Nadchodzi era superszybkich wirusów
Już za kilka lat zagwarantowanie bezpieczeństwa korporacyjnym sieciom komputerowym kosztować będzie na całym świecie łącznie kilkanaście miliardów dolarów rocznie – prognozują analitycy. Zajmujące się bezpieczeństwem internetowym firmy zacierają ręce.
Miguel nudził się na zajęciach z informatyki. Jego umiejętności już dawno przekroczyły wiedzę przekazywaną na wykładach. W czasie gdy nauczyciel cierpliwie tłumaczył zawiłości algorytmów, udało mu się stworzyć krótki, złośliwy kod. Wpadł na następnych zajęciach, kiedy szukał w internecie komputerów, które można było nim zarazić. – Śledziliśmy jego działania od początku – opowiada mi Jeff Ogden, szef najbardziej chronionego centrum bezpieczeństwa cybernetycznego w Europie.
Takich jak Miguel jest wielu. Groźne epidemie wirusowe zaczynają się bowiem zwykle niepozornie. Autorami złośliwych robaków internetowych okazują się często osoby, które trudno o to podejrzewać. Na początku września aresztowano 24-letniego rumuńskiego programistę Dana Dumitru Ciobanu. Zdaniem analityków napisanie mutacji wirusa MS Blast, który latem atakował komputery na całym świecie, zajęło mu mniej niż kwadrans. Teraz grozi mu do 15 lat więzienia. Autorem innej wersji tego samego wirusa okazał się ważący 140 kilogramów 18-letni miłośnik telewizji i hamburgerów Jeffrey Lee Parson. Kolejne dziesięć lat swojego życia może spędzić za kratkami.
MS Blast zaraził w sumie około miliona komputerów, narażając setki firm na wielomilionowe straty. Właśnie ten wirus był pierwszy na liście podejrzanych o spowodowanie wielkiej awarii sieci elektrycznej na Wschodnim Wybrzeżu USA. Co roku na świecie pojawia się kilka tysięcy mutacji wirusów i robaków internetowych podobnych do MS Blasta. Najbardziej znane z nich, których epidemie spustoszyły Internet, to m.in.: Code Red, Nimda, SQL Slammer, Bugbear.B czy Sobig. Spółki, które chcą zminimalizować zagrożenie, sięgają po usługi firm zajmujących się bezpieczeństwem sieciowym. Tylko kilka z nich oferuje możliwość monitorowania systemów komputerowych firm przez całą dobę. Cybernetyczne bezpieczeństwo staje się chodliwym towarem. Europejskie centrum operacyjne Symanteca SOC zlokalizowano w teoretycznie najbardziej bezpiecznym z możliwych miejsc – pamiętającym czasy zimnej wojny bunkrze przeciwatomowym.
Analitycy czują się bezpieczni
Stoimy ściśnięci w malutkim korytarzyku. Za nami zatrzasnęły się właśnie betonowe drzwi przeciwatomowego bunkra. Półmetrowe ściany i kilkakrotnie grubszy sufit miały zapewnić bezpieczeństwo tym, którym udało się uciec przed nuklearną zagładą. Brytyjską sieć bunkrów zbudowano w latach 70. dla władz lokalnych i rządu. Zapasy miały starczyć na przeżycie pod ziemią trzech miesięcy. Aby przedostać się do środka, trzeba przejść przez trzy śluzy. Do oczyszczania powietrza służą działające po dziś dzień filtry węglowe. Sam bunkier ukryty jest w jednym z wielu pagórków hrabstwa Hampshire.
Dziś w środku pełną parą pracują komputery. Ponad 40 osób na trzech zmianach przez 24 godziny na dobę dba o to, aby ponad 600 firm na całym świecie miało poczucie bezpieczeństwa. Co miesiąc zespół analizuje 9,5 mln linii kodu pobieranych z serwerów klientów. Zaledwie 1,3 tys. jest kwalifikowanych do dalszej skrupulatnej analizy, z czego 347 okazuje się prawdziwymi atakami. Tylko trzy z nich są naprawdę groźne.
Informatycy nie mają dostępu do danych zawartych na komputerach. Analizują tylko zdarzenia zachodzące na tzw. firewallach – zabezpieczeniach, które chronią serwery przed zewnętrznymi zagrożeniami. Za usługę trzeba płacić. Śledzenie zdarzeń z jednego urządzenia kosztuje ok. 1 tys. funtów miesięcznie. W zamian za to klienci są ostrzegani przed atakami wirusów i działaniami hakerów oraz informowani na bieżąco o opublikowanych błędach w programach użytkowych. Te ostatnie to tylne drzwi, przez które dostają się złośliwe programy. – Informatycy nie są przypisani do poszczególnych klientów. Analizują dane w poszukiwaniu trendów w oparciu o swoją własną, izolowaną bazę danych zdarzeń – tłumaczy Graeme Pinkney, szef zespołu analityków SOC. Na wykryte zagrożenie trzeba reagować błyskawicznie. – Jeśli w ciągu dziesięciu minut nie powiadomimy klienta, że ma miejsce poważne zdarzenie internetowe, oddajemy część jego miesięcznych opłat. Jednak w kilkuletniej historii tego centrum nigdy się to jeszcze nie zdarzyło – mówi Jeff Ogden, szef brytyjskiego SOC.
