Menu

Bezpečnost

Historie virů

Smutné výročí

V lednu uplynulo dvacet let od chvíle, kdy se objevil první počítačový virus určený pro osobní počítače kompatibilní s IBM PC. Počítačové viry samozřejmě existovaly už předtím, ale vyskytovaly se hlavně ve sci-filiteratuře a v experimentálním prostředí univerzit.
Text: Pavel Baudiš, Alwil Software

Virus Brain, který se objevil 19. ledna 1986, byl prvním virem v reálném světě - prvním virem, který byl schopen se opravdu úspěšně šířit mezi jednotlivými počítači. Tím nastala nová éra, jejíž důsledky dnes řada z nás pociťuje v každodenním životě a která znamenala velkou změnu v chování uživatelů. Toto výročí proto využijeme k malému ohlédnutí do historie.

Průkopník Gibson

První viry se objevily pravděpodobně koncem padesátých či začátkem šedesátých let v souvislosti s matematickými teoriemi sebereplikujících automatů. Pak se takové programy objevily v oné sci-fi literatuře - první zmínka o programu, který se sám množí, se objevila v knize Johna Brunnera Shockwave Rider (používal pro něj jméno tapeworm) a velice barvitě (a už pod označením virus) je podobný program vylíčen v dnes již klasické knize Williama Gibsona Neuromancer, která vyšla v roce 1984:
"Čínský virus se rozpínal kolem nich. Mnohobarevný stín, nespočetné průsvitné vrstvy se měnily a přesouvaly. Próteovsky měnivý, ohromný, tyčil se nad nimi, vpíjel se do prázdna."
V té době však již probíhaly i seriózní experimenty se samoreplikačními programy: Fred Cohen testoval takové programy v letech 1983 a 1984 pod různými systémy (zejména pod Unixem) a poté zveřejnil svou slavnou doktorskou práci s názvem "Computer Viruses -Theory and Experiments". V ní také poprvé použil termín, který se dosud uplatňoval pouze v biologii - virus. Publikoval též formální matematicky přesnou definici počítačového viru, která platí dodnes. To vše však byly pouze pokusy, které neměly přímý vliv na svět reálných počítačů. První reálný virus pro IBM PC se objevil právě před dvaceti lety. A nebylo to v nějaké technologicky vyspělé zemi západního světa - bylo to ve městě Lahore v Pákistánu. Za jeho vytvořením stáli dva bratři (Basit a Amjad Farooq Alvi), kteří tento boot virus nejen napsali, ale dokonce se do něj podepsali, uvedli své telefonní číslo a nabídli program na jeho odstranění. Důvodem vytvoření viru byla podle nich ochrana jejich medicínského programu. Virus měl zasáhnout pouze počítačové piráty, ale fungoval bohužel na všech počítačích. Boot viry jsou uloženy v zaváděcím sektoru disket (tehdy měly kapacitu pouhých 360 kB), při pokusu o zavedení systému se kód z tohoto sektoru automaticky spustí. Stačí zapomenout infikovanou disketu v počítači a tento počítač bude napaden.

Ve světle reflektorů

Viry se od té doby výrazně změnily - ostatně stejně jako počítače, jejich systémy a programy, které dnes používáme. Svoji velkou chvíli slávy zažily boot viry, klasické souborové viry pro MSDOS, makroviry a viry pro operační systém Windows. Objevily se viry napadající příkazové dávky, skriptové viry, viry pro IRC kanály, viry pro systém OS/2, Linux, řadu aplikací (MS Office, AmiPro, AutoCAD, různé serverové produkty) i pro další platformy: Palm, mobilní telefony a podobně. Žádný operační systém není vůči virům imunní, pro každý systém je možno nějaký virus vytvořit. Jeho úspěšné šíření však vždy záleží na řadě dalších faktorů. Prvním z nich je vektor šíření, tj. způsob, jakým se virus dostane z jednoho počítače na druhý. Kdysi to byly pouze diskety, dnes je to hlavně elektronická pošta či jiné formy přímé komunikace (IRC, ICQ, P2P) či nějaký bezpečnostní problém. Druhým faktorem je rychlost, jakou je virus schopen se šířit. Je jasné, že při využití bezpečnostní chyby do sítě připojených počítačů bude větší než při šíření přenosem disket. Třetím faktorem je množství počítačů, které je schopen virus napadnout (které například obsahují určitou bezpečnostní chybu). Tyto faktory byly klíčové při šíření všech virů i červů v historii: příkladem může být Brain, Morrisův červ, Michelangelo, One Half, Melissa, SST-A (Kournikova), LoveLetter, SQLSlammer, Codered, Blaster, Sobig, Mydoom, Beagle, Sasser... O většině těchto virů jsme si v našem seriálu povídali, všechny patřily během uplynulých dvaceti let k velkým mediálním hvězdám a způsobily řadě uživatelů velké problémy.

