Červ Blaster, někdy označovaný také jako Lovsan, se stále šíří po internetu. Jak jsme již uvedli, využívá bezpečnostní díru v operačních systémech Windows NT, 2000, XP a Server 2003, její popis i záplata je naštěstí k dispozici na webu Microsoftu. Ještě horší je, že červ se od 16. srpna snaží znemožnit přístup ke službě Windows Update společnosti Microsoft, která nabízí uživatelům možnost zdarma zkontrolovat aktuálnost jednotlivých komponent a stáhnout upgrade či záplaty. Blaster se usadil na napadených počítačích a vyčkával na datum 16. srpna 2003, kdy mělo dojít k útoku na Windows Update. Útoky mají pokračovat do konce letošního roku a v příštím roce se mají opakovat k 16. každého měsíce. Každý infikovaný počítač bude podle Igora Háka ze serveru Viry.cz vysílat 40 bajtový paket každých 20 milisekund (tedy padesátkrát za sekundu).
Červ má ve svém těle pevně zadáno jméno serveru, který by měl napadnout (windowsupdate.com) s tím, že když se mu nepodaří získat pomocí DNS číselnou IP adresu tohoto serveru, pokouší se podle Igora Háka bombardovat alespoň počítače na lokální síti pakety s adresou příjemnce 255.255.255.255 (oběžník neboli multicast; adresa 255.255.255.255 znamená oběžník na lokální síti, který nesmí být předán do internetu)
Krok stranou
Web služby Windows Update měl naštěstí vícero adres. Z windowsupdate.com či www.windowsupdate.com býval uživatel přesměrován na windowsupdate.microsoft.com, z tohoto webu nakonec na stránku na serveru v4.windowsupdate.microsoft.com, například na stránku http://v4.windowsupdate.microsoft.com/cs/default.asp v případě české verze Windows Update.
Mluvčího české pobočky Microsoftu Jiřího Grunda jsme se v úterý 12. srpna ptali, jak hodlají web windowsupdate.com zabezpečit, nabízela se možnost, že by jej Microsoft nechal hostovat u firmy Akamai, která již část webového obsahu Microsoftu i dalších významných společností distribuuje prostřednictvím rozsáhlé sítě serverů rozptýlených po mnoha zemích. Grund odmítl z pochopitelných důvodů specifikovat detaily.
V pátek 15. srpna se potvrdilo, že naše spekulace o Akamai měly reálný základ: Odpoledne přestal server windowsupdate.com fungovat (zmizely záznamy o jeho číselné IP adrese z DNS), Micorosoft potvrdil, že se "jednalo o záměrně odstavený link." Server www.windowsupdate.com se přestěhoval na stroj provozovaný Akamai (v našem případě to byl a193-126-242-84.deploy.akamaitechnologies.com s IP adresou 193.126.242.84, tento údaj se však liší podle toho, který použitelný server Akamai je vám v internetu nejblíže. Na serverech Akamai byly hostovány rovněž weby windowsupdate.microsoft.com a v4.windowsupdate.microsoft.com.
Později zmizel z DNS rovněž server www.windowsupdate.com, nejdůležitější dva weby pro Windows Update v doméně microsoft.com však fungují stále. Na správný web se dostanou i uživatelé Windows, kteří kliknou na nabídku Windows Update v nabídce Start.
Pikantní je, že podle našich informací i podle údajů Netcraftu běží díky hostingu u Akamai zmíněné weby společnosti Microsoft na strojích s operačním systémem Linux.
Další potíže Windows Update
Zatímco služba Windows Update jako taková je stále dostupná i v době psaní tohoto článku, červ Blaster odhalil jinou její slabinu. Podle Russe Coopera ze společnosti TruSecure zabývající se počítačovou bezpečností služba Windows Update hlásila v některých případech, že počítač je již zazáplatován, i když to nebyla pravda. Některé počítače včetně serveru americké armády tak byly napadeny, přestože je jejich administrátoři na základě výstupu z Windows Update považovaly za bezpečné.
