Rok 2005 obfitował w incydenty związane z bezpieczeństwem IT. Wiele z nich zostało omówionych w naszych raportach kwartalnych. Najnowszy raport opisuje trendy występujące w czwartym kwartale 2005 roku, miedzy innymi pojawienie się wirusów dla nowych platform oraz luki "zero day".

1. Sober - unikatowy robak
2. Ewolucja Krottena i cybernetyczny szantaż
3. Luki "zero day"
4. Mobilne złośliwe oprogramowanie
5. Konsole do gier - nowa platforma dla wirusów?
6. Rootkit Sony

Sober - unikatowy robak

15 listopada 2005 r. bawarska policja opublikowała notkę prasową ostrzegającą przed pojawieniem się nowej wersji robaka pocztowego Sober, nie podając jednak, na czym opiera swe doniesienia. Ponieważ Sober został stworzony w Niemczech, firmy antywirusowe na całym świecie potraktowały to ostrzeżenie niezwykle poważnie. Zaledwie dzień później, 16 listopada, firma Kaspersky Lab otrzymała próbkę najnowszej wersji tego robaka. Próbka ta, Sober.y wywołała wkrótce epidemię wirusową.

18 listopada miliony użytkowników z Europy Zachodniej otrzymały dziwne wiadomości e-mail. Wiadomości różniły się między sobą, wszystkie jednak informowały adresatów, że ściągając z Internetu muzykę lub pliki wideo, naruszyli prawa autorskie. Wiadomości pochodziły rzekomo od FBI. Użytkownicy zostali poproszeni o otwarcie załączonego pliku, który miał zawierać dowody wykroczenia.

Był to kolejny przykład doskonale przemyślanej socjotechniki, którą Sober już raz się posłużył wiosną 2005 roku. Tym razem metoda również okazała sie skuteczna i dziesiątki (a nawet setki) użytkowników, nie podejrzewając żadnego podstępu, otworzyło załącznik wiadomości wypuszczając na wolność robaka Sober.y. W ten sposób wywołali kolejną epidemię. Sober wykorzystywał wszystkie zainfekowane maszyny do masowego rozsyłania wiadomości e-mail, w ruchu pocztowym zaczęły więc krążyć dziesiątki milionów jego kopii.

Wiadomości pochodzące rzekomo od FBI spowodowały jeszcze inną szkodę. W ich treści podano numer centrali telefonicznej FBI. Skutek był taki, że użytkownicy nie tylko otworzyli załącznik, ale niektórzy z nich zadzwonili bezpośrednio do FBI, przeprowadzając swoisty atak DDoS na centralę telefoniczną.

Epidemia osiągnęła swój szczyt na początku grudnia. Sober.y był jednym z najskuteczniejszych wirusów w roku 2005 pod względem zainfekowanych maszyn i wiadomości w ruchu pocztowym.

Sukces rodziny Sober jest w pewnym sensie zagadką. Trudno powiedzieć, dlaczego robaki Sober zdołały spowodować epidemię takich rozmiarów. Z technicznego punktu widzenia robak ten jest bardzo prymitywny - został napisany w Visual Basicu i jest dość duży. Visual Basic jest niezwykle prostym językiem programowania, którego praktycznie każdy jest w stanie się nauczyć. Większość wirusów pisanych jest dzisiaj w języku C/C++ lub asemblerze. Innym popularnym środowiskiem jest Delphi. Visual Basic wykorzystywany jest zwykle do tworzenia prostych, a nawet prymitywnych szkodników - poza Soberem, nie przychodzi mi do głowy żaden wirus napisany w tym języku, który wywołał globalną epidemię.

Ostatnie epidemie wirusowe wywoływane były zazwyczaj przez wirusy, takie jak Lovesan, Slammer, Sasser, Mytob oraz cały szereg różnych botów, które w celu rozprzestrzeniania się wykorzystywały krytyczne luki w systemie Windows. Sober nie wykorzystuje żadnych błędów w systemie, a jedynie błędy ludzkie, podobnie jak Mydoom, robak, który spowodował największą epidemię w historii komputerowej wirusologii.

