Ferenc, Olívia
-4 °C
4 °C

Robotok támadnak az interneten

2004.05.03. 15:58
Bár a legutóbbi időben a féregvírusok részesülnek a legnagyobb figyelemben, a biztonsági szakértők egy kevésbé látványos, mégis ugyanannyira pusztító veszélyre hívják fel a figyelmet: a csendben dolgozó robotszoftverekre, melyek feltűnés nélkül futnak a háttérben, és alkotójuk különböző feladatokat végeztethet el velük a távolból.
A robotszoftverek szoftver legfrisebb verziójával a támadók chatszervereken és fájlcserélő-hálózatokon keresztül tudják irányítani a fertőzött gépeket. "Ez az egyik olyan nagy biztonsági probléma, amiről keveset beszélnek" - mondta a News.com-nak Johannes Ullrich, az internetes biztonsággal foglalkozó Internet Storm Center vezető mérnöke.

Figyelmeztetnek

Csütörtökön Ullrich és más szakértők figyelmeztettek, hogy új változata jelent meg a legelterjedtebb robotszoftvernek, az Agobotnak. Az új változatban szerepel az a kód, mellyel be lehet törni csaknem minden olyan, az utóbbi öt évben kiadott Windows-rendszerbe, amire telepítve van az LSASS (Local Security Authority Subsystem Service) biztonsági összetevő. Ezt az LSASS-hibát használja ki egyébként a mostanában terjedő Sasser féregvírus is.

Ullrich szerint csütörtökön megnőtt annak a portnak a forgalma, amit az Agobot új verziója használ a betörésekhez. A Symantec is figyelmeztetett, hogy az Agobot (vagy Gaobot, ahogy ők nevezik) LSASS-verziója gyorsan terjed.

Alulbecsülték

A feszültség érthető, hiszen legutóbb a Symantec és a CAIDA (Cooperative Association for Internet Data Analysis) internetes biztonsági cég is alábecsülte a fenyegetést. A két cég kutatói úgy becsülték, hogy az MSBlast és variánsai legfeljebb félmillió gépet fertőznek meg, ennek ellenére a Microsoft múlt hónapban bejelentette, hogy a Windows Update nyolcmillió rendszert tisztított meg és frissített. Szerdán a szoftvercég 9,5 millióra módosította a számot.

A Symantec most az érintett számítógépek számát százezrekre teszi, de vannak, akik szerint több millió gépről is szó lehet. A robotszoftvereket nehezebb felfedezni, mint a féregvírusokat, mert jóval rejtettebben dolgoznak. A férgek, amik gyorsan és véletlenszerűen terjednek, nagy hálózati forgalmat generálnak, mikor megpróbálják megfertőzni a számítógépeket, így könnyen észre lehet őket venni. A botok viszont általában először a kisebb hálózatokat kutatják át, így a fertőzött szerverek nem használnak akkora sávszélességet, így nem is feltűnők.

Kombinálni lehet

Kérdés az is, hogy mennyire válhatnak veszélyessé a robotok: például kombinálni lehet őket a férgekkel és vírusokkal is. A Symantec szerint az ISS biztonsági szoftver egy hibáját kihasználó Witty férget például 4200 darab, hálózatba szervezett bot kezdte el terjeszteni. A féreg ugyanis olyan számítógépekről is érkezett, amin nem futott az ISS. A CAIDA elemzése szerint csak 110-160 számítógép vett részt a műveletben.

A spammerek is elkezdték használni a robothálózatokat, hogy így küldjék kéretlen reklámleveleiket. A Sobig és a MyDoom férgek ezeket a spamküldő gépeket is megfertőzték, így felgyorsult a terjedésük.

A botokkal könnyen lehet szervertúlterheléses támadásokat is indítani, sőt arra is volt példa, hogy valaki így építette ki a saját szuperkomputerét, amit aztán titkosított jelszavak feltörésére használt, mondta David Dittrich, a washingtoni egyetem számítógépes kutatója.

Utolsó fázis

Könnyen lehet új funkciókat adni a már meglévőkhöz, az Agobot forráskódja ugyanis nyilvános. A szoftver - melynek már több száz változata létezik - az irc-t használja kommunikációs csatornaként. A Phatbot nevű változat titkosított p2p-hálózatot alakít ki.

Az Agobot új változatának megjelenése arra utal, hogy hamarosan érkeznek azok a férgek is, amik ugyanezt a hibát használják ki, magyarázta Ullrich. A biztonsági réseket kiaknázó programkódok ugyanis először csak scriptekben, egyszerű parancsokban, után a botokban jelennek meg. A férgek csak a legutolsó fázisban érkeznek, mondta Ullrich.

Ez volt a helyzet például az MSBlasttal, az Agobot több változata is ugyanazt a hibát használta ki hetekkel korábban, mint ami a vírus terjedését később lehetővé tette. A napokban megjelent Sasser féreg már az LSASS-hibát használja.