Ewolucja z艂o艣liwego oprogramowania: pa藕dziernik - grudzie艅 2005
Senior Virus Analyst, Kaspersky Lab
Rok 2005 obfitowa艂 w incydenty zwi膮zane z bezpiecze艅stwem IT. Wiele z nich zosta艂o om贸wionych w naszych raportach kwartalnych. Najnowszy raport opisuje trendy wyst臋puj膮ce w czwartym kwartale 2005 roku, miedzy innymi pojawienie si臋 wirus贸w dla nowych platform oraz luki "zero day".
- Sober - unikatowy robak
- Ewolucja Krottena i cybernetyczny szanta偶
- Luki "zero day"
- Mobilne z艂o艣liwe oprogramowanie
- Konsole do gier - nowa platforma dla wirus贸w?
- Rootkit Sony
Sober - unikatowy robak
15 listopada 2005 r. bawarska policja opublikowa艂a notk臋 prasow膮 ostrzegaj膮c膮 przed pojawieniem si臋 nowej wersji robaka pocztowego Sober, nie podaj膮c jednak, na czym opiera swe doniesienia. Poniewa偶 Sober zosta艂 stworzony w Niemczech, firmy antywirusowe na ca艂ym 艣wiecie potraktowa艂y to ostrze偶enie niezwykle powa偶nie. Zaledwie dzie艅 p贸藕niej, 16 listopada, firma Kaspersky Lab otrzyma艂a pr贸bk臋 najnowszej wersji tego robaka. Pr贸bka ta,
18 listopada miliony u偶ytkownik贸w z Europy Zachodniej otrzyma艂y dziwne wiadomo艣ci e-mail. Wiadomo艣ci r贸偶ni艂y si臋 mi臋dzy sob膮, wszystkie jednak informowa艂y adresat贸w, 偶e 艣ci膮gaj膮c z Internetu muzyk臋 lub pliki wideo, naruszyli prawa autorskie. Wiadomo艣ci pochodzi艂y rzekomo od FBI. U偶ytkownicy zostali poproszeni o otwarcie za艂膮czonego pliku, kt贸ry mia艂 zawiera膰 dowody wykroczenia.
By艂 to kolejny przyk艂ad doskonale przemy艣lanej socjotechniki, kt贸r膮 Sober ju偶 raz si臋 pos艂u偶y艂 wiosn膮 2005 roku. Tym razem metoda r贸wnie偶 okaza艂a sie skuteczna i dziesi膮tki (a nawet setki) u偶ytkownik贸w, nie podejrzewaj膮c 偶adnego podst臋pu, otworzy艂o za艂膮cznik wiadomo艣ci wypuszczaj膮c na wolno艣膰 robaka Sober.y. W ten spos贸b wywo艂ali kolejn膮 epidemi臋. Sober wykorzystywa艂 wszystkie zainfekowane maszyny do masowego rozsy艂ania wiadomo艣ci e-mail, w ruchu pocztowym zacz臋艂y wi臋c kr膮偶y膰 dziesi膮tki milion贸w jego kopii.
Wiadomo艣ci pochodz膮ce rzekomo od FBI spowodowa艂y jeszcze inn膮 szkod臋. W ich tre艣ci podano numer centrali telefonicznej FBI. Skutek by艂 taki, 偶e u偶ytkownicy nie tylko otworzyli za艂膮cznik, ale niekt贸rzy z nich zadzwonili bezpo艣rednio do FBI, przeprowadzaj膮c swoisty atak DDoS na central臋 telefoniczn膮.
Epidemia osi膮gn臋艂a sw贸j szczyt na pocz膮tku grudnia. Sober.y by艂 jednym z najskuteczniejszych wirus贸w w roku 2005 pod wzgl臋dem zainfekowanych maszyn i wiadomo艣ci w ruchu pocztowym.
