker moe take sprawdzi adresy fizyczne honeypota, jego zachowanie na niszych warstwach i na tej podstawie wywnioskowa z czym ma do czynienia. Badanie odpowiedzi honeypota zawiera wiele rónych testów. Sprawdzane jest jak usługa radzi sobie z rzadko uywanymi bd nietypowymi zapytaniami, z zapytaniami bardzo złoonymi i z duym obcieniem. Z tej przyczyny najlepszym honeypotem byłby prawdziwy system, jednak jego moliwoci logowania s mocno ogranicznone (na przykład w przypadku uycia przez hakera kanałów szyfrowanych). Włamania do systemów na których działaj honeypoty s do rzadkie. Atakujcy wiedz, e zwykle to, co jest przez nie rejestrowane, trafia do innego komputera lub jest zapisywane w formie uniemoliwiajcej skasowanie. Wykorzystywane do włama metody polegaj albo na wykryciu błdu w samym oprogramowaniu honeypota, albo w dopisanym przez uytkownika skrypcie symulujcym konkretn usług. Honeypot jest bardzo dobrym narzdziem poprawiajcym wiadomo tego, co si dzieje w sieci lokalnej. Gdy zostanie wykryty przez hakera, moe jednak sta si celem ataków prowadzcych do przełamania jego zabezpiecze, na przykład w celu wymazania ladów obecnoci. Tego typu działalno ju została zaobserwowana. 5 Przegldarki internetowe

11 Mona niestety stwierdzi, e do tej pory rok 2004 jest czarnym rokiem dla przegldarek internetowych, w szczególnoci dla produktu Internet Explorer. Wykryto w nim du ilo luk. Na wiele z nich (według niektórych szacunków ponad trzydzieci) do tej pory nie zostały udostpnione łaty eliminujce moliwo przejcia kontroli nad komputerami niewiadomych uytkowników. Najpowaniejsze luki dotyczyły midzy innymi mechanizmu ActiveX, który pozwala na tworzenie zaawansowanych stron WWW. Strony takie mog oglda tylko uytkownicy Internet Explorera jest on dostpny tylko w tej przegldarce. Wykorzystanie błdów w przegldarkach najczciej polega na skierowaniu uytkownika na specjalnie spreparowan stron, której załadowanie powoduje uruchomienie programu prowadzcego do przekazania kontroli nad komputerem atakujcemu. W przypadku Internet Explorera niebezpieczestwo jeszcze bardziej wzrasta ze wzgldu na zintegrowanie go z jdrem systemu oraz domylne uywanie go przez niektóre programy pocztowe (midzy innymi Outlook i Outlook Express) do wywietlania tekstu zapisanego w HTMLu wystarczy wówczas otworzy spreparowan przesyłk, bez podejmowania innych akcji. Firma Microsoft, producent Internet Explorera, na niektóre z wykrytych błdów wydała łaty, lecz inne ignorowała (informowały o nich inne instytucje, jak np. US-CERT), lub bagatelizowała (jak błd w kodzie odpowiadajcym za obsług obiektów adodb.stream). Wydawane łaty okazywały si czsto nieskuteczne. Spowodowało to na przełomie maja i czerwca seri porad ekspertów do spraw bezpieczestwa, zalecajcych na czas nieokrelony zmian przegldarki, np. na Oper lub Mozill. Te produkty jednak równie nie były bez wad, jak kady duy program. Zdecydowanie jednak rónił si sposób podejcia do nich ich twórców. Na pocztku lipca w Mozilli wykryto błd umoliwiajcy dostp do powłoki i wykonanie dowolnego polecenia w systemie. Dzie póniej pojawiła si odpowiednia poprawka, za po miesicu Mozilla Foundation zaoferowała 500$ kademu, kto zgłosi powany błd dotyczcy bezpieczestwa w jej przegldarkach. Miało to stanowi form podzikowania dla osób, które przyczyni si do rozwoju Mozilli. Krok ten zaowocowal opublikowaniem we wrzeniu informacji o bardzo duej iloci wykrytych błdów, jak równie pojawieniem si nowej, uaktualnionej wersji przegldarki. 6 Konkluzje Ogólnym stwierdzeniem po opisaniu wyej wymienionych zagroe mogłaby by opinia, e sytuacja w bezpieczestwie teleinformatycznym jest nadzwyczaj trudna. Twórcy wirusów drwi z uytkowników, prowadzc za pomoc tysicy komputerów wojny ze sob; pojawiaj si niszczce robaki sieciowe, zdolne do skutecznej propagacji; niektórzy specjalici głosz szybki koniec Internetu w przypadku uycia 0-day exploit; przegldarki, czyli podstawowe narzdzia do korzystania z Internetu, nie oferuj wystarczajcego poziomu bezpieczestwa; hakerzy ukierunkowuj swoje ataki nie tylko na uytkowników o niskiej

12 wiadomoci, ale włanie na tych, którzy stosuj domowe firewalle czy honeypoty. W niniejszym referacie przedstawiono jednak wyłcznie szereg zagroe, które pojawiły si w cigu ostatniego roku. Eksperci w dziedzinie bezpieczestwa staraj si przeszkodzi fali przestpstw komputerowych tak opracowujc kolejne, ulepszone mechanizmy obrony, jak i wdraajc narzdzia do coraz efektywniejszej identyfikacji ródeł ataku. Przynosi to skutek coraz czciej media przekazuj informacje o zatrzymaniach członków kolejnych grup hakerskich. W najbliszych latach nie ma co si łudzi, e w sieci zapanuje porzdek a wszyscy hakerzy porzuc swoje procedery. Mona jednak, jak najbardziej, liczy na to, e specjalici bd w dalszym cigu zwalczali nie tylko same zagroenia, ale i mechanizmy umoliwiajce ich powstawanie. Wycig trwa, ale jak do tej pory w ogólnym rozliczeniu bronicy (w terminologii Internetowej whitehats) maj przewag nad atakujcymi (blackhats). Nie mona jej straci. Bibliografia [1] Raport CERT Polska za rok 2003, Raport_CP_2003.pdf [2] C. Shannon, D. Moore CAIDA The Spread of the Witty Worm [3] LURHQ Threat Intelligence Group Dabber Worm Analysis [4] w32.sasser.worm.html [5] L. Oudot, T. Holz Deafeating Honeypots