Prim hírek

MyDoom - SCO = 1:0

Geza Papp, 2004. február 2. 10:09

A MyDoom féreg előre bejelentett tegnapi támadása az SCO vállalat lapjai ellen úgy zajlottak, akár egy jól megrendezett show műsor.

A vállalat honlapjait órákon át nem lehetett elérni, teljesen lebénultak. A támadás olyan elsöprő erejű volt, hogy sem az SCO lapok előtt sem azok mellett nem volt olyan honlat, mely képes lett volna akadályozni, vagy legalább enyhíteni a támadást. Ma, vasárnap egész nap az „ígéret” szerint elkezdődött a támadás. Lassan minden Mydoom által megfertőzött gép el kezdett kéréseket küldeni az SCO lapjához. Így a lap össztűzbe került. A támadás az első óráikban a Hálózat csak lassult, még elérhetőek voltak a honlapok. Utána erősödött a támadás, a kérések frekvenciája – melyet előre jeleztek a féreg kódjában – 1024 csomag/millisecundum. Ezután érezhetően lassult a hálózat, a lapok elérése akadozott. Először a www.sco.com, majd az ftp.sco.com vált elérhetetlenné, ugyanúgy, mint az azonos IP című www.caldera.com és ftp.caldera.com.

Az SCO csoport megerősítette a támadás tényét, illetve a következményekét. Elmondásuk szerint már szombaton érezhető volt néhány szórványos kis erejű DDoS támadás, ami vasárnapra felerősödött. Az SCO konszern első számú Informatikai, Technikai és Infrastruktúra igazgatója Jeff Carlon nyilatkozott.

„Remélem, hogy a támadások befejeződnek, de a cégnek úgy kell a védekezési stratégiát kidolgozni, hogy képes legyen egy hasonló erejű DDoS-nak is ellenállni. Hétfőn a munkánk ezzel kezdődik. Nem szeretnénk, ha ismét elérhetetlenné válna a honlapunk, és azt sem hogy ekkora következményes káraink legyenek.”

A támadás adatai meghökkentőek: az Angol MessageLabs önmaga „csak” 14 millió férget tartalmazó fertőzött levelet blokkolt le. A kérések a lapra több tízezer gépről érkeztek egyszerre. A frekvenciájuk maximuma 1024kérés/millisec. volt. Két .htm (SCO, Caldera) vált elérhetetlenné, majd a két cégnek az ftp. szerverei. E mellett kisebb szerverek elérhetősége változott, ingadozott. Az eddig becsült kár 39 milliárd dollár. Ezek érzékeltetik a támadás erejét, az említett iszonyú kérési frekvencia mellett. A Mydoom.A után észlelték variánsát, a B változatot. Ez a Microsoft ellen indított kisebb DDoS támadást, de jelentősen nem lehetett észrevenni – igaz, hogy az a támadás február 03-án várható.

Elméletileg az B-változat sokkal nagyobb területet foglal el a hálózatból, több gépet a csatlakozott PC-k közül. A sebessége mindennek nem éri el – ez érezhető is – az A variánsét. A Mydoom.B a fertőzés után aktiválódik. A fertőzés levelekkel történik, de jelentős szerepe van a megosztott hálózatoknak is. A fertőzés első szakaszában a féreg felderíti, azokat a gépeket, melyeket az A variáns már megfertőzött, hátrahagyva a két nyitott portot, a két hátsó ajtót (backdoor). Ha ilyen gépet talál a backdooron át kapcsolódik hozzá, és fertőzi meg azt, majd az első indításkor aktiválódik, és keresi az újabb gépeket, egyre szélesebb körben A fertőzés után megváltoztatja a gépek hostját, és az IP-jét. Készítve elő a MS elleni támadást.

A vírus szakértők időközben keresték az A verzió szédületes terjedésének az okát. Elméleteik szerint mindez nem a levelekben, hanem az IRC szerverekben rejlik. Nagy valószínűséggel a start úgy kezdődött, hogy az IRC szerver BOT -jai segítségével hallatlan gyorsasággal terjedtek, és fertőzték meg ezer számra a gépeket. Ma ezt tartják a Mydoom fertőzés első fázisának.