Sukces rodziny Sober jest w pewnym sensie zagadk膮. Trudno powiedzie膰, dlaczego robaki Sober zdo艂a艂y spowodowa膰 epidemi臋 takich rozmiar贸w. Z technicznego punktu widzenia robak ten jest bardzo prymitywny - zosta艂 napisany w Visual Basicu i jest do艣膰 du偶y. Visual Basic jest niezwykle prostym j臋zykiem programowania, kt贸rego praktycznie ka偶dy jest w stanie si臋 nauczy膰. Wi臋kszo艣膰 wirus贸w pisanych jest dzisiaj w j臋zyku C/C++ lub asemblerze. Innym popularnym 艣rodowiskiem jest Delphi. Visual Basic wykorzystywany jest zwykle do tworzenia prostych, a nawet prymitywnych szkodnik贸w - poza Soberem, nie przychodzi mi do g艂owy 偶aden wirus napisany w tym j臋zyku, kt贸ry wywo艂a艂 globaln膮 epidemi臋.
Ostatnie epidemie wirusowe wywo艂ywane by艂y zazwyczaj przez wirusy, takie jak
Zagro偶enia wirusowe ewoluuj膮. Na pocz膮tku z艂o艣liwe programy powstawa艂y w celu wyrz膮dzania niewielkich szk贸d (jak np.
Rodzina robak贸w Sober ma ju偶 dwa lata. Prawie ka偶dy jej wariant stanowi艂 znacz膮ce wydarzenie w 艣wiecie wirus贸w. Poza szkodliwymi funkcjami robaka, jego autor wykorzystuje go do rozsy艂ania skrajnie prawicowej propagandy. Sober jest wi臋c przyk艂adem wirus贸w politycznych, o kt贸rych pisa艂em w ostatnim raporcie. Nie mo偶na wykluczy膰 aresztowania autora robaka w najbli偶szej przysz艂o艣ci; by膰 mo偶e ostrze偶enie policji bawarskiej przed potencjaln膮 epidemi膮 Sobera oznacza, 偶e organy 艣cigania s膮 bliskie z艂apania jego tw贸rcy.
Ewolucja Krottena i cybernetyczny szanta偶
W poprzednich raportach oraz dzienniku analityk贸w pisali艣my o nowej klasie z艂o艣liwych program贸w tworzonych w jednym tylko celu: uzyskania pieni臋dzy od u偶ytkownik贸w. Programy te dzia艂aj膮 w niezwykle prosty spos贸b: po przenikni臋ciu do maszyny ofiary szyfruj膮 jej dane, a nast臋pnie 偶膮daj膮 zap艂aty za odszyfrowanie. Typowymi przyk艂adami takich z艂o艣liwych program贸w s膮: GpCode (zobacz http://viruslist.pl/analysis.html?newsid=85) oraz JuNy (zobacz http://viruslist.pl/weblog.html?weblogid=186).
Niekt贸rzy u偶ytkownicy kontaktuj膮 si臋 z autorami tych program贸w i p艂ac膮 偶膮dan膮 sum臋. Inni wykazuj膮 wi臋kszy spryt i przesy艂aj膮 pliki do firm antywirusowych. Na szcz臋艣cie, autorzy program贸w tego typu nie posiadaj膮 du偶ych umiej臋tno艣ci kryptograficznych. Analitycy z Kaspersky Lab nie mieli 偶adnych problem贸w ze z艂amaniem algorytmu szyfruj膮cego. Zdo艂ali艣my nie tylko odszyfrowa膰 zaszyfrowane pliki, ale tak偶e doda膰 t臋 funkcj臋 do naszej antywirusowej bazy danych.
We wrze艣niu 2005 roku wykryli艣my nowego trojana o nazwie
W szczeg贸lno艣ci, Krotten blokuje Edytor rejestru (regedit.exe), uniemo偶liwia uruchomienie Mened偶era zada艅, zamkni臋cie okien przegl膮darki Internet Explorer oraz Eksploratora Windows, jak r贸wnie偶 uzyskanie dost臋pu do konfiguracji plik贸w i folder贸w; szkodnik modyfikuje menu Start, uniemo偶liwia uruchomienie wiersza polece艅 itd.
Oczywi艣cie u偶ywanie tak bardzo zmodyfikowanego komputera jest praktycznie niemo偶liwe. Za przywr贸cenie jego normalnego dzia艂ania autorzy Krottena 偶膮dali 25 hrywien (waluta Ukrainy), tj. r贸wnowarto艣ci 5 dolar贸w.
W ci膮gu nast臋pnych miesi臋cy wykryli艣my ponad 30 modyfikacji Krottena i wci膮偶 otrzymujemy nowe pr贸bki.