Zagrożenia wirusowe ewoluują. Na początku złośliwe programy powstawały w celu wyrządzania niewielkich szkód (jak np. NetSky, Sasser i Lovesan), ostatnio jednak tworzone są z myślą o uzyskaniu dostępu do informacji użytkowników (Mytob, Bagle) i wykorzystaniu ich do osiągnięcia korzyści finansowych. Twórcy wirusów odchodzą od wywoływania globalnych epidemii na rzecz epidemii lokalnych, których ofiarami padają określone grupy użytkowników. Brak poważnych epidemii w roku 2005 możemy zawdzięczać częściowo branży antywirusowej, która potrafi zahamować epidemie, zanim osiągną rozmiary globalne. Taki względny spokój nie trwał jednak przez cały rok: w czwartym kwartale pojawił się Sober - robak napisany w prostym języku, który do rozprzestrzeniania się nie wykorzystuje żadnej luki, a jedynie pocztę elektroniczną. Nic nie wskazywało na to, że Sober został stworzony dla osiągnięcia zysku: robak nie kradł danych, nie tworzył botnetów, ani nie przeprowadzał ataków DoS. Sober w ogóle nie powinien przetrwać, a mimo to znalazł się na szczycie rankingów najpopularniejszych szkodliwych programów w czwartym kwartale 2005 roku. Brzmi to dziwnie, a biorąc pod uwagę wszystko to, o czym powiedzieliśmy wcześniej, wręcz niewiarygodnie.

Rodzina robaków Sober ma już dwa lata. Prawie każdy jej wariant stanowił znaczące wydarzenie w świecie wirusów. Poza szkodliwymi funkcjami robaka, jego autor wykorzystuje go do rozsyłania skrajnie prawicowej propagandy. Sober jest więc przykładem wirusów politycznych, o których pisałem w ostatnim raporcie. Nie można wykluczyć aresztowania autora robaka w najbliższej przyszłości; być może ostrzeżenie policji bawarskiej przed potencjalną epidemią Sobera oznacza, że organy ścigania są bliskie złapania jego twórcy.

Ewolucja Krottena i cybernetyczny szantaż

W poprzednich raportach oraz dzienniku analityków pisaliśmy o nowej klasie złośliwych programów tworzonych w jednym tylko celu: uzyskania pieniędzy od użytkowników. Programy te działają w niezwykle prosty sposób: po przeniknięciu do maszyny ofiary szyfrują jej dane, a następnie żądają zapłaty za odszyfrowanie. Typowymi przykładami takich złośliwych programów są: GpCode (zobacz http://viruslist.pl/analysis.html?newsid=85) oraz JuNy (zobacz http://viruslist.pl/weblog.html?weblogid=186).

Niektórzy użytkownicy kontaktują się z autorami tych programów i płacą żądaną sumę. Inni wykazują większy spryt i przesyłają pliki do firm antywirusowych. Na szczęście, autorzy programów tego typu nie posiadają dużych umiejętności kryptograficznych. Analitycy z Kaspersky Lab nie mieli żadnych problemów ze złamaniem algorytmu szyfrującego. Zdołaliśmy nie tylko odszyfrować zaszyfrowane pliki, ale także dodać tę funkcję do naszej antywirusowej bazy danych.

We wrześniu 2005 roku wykryliśmy nowego trojana o nazwie Krotten - wtedy nazywał się jeszcze Trojan.Win32.Agent.il. Analiza wykazała, że mamy do czynienia z kolejnym cyberszantażem przy użyciu trojana. Jednak metody stosowane przez Krottena znacznie różniły się od tych, które wykorzystywał GpCode czy JuNy. Trojan ten nie szyfrował plików użytkownika; jego działanie było o wiele subtelniejsze, ponieważ modyfikował on rejestr systemu Windows, przez co ograniczał czynności, które mógł wykonać użytkownik.

W szczególności, Krotten blokuje Edytor rejestru (regedit.exe), uniemożliwia uruchomienie Menedżera zadań, zamknięcie okien przeglądarki Internet Explorer oraz Eksploratora Windows, jak również uzyskanie dostępu do konfiguracji plików i folderów; szkodnik modyfikuje menu Start, uniemożliwia uruchomienie wiersza poleceń itd.