Je to i na vás...

Je zcela jisté, že s viry a dalšími škodlivými programy se budeme setkávat i v následujících dvaceti letech. Je zřejmé, že i pro ně bude platit to, že možnosti jejich šíření jsou dány výše zmíněnými faktory. Je jen na výrobcích počítačů a programů a na nás - uživatelích, které cesty šíření škodlivých programů budou průchozí, a které ne. Vše záleží na tom, zda bude bezpečnosti věnována dostatečná pozornost a zda se všichni naučíme omezovat rizika, kterými podobné programy hrozí. Jsem však historií poučený realista, a proto jsem přesvědčen, že nudit se v této oblasti v příštích letech rozhodně nebudeme!

SonyBMG

Další kopírovací ochrana s chybou

Chybami se člověk učí? Kéž by! Po maléru s DRM softwarem XCP (psali jsme o něm v Chipu 2/06) má Sony další problém. Tentokrát se týká bezpečnostní díry v kopírovací ochraně MediaMax 5 od firmy SunnComm, kterou Sony používá. Postiženo je kolem 20 milionů zvukových CD -pocházejících ovšem výhradně ze Severní Ameriky.
MediaMax sice není žádný rootkit jako XCP, ale počíná si rovněž jako spyware. To znamená, že MediaMax se sám a bez vědomí uživatele nainstaluje, svévolně tím obsadí dobrých 12 MB paměti a po internetu se spojí s centrálním serverem. Software se přitom chová jako ovladač a také se přímo napojí na jádro Windows - už to samo o sobě znamená bezpečnostní riziko. MediaMax však navíc založí vlastní adresář, který má nižší přístupová práva. Teoreticky by se tak k němu mohl kdokoliv dostat a uložit do něj další programy. Pokud by v něm hacker například nahradil hlavní program "mmx.exe" stejnojmenným trojským koněm, ten by byl automaticky spuštěn.
Ale bude ještě hůře. Poté, co si uživatelé v USA na tuto kopírovací ochranu masově stěžovali, uveřejnil její výrobce SunnComm na webu odinstalační program. Ten však do počítače zavádí "ActiveX Control" opět postižený chybami. Česky řečeno: Kdo se takto pokusí zbavit se nebezpečného spywaru, otevře tím hackerům další vstupní bránu.
Nezbývá než se ptát: Proč Sony své věrné zákazníky neustále trestá malwarem a bezpečnostními dírami? A jak si vůbec Sony může uzurpovat právo nahrávat software do cizích počítačů?
Info: www.freedom-totinker.com

eBay

Nové phishingové vábničky

Internetoví loupežníci teď nastražují phishingové odkazy přímo do nabídkových stránek eBay. Trik spočívá v tom, že tyto odkazy klient považuje za důvěryhodné, přitom ho však plynule odvedou na opticky stejně vyhlížející stránky podvodníků. Na nich pak má nic netušící zákazník prozradit svá hesla a přihlašovací data. Provozovatelům eBay už je finta známa a vyhledávací algoritmus teď v nabídkách stále pátrá po těchto nebezpečných odkazech.
Info: www.ebay.com

