Alex
Biztonság vagy kényelem?
A Code Red és a Nimda után két évvel újabb féreg ment villámgyorsan körbe az Interneten, ami azt jelenti, hogy az emberek továbbra sem frissítik szoftvereiket, és a vállalatoknál sem a biztonság az elsőrendű szempont.
Már több variánsa is megjelent az MSBlast féregnek, és a következő hetekben-hónapokban még veszélyesebb változatok várhatók. A támadás első fázisában mintegy 300 000 számítógép fertőzödőtt meg világszerte a gépek gyakori újraindulását okozva. A második lépés a Microsoft javításokat közzétevő oldalának bombázása lett volna, amivel egyrészt a felhasználók képtelenek lettek volna letölteni az ellenszert, másrészt mindenki számára figyelemfelhívásként szolgál a Windowsokban meglévő hibára.
A Microsoft szerencséje, hogy a támadás csak a http://www.windowsupdate.com-ra, nem pedig a valós http://windowsupdate.microsoft.com ellen irányult, így a társaság a domainnév leállításával ki tudta védeni a féregprogram fertőzött számítógépekről induló túlterheléses támadását. A Windows Update frissítési szolgáltatás valójában az utóbbi címen érhető el, amelyet a felhasználók továbbra is igénybe vehetnek a javítások és frissítések letöltéséhez. Mivel a Windows is ezt a címet nyitja meg a Start menűben található ikonra kattintáskor, az operációs rendszeren belül azonos módon lehet elérni a szolgáltatást mint ezidáig. A lépés eredményeként a féregprogram nem tudott fennakadást okozni a Microsoft weboldalának elérésében, illetve a Windows Update szolgáltatás működésében.
Mint Lloyd Taylor, az internetes felügyelettel foglalkozó KeyNote elnökhelyettese elmondta, a Microsoft megoldása szokatlan, de az adott helyzetben teljesen logikus volt. "A Microsoft kihúzta a Blaster méregfogát" - mondta a szakértő utalva arra a lépésre, amely során a társaság lekapcsolta a www.windowsupdate.com domain nevet a biztonsági frissítéseket tartalmazó Windows Update szolgáltatásról.
"Amikor a féregprogram támadni akar, nem kap érvényes címet, így nem tudja, mit kellene megtámadnia" - mondta Taylor. Taylor szerint meglehetősen hanyag lépés volt a készítőktől, hogy nem a windowsupdate.microsoft.com címre irányították a támadást, mivel a Microsoft ezért tudta alkalmazni a mostani taktikát. A szakértő szerint elképzelhető, hogy a hackerek valójában nem is akartak kárt okozni, csak megpróbáltak ráijeszteni a szoftveróriásra. A féreg másodpercenként 50 IP csomagot küldött volna célba, ami a fertőzött gépek számával felszorozva még a Microsoft.com-ot is könnyedén padlóra küldte volna.
A féreg az operációs rendszer egy meglévő hibáját használta ki, és ugyan a javítás már július közepén megjelent, a biztonsági szakértők számára tökéletesen kiszámítható volt egy hasonló program megjelenése. Fontos figyelmeztető jel volt a pár nappal korábban feltűnt IRC-s bot. A féreg sikere nem a programozó tudását dicséri, hanem csupán az internetre kapcsolt gépek sebezhetőségét tette sokadszorra is nyilvánvalóvá.
Habár a Blaster lassan lekerül a híroldalak és a biztonsági jelentések elejéről, a korábbi társaik, mint a Sircam, Nimda vagy a Bugbear továbbra is az antivíruscégek címlapján szerepelnek. A fejlett technológia és biztonság ellenére továbbra is veszélyt jelentenek a vállalati, kormányzati rendszerekre. Vajon miért nem tűnnek el örökre a sülyesztőben?
A magyarázat az Internet nagyságában rejlik - mindig van olyan hely, ahol egy időre megbújhatnak, tenyészhetnek, és időről időre kijutva újabb helyeken tűnhetnek fel. A statisztikák szerint "sikeres" férgek, a leginkább túlélő típusok folyamatosan mozgásban vannak, újrafertőzik a korábban már megtisztitott hálózatokat. Az otthoni felhasználók a legveszélyeztetettebbek, mivel egy részük mindig is be fog dőlni a vírusos levelek utasításainak (kattints egy képre vagy a csatolt file-ra). A legjobb példa erre talán a FunLove vírus, ami 1998 őszi felfedezése ellenére még mindig a Symantec toplistáján szerepel. Számtalan vírusíró a korábbi férgek kódjára építve, csupán azt módosítva adja közre saját változatát, és ezeket a rendszeresen frissített antivírusprogramok könnyedén eltávolítanák. Ráadásul az emberek lebecsülik az egyszer már kiírtott kórokozok visszatérése okozta veszélyt. A vállalati hálózatok kagylóhéjszerű felépítése is kedvez a férgeknek, mivel a külső, tűzfalakkal és más biztonsági módszerekkel megerősített védelem mögé bejutva már szabadon garázdálkodhatnak. A figyelem elterelődése is előnyükre szolgál, mivel a rendszergazdák a veszély elhárítása után nem tesznek meg mindent a teljes törlés érdekében.
A legnagyobb veszélyt számukra a technológia előrehaladása jelenti. Miután a fertőzésre használt protokoll, alkalmazás vagy platform kimegy a divatból, teljesen elveszíthetik a lábuk alól a talajt. De ez sajnos csak az Internet kis részére igaz, más régiókba, elmaradottabb vidékekre költözve még hosszú ideig fennmaradhatnak. Ráadásul a jövőben várhatóan a vírusok és férgek egyre okosabbak lesznek, a Nimdához hasonlóan többféle terjedési módszert használnak, és ez többszintű védelmet is követel.
Az otthoni számítógépeknél csak egyetlen sebezhetőbb van, és ez maga az Internet. Nincs olyan hónap, hogy ne derülne ki súlyos hiba valamely elterjedt hálózati technológiában, és a közvetlenül nem érintett esetekben is (mint például az SQL Slammernél) ugrásszerűen nőtt a forgalom, a túlterheltség miatt világszerte általános volt a lassulás. Az ember azt gondolná, hogy a felhasználók és a vállalatok tanultak a korábbi tömeges vírusfertőzésekbol, de az emberek továbbra sem figyelnek oda gépükre.
A vírusirók számára a legelterjedtebb operációs rendszer, a Windowsok alapkoncepciója miatt mindig lesz lehetőség hasonló támadásokra. Hiába szállítja a Microsoft tűzfallal és egyéb biztonsági beállításokkal szoftverét, az online játék lehetősége, az e-kereskedelmi weblapokhoz szükséges egyéb kapcsolatok és más hasonló kényelmi beállítások miatt mindig a támadók lesznek előnyben. Az emberek egyre több szolgáltatásra, a szoftverek "interaktívabb", hálózati képességekkel is felszerelt verzióira vágynak, ami a biztonságot szükségszerűen háttérbe szorítja. Amennyiben a legújabb csili-vili szoftver nem fut tökéletesen, az első logikus lépés mindig a tűzfal lekapcsolása - és a visszakapcsolás a legtöbb esetben "elfelejtődik".
Az MSBlasternél a gépek folyamatos újraindulása miatt minden fertőzott felhasználó észrevehette a hibát, és ez fontos fordulópontot jelenthet gondolkodásukban az online biztonságról. Az emailvírusok csak a spamekhez hasonló időleges bosszúságot okoztak, de itt a féreg a termelékenységet is befolyásolta, a számítógép használatát is lehetetlenné tette. Eddig a felhasználók számára a szolgáltatások egyszerű használata volt a fő szempont, aminek elsőként szinte mindig a biztonság esik áldozatul. De mivel most sokszázezer ember elsőkézből tapasztalhatta meg a vírusok okozta problémát, a rendszergazdáknak és internetszolgáltatóknak egyszerűbb dolguk lesz a hozzá nem értők kezelésénél, és az átlagemberek sem csak ellenük irányuló támadásnak veszik a biztonsági szabályzatokat.
Hiába közölte szinte minden híroldal az RPC hibáját, a majd egy hónapja elérhető javítást csak az olvasók töredéke telepítette. A januári SQL Slammer hibához hasonlóan a felelősség nagyrésze itt is a szoftverfejlesztőket és a rendszergazdákat terheli. Változást leginkább a Windows tűzfalának megerősítése okozhat; nagyban növelné a biztonságot ha a net felé tárva-nyitva álló számítógépek helyett a felhasználóknak meg kellene határozniuk melyik programjuk kommunikálhat a hálózaton. Ez a jövőben várható is, Jeff Jones, a Microsoft megbízható számítógép programjának igazgatója szerint várhatóan a Windows XP következő szervízcsomagjában már alapból be fogják kapcsolni a beépített tűzfalat. Az utólag telepíthető tűzfalprogramok többsége ilyen: installállás után azonnal mindent blokkolnak, és mi határozhatjuk meg mit engedünk és mit nem. A Windows Server 2003 üzleti oprendszer már alkalmazza ezt, és a következő asztali generáció is tartalmazni fogja. Az embereknek el kell fogadniuk, hogy ahogy az autóban be kell kötni a biztonsági övet, vagy a motoron kötelező a bukósisak viselése, úgy a számítógép előtt ülve is át kell esni a tűzfalkonfigurálás egyszerűsített lépésein.