Windows Update totiž při instalaci záplat přidává při instalaci každé záplaty položku do systémové databáze Registry. Při dalším spuštění pak Windows Update kontroluje záznamy v Registry místo kontroly skutečné přítomnosti záplat. Podle Coopera je schopnost kontroly skutečného výskytu záplat již ve Windows Update zahrnuta, není však zcela využívána. Cooper doporučuje uživatelům používat jiný nástroj, který Microsoft dodává zdarma pod názvem Microsoft Baseline Security Analyzer (MBSA).
Microsoft navíc uvolnil specializovaný nástroj na vyhledávání počítačů zranitelných Blasterem, jeho popis a odkaz na soubor ke stažení najdete zde. Tuzemská pobočka společnosti Microsoft navíc zavedla kvůli hrozbě počítačového červa Blaster speciální bezplatnou telefonickou informační linku, provoz této linky byl podle plánu ukončen v neděli 17. 8. ve 20.00 hodin. Své dotazy nyní mohou uživatelé směřovat na standardní informační linku společnosti Microsoft.
Kdo vypnul elektřinu?
Když došlo ve čtvrtek 14. srpna k největšímu výpadku dodávky elektřiny v dějinách Spojených států a Kanady, spekulovalo se o mnoha různých příčinách. Kromě možných klasických příčin, jako je požár či úder blesku, se objevily dohady o možné roli červa Blaster. Podobné zprávy je třeba brát s rezervou, důležité počítačové systémy bývají zcela odděleny od internetu, červ by do nich však mohl být zanesen při nějaké nestandardní situaci. Máme k dispozici zprávy o pražské bance, ve které se do vnitřní sítě připojil uživatel s notebookem přineseným zvenčí. Notebook byl infikován červem Blaster, podařilo se mu paralyzovat 500 stolních PC.
Podezření se soustředilo na firmu Northern Dynamic, která je dodavatelem software pro energetickou společnost National Grid USA. Společnost Northern Dynamic nazývá sama sebe "Home of the OPC Experts" (domovem expertů na OPC) a nabízí mnoho řešení využívající technologie OPC. Její název znamená "OLE for process control", technologie je založena na modelu COM/DCOM společnosti Microsoft. V síti postižené červem Blaster komunikace pomocí DCOM selhává, takže by OPC nemělo fungovat na nezáplatovaných systémech. OPC je používána pro propojování systémů SCADA (Supervisory Control and Data Acquisition, dohlížecí řízení a získávání dat) používaných v elektrárnách. Společnost Northern Dynamics mezi svými zákazníky uvádí také General Electric, General Motors a Siemens-Westinghouse. Příspěvek z odborné konference Bugtraq najdete zde, článek na německém serveru nakladatelství Heise naleznete zde, překlad do angličtiny tady.
Úřady se nyní domnívají, že prvotní příčinou výpadku napájení byla závada tří kabelů v americkém státě Ohio, dosud se vyšetřuje, proč se problém rozrostl do tak velkých rozměrů.
Vítězové a poražení
Zdá se, že červi řádící stále více na internetu s sebou konečně přinesou změnu paradigmatu. Zabezpečení počítačů bylo zanedbáváno především domácími uživateli a v malých firmách, větší společnosti však často spoléhaly hlavně na firewally oddělující lokální síť od vnějšího světa. Podle společnosti Symantec je důležité brát v úvahu známé pravidlo 80-20, podle kterého je možno 80% bezpečnostních rizik efektivně zvládnout implementací nejdůležitějších 20% technických opatření, která podle Symanteku zahrnují odstranění nepotřebných služeb (opravdu potřebujete na notebooku webserver?), udržování záplat a používání silných hesel, která nejdou snadno uhodnout.
Kdo novou situací získá?
Společnosti zabývající se počítačovou bezpečností, jako jsou třeba dodavatelé firewallů či antivirů. Hranice mezi těmito produkty se budou postupně stírat, již dnes dokáží některé firewally filtrovat v síťovém provozu počítačové viry a červy, naopak součástí některých antivirů bývá osobní firewall.
