Kategorie
Leksykon Publicystyka

Słowniczek Zagrożeń Komputerowych dla Mało Zorientowanych (część 2)

Kiedyś było łatwiej. Mieliśmy wirusy komputerowe i w zasadzie nic więcej. Dziś rządzą spyware, adware, ransomware, rootkit, backdoor czy phishing. Niniejszy Słowniczek objaśnia nie tylko znaczenie słów, lecz tłumaczy skąd się wzięły opisywane zagrożenia i metody ataku. Gdy je poznasz, łatwiej ci będzie ochronić siebie i swoich bliskich.

To druga część cyklu, w której przeczytamy o makrowirusach, botnetach, DDOS, zombie, C&C, DOS.

Skorowidz:

Część 1: wirus, antywirus, robak (worm), 0-day
Część 2: makrowirus, botnet, DDOS, zombie, C&C, DOS

MAKROWIRUS (macro virus)

W tej nazwie nie chodzi o rozmiar wirusa, ale środowisko w którym działa. W połowie lat 90 arkusz kalkulacyjny Excel został wzbogacony o tak zwane makra, czyli sekwencje działań, które można było zarejestrować a potem wielokrotnie odtwarzać jednym kliknięciem. Przykład – gdy ktoś często importował miesięczny spis połączeń służbowej komórki, oznaczał kolorem prywatne rozmowy, obliczał ich koszt i zapisywał w osobnej komórce, to czynności te dało się łatwo zautomatyzować. Makra pozwalały zaoszczędzić masę żmudnej, powtarzalnej pracy.

W środku Excela nagrane makro było tak naprawdę pełnoprawnym programem napisanym w VBA (Visual Basic for Applications), języku programowania osadzonym wewnątrz arkusza kalkulacyjnego; potem także w kolejnych aplikacjach pakietu Office. Zaawansowani użytkownicy mogli tworzyć swoje własne funkcje bezpośrednio w edytorze tego języka, co dawało im większe możliwości niż tylko nagrywanie interakcji z arkuszem kalkulacyjnym. Funkcje takie mogły robić bardzo wiele – łącznie z uruchamianiem innych programów i modyfikowaniem zawartości plików, co pozwalało na jeszcze bardziej zaawansowaną automatyzację zadań.

Autorzy wirusów szybko wykorzystali te możliwości i stworzyli wirusy kryjące się w makrach dokumentu Office. Po otwarciu dokumentu makrowirus zaczynał skanować dysk w poszukiwaniu innych dokumentów tego samego typu i dopisywał swój kod wszędzie tam, gdzie go jeszcze nie było. W tej sposób jeden zarażony plik udostępniony współpracownikom mógł szybko przenieść się na wszystkie komputery w biurze.

Mimo upływu ponad 25 lat makrowirusy są nadal bardzo niebezpieczne, bo wielu użytkowników pakietu Office zwyczajnie nie wie o istnieniu makr i VBA, nie mówiąc o rozumieniu modelu bezpieczeństwa za nimi stojącego. Microsoft nie pomaga tu za bardzo – choć makra są domyślnie wyłączone, prosta socjotechnika prawie zawsze będzie górą a odbiorca zawirusowanego arkusza da się namówić na ich aktywację.

Termin “makrowirus” informuje jedynie o sposobie dystrybucji – rodzaj i zakres złośliwych działań jak zwykle zależą od autora wirusa. Może to być jednoczesne wyczyszczenie wszystkim komputerów skutkujące paraliżem firmy, wysyłanie kopii danych poza firmę, wykorzystanie infrastruktury do innych działań i tak dalej. Może to być też jednak instalacja “bota” – programu, który przyczai się w systemie i podejmie akcje jedynie wtedy, gdy otrzyma rozkaz z zewnątrz.

BOTNET

Bot, skrót od słowa “robot”, to potoczne określenie programu działającego do pewnego stopnia autonomicznie, na przykład kontrolującego przeciwników w strzelance 3D. Im lepszy bot, tym “mądrzejsze” zachowanie wrogów na ekranie.

