19 sierpnia 2005

Początek ery "robaków biznesowych"?

David Emm, konsultant ds. bezpieczeństwa w firmie Kaspersky Lab, przedstawia analizę incydentu z robakiem Bozori (znanym również jako Zotob).

Od pewnego czasu eksperci z firmy Kaspersky Lab obserwują zmianę kierunku w taktykach stosowanych przez twórców wirusów. Względny spadek liczby globalnych epidemii odnotowany w ciągu ostatniego roku wskazuje na odejście od przeprowadzania masowych ataków na użytkowników rozproszonych po całym świecie. Zamiast tego ataki koncentrują się na określonych obszarach.

Oczywiście zmiana taktyk nie jest niczym nowym w świecie złośliwych programów. Główną siła napędową tych zmian zawsze był rozwój technologiczny. Wykorzystanie Internetu jako narzędzia do robienia interesów stworzyło warunki do rozwoju złośliwych programów rozprzestrzeniających się za pomocą globalnej Sieci. Technologiczna rywalizacja między twórcami złośliwych programów i producentami rozwiązań antywirusowych zawsze miała wpływ na rozwój złośliwego kodu.

Technologia jest jednak tylko jednym z wielu czynników. Dynamika społeczna wywarła równie znaczący wpływ na kierunek rozwoju złośliwych programów. Jednym z przykładów jest powszechne stosowanie metod socjotechniki w celu nakłonienia niczego niepodejrzewających użytkowników do zainstalowania na swoich komputerach złośliwego kodu. Innym przykładem tego zjawiska jest obecna epidemia robaka Bozori (znanego także pod nazwą Zotob).

Na pierwszy rzut oka Bozori nie różni się niczym od wcześniejszych robaków internetowych, takich jak Blaster czy Sasser, które również wykorzystywały luki w celu rozprzestrzeniania się bezpośrednio na niezabezpieczone komputery. Mimo to robak ten nie wywołał globalnej epidemii! W Internecie nie wykryliśmy żadnych jednoznacznych oznak epidemii. Nie otrzymaliśmy również żadnych zgłoszeń o infekcji od indywidualnych użytkowników.

Nikt nie wątpi w to, że robak ten rozprzestrzenia się. Wydaje się jednak, że pojawia się on jedynie w dużych sieciach korporacyjnych. To właśnie te organizacje, składające się zazwyczaj z "małych internetów" stojących za dobrze chronionymi bramami, padły jego ofiarą.

Bozori wywołuje lokalne epidemie, tam gdzie może zainfekować dużą liczbę obiektów (zależy to w dużej mierze od poziomu zarządzania w organizacji). Robak nie może zaatakować wielu komputerów poprzez Internet, ponieważ obecnie prawie wszyscy korzystają z zapór ogniowych. Jest jednak w stanie przeniknąć do lokalnej sieci bez pokonywania takiego zabezpieczenia: gdy zainfekowany laptop zostanie wprowadzony do sieci z powiedzmy 50 komputerami pracującymi pod kontrolą systemu Windows 2000, powstaje chaos. Tłumaczy to, dlaczego nie ucierpiały małe firmy i użytkownicy domowi. Z drugiej strony, główne szkody poniosło kilka globalnie połączonych korporacji, które posiadają ogromne sieci komputerów - w pewnym sensie własne mniejsze wersje Internetu.

Incydent z robakiem Bozori świadczy o tym, że stoimy u progu nowej ery. "Robaki biznesowe" będą wywoływały epidemie w lokalnych sieciach dużych korporacji, które będą miały niewielki wpływ na Internet.

Trend ten nie został spowodowany żadną zmiana techniczną w sposobie tworzenia złośliwych programów. Zmiany nastąpiły w wyniku przeobrażenia organizacji społecznej czy dynamiki społecznej. Korporacje zabezpieczyły się za pomocą "nieprzenikalnych" zapór ogniowych filtrujących wszystkie wiadomości e-mail. Przedsiębiorstwa poczuły się bezpieczne i przekonane, że żaden atak nie może ich dosięgnąć. Cios, jaki otrzymały z wewnątrz, był tym boleśniejszy, że zupełnie nieoczekiwany.