Przypadek Krottena pokazuje, 偶e wymuszenia internetowe ciesz膮 si臋 coraz wi臋ksz膮 popularno艣ci膮 w艣r贸d tw贸rc贸w wirus贸w. Jest to bardzo niebezpieczny trend, kt贸ry nasila si臋 z ka偶dym miesi膮cem. Mo偶na go okre艣li膰 jako osobny rodzaj cyberprzest臋pczo艣ci. Inne przest臋pstwa cybernetyczne nie s膮 dla nas niczym nowym: w ci膮gu ostatnich lat przywykli艣my do przypadk贸w kradzie偶y r贸偶nych danych u偶ytkownika - numer贸w kart kredytowych, hase艂 i innych informacji. Cyberprzest臋pcy wykorzystuj膮 te dane na r贸偶ne sposoby - mog膮 je odsprzeda膰 lub wykorzysta膰 do kradzie偶y to偶samo艣ci. Jednak偶e banki internetowe, systemy p艂atno艣ci elektronicznej oraz firmy antywirusowe wprowadzaj膮 dzia艂ania, kt贸re skutecznie przeciwdzia艂aj膮 takim przest臋pstwom. W efekcie s膮 one coraz trudniejsze do pope艂nienia i coraz mniej op艂acalne. Poza tym na scenie pojawi艂a si臋 nowa generacja tw贸rc贸w wirus贸w - tw贸rcy ci nie chc膮, ani nie potrafi膮 tworzy膰 skomplikowanych koni troja艅skich. S膮 to dzieciaki, kt贸re dorastaj膮 i zwracaj膮 si臋 w kierunku szanta偶u cybernetycznego. Dlaczego mieliby kra艣膰 dane, kt贸re trudno p贸藕niej sprzeda膰? O wiele 艂atwiej jest naci膮gn膮膰 u偶ytkownik贸w na drobne sumy - a je艣li b臋dzie ich wystarczaj膮co wielu, zysk b臋dzie odpowiednio du偶y.
Luki "zero day"
Pojawienie si臋 krytycznych luk w systemie Windows nieuchronnie prowadzi do zwi臋kszenia aktywno艣ci wirus贸w, a czasem do globalnych epidemii. Byli艣my tego 艣wiadkami w sierpniu 2003 roku, kiedy W przypadku wirus贸w, kt贸re przenikaj膮 do systemu poprzez znane luki, rozwi膮zanie problemu stanowi膮 艂aty Microsoftu. Pozostaje jednak problem wirus贸w tworzonych w celu wykorzystania luk "zero day", czyli takich, dla kt贸rych nie istniej膮 jeszcze 艂aty. Microsoft kontroluje sytuacj臋 poprzez blisk膮 wsp贸艂prac臋 z firmami specjalizuj膮cymi si臋 w identyfikowaniu luk. Czasami od wykrycia luki do opublikowania 艂aty mo偶e up艂yn膮膰 kilka miesi臋cy, jednak informacje o lukach nie s膮 do tego czasu publikowane, a tym samym nie s膮 powszechnie dost臋pne.
Pod koniec roku 2005 mia艂a miejsce sytuacja bezprecedensowa. W odst臋pie miesi膮ca w systemie Windows pojawi艂y dwie krytyczne luki. Informacje o nich przedosta艂y si臋 do opinii publicznej, zanim opublikowano 艂aty. W obu przypadkach luki te wykorzystano do rozprzestrzeniania z艂o艣liwych program贸w.
21 listopada brytyjska grupa naukowc贸w, wyst臋puj膮ca pod dziwn膮 nazw膮 "Computer Terrorism", opublikowa艂a exploita typu proof of concept (demonstruj膮cego now膮 technologi臋), kt贸ry dzia艂a艂 w ca艂kowicie za艂atanej wersji przegl膮darki Internet Explorer. Luka dotyczy艂a funkcji Java Script 'window()', a informacje o niej zosta艂y po raz pierwszy upublicznione w maju 2005. Wtedy jednak Microsoft nie widzia艂 偶adnego sposobu wykorzystania tej luki do wykonania dowolnego kodu na komputerze ofiary i nie oceni艂 jej jako krytyczn膮. W konsekwencji za艂atanie tej luki nie by艂o traktowane jako priorytet.