Botnetem (czyli siecią botów) nazywa się komputery zainfekowane tym samym złośliwym kodem, dającym przestępcom możliwość zdalnego nadzorowania ich działań. Można obrazowo napisać, że takie komputery są jak armia robotów, w każdej chwili gotowa do wykonywania rozkazów. Botnety zaczęły powstawać w czasach, gdy autorom złośliwego softu przestała wystarczać chwała w środowisku i zamiast tego postanowili zarobić konkretne pieniądze.

Botnety mogą podejmować lokalne akcje na zainfekowanych komputerach (np. podsłuchiwać klawiaturę i kraść hasła albo numery kart kredytowych) ale częściej są używane do różnego typu działań zdalnych, na przykład rozsyłania spamu. Gdyby nadawcą miliona spamowych przesyłek był jeden system o znanym adresie sieciowym IP, zostałby szybko zablokowany przez programy przetwarzające pocztę po stronie odbiorców. Jeśli jednak każdy z miliona komputerów w botnecie wyśle jedną przesyłkę, nie sposób zablokować ich wszystkich.

Botnety to jednak nie tylko komputery – często w ich skład wchodzą tanie domowe routery, na których nikt nigdy nie instaluje poprawek bezpieczeństwa. W ostatnich latach obserwuje się też dużą liczbę podatności w urządzeniach IoT (Internet of Things), jak sterowane aplikacją termostaty czy żarówki.

DDOS (Distributed Denial Of Service, rozproszony atak odmowy dostępu)

DDOS jest rodzajem ataku przeprowadzanego przez botnet. Polega na zalaniu docelowego systemu (np. sklepu internetowego) taką masą żądań, której nie będzie on w stanie przetworzyć z powodu braku dostatecznej mocy obliczeniowej lub zatkania łącza sieciowego. Pojedyncze źródło ataku dałoby się zidentyfikować i odfiltrować, w przypadku dziesiątek lub setek tysięcy źródeł naraz bardzo trudno jest odróżnić prawdziwych klientów od botów realizujących atak.

Ataki DDOS o zadanym rozmiarze i czasie trwania są na czarnym rynku sprzedawane jako usługa, pozwalająca np. zablokować konkurencyjny sklep internetowy podczas najlepszego okresu zamówień. Czasem operatorzy botnetów przeprowadzają krótki atak pokazujący ich możliwości a potem sami żądają okupu za rezygnację z przeprowadzenia ataku na pełną skalę.

W ostatnich latach taki DDOS straciły na popularności, bo usługi chmurowe (Amazon AWS, Microsoft Azure) pozwalają na bardzo szybkie skalowanie mocy obliczeniowej i oferują potężne łącza sieciowe. W efekcie coraz więcej serwisów jest w stanie wytrzymać atak, co znacznie zmniejsza skuteczność szantażu.

ZOMBIE

Potoczne określenie komputera, na którym działa złośliwe oprogramowanie wchodzące w skład botnetu.

CONTROL AND COMMAND (C&C)

C&C to potoczna nazwa centrum sterowania botnetem, za pomocą którego przestępcy mogą przekazywać zainfekowanym urządzeniom polecenia do realizacji. Metody komunikacji są dobierane tak, by mimo ewentualnej utraty domeny lub serwera operator utrzymał kontrolę nad botnetem.

Zespoły do spraw reagowania na incydenty bezpieczeństwa są niekiedy w stanie przejąć kontrolę nad botnetem – mogą wówczas trwale unieszkodliwić botnet wysyłając komendę usunięcia infekcji ze wszystkich maszyn poddanych zdalnej kontroli.

DOS (Denial Of Service, atak odmowy dostępu)

“Klasyczny” atak odmowy usługi który nie wymaga botnetu. Jeśli jednym poleceniem możemy wywołać na serwerze stosunkowo pracochłonną operację (np. skalowanie dużego zdjęcia albo kompresowanie wielu plików) to tysiąckrotne powtórzenie tego polecenia spowoduje pełne obciążenie serwera niepotrzebnymi zadaniami i załamanie pozostałych usług.



O autorze: zawodowy programista od 2003 roku, pasjonat bezpieczeństwa informatycznego. Rozwijał systemy finansowe dla NBP, tworzył i weryfikował zabezpieczenia bankowych aplikacji mobilnych, brał udział w pracach nad grą Angry Birds i wyszukiwarką internetową Microsoft Bing.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *