Rok červa Tomáš Vobruba;
[email protected] AEC, spol. s r.o.
Rok 2003 byl zatím nejhorší ze všech
2
Ohlédnutí za rokem 2003 • V roce 2003 oslavila virová scéna 20 let. • Rok 2003 ukázal obrovský nárůst popularity síťových červů. • Počet známých virů dosáhnul hodnoty 90 tisíc. • V roce 2003 jedna antivirová společnost zaznamenala celkem sedm masivních virových útoků. • V roce 2002 o byly pouze dva útoky. • V roce 2003 bylo zaznamenáno 28 alertů druhé úrovně • V roce 2002 jich bylo o tři méně. • 5 případů z loňského roku naznačuje směr vývoje: • Slammer, Bugbear.B, Blaster, Sobig.F a Swen 3
Ohlédnutí za rokem 2003 • Leden – zaútočil Slammer, největší útok v historii Internetu. Byla objevena první verze Sobigu -> Sobig.A. • Únor – Lovgate.A – virus, který se pokoušel uhádnout hesla uživatelů a infikovat počítač přes sdílení v síti. • Březen – Ganda virus – virus poukazující na válku v Iráku. • Květen – Fizzer – virus, který ukazuje na propojení se spamery. • Červen – Bugbear.B atakuje banky po celém světě. - Další exklusivní varianty Sobigu -> Sobig.D a Sobig.E.
4
Ohlédnutí za rokem 2003 • Srpen – nejhorší měsíc v historii virů – Blaster, Welchi, Sobig.F, první varianta viru Mimail. • Září – Swen – způsoboval problémy s e-mail komunikací ještě měsíc poté. Mimail.B a Vote.K – viry k výročí 11. září 2001. • Říjen – Sober – virus, který se tváří jako e-mail z antivirových firem. • Listopad – Mimail.E varianta útočila na antispamové servery a snažila se ukrást informace o kreditních kartách.
5
Síťoví červi • Tento typ škodlivých kódů si žel získává stále větší pozornost administrátorů a bezpečnostních analytiků. • Donedávna bylo sice rozpracováno několik konceptů šíření síťových červů, tyto ale zůstávaly především v teoretické rovině. • Historie síťových červů se začala psát s Morrisovým červem (listopad 1988). Jejich opravdový nástup začal červem Code Red v roce 2001 a v širším měřítku v roce 2002. Červi z roku 2003 pokračují v zahájeném trendu. Úspěšných červů sice nebylo kvantitativně mnoho, ale přesto způsobili výrazný nárůst síťového provozu, který v některých případech vedl ke zkolabování sítě.
6
Denial of Service útok Dostupnost služby/zdroje je úmyslně blokována nebo degradována. Útok zamezuje dostupnost nebo přístup ke službě jeho regulérními uživateli.
7
DDoS Attack
T
A
8
Současné případy • Slammer • Welchi • MSBlast • Bugbear • Swen • Sobig
9
Případ Bugbear.B • Detekován byl 5. června 2003. • Bugbear verze B se šířil především prostřednictvím elektronické pošty. • Pro své šíření prostřednictvím elektronické pošty využíval Bugbear.B vestavěný SMTP motor. • E-mailový červ kradl mimo jiných informací i hesla ze systému a posílal je na předdefinované adresy. • Virus také sebou nesl seznam IP adres 1300 amerických, evropských, afrických, australských a asijských bank. • Za zmínku určitě stojí: vub.sk, slsp.sk, nbs.sk, istrobanka.sk a basl.sk .
10
Případ Bugbear.B
11
Případ Blaster,Lovsan, MSBlast • Detekován byl 11. srpna 2003. • Červ je velmi podobný svým chování Slammeru. • Zneužíval bezpečnostní díry v RPC službě na MS Windows XP a 2000. • Zajímavé je, že bezpečnostní slabina, kterou využíval, byla zveřejněna pouhý měsíc předem! • Cílem DDoS útok vůči windowsupdate.com • Přestože útok nebyl úspěšný, doména byla zrušena, a tím vlastně virus vyhrál.
12
Lovsan,MSBlast,Blaster
13
Welchi – hodný strýček virus • Welchi byl bratříček MSBlastu. • Zneužíval stejnou slabinu a šířil se stejně. • Na druhou stranu na zranitelném počítači provedl stažení opravy a její instalaci. • Dosti kontroverzní způsob boje proti virům. • Welchi generoval o dost vyšší síťový provoz než jeho bratříček. • Oba viry způsobili poměrně velké problémy komerčním firmám a poprvé zde také mluvíme o reálném výpadku reálných služeb!