Wygl膮da na to, 偶e naukowcy z "Computer Terrorism" zrozumieli luk臋 lepiej ni偶 firma Microsoft. Po niewielkich modyfikacjach kod wirusa typu proof of concept umo偶liwia艂 zainstalowanie i wykonanie pliku w systemie ofiary bez wiedzy i zgody samego u偶ytkownika.
Tw贸rcy wirus贸w potrzebowali niewiele ponad tydzie艅 czasu, aby umie艣ci膰 z艂o艣liwy kod na stronie internetowej. Wykryli艣my wiele trojan贸w rozprzestrzeniaj膮cych si臋 w ten spos贸b. Jedynym zabezpieczeniem przed takim trojanem by艂o wy艂膮czenie obs艂ugi Java Script w przegl膮darce Internet Explorer, jednak niewielu u偶ytkownik贸w skorzysta艂o z tej opcji. Kilkadziesi膮t, a nawet kilkaset milion贸w u偶ytkownik贸w na ca艂ym 艣wiecie by艂o nara偶onych na infekcj臋 tym trojanem. By艂 to pierwszy przypadek wykorzystania przez trojana luki w systemie Windows, dla kt贸rej nie istnia艂a 艂ata.
Wydawa艂oby si臋, 偶e Microsoft zrobi wszystko, co jest mo偶liwe, aby naprawi膰 ten b艂膮d. W ko艅cu firma chce, aby kojarzono j膮 z walk膮 ze z艂o艣liwym oprogramowaniem. Wcze艣niej Microsoft opublikowa艂 w艂asne oprogramowanie antywirusowe oraz zapowiedzia艂, 偶e b臋dzie wst臋powa艂 na drog臋 s膮dow膮 przeciwko tw贸rcom wirus贸w. Jednak w tym przypadku reakcja Microsoftu by艂a do艣膰 nieoczekiwana. Firma og艂osi艂a, 偶e chocia偶 luka zosta艂a okre艣lona jako krytyczna, nie przewiduje si臋 publikacji 偶adnej 艂aty poza zwyk艂ym cyklem. Od roku 2002 Microsoft publikuje 艂aty w ka偶dy drugi wtorek miesi膮ca. Najnowsze 艂aty mia艂y pojawi膰 si臋 13 grudnia i Microsoft planowa艂 trzyma膰 si臋 grafiku.
Od dnia pojawienia si臋 kodu typu proof of concept min臋艂y trzy tygodnie, natomiast od wykrycia luki - sze艣膰 miesi臋cy. Jest to do艣膰 d艂ugi okres czasu, w ci膮gu kt贸rego zainfekowanych mog艂o zosta膰 wielu u偶ytkownik贸w przegl膮darki Internet Explorer. Zaniepokojenie wzros艂o, gdy w ci膮gu dw贸ch tygodni historia powt贸rzy艂a si臋, tym razem jednak konsekwencje mog艂y by膰 o wiele powa偶niejsze.
26 grudnia niekt贸re firmy antywirusowe otrzyma艂y tajemnicze pliki WMF. Analitycy wykazali, 偶e pliki te zawieraj膮 kod wykonywalny, kt贸ry pobiera pliki ze stron zawieraj膮cych programy adware oraz spyware. Wykonanie z艂o艣liwego kodu nast臋powa艂o po otwarciu przez u偶ytkownika pliku WMF. Inne czynno艣ci, takie jak wykorzystanie Exploratora Windows do otwarcia katalogu, w kt贸rym znajduje si臋 plik, przegl膮danie w艂a艣ciwo艣ci pliku itd. r贸wnie偶 powodowa艂y wykonanie z艂o艣liwego kodu. Kod m贸g艂 zosta膰 wykonany w ka偶dej z dost臋pnych system贸w Windows, 艂膮cznie z wersj膮 Windows 95/98, nawet tych ca艂kowicie za艂atanych.
By艂a to niew膮tpliwie najnowsza luka "zero day", a Microsoft nic o tym nie wiedzia艂. Najbardziej niepokoj膮ce w ca艂ej sprawie jest to, 偶e tw贸rcy wirus贸w wyprzedzili w wykryciu tej luki nie tylko firm臋 Microsoft, ale tak偶e inne du偶e firmy specjalizuj膮ce si臋 w identyfikowaniu luk.