Oczywiście używanie tak bardzo zmodyfikowanego komputera jest praktycznie niemożliwe. Za przywrócenie jego normalnego działania autorzy Krottena żądali 25 hrywien (waluta Ukrainy), tj. równowartości 5 dolarów.

W ciągu następnych miesięcy wykryliśmy ponad 30 modyfikacji Krottena i wciąż otrzymujemy nowe próbki.

Przypadek Krottena pokazuje, że wymuszenia internetowe cieszą się coraz większą popularnością wśród twórców wirusów. Jest to bardzo niebezpieczny trend, który nasila się z każdym miesiącem. Można go określić jako osobny rodzaj cyberprzestępczości. Inne przestępstwa cybernetyczne nie są dla nas niczym nowym: w ciągu ostatnich lat przywykliśmy do przypadków kradzieży różnych danych użytkownika - numerów kart kredytowych, haseł i innych informacji. Cyberprzestępcy wykorzystują te dane na różne sposoby - mogą je odsprzedać lub wykorzystać do kradzieży tożsamości. Jednakże banki internetowe, systemy płatności elektronicznej oraz firmy antywirusowe wprowadzają działania, które skutecznie przeciwdziałają takim przestępstwom. W efekcie są one coraz trudniejsze do popełnienia i coraz mniej opłacalne. Poza tym na scenie pojawiła się nowa generacja twórców wirusów - twórcy ci nie chcą, ani nie potrafią tworzyć skomplikowanych koni trojańskich. Są to dzieciaki, które dorastają i zwracają się w kierunku szantażu cybernetycznego. Dlaczego mieliby kraść dane, które trudno później sprzedać? O wiele łatwiej jest naciągnąć użytkowników na drobne sumy - a jeśli będzie ich wystarczająco wielu, zysk będzie odpowiednio duży.

Luki "zero day"

Pojawienie się krytycznych luk w systemie Windows nieuchronnie prowadzi do zwiększenia aktywności wirusów, a czasem do globalnych epidemii. Byliśmy tego świadkami w sierpniu 2003 roku, kiedy Lovesan wykorzystał lukę RPC DCOM, oraz w kwietniu 2004 roku, gdy Sasser zainfekował kilka milionów komputerów na całym świecie wykorzystując do rozprzestrzeniania się lukę LSASS. Podobna sytuacja miała miejsce w związku z luką Plug'n'Play, opisaną szczegółowo w Biuletynie firmy Microsoft MS05-039. Jednak luki, o których mowa, znajdowały się na poziomie systemu, co oznacza, że szkodliwy użytkownik mógł przeniknąć do komputera ofiary z zewnątrz, poprzez port. Innym komponentem systemu Windows odpowiedzialnym za ogromną liczbę infekcji jest przeglądarka Internet Explorer. Liczbę wykrytych w niej luk szacuje się na dziesiątki, a najbardziej niebezpieczne umożliwiają hakerom zainstalowanie dowolnego pliku na komputerze ofiary podczas odwiedzania przez nią zainfekowanej strony WWW.

W przypadku wirusów, które przenikają do systemu poprzez znane luki, rozwiązanie problemu stanowią łaty Microsoftu. Pozostaje jednak problem wirusów tworzonych w celu wykorzystania luk "zero day", czyli takich, dla których nie istnieją jeszcze łaty. Microsoft kontroluje sytuację poprzez bliską współpracę z firmami specjalizującymi się w identyfikowaniu luk. Czasami od wykrycia luki do opublikowania łaty może upłynąć kilka miesięcy, jednak informacje o lukach nie są do tego czasu publikowane, a tym samym nie są powszechnie dostępne.

Pod koniec roku 2005 miała miejsce sytuacja bezprecedensowa. W odstępie miesiąca w systemie Windows pojawiły dwie krytyczne luki. Informacje o nich przedostały się do opinii publicznej, zanim opublikowano łaty. W obu przypadkach luki te wykorzystano do rozprzestrzeniania złośliwych programów.