14
Případ Sobig.F • O týden později (19. srpna 2003) se objevil Sobig.F. • Nejhorší emailový červ ze všech. Po celém světě stihnul rozeslat přes 300 000 000 infikovaných emailů. • AOL 20. srpna 2003 reportoval 20 000 000 infikovaných e-mailů za 24 hodin. • Vypadá to, že za skupinou červů Sobig stojí více než jeden amatérský pisatel. • Různé varianty se chovají různě, ale všechny mají explicitní dobu šíření. • Důvod je jasný, vyklidit „pole“ dokonalejšímu bratříčkovi. • Sobig.F obsahoval zašifrovanou rutinu, a příkaz, že v určitou dobu si má napadený počítač stáhnout cosi z 20 předdefinovaných serverů. • Na odhalení spolupracovala i FBI. 15
Případ Sobig.F
16
Případ Swen • Swen se začal šířit 18. září 2003. • Objevil se nový problém – VELMI dokonalé sociální inženýrství. • Swen se maskoval jako originální záplata od Microsoftu! • Alarmem by mělo být, že Microsoft nikdy nerozesílá hotfixy e-mailem. • Swen nevypadal jako nějaký vážnější problém, bohužel nejvíce problémům přinesl ISP, protože Swen generoval náhodné emailové adresy. Spousta z nich byla neexistujících, což přinášelo problémy právě ISP.
17
Případ Swen
18
SPAM
19
Pisatele virů a SPAM • Sbírání e-mailových adres. • Zřízení e-mailových serverů. • Zřízení webových serverů k nabízení zboží. • Útoky proti antispamovým serverům.
20
Oni spolupracují! Ocituji tady svého kolegu ze společnosti F-Secure, Mikka Hyponnena: „Suddenly the nature of our counterpart has changed completely. Our enemy used to be amateurs who wrote viruses for the fun of it. Now viruses are generated by spammer gangs, who develop viruses professionally". Přeloženo do češtiny: „Náhle se povaha našeho protivníka kompletně změnila. Náš nepřítel býval amatér, který psal viry jen tak pro zábavu. Dnes jsou viry vytvářeny skupinami spamerů, kteří vyvíjejí viry profesionálně“
21
Případ Mimail.E • Jedná se o velmi blízkou variantu viru Mimail.C • Mimail.E je přesně tím typem emailového červa, který se pokusil o DDoS útok na antispamové servery: spamhaus.org spamcop.net www.spews.org www.spamhaus.org www.spamcop.net
• Což nás vede k domněnce o organizovanosti a propojenosti spamerů a pisatelů virů. V horším případě spamer = virus writer. • Mimo jiné pochopitelně zkouší ukrást data z aplikace E-gold a odeslat informace na e-mailové adresy.
22
Viry a kritická infrastruktura Rok 2003 zahrnoval nejenom problémy virů, ale také ukázal reálné problémy s útoky virů: • Slammer dokázal dramaticky snížit průchodnost • • • •
celého Internetu. Chyba v RPC způsobila díky viru Welchi, Blaster zastavení letového provozu. Chyba RPC způsobila výpadek bankomatů v USA. Blaster taktéž způsobil zastavení vlakové sítě. S virem je spojována také mediální kauza výpadku el. proudu v USA.
23
Typický dnešní scénář průniku • Kanál do vnitřní sítě (dial-up, ISDN, Wi-Fi…), který obchází firewall. • Tento kanál není dostatečně zabezpečen: antivir nemusí stačit (několik minut po vypuštění červa jistě nebude mít aktuální báze, běží nad děravým OS), nutný je dobře nastavený a fungující personální firewall. • Ve vnitřní síti je antivirem nechráněný stroj, na kterém existuje červem zneužívaná bezpečnostní chyba. Stroj je infikován a stejně tak všechny ostatní nechráněné stroje. Jsou generována kvanta hlášení o infekci a admin je zahlcen virovými hlášeními. • Telefonát na hot-line: „Ten váš antivir mi nefunguje a mám zavirovanou celou síť.“
24
Slammer (Sapphire, Helkern)
První výskyt: 25. ledna 2003. Historicky první „zhmotnění“ jedné z nejhorších variant síťových červů. Prozatím nejrychlejší sítový červ v historii – během 10 minut infikoval více než 90 procent infikovatelných strojů.
25
Slammer (Sapphire, Helkern)
• Během první minuty šíření se počet infikovaných strojů zdvojnásobil každých 8,5 sekundy! • Asi po třech minutách působení dosáhl plné skenovací rychlosti: 55 000 000 skenů za sekundu!!! • Většina infikovatelných strojů byla nakažena do 10 minut od vypuštění červa. Celkem asi 75 000 strojů.