Analiz膮 najnowszej luki zaj臋艂o si臋 w ci膮gu nast臋pnych dw贸ch dni wielu ekspert贸w z bran偶y bezpiecze艅stwa. Informacje o niej zosta艂y opublikowane, a wi臋kszo艣膰 firm antywirusowych doda艂a do swoich produkt贸w heurystyczne wykrywanie zainfekowanych plik贸w WMF. Jednak Puszka Pandory zosta艂a ju偶 otwarta i w Internecie zacz臋艂y kr膮偶y膰 nowe programy typu ko艅 troja艅ski, kt贸re wykorzystywa艂y omawian膮 luk臋. W jednym tygodniu wykryto a偶 tysi膮c zainfekowanych "obrazk贸w". Poniewa偶 luka by艂a obecna we wszystkich wersjach systemu Windows, istnia艂o ryzyko, 偶e sytuacja wymknie si臋 spod kontroli. Luk臋 wykorzystywano r贸wnie偶 do rozprzestrzeniania robak贸w i spamu.
Na szcz臋艣cie wszystko to mia艂o miejsce w 艢wi臋ta Bo偶ego Narodzenia. Liczba u偶ytkownik贸w Internetu by艂a znacznie mniejsza ni偶 zazwyczaj i w艂a艣nie to pozwoli艂o na unikni臋cie powa偶nej katastrofy.
Jednak reakcja Microsoftu na wykrycie nowej luki i tym razem by艂a niezrozumia艂a. Firma opublikowa艂a biuletyn KB 912840, w kt贸rym poinformowa艂a o zidentyfikowaniu luki i wyszczeg贸lni艂a zagro偶one wersje system贸w Windows. Konkretne informacje pojawi艂y si臋 3 stycznia 2006 r., gdy Microsoft zapowiedzia艂 wypuszczenie 艂aty 10 stycznia w ramach comiesi臋cznego biuletynu. Sw膮 decyzj臋 firma argumentowa艂a konieczno艣ci膮 przeprowadzenia dok艂adnych test贸w nad 艂at膮 i zlokalizowania jej dla wszystkich wersji systemu Windows. Microsoft zapewnia艂 r贸wnie偶, 偶e chocia偶 problem by艂 powa偶ny, nie wykryto 偶adnej znacz膮cej epidemii wirusowej.
Bran偶a IT by艂a przera偶ona. Ju偶 drugi raz w miesi膮cu Microsoft nie tylko nie by艂 w stanie w艂a艣ciwie zareagowa膰 na problem bezpiecze艅stwa, ale wydawa艂 si臋 nie rozumie膰 powagi sytuacji. Liczba krytycznych artyku艂贸w dor贸wnywa艂a ilo艣ci wykrytych zainfekowanych plik贸w WMF. Jednocze艣nie nast膮pi艂 przeciek opracowanej przez firm臋 Microsoft 艂aty w wersji beta dla systemu XP. 艁ata ta zosta艂a opublikowana na wielu stronach WWW i wraz z nieoficjaln膮 poprawk膮 opracowan膮 przez Ilfaka Gulfanova, stanowi艂a jedyne dost臋pne rozwi膮zanie.
6 stycznia firma Microsoft pod naciskiem krytyki wyda艂a biuletyn MS06-001 zawieraj膮cy 艂at臋 dla luki WMF.
Istotnym aspektem ca艂ej sprawy jest to, 偶e luka ta zosta艂a po raz pierwszy wykryta przez cz艂onk贸w podziemia komputerowego. Eksperci z Kaspersky Lab przeanalizowali problem i doszli do nast臋puj膮cych wniosk贸w:
Luka zosta艂a najprawdopodobniej wykryta przez anonimow膮 osob臋 oko艂o 1 grudnia 2005 roku. Stworzenie exploita umo偶liwiaj膮cego wykonanie dowolnego kodu na komputerze ofiary zaj臋艂o kilka dni. Mniej wi臋cej w po艂owie grudnia mo偶na by艂o kupi膰 exploita na r贸偶nych specjalistycznych stronach WWW. Wygl膮da na to, 偶e program ten sprzedawa艂y za 4 tys. dolar贸w dwie lub trzy rywalizuj膮ce ze sob膮 grupy haker贸w z Rosji. Interesuj膮ce jest to, 偶e grupy te nie w pe艂ni rozumia艂y luk臋. Jeden z nabywc贸w exploita zamieszany by艂 w przest臋pcz膮 dzia艂alno艣膰 dotycz膮c膮 rozprzestrzeniania program贸w typu adware/spyware. Najprawdopodobniej w ten spos贸b informacje o exploicie przedosta艂y si臋 na zewn膮trz.