21 listopada brytyjska grupa naukowców, występująca pod dziwną nazwą "Computer Terrorism", opublikowała exploita typu proof of concept (demonstrującego nową technologię), który działał w całkowicie załatanej wersji przeglądarki Internet Explorer. Luka dotyczyła funkcji Java Script 'window()', a informacje o niej zostały po raz pierwszy upublicznione w maju 2005. Wtedy jednak Microsoft nie widział żadnego sposobu wykorzystania tej luki do wykonania dowolnego kodu na komputerze ofiary i nie ocenił jej jako krytyczną. W konsekwencji załatanie tej luki nie było traktowane jako priorytet.

Wygląda na to, że naukowcy z "Computer Terrorism" zrozumieli lukę lepiej niż firma Microsoft. Po niewielkich modyfikacjach kod wirusa typu proof of concept umożliwiał zainstalowanie i wykonanie pliku w systemie ofiary bez wiedzy i zgody samego użytkownika.

Twórcy wirusów potrzebowali niewiele ponad tydzień czasu, aby umieścić złośliwy kod na stronie internetowej. Wykryliśmy wiele trojanów rozprzestrzeniających się w ten sposób. Jedynym zabezpieczeniem przed takim trojanem było wyłączenie obsługi Java Script w przeglądarce Internet Explorer, jednak niewielu użytkowników skorzystało z tej opcji. Kilkadziesiąt, a nawet kilkaset milionów użytkowników na całym świecie było narażonych na infekcję tym trojanem. Był to pierwszy przypadek wykorzystania przez trojana luki w systemie Windows, dla której nie istniała łata.

Wydawałoby się, że Microsoft zrobi wszystko, co jest możliwe, aby naprawić ten błąd. W końcu firma chce, aby kojarzono ją z walką ze złośliwym oprogramowaniem. Wcześniej Microsoft opublikował własne oprogramowanie antywirusowe oraz zapowiedział, że będzie wstępował na drogę sądową przeciwko twórcom wirusów. Jednak w tym przypadku reakcja Microsoftu była dość nieoczekiwana. Firma ogłosiła, że chociaż luka została określona jako krytyczna, nie przewiduje się publikacji żadnej łaty poza zwykłym cyklem. Od roku 2002 Microsoft publikuje łaty w każdy drugi wtorek miesiąca. Najnowsze łaty miały pojawić się 13 grudnia i Microsoft planował trzymać się grafiku.

Od dnia pojawienia się kodu typu proof of concept minęły trzy tygodnie, natomiast od wykrycia luki - sześć miesięcy. Jest to dość długi okres czasu, w ciągu którego zainfekowanych mogło zostać wielu użytkowników przeglądarki Internet Explorer. Zaniepokojenie wzrosło, gdy w ciągu dwóch tygodni historia powtórzyła się, tym razem jednak konsekwencje mogły być o wiele poważniejsze.

26 grudnia niektóre firmy antywirusowe otrzymały tajemnicze pliki WMF. Analitycy wykazali, że pliki te zawierają kod wykonywalny, który pobiera pliki ze stron zawierających programy adware oraz spyware. Wykonanie złośliwego kodu następowało po otwarciu przez użytkownika pliku WMF. Inne czynności, takie jak wykorzystanie Exploratora Windows do otwarcia katalogu, w którym znajduje się plik, przeglądanie właściwości pliku itd. również powodowały wykonanie złośliwego kodu. Kod mógł zostać wykonany w każdej z dostępnych systemów Windows, łącznie z wersją Windows 95/98, nawet tych całkowicie załatanych.

Była to niewątpliwie najnowsza luka "zero day", a Microsoft nic o tym nie wiedział. Najbardziej niepokojące w całej sprawie jest to, że twórcy wirusów wyprzedzili w wykryciu tej luki nie tylko firmę Microsoft, ale także inne duże firmy specjalizujące się w identyfikowaniu luk.