26
Slammer
27
Slammer
28
Slammer x Code Red Slammer byl o dva řády rychlejší než Code Red: Populace červů Slammer se zdvojnásobila každých 8,5 sekund! Populace červů Code Red se zdvojnásobila každých 37 minut!
Proč byl Slammer tak rychlý? TCP-SYN x UDP pakety.
29
Slammer •
Slammer má pouhých 376 bytů!!! Zde je jeho nejdůležitější část:
•
BufferOverrun (gets into vulnerabe machine)
•
Gets Win32 APIs (GetTickCount, socket, send)
•
"socket" : opens socket
•
Loop:
•
IP = "GetTickCount"
•
"send" my-code-to-IP
•
goto Loop
•
To je vše. Důsledky: znepřístupnění 5 ze 13 internetových kořenových jmenných serverů (root nameservers), problémy s dostupností 13,000 automatů Bank of America, zrušené lety, znepřístupnění systémů v jaderné elektrárně Davis-Beese atd. 30
Jeden praktický příklad za všechny Síťový červ Slammer proniknul do sítě jaderné elektrárny DavisBesse v Ohiu a vyřadil na několik hodin z provozu dva systémy, které se podílejí na monitorování reaktoru.
Zdroj: http://www.securityfocus.com/news/6767
31
Jaderná elektrárna Davis-Besse Chronologie událostí byla následující: • Uživatelé obchodní sítě firmy Davis-Besse zaznamenali její snížený výkon ve stejné chvíli, kdy se objevily problémy způsobené Slammerem po celém světě. • Z obchodní sítě červ proniknul do sítě elektrárny, kde našel minimálně jeden nezaplátovaný server. • Kolem 16.00 zaznamenali operátoři elektrárny snížený výkon sítě v elektrárně.
32
Jaderná elektrárna Davis-Besse Chronologie událostí: • V 16.50 zahlcuje červ síť natolik, že přestává fungovat zobrazování na panelu SPDS (Safety Parameter Display System). SPDS monitoruje většinu klíčových indikátorů elektrárny (např. chladící systémy, klíčové teplotní senzory, vnější senzory radiace atd.). Mnoho z nich musí být pečlivě sledováno, i když je elektrárna „off-line“. • V 17.13 zkolaboval další, ne tak kritický, monitorovací systém – „Plant Process Computer“.
33
Jaderná elektrárna Davis-Besse Důsledky: • SPDS byl zprovozněn po čtyřech hodinách a padesáti minutách a PPC po více než šesti hodinách. • Incident naštěstí neměl závažné důsledky, protože záložní systém zůstal červem nedotčen a navíc byl reaktor v té době odstaven. Každopádně je ale z této situace zřejmé, že za určitých podmínek mohou škodlivé kódy ovlivnit klíčové systémy. • Povrchní závěr - vlastně se nic nestalo. • Ale doposud byly zmíněny jen problémy způsobené vysokým zatížením sítě! Položme si ale otázku – na jaké aplikace červ útočí? Co mohl útočník (teoreticky) získat? 34
Válka v Iráku • Válka, která začala vloni na jaře vzedmula vlnu obav, co se na bojovém poli internetu stane. • Útoky se pochopitelně objevily a byly následujícího charakteru: • DoS útok vůči Al-Džazíra TV stanici. • DoS útok vůči britskému Ministerskému předsedovi. • Webové útoku vůči serverům US Army, Navy, Air Forces. • Několik virů. • Několik dalších webů, na kterých byl citován Korán.
35
Válka v Iráku Počet útoků po začátku války byl 20krát vyšší než týden předtím.
• http://www.f-secure.com/virus-info/iraq.shtml 36
Cesta k ochraně počítače • • • •
Pravidelně aplikujte opravy na váš operační systém. Vypínejte počítač nebo se odpojte od počítačové sítě, vždy když jej nepoužíváte. Instalujte antivirové programy, které se automaticky aktualizují. Instalujte personální firewally – to se týká i stanic uvnitř podnikové sítě. O mobilních nebo domácích stanicích nemluvě
37
Budoucnost • Můžeme čekat, že dojde k ještě větší profesionalizaci. • Zatím nebyly prokázány žádné útoky virů zaměřené schválně vůči nějaké síti či firmě, které by byly úspěšné. • Tady můžeme čekat, že se něco brzo objeví. • Hodně se mluví o zkracování intervalu mezi odhaleným exploitem a novým červem. • Mluví se dokonce o červech zneužívající neznámé chyby.
38
Dotazy?
Děkuji za pozornost
39
