Červy z rodiny Mimail, o kterých jsme již informovali, se nevyhnuly ani českému internetu. Některé ze zasažených firem a institucí již učinily opatření, aby se incident příště neopakoval, jiné však zatím pouze tápou. Do druhé kategorie kupodivu patří i Pražský hrad, v jehož síti červ Mimail řádil minimálně od pondělí do středy.
Mimail je nebezpečný, ale lze se bránit
Červy označené jako Mimail.C až Mimail.G navazují na starší červ Mimail.A a stejně jako on se šíří prostřednictvím elektronické pošty. Červ je tvořen spustitelným souborem, který se šíří uvnitř zkomprimovaného souboru ve formátu ZIP v příloze elektronické pošty. Odesilatel zprávy je zfalšován, před znakem @ uvádí jméno james či john, jako doménu odesilatele uvádí doménu příjemce. Adresát tak může mít pocit, že mu píše jeho kolega či poskytovatel připojení do internetu. Červ využívá k rozesílání vlastní engine pro SMTP, neprochází tedy přes poštovní server odesilatele. Červ Mimail.C byl objeven 31. října a tentýž den byl i přidán do databází antivirových programů. Varianty Mimail.D až Mimail.G následovaly o víkendu. Červ Mimail se snaží získávat určité informace z napadeného počítače, různé varianty červa navíc útočí na různé webové servery zaměřené proti neetickým obchodním transakcím na internetu a proti spamům. Červ tedy může být zjištěn různým způsobem, kromě antiviru či bdělého uživatele může jeho aktivity zachytit také firewall či systém detekce vniknutí (intrusion detection system, IDS) v síti napadené firmy či instituce.
Vodárny zareagovaly rychle
Máme k dispozici důkazy o napadení několika počítačových sítí, mimo jiné sítě Pražského hradu (kde sídlí nejen Správa pražského hradu, ale i Kancelář prezidenta republiky) a Pražskch vodovodů a kanalizací (PVK). Podle mluvčí PVK Evy Sovové prošel červ Mimail.C antivirovou ochranou firmy v pondělí 3.11.2003, interními mechanismy byl detekován za zhruba 14 minut, dalšímu šíření bylo zabráněno do 2,5 hodin po napadení. Procházející zprávy s infikovaným obsahem byly přesměrovány, ovšem v danou chvíli jich mnoho prošlo ven. Současný firewall PVK nemá podle Evy Svobodové dostatečné mechanismy IDS pro tento druh útoku. Pražské vodovody a kanalizace (PVK) mají centrálně řízenou antivirovou ochranu a v současné době řeší se svým dodavatelem antivirové ochrany, proč nebyli připraveni na červ Mimail.C, i když je využíván průběžný update databází virů a červ byl známý již delší dobu. Zároveň řeší PVK dovybavení firewallu potřebnými mechanismy.
Na Hradě řádil červ tři dny
Zajímavá byla reakce Pražského hradu. Kancelář prezidenta republiky je bezpochyby důležitá instituce a velký význam má i Správa pražského hradu, která se stará o vzácné kulturní statky a pro tento účel disponuje poměrně slušnými finančními prostředky. Narušení bezpečnosti výpočetní techniky a sítí v obou institucích tedy může mít nepříjemné následky.
V pondělí 3. listopadu jsme upozornili ředitele tiskového odboru Petra Hájka (místo mluvčího je dočasně neobsazeno) a ředitele bezpečnostního odboru Jana Nováka elektronickou poštou na výskyt viru. Od té doby se objevil červ na síti Pražského hradu ještě v úterý a ve středu. Ve čtvrtek jsme získali vyjádření ředitele Hájka, kterému možná oddělení informačních technologií nedodalo nejlepší informace. "Naši odborníci provedli analýzu firewallu a došli k závěru, že k rozesílání nevyžádaných e-mailů s nevhodným obsahem nedochází prostřednictvím poštovního serveru Pražského hradu, jelikož na našem serveru se žádný virus nevyskytuje. E-maily jsou rozesílány od kohokoliv, kdo má v adresáři e-mailovou adresu některého z pracovníků Pražského hradu, což může být kdokoliv mimo Hrad," uvedl Hájek. Inkriminované zprávy přitom neobsahovaly e-mailovou adresu kohokoli z Hradu a ani nemusely procházet poštovním serverem, pokud by nebyl napaden samotný server. Zprávy odcházely z hradního počítače pat.hrad.cz s IP adresou 193.179.6.7, který není totožný s poštovním serverem Hradu. Červ falšoval e-mailovou adresu odesílatele, IP adresu hradního počítače je možno považovat za autentickou. Důvody uvádíme v tomto článku.
Byl vůbec červ odstraněn?
Petr Hájek pokračuje: "V okamžiku zjištění infekce odborníci z informatiky neprodleně zahájili proces antivirových opatření, která trvala pouze nezbytnou dobu, než byla stažena nejaktuálnější oprava antivirového souboru a zamezeno tak šíření z případných zdrojů napadených PC v síti KPR a SPH." I toto tvrzení je nutné brát s rezervou, červ se šířil ještě další dva dny.
Tiskové oddělení Hradu nám přislíbilo lepší informace, které ovšem zatím shromažďuje oddělení informačních technologií. O vývoji kauzy vás budeme informovat.
Na vině mohou být mobilní a vzdálení uživatelé
Jak mohl červ uniknout pozornosti techniků? Počítače v síti mohou být spravovány na místě nebo na dálku. Problém mohou představovat mobilní uživatelé, kteří se připojí do sítě zevnitř s kontaminovaným notebookem, a domácí uživatelé, kteří se do sítě připojují po telefonu s domácím PC, které se správcům výpočetní techniky nedostane do ruky už vůbec nikdy.
Situaci může komplikovat fakt, že čeští správci sítí mívají ve zvyku zapírat bezpečnostní incidenty nejen před vnějším světem, ale i před kolegy a nadřízenými. Jak jsme již informovali dříve, s tímto přístupem měl možnost se setkat mluvčí Všeobecné zdravotní pojišťovny.