Analizą najnowszej luki zajęło się w ciągu następnych dwóch dni wielu ekspertów z branży bezpieczeństwa. Informacje o niej zostały opublikowane, a większość firm antywirusowych dodała do swoich produktów heurystyczne wykrywanie zainfekowanych plików WMF. Jednak Puszka Pandory została już otwarta i w Internecie zaczęły krążyć nowe programy typu koń trojański, które wykorzystywały omawianą lukę. W jednym tygodniu wykryto aż tysiąc zainfekowanych "obrazków". Ponieważ luka była obecna we wszystkich wersjach systemu Windows, istniało ryzyko, że sytuacja wymknie się spod kontroli. Lukę wykorzystywano również do rozprzestrzeniania robaków i spamu.

Na szczęście wszystko to miało miejsce w Święta Bożego Narodzenia. Liczba użytkowników Internetu była znacznie mniejsza niż zazwyczaj i właśnie to pozwoliło na uniknięcie poważnej katastrofy.

Jednak reakcja Microsoftu na wykrycie nowej luki i tym razem była niezrozumiała. Firma opublikowała biuletyn KB 912840, w którym poinformowała o zidentyfikowaniu luki i wyszczególniła zagrożone wersje systemów Windows. Konkretne informacje pojawiły się 3 stycznia 2006 r., gdy Microsoft zapowiedział wypuszczenie łaty 10 stycznia w ramach comiesięcznego biuletynu. Swą decyzję firma argumentowała koniecznością przeprowadzenia dokładnych testów nad łatą i zlokalizowania jej dla wszystkich wersji systemu Windows. Microsoft zapewniał również, że chociaż problem był poważny, nie wykryto żadnej znaczącej epidemii wirusowej.

Branża IT była przerażona. Już drugi raz w miesiącu Microsoft nie tylko nie był w stanie właściwie zareagować na problem bezpieczeństwa, ale wydawał się nie rozumieć powagi sytuacji. Liczba krytycznych artykułów dorównywała ilości wykrytych zainfekowanych plików WMF. Jednocześnie nastąpił przeciek opracowanej przez firmę Microsoft łaty w wersji beta dla systemu XP. Łata ta została opublikowana na wielu stronach WWW i wraz z nieoficjalną poprawką opracowaną przez Ilfaka Gulfanova, stanowiła jedyne dostępne rozwiązanie.

6 stycznia firma Microsoft pod naciskiem krytyki wydała biuletyn MS06-001 zawierający łatę dla luki WMF.

Istotnym aspektem całej sprawy jest to, że luka ta została po raz pierwszy wykryta przez członków podziemia komputerowego. Eksperci z Kaspersky Lab przeanalizowali problem i doszli do następujących wniosków:

Luka została najprawdopodobniej wykryta przez anonimową osobę około 1 grudnia 2005 roku. Stworzenie exploita umożliwiającego wykonanie dowolnego kodu na komputerze ofiary zajęło kilka dni. Mniej więcej w połowie grudnia można było kupić exploita na różnych specjalistycznych stronach WWW. Wygląda na to, że program ten sprzedawały za 4 tys. dolarów dwie lub trzy rywalizujące ze sobą grupy hakerów z Rosji. Interesujące jest to, że grupy te nie w pełni rozumiały lukę. Jeden z nabywców exploita zamieszany był w przestępczą działalność dotyczącą rozprzestrzeniania programów typu adware/spyware. Najprawdopodobniej w ten sposób informacje o exploicie przedostały się na zewnątrz.

Nie wiemy, kto pierwszy wykrył lukę. Wiemy natomiast, kto brał udział w tworzeniu i rozprzestrzenianiu exploita oraz jego kolejnych modyfikacji. Na podstawie posiadanych przez nas danych oraz "rosyjskiego śladu" w tej sprawie, możemy wnioskować, że informacje o luce nie zostały przekazane firmom eEye oraz iDefence, które specjalizują się w identyfikowaniu luk. Po pierwsze, grupy hakerów nie zrozumiały w pełni, w jaki sposób funkcjonuje luka, po drugie, exploit został stworzony w celu sprzedania go cyberprzestępcom. Po trzecie, ponieważ exploit miał być oferowany na rosyjskim czarnym rynku, firmy wykrywające tego typu programy nie wiedziały o jego sprzedaży.

