Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Červ Sobig.F se nevyhnul ani českým firmám a institucím (AKTUALIZOVÁNO)

aktualizováno 
Červ Sobig.F, který kraluje ve statistikách antivirových společností, odhalil bezpečnostní slabiny informačních systémů i laxnost jejich administrátorů. Obrana proti červu Sobig.F je poměrně jednoduchá. Kdy si administrátoři vezmou ponaučení?
Internet postihla asi největší epidemie e-mailového červa v historii. Červ Sobig.F se šíří pomocí e-malových zpráv s náhodně vybranými adresami odesílatele i příjemce, které červ získá z pevného disku napadeného počítače. Zpráva má jako předmět uveden text Re: Thank you!, Thank you!, Your details, Re: Details, Re: Re: My details, Re: Approved, Re: Your application, Re: Wicked screensaver či Re: That movie. Tělo e-mailu obsahuje větu See the attached file for details. nebo Please see the attached file for details. a přílohu s příponou .PIF nebo .SCR. Přiložený soubor dosahoval původně délky 74 kB, při každé replikaci k sobě však připojí shluk dat. Zpráva s červem je vytvořena tak, aby se červ na nezáplatovaných Windows spustil již při pouhém prohlížení e-mailu, červ se navíc snaží šířit i na sdílené složky počítačů v lokální síti.

Trojský kůň do každé rodiny

Stejně jako předchozí varianty A až E má v sobě i Sobig.F naprogramováno datum, kdy se přestane šířit. Tentokrát je to 10. září 2003. Je však předčasné se radovat, všechny varianty červa Sobig mají patrně identického autora nebo autory a Sobig.F škodí i jinak než ucpáváním e-mailových schránek.

Červ se v tomto případě usadí na počítači coby trojský kůň, otevře porty číslo 995 až 999 pro protokol UDP a očekává na nich příkazy. Kromě toho začne rozesílat data na náhodné IP adresy na Internetu, snaží se najít server, který má rovněž pro protokol UDP otevřen port 8998. Pokud je úspěšný, získá ze serveru spustitelný soubor, autor tedy může červa jakkoli upgradovat a páchat s ním na napadeném počítači prakticky jakoukoli neplechu, mezi oblíbené kratochvíle červů mimo jiné patří krádeže dokumentů z disku infikovaného počítače a jejich odesílání náhodným adresátům. Nelze vyloučit, že se tak v některých případech již stalo. Bližší popis najdete o zadních vrátkách v červu Sobig.F najdete na Viruslist.comna SARC.com a na Virusportal.com.

Podle odborníků včetně Mikko Hypponena ze společnosti F-Secure hodlá autor červa využít napadených počítačů jako bran pro rozesílání spamu (nevyžádané reklamní elektronické pošty), objevil se již i termín spam zombie. Zdá se dokonce, že první nápor červu Sobig.F byl způsoben úmyslným rozesláním asi milionu exemplářů z počítačů, které již byly infikovány starší verzí červu. Takový objem se dost liší od asi 500 až 1000 exemplářů, které zpravidla vypouštějí do světa autoři jiných červů.

Stává se to i v nejlepších rodinách

E-mail posílaný červem Sobig.F jsme obdrželi z počítače ředitele Garančního fondu obchodníků s cennými papíry Jiřího Korba. Pracovník Fondu i předseda jeho správní rady Ing. Petr Koblic nám tvrdili, že Fond používá antivirový program AVG a pravidelně jej aktualizuje (podle pracovníka Fondu každý den ráno). Výrobce AVG firma Grisoft potvrdila, že aktualizace schopná detekovat červ Sobig.F byla zveřejněna již 19. srpna odpoledne, první e-mail od červu z počítače ředitele Fondu jsme obdrželi až 20. srpna odpoledne.

Předseda správní rady i pracovník poukazovali na fakt, že se o IT stará externí firma, a bagatelizovali možnost, že mohlo dojít k poškození nebo úniku citlivých dokumentů. Problému by přitom zřejmě zabránilo zablokování spustitelných příloh v e-mailu na poštovním serveru či klientu (v současnosti jsou takto standardně nastaveny i programy Microsoft Outlook a Outlook Express) a důsledné aktualizace databáze antivirů na všech počítačích. Antivirová kontrola na poštovním serveru pochopitelně také není na škodu.

Příští den v půl jedenácté dorazil e-mail od červu Sobig.F z počítače ředitele Garančního fondu obchodníků s cennými papíry do redakce opět.

