Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Worm – čili červ. Velmi specifická kategorie škodlivých kódů. A to z mnoha důvodů – mj. proto, že každý z nich působí větší či ještě větší kalamitu, protože jejich vytvoření je věcí velmi obtížnou a nezvládne je kdekdo. Navíc jsou internetoví červi sebereplikující: nepotřebují pro své šíření nic a nikoho (snad jen kromě bezpečnostních nedostatků).

Kde se vzal červ?

Na úvod se pojďme podívat trochu do historie. Bylo to v listopadu roku 1988, kdy se v tehdejší akademické síti objevil kód Worm (Červ – tím de facto dal název celé kategorie sobě podobných škodlivých kódů), jehož autorem byl jistý Robert T. Morris z Cornell University.

Program měl pouhopouhých 99 řádků kódu, ale dokázal navždy změnit svět. Dokázal napadnout zhruba šest tisíc počítačů. Podle dnešních měřítek je to samozřejmě směšně málo, ale musíme si uvědomit, že tehdy šlo o plných osm procent strojů připojených do sítě! Z hlediska percentuálního zavirování všech připojených počítačů Worm nezískal už nikdy konkurenta.

Přestože Worm fyzicky nic nepoškozoval, vyčíslil americký General Accounting Office jím způsobenou škodu v rozmezí sto tisíc až deset miliónů dolarů v důsledku nemožnosti přístupu k internetu po určitý čas pro mnoho uživatelů. Nejpodstatnější ovšem bylo, že se šířil zcela automaticky, bez jakéhokoliv zásahu lidské ruky...

Základní znak: sebereplikace

Právě tato absence nutnosti jakéhokoliv zásahu a schopnost šířit se je základním znakem internetových červů. Pro své šíření nepotřebují nic a nikoho (snad jen kromě bezpečnostních nedostatků). Není tedy potřeba klikat na nějaké přílohy e-mailů, není potřeba stahovat nějaká data z internetu, není potřeba do počítače přinést zavirované CD apod.

Červ má podobu paketu, který se šíří mezi dvěma počítači (podobně jako jakýkoliv jiný internetový provoz), přičemž ve startovacím i cílovém je zpravidla pouze v paměti, takže nikde nevytváří žádné soubory.

Dnešní typický červ se krom toho vyznačuje ještě dalšími znaky. Třeba tím, že se šíří na úrovni protokolů TCP/IP. Dále že zneužívá bezpečnostní díru nějakého operačního systému nebo aplikace. Čím kratší dobu je známá a čím je tedy vyšší pravděpodobnost, že na ni nebude všude aplikována záplata, tím lépe. Na druhou stranu: útočníci vědí, že i starší zranitelnosti skrývají spoustu příležitostí, protože třeba červ CodeRed spatřil světlo světa v roce 2001 a na Síti se s ním lze setkat dodnes! Ale pochopitelně: čím novější zranitelnost, tím méně záplatovaných strojů.

Typický červ dnešní doby obsahuje ještě další rutiny (nejčastěji backdoor aplikaci pro pozdější přístup a ovládání serveru nebo DDoS aplikaci). A v neposlední řadě se snaží dosáhnout co nejvyšší rychlosti šíření - a tedy i co největšího rozšíření (než jej začnou bezpečnostní systémy detekovat a likvidovat).

Základy sebeobrany

Na síťové červy není čas reagovat, musíme na ně být připraveni. Samozřejmostí tak je firewall na úrovni vstupní brány do internetu stejně jako osobní firewall na každé jednotlivé stanici. Nezbytností je kvalitní patch management, řízení aktualizací. Že se už dávno netýká jen operačních systémů, ale prakticky všech aplikací, které se „dotýkají“ internetu (bezpečnostní programy, VoIP apod.) snad netřeba rozvádět.

Ruku v ruce na ochranu pomocí firewallů a záplatování pak navazuje ještě jedna oblast, která bývá v boji proti internetovým červům nezřídka podceňovaná. A tou je oblasti bezpečnostních předpisů a pravidel. Každý systém je tak silný, jak je silný jeho nejslabší článek – a v případě internetových červů je potřeba zajistit, aby tento nejslabší článek vůbec nevznikl. Tedy aby se v síti nevytvořila žádná skulinka.

Není toho skutečně moc, co bychom proti internetovým červům mohli udělat – ale o to důkladněji to málo musíme dělat.

Nová generace červů

Výše popsaný Worm přišel před více než dvaceti lety. Za tu dobu měl svět tu pochybnou „čest“ seznámit se s kódy jako CodeRed, Slapper, Slammer, Blaster, MyDoom, Sasser, Stration, Warezov či Storm, které se (v tom špatném slova smyslu) staly součástí dějin kybernetického prostoru.

Nyní se lze setkat s novou generací síťových červů, které se šíří prostřednictvím zranitelností ve webových aplikacích – zvláště pak v tzv. společenských sítích. V nich zneužívají především chyby v XSS.

První generace těchto „webových“ červů byly z kategorie „proof-of-concept“ (důkaz, že to vůbec jde), dnešní už představují plnohodnotné riziko – jsou schopné krást data a provádět další nebezpečné aktivity. Jedná se např. o útok pomocí QuickTime souboru, který obsahuje backdoor schopný měnit profil uživatele tak, že k němu přidává odkazy na pornostránky obsahující spyware. De facto tak zneužívá dobrého jména uživatele (= ostatní přátelé mu zpravidla věří) ve svůj prospěch.

Útočníci zkrátka přicházejí s novými technikami a novými vektory šíření, na které nejsou uživatelé zvyklí a proti nimž nejsou imunní.