Mobilne złośliwe oprogramowanie

Ewolucja złośliwych programów dla urządzeń przenośnych osiągnęła w czwartym kwartale 2005 roku fazę stabilną. Odnotowaliśmy stały wzrost liczby nowych programów trojańskich. Potwierdziły się przewidywania zawarte w naszym raporcie kwartalnym, opublikowanym we wrześniu 2005 roku.

Przykładem może być koń trojański o nazwie PBstealer - jest to pierwszy trojan dla urządzeń przenośnych przeznaczony do kradzieży danych użytkownika. PBstealer zdobywa dostęp do książki adresowej zainfekowanego urządzenia i wysyła ją poprzez Bluetootha do najbliższego dostępnego urządzenia. W ostatnim kwartale nastąpił również znaczny wzrost liczby trojanów posiadających podwójne funkcje. Trojany takie są tworzone nie tylko w celu infekcji telefonów, ale także każdego rodzaju komputera PC, do którego podłączony jest telefon.

Należy wspomnieć tu również o trojanach "wandalach" - do tej grupy należy większość złośliwych programów dla smartfonów. Nie tylko niszczą one pliki systemowe, zastępując je niedziałającymi kopiami lub kasując informacje, ale również blokują dostęp do danych. Na przykład trojany z rodziny Cardblock instalują hasło dostępu do karty pamięci urządzenia. W przypadku usunięcia złośliwych programów użytkownik nie będzie mógł uzyskać dostępu do danych na karcie. Możliwe, że kolejnym etapem ewolucji tych trojanów będzie szyfrowanie danych oraz żądanie zapłaty za ich przywrócenie, tak jak w przypadku wirusów Gpcode i Krotten (napisanych dla komputerów PC).

Pod koniec 2005 roku hipotetyczna epidemia złośliwych programów dla urządzeń przenośnych stała się rzeczywistością. Po tym jak firma Kaspersky Lab rozpoczęła sprzedaż oprogramowania antywirusowego dla telefonów przenośnych na terenie Rosji i Wspólnoty Niepodległych Państw, natychmiast zaczęły napływać zgłoszenia o zainfekowanych urządzeniach. Wcześniej opieraliśmy nasze wnioski na domysłach lub przeprowadzanych eksperymentach. Ogromna większość zgłoszonych infekcji została spowodowana wirusem Cabir, który rozprzestrzenia się poprzez Bluetooth. Wirusa wykryto w ponad 30 państwach. Na podstawie tych informacji można przypuszczać, że kolejny taki robak również spowoduje globalną epidemię.

Większość nowych złośliwych programów dla urządzeń przenośnych pochodzi z Azji (głównie z Chin i Południowej Korei), co stanowi powód do niepokoju. Duża gęstość zaludnienia oraz wysoki odsetek osób z dostępem do komputerów i telefonów komórkowych stwarzają idealne warunki do potencjalnej epidemii. Nie powinniśmy również zapominać, że w tej części świata znajduje się Tajlandia, Malezja i Indonezja, które stanowią główne cele turystyczne. Infekując telefony turystów, nowy złośliwy program mógłby łatwo rozprzestrzenić się z tej strefy geograficznej do pozostałej części świata.

Konsole do gier - nowa platforma dla wirusów?

Na początku października 2005 roku nastąpił nowy etap ewolucji złośliwego oprogramowania. Twórcy wirusów zainteresowali się nową platformą, co skłania nas do zastanowienia się nad przyszłością bezpieczeństwa urządzeń cyfrowych.

Pojawiły się złośliwe programy atakujące konsole do gier. Kilka lat temu nikt nie pomyślałby, że taki rozwój sytuacji jest możliwy. Ostrzeżenia przed złośliwymi programami, które atakują kuchenki mikrofalowe lub lodówki, traktowano wtedy jako żart. Jednak rzeczywistość potwierdziła najgorsze obawy branży IT.