České instituce mají již určitou tradici nejen ve špatném zabezpečení IT, ale i v podivných reakcích administrátorů informačních sítí. Šestého června se objevil červ Bugbear v síti Všeobecné zdravotní pojišťovny a Národního bezpečnostního úřadu (v obou případech máme k dispozici zdrojové kódy). Správci sítě VZP incident zapírali nejen nám, ale i vlastnímu tiskovému mluvčímu. V Národním bezpečnostním úřadě se zase všichni, kdo červa zaregistrovali, tvářili, jako by se nic nestalo, výskyt červa však nakonec přiznali. Ministerstvo zahraničních věcí má špatnou zkušenost s červem Magistr, který rozesílalo českým emigrantům. Ministerstvo přiznalo incident až na druhý pokus.

Laxní Telecom

Pokud poskytovatel připojení k internetu (Internet Service Provider, ISP) zjistí nebo je upozorněn na problém ve své síti, měl by reagovat. Pokud počítač zákazníka chrlí do světa e-maily s červem, ucpává schránky a infikuje další počítače, měl by ISP jednat rychle.

V síti IOL Českého Telecomu začal masivně šířit červ Sobig.F počítač s IP adresou 80.188.4.98 příznačně pojmenovaný ASISTENTKA připojený pomocí ADSL. V 17:32 jsme upozornili IOL, informace však byla ignorována a počítač chrlil infikované e-maily dál. Večer jsme hovořili s mluvčím Telecomu, červ se šířil i poté. Zatím poslední exemplář dorazil v půl jedné ráno a šíření bylo nejspíše ukončeno jen dočasně vypnutím počítače. Telecom přitom má k dispozici kontaktní údaje zákazníka a díky využití ADSL i telefonní číslo, na jehož kabelu ADSL běží. I kdyby se nepodařilo zkontaktovat infikovaného zákazníka, Telecom mohl alespoň dočasně zablokovat pokusy o připojení napadeného počítače na port 25 potenciální oběti, což zvládne každý směrovač. 

Podle Vladana Crhy z Českého Telecomu řešení není tak jednoduché, jak by se mohlo bez důkladnějších znalostí zdát. Crha správně poukazuje, že IP adresy zákazníků jsou dynamicky přidělovány, a proto je nejprve nutné zjistit z logů, komu byla IP adresa přidělena v době odeslání spamu. Rovněž blokování určitého druhu provozu je v případě dynamických IP adres obtížnější, mohl by být s vysokou mírou pravděpodobnosti blokovaný jiný zákazník. Podobné problémy nicméně řeší správci sítí a technici u poskytovatelů připojení k internetu denně.

Laxní přístup Telecomu se projevuje i jinak. Mnoho počítačů z jeho adresního rozsahu 194.228/16 a 80.188/16 je zneužíváno ke spamování, jsou zařazovány na černé listiny, pracovníkům IOL je to však asi jedno. Po zpoplatnění objemu přenesených dat po ADSL bude pro Telecom šíření červů a spamů představovat vylepšení příjmů...

Relativn vyšší počet spamujících počítačů je podle Vladana Crhy způsoben tím, že Telecom má na trhu s ADSL největší podíl. Do budoucna se podle mluvčího Telecomu mohou zákazníci těšit i na nabídku řešení firewallingu.

 





Hlavní zprávy

Další z rubriky

První nativní 4K UHD Blu-ray na českém trhu.
Ochrana 4K Ultra HD Blu-ray podlehla. Nový program ji dokáže odstranit

Ochrana označovaná jako AACS 2.0 byla prolomena a už se objevil i program, který ji dokáže obejít a stáhnout video z 4K Blu-ray disků.  celý článek

Google.cz na své domovské stránce připomíná voličům, kde si vyřídit volební...
Český Google zve na domovské stránce k volbám. Radí, jak vyřídit průkaz

Na domovské stránce vyhledávače Google se objevil prominentní odkaz na informace ministerstva vnitra. Návštěvníci se tak dozvědí, jak volit, pokud budou v době...  celý článek

Aplikace nahradí zapomenutou myš.
Aplikace pro tablety: náhrada myši či bezpečné připojení k wi-fi

V dnešním výběru aplikací poradíme, jak nahradit zapomenutou počítačovou myš, jak se bezpečně připojit i k volné wi-fi síti, jak dostat stejný e-mailový klient...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.