A DDoS támadások gyakorlatilag némi hálózati lassuláson túl nem jelentenek veszélyt a személyi számítógépekre. Azoknál sokkal nagyobb veszélyforrás van. Az előző írásaimban említett két portot nyitja ki a féreg, és használja hátsó ajtónak. A gép elhagyása után természetesen nem zárja azt. A felhasználók gépe így tudtukon kívül nyitott lesz a hálózat felé. A szolgáltatók több helyen figyelmeztetik erre felhasználóikat, de mivel a „védekezésben a leggyengébb láncszem az ember” elfelejthetik azt.

Ezzel veszélyeztetik rendszereiket, tárt karokkal várják a rossz szándékú behatolókat. E mellett egy sokkal komolyabb veszély forrásai lehetnek. A nyitott rendszerek mindig alkalmasak spammek küldésére. 'gy a spammereknek csak a fertőzött gépet kell keresni, hogy elinduljon végeláthatatlan levéláradatuk. Ennek veszélyét kevesen értik meg, mert még nem vesznek észre levelezésükben semmit.

Egy kis számolás engedtessék meg: a Mydoom wormok a hálózat forgalmának, levélforgalmának mintegy 40% -át generálták. Ezt még alig lehetett észrevenni. De a nyitott gépek spam forrásként való felhasználása ennél sokkal nagyobb forgalmat generálhat. Ezért kell a fertőzött rendszert javítani. Ha a forgalom tendenciája nem csökken, akkor elképzelhető igen könnyen, hogy a nagyon közeli jövőben a hasznos információcsere lehetetlen lesz lebénul attól a „szeméttől” ami a hálózatra kerül.

A Mydoom írójának „értéke is növekedett”, ma 500.000$ - ra e,emelték fel azt. Annyi biztos, hogy orosz területről származik, de eddig semmi olyan jelet nem találtak, ami az írója nemzetiségére, kilétére utalna.

Az biztos, hogy a hálózatról a féreg nem tűnik el, nem tűnt el egyik sem. Aktivitását elvileg febr.. 12-én beszünteti, tehát a „levél féregtől” tartani nem kell. Az a féreg a fertőzött rendszerben kárt nem tett, rutinjában olyan nem volt, ami miatt állományokat törölt volna, működésképtelenné tette volna a rendszert. Nem lehet eleget hangsúlyozni a hátsó ajtók veszélyét, mert ennél ártalmasabb funkciót – egy gépnél, mely a hálózatra csatlakozott elképzelni nehéz. A féreg eltávolítható, de ezek zárása közös felelőssége a felhasználónak, és a szolgáltatónak.

Vannak eltávolító programok, (Removal Tool) melyek a gépekről eltávolítják a férgeket. Csaknem minden jelentős vírusirtókat gyártó cég lapjáról letölthetők.

Röviden csak annyit jegyeznék meg: a vírusírók leleményessége nem ismer határokat. Jelen esetben a „megszokott” kódolás helyett bináris kódokat, ill.. Unicode karaktereket alkalmaztak. Tömörítés .zip volt. Ez megtévesztette a felhasználót, és megnyitotta azt – elindítva a fertőzést. A hálózatra csatlakozva felelősséget is jelent, felelősséget is vállalunk: részben magunkért, részben a közösségért. Az ilyen váratlan esemény úgy előzhető meg, ha mindenki megfelelően védi a gépét, rendszerét, követi a vírus jelzéseket. Az nem védelem, hogy van egy vírusirtó, esetleg tűzfal, és spyware. Ha azokat nem ellenőrzik, frissítik – csak helyet foglal gépükön, mert funkcióját ellátni nem tudja. Nagyon nehéz lesz eljutni addig, hogy az embert ne a védekezés leggyengébb pontjának tartsák, de közös érdekünk arra törekedni, hogy ellenkezőjét bizonyítsuk.