Nie wiemy, kto pierwszy wykry艂 luk臋. Wiemy natomiast, kto bra艂 udzia艂 w tworzeniu i rozprzestrzenianiu exploita oraz jego kolejnych modyfikacji. Na podstawie posiadanych przez nas danych oraz "rosyjskiego 艣ladu" w tej sprawie, mo偶emy wnioskowa膰, 偶e informacje o luce nie zosta艂y przekazane firmom eEye oraz iDefence, kt贸re specjalizuj膮 si臋 w identyfikowaniu luk. Po pierwsze, grupy haker贸w nie zrozumia艂y w pe艂ni, w jaki spos贸b funkcjonuje luka, po drugie, exploit zosta艂 stworzony w celu sprzedania go cyberprzest臋pcom. Po trzecie, poniewa偶 exploit mia艂 by膰 oferowany na rosyjskim czarnym rynku, firmy wykrywaj膮ce tego typu programy nie wiedzia艂y o jego sprzeda偶y.
Ewolucja z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych osi膮gn臋艂a w czwartym kwartale 2005 roku faz臋 stabiln膮. Odnotowali艣my sta艂y wzrost liczby nowych program贸w troja艅skich. Potwierdzi艂y si臋 przewidywania zawarte w naszym raporcie kwartalnym, opublikowanym we wrze艣niu 2005 roku.
Przyk艂adem mo偶e by膰 ko艅 troja艅ski o nazwie Nale偶y wspomnie膰 tu r贸wnie偶 o trojanach "wandalach" - do tej grupy nale偶y wi臋kszo艣膰 z艂o艣liwych program贸w dla smartfon贸w. Nie tylko niszcz膮 one pliki systemowe, zast臋puj膮c je niedzia艂aj膮cymi kopiami lub kasuj膮c informacje, ale r贸wnie偶 blokuj膮 dost臋p do danych. Na przyk艂ad trojany z rodziny Pod koniec 2005 roku hipotetyczna epidemia z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych sta艂a si臋 rzeczywisto艣ci膮. Po tym jak firma Kaspersky Lab rozpocz臋艂a sprzeda偶 oprogramowania antywirusowego dla telefon贸w przeno艣nych na terenie Rosji i Wsp贸lnoty Niepodleg艂ych Pa艅stw, natychmiast zacz臋艂y nap艂ywa膰 zg艂oszenia o zainfekowanych urz膮dzeniach. Wcze艣niej opierali艣my nasze wnioski na domys艂ach lub przeprowadzanych eksperymentach. Ogromna wi臋kszo艣膰 zg艂oszonych infekcji zosta艂a spowodowana wirusem Wi臋kszo艣膰 nowych z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych pochodzi z Azji (g艂贸wnie z Chin i Po艂udniowej Korei), co stanowi pow贸d do niepokoju. Du偶a g臋sto艣膰 zaludnienia oraz wysoki odsetek os贸b z dost臋pem do komputer贸w i telefon贸w kom贸rkowych stwarzaj膮 idealne warunki do potencjalnej epidemii. Nie powinni艣my r贸wnie偶 zapomina膰, 偶e w tej cz臋艣ci 艣wiata znajduje si臋 Tajlandia, Malezja i Indonezja, kt贸re stanowi膮 g艂贸wne cele turystyczne. Infekuj膮c telefony turyst贸w, nowy z艂o艣liwy program m贸g艂by 艂atwo rozprzestrzeni膰 si臋 z tej strefy geograficznej do pozosta艂ej cz臋艣ci 艣wiata.