Ogden nie kryje, że popyt na usługi bezpieczeństwa internetowego wzrósł po atakach terrorystycznych na USA we wrześniu 2001 r. Powstaje coraz więcej dokumentów legislacyjnych, które mają gwarantować bezpieczeństwo informacji. W USA wprowadzono prawo, które nakazuje monitorowanie firm monitorujących infrastrukturę klientów. Ma to zapewnić poufność danych w firmach. – Mamy klienta, który nie jest narażony na żadne zewnętrzne zagrożenia internetowe. Płaci za monitorowanie jego systemów komputerowych tylko dlatego, że są takie wymogi prawne – mówi Ogden. Dzięki zmianom w prawie i obawom przed atakami rynek rośnie w oszałamiającym tempie. Według szacunków firmy badawczej IDC wartość rynku usług bezpieczeństwa internetowego w samej tylko Europie w 2006 r. osiągnie poziom 4,6 mld dol. W skali całego świata do podziału będzie prawie 15 mld dol. Symantec i jego najwięksi rywale – F-Secure czy Network Associates – zaciekle walczą o jak największą część tortu. Roczny wzrost obrotów brytyjskiego Symantec Operation Center (SOC) sięga 400 proc. – Trochę przekraczamy nasze szacunki wzrostu – uśmiecha się Ogden.
Przewaga nad hakerami topnieje
Codziennie na świecie ujawniane jest średnio siedem błędów w powszechnie stosowanych programach użytkowych – od baz danych po systemy operacyjne. W sumie w 2002 r. wykryto ich ponad 2,5 tys. – o 81,5 proc. więcej niż rok wcześniej. Czas między odkryciem luki w programie i wykorzystaniem jej przez hakera do ataku systematycznie się skraca. W sierpniu 1999 r. było to 500 dni. W ciągu trzech latach czas ten skrócił się do 40 dni. Dane za 2003 r. mówią już tylko o kilkunastu dniach. – Powoli zbliżamy się do punktu, kiedy nie będziemy mieli żadnej przewagi czasowej nad hakerem. To może być kwestia najbliższych dni – mówi Graeme Pinkney.
Specjaliści od bezpieczeństwa nazywają taką sytuację „zagrożeniem dnia zerowego”. Na dodatek z roku na rok wirusy rozprzestrzeniają się coraz szybciej. Kiedy dwa lata temu zaatakował niezwykle groźny wirus Nimda, przeskakiwał z systemu do systemu. Najnowsze złośliwe programy skanują sieć i równocześnie atakują wszystkie komputery, na których zainstalowane jest wadliwe oprogramowanie. Na początku roku wirus Bugbear.B zaraził 60 tys. komputerów w dwie-trzy minuty. Zauważenie zagrożenia i namierzenie źródła ataków zajmuje analitykom w najlepszym przypadku dziesięć minut. Potem trzeba jeszcze powiadomić klienta, jakie kroki musi podjąć, aby uniknąć zagrożenia. Wymyślenie szczepionki może zająć programistom godziny. Wewnętrzny rekord Symanteca to 43 sekundy.
Szybsi niż zagrożenie
Jak w takiej sytuacji radzą sobie firmy zajmujące się bezpieczeństwem sieciowym? Ich działania mają zwykle charakter prewencyjny. – Internet jest jak droga. O danej porze dnia można się spodziewać określonego ruchu. Jeśli nagle ruch znacząco zwalnia lub przyśpiesza, oznacza to, że dzieje się coś złego – tłumaczy Pinkney.
Hakerzy, zanim zaatakują, muszą zebrać informacje, gdzie najlepiej wypuścić złośliwy kod. – Śledzimy te ruchy i zanim dojdzie do ataku, wiemy, że coś się zdarzy – mówi Pinkney. Poziom skomplikowania ataków wzrósł do takich rozmiarów, że firmy bezpieczeństwa sieciowego wspomagają się oprogramowaniem Digital Immune System, automatycznie wykrywającym zagrożenia i wyposażonym w namiastkę sztucznej inteligencji. – Kiedy system dojdzie do wniosku, że dane działanie jest prawdziwym zagrożeniem, wystarczy przycisnąć przycisk i szczepionka idzie do klienta – mówi Pinkney.
Szczepionki są tworzone przez system automatycznie na podstawie informacji o dotychczasowych atakach. Niemal 90 proc. zagrożeń internetowych jest neutralizowane w ten sposób. Wszystkimi niestandardowymi muszą się jednak zająć ludzie. Wtedy też zmniejsza się czas reakcji na zagrożenie.
