További Biztonság cikkek
Figyelmeztetnek
Csütörtökön Ullrich és más szakértők figyelmeztettek, hogy új változata jelent meg a legelterjedtebb robotszoftvernek, az Agobotnak. Az új változatban szerepel az a kód, mellyel be lehet törni csaknem minden olyan, az utóbbi öt évben kiadott Windows-rendszerbe, amire telepítve van az LSASS (Local Security Authority Subsystem Service) biztonsági összetevő. Ezt az LSASS-hibát használja ki egyébként a mostanában terjedő Sasser féregvírus is.
Ullrich szerint csütörtökön megnőtt annak a portnak a forgalma, amit az Agobot új verziója használ a betörésekhez. A Symantec is figyelmeztetett, hogy az Agobot (vagy Gaobot, ahogy ők nevezik) LSASS-verziója gyorsan terjed.
Alulbecsülték
A feszültség érthető, hiszen legutóbb a Symantec és a CAIDA (Cooperative Association for Internet Data Analysis) internetes biztonsági cég is alábecsülte a fenyegetést. A két cég kutatói úgy becsülték, hogy az MSBlast és variánsai legfeljebb félmillió gépet fertőznek meg, ennek ellenére a Microsoft múlt hónapban bejelentette, hogy a Windows Update nyolcmillió rendszert tisztított meg és frissített. Szerdán a szoftvercég 9,5 millióra módosította a számot.
A Symantec most az érintett számítógépek számát százezrekre teszi, de vannak, akik szerint több millió gépről is szó lehet. A robotszoftvereket nehezebb felfedezni, mint a féregvírusokat, mert jóval rejtettebben dolgoznak. A férgek, amik gyorsan és véletlenszerűen terjednek, nagy hálózati forgalmat generálnak, mikor megpróbálják megfertőzni a számítógépeket, így könnyen észre lehet őket venni. A botok viszont általában először a kisebb hálózatokat kutatják át, így a fertőzött szerverek nem használnak akkora sávszélességet, így nem is feltűnők.
Kombinálni lehet
Kérdés az is, hogy mennyire válhatnak veszélyessé a robotok: például kombinálni lehet őket a férgekkel és vírusokkal is. A Symantec szerint az ISS biztonsági szoftver egy hibáját kihasználó Witty férget például 4200 darab, hálózatba szervezett bot kezdte el terjeszteni. A féreg ugyanis olyan számítógépekről is érkezett, amin nem futott az ISS. A CAIDA elemzése szerint csak 110-160 számítógép vett részt a műveletben.
A spammerek is elkezdték használni a robothálózatokat, hogy így küldjék kéretlen reklámleveleiket. A Sobig és a MyDoom férgek ezeket a spamküldő gépeket is megfertőzték, így felgyorsult a terjedésük.
A botokkal könnyen lehet szervertúlterheléses támadásokat is indítani, sőt arra is volt példa, hogy valaki így építette ki a saját szuperkomputerét, amit aztán titkosított jelszavak feltörésére használt, mondta David Dittrich, a washingtoni egyetem számítógépes kutatója.
Utolsó fázis
Könnyen lehet új funkciókat adni a már meglévőkhöz, az Agobot forráskódja ugyanis nyilvános. A szoftver - melynek már több száz változata létezik - az irc-t használja kommunikációs csatornaként. A Phatbot nevű változat titkosított p2p-hálózatot alakít ki.
Az Agobot új változatának megjelenése arra utal, hogy hamarosan érkeznek azok a férgek is, amik ugyanezt a hibát használják ki, magyarázta Ullrich. A biztonsági réseket kiaknázó programkódok ugyanis először csak scriptekben, egyszerű parancsokban, után a botokban jelennek meg. A férgek csak a legutolsó fázisban érkeznek, mondta Ullrich.
Ez volt a helyzet például az MSBlasttal, az Agobot több változata is ugyanazt a hibát használta ki hetekkel korábban, mint ami a vírus terjedését később lehetővé tette. A napokban megjelent Sasser féreg már az LSASS-hibát használja.