Microsoft Windows

Eskalace systémových práv

Byla oznámena zranitelnost v Microsoft Windows XP SP1 a SP2. Chyby jsou v nedostatečné přístupové kontrole v SSDP (Simple Service Discovery Protocol) a UPnP (Universal Plug and Play). Obě chyby mohou být zneužity lokálním neprivilegovaným uživatelem k obejití bezpečnostních pravidel a ke spuštění zákeřných programů s vyššími systémovými právy. Exploit je již na světě, ale záplata ani workaround nebyly dosud publikovány. Více informací včetně odkazu na exploit a původní výzkumnou zprávu naleznete na adrese www.frsirt.com/english/advisories/2006/0417.
Info: zpravy.actinet.cz

AOL Messenger

Červ chatuje s uživateli AIM

"lol thats cool," prohlašuje messengerový červ IM. Myspace04. AIM, je-li osloven. Škůdce se šíří po síti AOL Instant Messengeru tak, že si na infikovaných počítačích přečte seznam kontaktů (Buddy List). Jeho členům pak rozesílá zprávu s odkazem na "clarissa17. pif" - tento soubor obsahuje škodlivou rutinu. Je-li aktivována, sdělí uživateli buď výše uvedenou větu, nebo také "lol no its not its a virus". Červ se navíc pokouší deaktivovat virové skenery.
Info: www.imlogic.com

Winamp Player

Spuštění kódu

Byla oznámena chyba v multimediálním přehrávači Winamp verze 5.12 a nižší. Nebezpečí může vzniknout při zpracování zákeřně upraveného playlist souboru (.pls). Takto může vzdálený útočník způsobit přetečení bufferu a získat kontrolu nad cílovým systémem. Úspěšný útok se obejde i bez asistence uživatele, stačí ho nasměrovat na zákeřnou webovou stránku. Zranitelnost je opravena ve verzi 5.13, která je již k dispozici. Exploit je veřejně dostupný.
Info: zpravy.actinet.cz

Firefox a Mozilla Suite

Osm nových zranitelností

Těsně před uzávěrkou byla objevena v produktech nadace Mozilla řada nových bezpečnostních děr. Jedná se o produkty Mozilla Firefox ve verzi 1.5 a nižší, Mozilla Suite verze 1.7.12 a nižší, Mozilla Thunderbird verze 1.5 a nižší a Mozilla SeaMonkey do verze 1.0 včetně.
První chyba je v javascriptovém enginu a týká se nedostatečné ochrany dočasných proměnných. Druhá chyba nastane při dynamické změně stylu elementů z "position:relative" na "position:static". Třetí chyba vznikne při načítání stránky s extrémně dlouhým názvem a může způsobit pád nebo několikaminutové zamrznutí aplikace.
Čtvrtá chyba nastane při volání metody "QueryInterface" zabudované v objektech "Location" a "Navigator". Špatně ošetřená jména atributů při volání XULDocument.persist() může způsobit pátou zranitelnost, kterou může útočník zneužít k vložení libovolného XML či javascriptového kódu do "localstore.rdf", kde bude při příštím startu automaticky spuštěn. Šestá zranitelnost je typu integer overflow v E4X, SVG a Canvasu.
Sedmou chybu má na svědomí XML parser a může způsobit přetečení bufferu a pád počítače.
Poslední, osmá chyba je v implementaci E4X v objektu "AnyName". Dopad zranitelnosti je velmi různorodý, od totální kompromitace systému až po pád aplikace či obejití bezpečnostních nastavení. Záplaty jsou již k dispozici. Přímé odkazy na podrobné informace o chybách: www.mozilla.org/security/announce/mfsa2006-01.htmlwww.mozilla.org/security/announce/mfsa2006-08.html
Info: zpravy.actinet.cz

Apple

iTunes a Quicktime s problémy

V "applovském" softwaru se množí chyby, a to jak pod Windows, tak i pod Mac OS. Útočníci tak teoreticky mohou v Quicktime 7.0.3 a v iTunes 6.0.1 využít "buffer overflow" ke spouštění vlastních programů na cizích počítačích. Kdo dosud používá iTunes 5, vystavuje se dalšímu nebezpečí útoku: ve staré verzi by hacker mohl svůj záškodnický program spustit přes rutinu iTunes Helper. Přinejmenším tuto mezeru odstraní update na iTunes 6. Pro buffer overflow ve verzi 6 však do naší uzávěrky nebyla žádná oprava od Applu k dispozici. Info: www.apple.com/support/