Zagrożeniem przyszłości dla komputerów osobistych podłączonych do internetu mają być tzw. robaki Warhola oraz wirusy typu flash. To pierwsza generacja złośliwych programów działających szybciej niż wynosi czas reakcji analityków na zagrożenie. Według analityków wirusy te mogą zarazić miliony komputerów w kilka minut. Robak Warhola wykorzystuje zoptymalizowany system skanowania, za pomocą którego ustala, jakie serwery może zaatakować. Następnie fragmenty listy potencjalnych celów zostają przydzielone poszczególnym kopiom wirusa, które próbują je zaatakować. Pozwala to na zainfekowanie kilku tysięcy maszyn w ciągu minuty, a miliona – w osiem minut.
Polska narzędziem hakerów
Szef SOC Jeff Ogden pokazuje na rzutniku ekran monitora Chrisa, jednego z analityków, który siedzi za szybą. Każdy z analityków ma po dwa monitory – na jednym widać listę zdarzeń, a na drugim przeglądane są potencjalne zagrożenia. Migają na nim niezrozumiałe adresy i liczby. – O, mamy kogoś z Czech! Szuka serwerów proxy, które może wykorzystać. Wydaje mi się, że jest zakażony SQL Slammerem i stara się go rozprzestrzenić – mówi nagle Chris. Analitycy co chwila dostrzegają takie działania. Hakerzy wchodzą do systemów niczego nieświadomych użytkowników internetu i poszukują za pomocą ich komputerów obiektów do ataku. W ubiegłorocznym raporcie Symanteca na temat bezpieczeństwa sieciowego wśród krajów, z których wychodzi najwięcej ataków na 10 tys. użytkowników sieci WWW, niespodziewanie wysokie drugie miejsce zajęła Polska. – Nie sądzę, żeby Polska faktycznie była źródłem ataków hakerów. Widocznie łatwiej jest wykorzystać do tego komputer w waszym kraju niż w USA – mówi Jeff Ogden. Jego zdaniem wysokie miejsce Polski w tej niechlubnej klasyfikacji to efekt niskiej penetracji technologii i słabego rozpowszechnienia technologii antywirusowych. Rozprzestrzenianiu się wirusów i ataków hakerskich sprzyja także rozwój superszybkiego internetu szerokopasmowego.
Nie ścigają, pomagają
Firmy zajmujące się bezpieczeństwem sieciowym, które śledzą ruch w internecie, mają najszybszą informację na temat potencjalnych zagrożeń. Choć udaje im się często namierzyć źródła ataków, nie wykorzystują tego do ścigania hakerów. – Zwykle przekazujemy dane klientowi, który decyduje, co z nimi zrobić. Nasz raport może zostać użyty jako dowód w sprawie, ale wszystko zależy od prawa danego kraju. Nie ścigamy jednak przestępstw. Nie mamy takich prawnych możliwości – mówi Ogden.
Symantec współpracuje z brytyjskim National Crime Unit oraz z podobnymi instytucjami w krajach Beneluksu i Finlandii. Wspomniany we wstępie hiszpański student wpadł, bo klient chciał mieć dokładne informacje o źródle ataków. Był on jednym z tzw. przestępców amatorów, czyli tych hakerów, którzy działają głównie dla zabawy. Wyróżnia się jeszcze trzy grupy: profesjonalnych przestępców, których motywacją są zwykle pieniądze, haktywistów – wykorzystujących Internet jako broń przeciwko organizacjom, z których działaniami się nie zgadzają, cybernetycznych terrorystów, których celem jest wywołanie politycznych niepokojów.
Numer 1 na liście największych zeszłorocznych zagrożeń Bugbear.B został stworzony, aby zaatakować systemy bankowe, MS Blast miał być zemstą na firmie Microsoft. Przeciwko Symantecowi również wymyślono wirusa – Baby Bear.
Środowisko analityków jest pod wieloma względami podobne do środowiska hakerów. Podobnie jak cybernetyczni przestępcy, specjaliści od bezpieczeństwa mają swoje listy dyskusyjne, na których wymieniają się informacjami na temat najnowszych zagrożeń. Śledzą także hakerskie listy dyskusyjne i strony. Dzięki tej symbiozie starają się być szybsi od atakujących. Niestety, postęp technologiczny sprawia, że każda następna epidemia jest groźniejsza od poprzedniej i powoduje większe straty w firmach. Koszty styczniowego ataku SQL Slammera liczy się w miliardach dolarów. Czy można jakoś uniknąć zagrożenia? – Jedyne, co może zrobić firma, to ujednolicić technologię i monitorować Internet oraz sieć wewnętrzną. I co najważniejsze – odpowiadać na ataki – uważa Ogden.
Źródło informacji: Gazeta Wyborcza