Na pocz膮tku pa藕dziernika 2005 roku nast膮pi艂 nowy etap ewolucji z艂o艣liwego oprogramowania. Tw贸rcy wirus贸w zainteresowali si臋 now膮 platform膮, co sk艂ania nas do zastanowienia si臋 nad przysz艂o艣ci膮 bezpiecze艅stwa urz膮dze艅 cyfrowych.
Pojawi艂y si臋 z艂o艣liwe programy atakuj膮ce konsole do gier. Kilka lat temu nikt nie pomy艣la艂by, 偶e taki rozw贸j sytuacji jest mo偶liwy. Ostrze偶enia przed z艂o艣liwymi programami, kt贸re atakuj膮 kuchenki mikrofalowe lub lod贸wki, traktowano wtedy jako 偶art. Jednak rzeczywisto艣膰 potwierdzi艂a najgorsze obawy bran偶y IT.
Pierwsz膮 ofiara sta艂a si臋 konsola PlayStation Portable firmy Sony. Na wielu stronach pojawi艂 si臋 trojan podszywaj膮cy si臋 pod gr臋. Jego dzia艂anie by艂o podobne do dzia艂ania trojan贸w dla telefon贸w kom贸rkowych: kasowa艂 on system plik贸w konsoli, przez co urz膮dzenie nie mog艂o dzia艂a膰. Kilka dni p贸藕niej wykryto dwa kolejne trojany, tym razem dla Nintendo DS. Jednak w obu przypadkach infekowane by艂y tylko konsole, na kt贸rych u偶ywano kopii pirackich gier. Poniewa偶 legalne gry kosztuj膮 sporo pieni臋dzy, takie "z艂amane" konsole s膮 bardzo popularne. Istnieje r贸wnie偶 ogromna liczba grup hakerskich specjalizuj膮ca si臋 w kopiowaniu i 艂amaniu gier.
Pojawienie si臋 wirus贸w dla okre艣lonej platformy zale偶y od kilku czynnik贸w. Te same czynniki mo偶na odnie艣膰 do konsol do gier. S膮 to:
Poniewa偶 wszystkie te trzy kryteria zosta艂y spe艂nione w przypadku konsol do gier, pojawienie si臋 koni troja艅skich dla tej platformy by艂o tylko kwesti膮 czasu. Jak dot膮d nie wykryto 偶adnych innych z艂o艣liwych program贸w. Jednak drzwi zosta艂y ju偶 uchylone i szkodliwi u偶ytkownicy z pewno艣ci膮 pokusz膮 si臋 pchn膮膰 je dalej.
Innym wa偶nym czynnikiem jest powszechna tendencja tworzenia nowych konsol, kt贸re mo偶na po艂膮czy膰 z Internetem i administrowa膰 centralnie. Wcze艣niej dotyczy艂o to jedynie komputer贸w (艂膮cznie z urz膮dzeniami PDA) i telefon贸w. Jednak urz膮dzenia i technologie wci膮偶 ewoluuj膮. Niekt贸rzy m贸wi膮 o po艂膮czeniu ka偶dej konsoli z Sieci膮 i umo偶liwieniu u偶ytkownikowi zdalnej kontroli, o po艂膮czeniu ze sob膮 konsol do gier, urz膮dze艅 AGD i inteligentnych dom贸w za pomoc膮 technologii bezprzewodowych, takich jak WiFi, Bluetooth i IrDA. To znacznie zwi臋ksza ryzyko zwi膮zane z wykorzystywaniem takich technologii. W ka偶dym z tych urz膮dze艅 pojawi膮 si臋 luki, co oznacza, 偶e ka偶de z nich mo偶e sta膰 si臋 celem atak贸w haker贸w. Je艣li dodamy do tego odwieczny problem bezpiecze艅stwa sieci bezprzewodowych, nawet nieodleg艂a przysz艂o艣膰 nie wygl膮da optymistycznie. Tradycjonalne programy antywirusowe mog膮 okaza膰 si臋 bezu偶yteczne.