KRÁTCE

250 000 nových zombie PC denně

"Díky" červu Sober stoupá od listopadu 2005 počet infikovaných PC každý den o čtvrt milionu. Poněvadž zombie PC jsou nejčastěji využívány k rozesílání reklamních mailů, zvýšilo se od listopadu zatížení spamem o 15 %.
Info: www.trustedsource.org 

Červ 2005: Mytob

Prostřednictvím slabého místa ve službě LSASS a také elektronickou poštou se Mytob rozšířil natolik, že měl na svědomí největší epidemii v roce 2005. Stal se tak následovatelem dřívějších "rekordmanů" Sobig (2003) a Netsky (2004).
Info: www.kaspersky.com

P2P sítě a bezpečnost

Je váš prohlížeč skutečně bezpečný?

Nové verze, nové mezery: ať Firefox 1.5, Opera 8.5, nebo Internet Explorer 6 - všechny velké webové browsery dnes vykazují větší či menší bezpečnostní díry. Dokonce i kdysi tak bezpečný Firefox už se začíná "kazit": do nejnovější verze prohlížeče z projektu Mozilla se vloudila první "chybička". Pomocí JavaScriptu může útočník do souboru historie teoreticky zapsat nadměrně dlouhý název dokumentu - a výsledkem je zhroucení programu. Nenastane to naštěstí při každé instalaci Firefoxu a dosud také není znám žádný škůdce, který by tuto mezeru zneužíval.
Opera, tajný prohlížečový tip, se z "úletu" Firefoxu dlouho neradovala - také tento alternativní browser musel přiznat "vysoce kritickou" bezpečnostní mezeru, která útočníkovi umožňuje spuštění cizího programu. Kdo však používá verzi 8.5 nebo vyšší, je mimo nebezpečí. Stranou samozřejmě nemohl zůstat ani Internet Explorer: Microsoft musel v polovině prosince ucpávat hned šest děr, z toho jedna byla hodnocena jako "extrémně kritická". Jak to v soutěži o nejbezpečnější webový prohlížeč momentálně vypadá, ukazují grafy.
Info: www.secunia.com

Browsery

Bezpečnější prohlížeč

Organizace CERT/CC (Computer Emergency Response Team/Coordination Centre) zveřejnila na svém webu článek o tom, jak co nejlépe zabezpečit webový prohlížeč (www.cert.org/tech_tips/securing_browser/). Rozebírá slabá místa a možnosti napadení prohlížeče a na příkladech ukazuje, jak jej co nejlépe zabezpečit. Podrobněji se věnuje nastavením v Internet Exploreru, Mozille Firefox a v Safari od společnosti Apple Computer.
Info: www.websense.com

ZÁPLATY: ŽÁDNÝ PROHLÍŽEČ NENÍ BEZ MEZER

Opera až dosud žádnou extrémně kritickou bezpečnostní mezeru neměla - na rozdíl od konkurentů. Útěchou může být, že na většinu závažných děr ve webových prohlížečích jsou k dispozici záplaty.

Intel

Bezpečnostní čip má chránit před rootkity

Do boje proti ohrožení ze strany rootkitů se nyní hodlá osobně vložit sám výrobce procesorů Intel. O co jde? Rootkity si většinou prostřednictvím obávaného "buffer overflow" zjednávají nejvyšší práva v počítači. Tak se škůdcům daří ovlivnit jakýkoliv nainstalovaný software - třeba i antivirové programy. Naproti tomu Intel chce nyní vsadit na System Integrity Services (SIS). Na základní desce bude integrován zvláštní bezpečnostní čip, jehož ochranný software poběží nezávisle na operačním systému a pro rootkity bude nedosažitelný. První produkty mají být k dispozici v roce 2008.
Info: www.intel.com


Dokumenty ke stažení