Firmy zabývající se obnovou provozu počítačů po katastrofě (disaster recovery)
Outsourcing. Již nyní získávají zákazníky společnosti zabývající se distribuovaným šířením webového obsahu, jako je Akamai, a poskytovatelé outsourcované ochrany elektronické pošty před viry, červy a spamem, jako jsou třeba MessageLabs.
Alternativní operační systémy. Software Microsoftu trpí občas vážnými bezpečnostními problémy, problémem může být i nevhodné výchozí nastavení bezpečnosti ve Windows. Kvůli hegemonii Microsoftu se v některých segmentech trhu navíc setkáváme téměř s monokulturou jediného produktu, která je ideálním prostředí pro šíření virů a červů či hromadný útok hackerů. Společnost Sun začala nyní agresivně propagovat projekt Mad Hatter, který by měl přinést bezpečnou, pohodlnou a použitelnou verzi Linuxu na kancelářská PC.
Kdo může ztratit?
Microsoft. Jeho tržní podíl se po potížích s červem Blaster může spíše snížit než zvýšit, zákazníci jej navíc mohou iracionálně obviňovat z potíží, které si přivodili sami například nepoužíváním antiviru, nezáplatováním operačního systému a aplikací nebo otevíráním spustitelných souborů obdržených elektronickou poštou.
Technická podpora. Viry, červi a hackeři škodí jednak přímo, jednak jejich aktivity mohou uživatele vyprovokovat ke zbrklým protiopatřením. Běžně se stává, že uživatel si narychlo nainstaluje osobní firewall, nastaví jej nesmyslným způsobem, a pak volá technikům, proč mu "nejde internet"
Koncoví uživatelé: Jsou útoky postihováni přímo i nepřímo, v panice mohou jednat kontraproduktivně.
Spammeři: Řešení pro bezpečnost obsahu (content security) již začínají kromě virů, červů a hackerských útoků detekovat a filtrovat rovněž nevyžádanou reklamní elektronickou poštu neboli spam, vylepšování řešení pro bezpečnost obsahu a jejich větší rozšíření by tak mohlo přinést úspěšnější eliminaci spamu jako nečekaný vedlejší účinek.
Kapesní počítače a chytré mobilní telefony: Pokud jsou připojeny k internetu, mohou být jednak zahlceny daty produkovanými viry, červy a hackery, ale také se mohu samy stát cílem. Implementace internetových služeb na různých platformách kapesních počítačů a chytrých telefonů totiž podle našich informací trpí určitými bezpečnostními problémy, ty však zatím nebyly zneužívány a uživatelé si ještě příliš nezvykli software v PDA a chytrých mobilech aktualizovat.
Zvláštní souvislosti
Společnost Akamai průběžně monitoruje stav svých serverů rozptýlených po světě a zároveň si udržuje rozsáhlou databázi geografického umístění IP adres. Po zkombinování údajů o pokusech červu Blaster zaútočit na servery Akamai s geografickými údaji o útočících infikovaných počítačích zveřejnila v pátek zprávu, podle které se na prvním místě dle četnosti výskytu Blasteru umístily dle o čekávání Spojené státy, na druhém místě pak překvapivě Jižní Korea. Její umístění může být ovlivněno mimo jiné cenově dostupným rychlým připojením k internetu v Jižní Koreji, které umožňuje, aby velká část tamních domácností byla připojena rychlostí 12 megabitů za sekundu technologií VDSL. Situace v Jižní Koreji tak velmi kontrastuje s poměry v České republice.
Společnost MessageLabs právě vydala zprávu o zachycení nového červa, který se šíří e-mailem jako údajná záplata na červ Blaster. Bude asi vhodné připomenout, že žádná seriózní firma nešíří software e-mailem a že otevírání spustitelných příloh v e-mailu je naprostý hazard.
Společnost Micorosoft i její uživatelé měli štěstí v neštěstí, adresa windowsupdate.com je jen jednou z adres, kterou podle Microsoftu "ani samotný tool Windows Update nevyužívá - primárně totiž otevirá windowsudate.microsoft.com a ten je pak přesměrován." Pokud by červ útořil třeba na www.microsoft.com, dopad by byl asi horší.