Pierwszą ofiara stała się konsola PlayStation Portable firmy Sony. Na wielu stronach pojawił się trojan podszywający się pod grę. Jego działanie było podobne do działania trojanów dla telefonów komórkowych: kasował on system plików konsoli, przez co urządzenie nie mogło działać. Kilka dni później wykryto dwa kolejne trojany, tym razem dla Nintendo DS. Jednak w obu przypadkach infekowane były tylko konsole, na których używano kopii pirackich gier. Ponieważ legalne gry kosztują sporo pieniędzy, takie "złamane" konsole są bardzo popularne. Istnieje również ogromna liczba grup hakerskich specjalizująca się w kopiowaniu i łamaniu gier.

Pojawienie się wirusów dla określonej platformy zależy od kilku czynników. Te same czynniki można odnieść do konsol do gier. Są to:

1. Popularność konsol do gier. Konsole cieszą się ogromnym zainteresowaniem i stanowią pewnego rodzaju standard w świecie gier. Używają ich dziesiątki milionów ludzi na całym świecie.
2. Dokumentacja platform do gier. Grupy hakerów dokładnie przeanalizowały wewnętrzną strukturę konsol trzech głównych producentów (Sony, Nintendo oraz Microsoft), aby móc czerpać zyski ze sprzedaży pirackich gier. Na różnych stronach i forach internetowych można dowiedzieć się, jak złamać konsole.
3. Obecność luk. Główna luka polega na możliwości uzyskania dostępu przez użytkownika do plików systemowych. Jeśli potrafi dokonać tego użytkownik - wirus także.

Ponieważ wszystkie te trzy kryteria zostały spełnione w przypadku konsol do gier, pojawienie się koni trojańskich dla tej platformy było tylko kwestią czasu. Jak dotąd nie wykryto żadnych innych złośliwych programów. Jednak drzwi zostały już uchylone i szkodliwi użytkownicy z pewnością pokuszą się pchnąć je dalej.

Innym ważnym czynnikiem jest powszechna tendencja tworzenia nowych konsol, które można połączyć z Internetem i administrować centralnie. Wcześniej dotyczyło to jedynie komputerów (łącznie z urządzeniami PDA) i telefonów. Jednak urządzenia i technologie wciąż ewoluują. Niektórzy mówią o połączeniu każdej konsoli z Siecią i umożliwieniu użytkownikowi zdalnej kontroli, o połączeniu ze sobą konsol do gier, urządzeń AGD i inteligentnych domów za pomocą technologii bezprzewodowych, takich jak WiFi, Bluetooth i IrDA. To znacznie zwiększa ryzyko związane z wykorzystywaniem takich technologii. W każdym z tych urządzeń pojawią się luki, co oznacza, że każde z nich może stać się celem ataków hakerów. Jeśli dodamy do tego odwieczny problem bezpieczeństwa sieci bezprzewodowych, nawet nieodległa przyszłość nie wygląda optymistycznie. Tradycjonalne programy antywirusowe mogą okazać się bezużyteczne.

Rootkit Sony

Duże zamieszanie w mediach wywołało oświadczenie specjalisty ds. bezpieczeństwa Marka Russinovicha o wykryciu rootkita w module DRM płyt dystrybuowanych Sony. Ukazało się wiele artykułów na ten temat, a do sądów trafiło kilka pozwów przeciwko Sony. Bez wątpienia, rootkit Sony, obok luk w systemie Windows, jest nie tylko jednym z najważniejszych incydentów, jakie miały miejsce w branży bezpieczeństwa w czwartym kwartale 2005 roku, ale jednym z najważniejszych wydarzeń w całym roku.

Ponieważ szczegóły tej historii są powszechnie dostępne, zamiast przytaczać je na nowo przyjrzymy się ogólnej sytuacji i pokusimy o wyciągnięcie wniosków.

Za sprawą firmy Sony setki tysięcy komputerów na całym świecie zawierało oprogramowanie ukrywające przed użytkownikiem pewne pliki i procesy. W rezultacie, teoretycznie każdy plik, którego nazwa zaczynała się od $sys$, stawał się niewidoczny, chyba że zastosowano specjalne narzędzia. Jest to dość ryzykowna funkcja, ponieważ może zostać wykorzystana przez złośliwe programy w celu zamaskowania swej obecności w systemie. Nic dziwnego, że po ujawnieniu rootkita Sony, szkodliwi użytkownicy postanowili ją wykorzystać. Kilka dni po tym, jak Russinovich poinformował o zidentyfikowaniu rootkita, wykryliśmy backdoora, który instalował się do systemu pod nazwą zaczynającą się od $sys$. Nazwaliśmy go Backdoor.Win32.Breplibot.b.