Du偶e zamieszanie w mediach wywo艂a艂o o艣wiadczenie specjalisty ds. bezpiecze艅stwa Marka Russinovicha o wykryciu rootkita w module DRM p艂yt dystrybuowanych Sony. Ukaza艂o si臋 wiele artyku艂贸w na ten temat, a do s膮d贸w trafi艂o kilka pozw贸w przeciwko Sony. Bez w膮tpienia, rootkit Sony, obok luk w systemie Windows, jest nie tylko jednym z najwa偶niejszych incydent贸w, jakie mia艂y miejsce w bran偶y bezpiecze艅stwa w czwartym kwartale 2005 roku, ale jednym z najwa偶niejszych wydarze艅 w ca艂ym roku.
Poniewa偶 szczeg贸艂y tej historii s膮 powszechnie dost臋pne, zamiast przytacza膰 je na nowo przyjrzymy si臋 og贸lnej sytuacji i pokusimy o wyci膮gni臋cie wniosk贸w.
Za spraw膮 firmy Sony setki tysi臋cy komputer贸w na ca艂ym 艣wiecie zawiera艂o oprogramowanie ukrywaj膮ce przed u偶ytkownikiem pewne pliki i procesy. W rezultacie, teoretycznie ka偶dy plik, kt贸rego nazwa zaczyna艂a si臋 od $sys$, stawa艂 si臋 niewidoczny, chyba 偶e zastosowano specjalne narz臋dzia. Jest to do艣膰 ryzykowna funkcja, poniewa偶 mo偶e zosta膰 wykorzystana przez z艂o艣liwe programy w celu zamaskowania swej obecno艣ci w systemie. Nic dziwnego, 偶e po ujawnieniu rootkita Sony, szkodliwi u偶ytkownicy postanowili j膮 wykorzysta膰. Kilka dni po tym, jak Russinovich poinformowa艂 o zidentyfikowaniu rootkita, wykryli艣my backdoora, kt贸ry instalowa艂 si臋 do systemu pod nazw膮 zaczynaj膮c膮 si臋 od $sys$. Nazwali艣my go Wkr贸tce pojawi艂y si臋 kolejne wirusy. Bior膮c pod uwag臋 liczb臋 zagro偶onych komputer贸w oraz niezdolno艣膰 niekt贸rych program贸w antywirusowych do wykrywania rootkit贸w, nie by艂o to 偶adnym zaskoczeniem.
Rootkit Sony stanowi wyj膮tek od regu艂y. Do tej pory autorzy wirus贸w tworzyli z艂o艣liwe programy wykorzystuj膮ce luki w systemie Windows, tym razem jednak do powstania szkodnik贸w przyczyni艂a si臋 firma Sony. Osobi艣cie uwa偶am to za punkt zwrotny. Mo偶na powiedzie膰, 偶e nast膮pi艂a zmiana wektor贸w atak贸w, poniewa偶 zacz臋to szuka膰 potencjalnych luk w produktach innych firm ni偶 Microsoft. Wykryte luki pr臋dzej czy p贸藕niej zostan膮 wykorzystane przez haker贸w. Spodziewali艣my si臋 takiej zmiany, s膮dzili艣my jednak, 偶e wykorzystywane b臋d膮 luki w programach antywirusowych lub urz膮dzeniach sieciowych firmy Cisco (w szczeg贸lno艣ci IOS). W przypadku Sony ogromne znaczenie mia艂o to, 偶e luka by艂a 艂atwa do wykorzystania oraz szeroko nag艂o艣niona.
Mo偶emy wyci膮gn膮膰 nast臋puj膮ce wnioski:
Ostatni kwarta艂 2005 roku obfitowa艂 w wydarzenia, kt贸re mog膮 mie膰 dalekosi臋偶ne skutki dla bran偶y bezpiecze艅stwa oraz u偶ytkownik贸w. Bez w膮tpienia, rok 2006 przyniesie dalsz膮 ewolucj臋 z艂o艣liwego kodu. Luki b臋d膮 wykrywane nie tylko w programach i systemach firmy Microsoft. To z kolei stworzy nowe mo偶liwo艣ci dla tw贸rc贸w wirus贸w, haker贸w i cyberprzest臋pc贸w. Naturalnie bran偶a antywirusowa b臋dzie nadal 艣ledzi艂a rozw贸j z艂o艣liwych program贸w oraz rozwija艂a metody zwalczania nowych zagro偶e艅.
Mobilne z艂o艣liwe oprogramowanie
Konsole do gier - nowa platforma dla wirus贸w?
Rootkit Sony
Wniosek