Wkrótce pojawiły się kolejne wirusy. Biorąc pod uwagę liczbę zagrożonych komputerów oraz niezdolność niektórych programów antywirusowych do wykrywania rootkitów, nie było to żadnym zaskoczeniem.

Rootkit Sony stanowi wyjątek od reguły. Do tej pory autorzy wirusów tworzyli złośliwe programy wykorzystujące luki w systemie Windows, tym razem jednak do powstania szkodników przyczyniła się firma Sony. Osobiście uważam to za punkt zwrotny. Można powiedzieć, że nastąpiła zmiana wektorów ataków, ponieważ zaczęto szukać potencjalnych luk w produktach innych firm niż Microsoft. Wykryte luki prędzej czy później zostaną wykorzystane przez hakerów. Spodziewaliśmy się takiej zmiany, sądziliśmy jednak, że wykorzystywane będą luki w programach antywirusowych lub urządzeniach sieciowych firmy Cisco (w szczególności IOS). W przypadku Sony ogromne znaczenie miało to, że luka była łatwa do wykorzystania oraz szeroko nagłośniona.

Możemy wyciągnąć następujące wnioski:

1. Wykorzystywanie przez twórców oprogramowania technologii rootkit powinno być niedopuszczalne (zarówno ze względów moralnych, jak i technicznych). Rootkity stosowane są w niektórych programach typu adware. Jest to pewien sposób zabezpieczenia programów. Ich autorzy zapominają, że podobne technologie są wątpliwe moralnie oraz mogą zostać wykorzystane do niewłaściwych celów.
2. Specjaliści w dużych firmach software'owych posiadają słabe umiejętności programistyczne. Nie chodzi tu o liczbę luk w dostępnym oprogramowaniu, ale o to, że programiści nie w pełni rozumieją możliwości stworzonych przez siebie programów. Przykładem mogą być programiści z First4Internet (firmy, która stworzyła rootkita dla Sony), którzy jeszcze rok temu sami poszukiwali informacji na temat tego, jak można ukryć pliki w systemie. Dlatego z technicznego punktu widzenia trudno jest traktować stworzonego przez nich rootkita poważnie.
3. Celem ataków wirusów nie jest już tylko firma Microsoft i system Windows. Każda firma tworząca popularne programy zawierające luki lub nieudokumentowane funkcje może potencjalnie spowodować epidemię. Każda taka luka lub funkcja może zostać wykorzystana do przeprowadzenia ataku.
4. Twórcy wirusów nie ograniczają się już do śledzenia informacji o lukach w systemie Windows, aby następnie je wykorzystać. Teraz sami wykrywają luki, zarówno w systemach, jak i w programach firm innych niż Microsoft. Świadczy o tym zarówno incydent z rootkitem Sony, jak i luka WMF.
5. Firmy antywirusowe coraz częściej będą znajdowały się w sytuacji, gdy interesy dużych producentów oprogramowania kolidują z interesami użytkowników. Oczywiście użytkownicy chcą, aby rootkity były wykrywane i usuwane z systemu; jednak niektórzy producenci mogą być zdania, że stosowanie tych technologii służy ochronie ich programów. Konieczne jest zatem osiągnięcie kompromisu w tej sprawie.

Wniosek

Ostatni kwartał 2005 roku obfitował w wydarzenia, które mogą mieć dalekosiężne skutki dla branży bezpieczeństwa oraz użytkowników. Bez wątpienia, rok 2006 przyniesie dalszą ewolucję złośliwego kodu. Luki będą wykrywane nie tylko w programach i systemach firmy Microsoft. To z kolei stworzy nowe możliwości dla twórców wirusów, hakerów i cyberprzestępców. Naturalnie branża antywirusowa będzie nadal śledziła rozwój złośliwych programów oraz rozwijała metody zwalczania nowych zagrożeń.