Bezbednost

Sve računarske napasti po navici zovemo virusima, a za to je sve manje opravdanja

Godišnji izveštaji renomiranih antivirusnih kompanija za 2005. mogli bi se okarakterisati po onoj narodnoj: ima jedna dobra i jedna loša vest – virusa je sve manje, ali je svih ostalih napasti sve više.

„Hit godine – trojanci”

Iako se broj epidemija virusa tokom 2005. godine smanjio za oko 50% u odnosu na 2004, broj novootkrivenih virusa nastavio je da raste po stopi od oko 40% na godišnjem nivou. Ista stopa rasta zabeležena je i kod spem poruka, a te dve pojave se – između ostalog – objašnjavaju time što su PC računari zaraženih korisnika sve brži, baš kao i njihove Internet veze. Brzina kao fenomen „zaslužna” je što se zlonamerni kodovi i neželjena pošta sada mnogo brže umnožavaju nego ranije.

Pretočena u cifre, situacija deluje alarmantno – stručnjaci su krajem 2005. u proseku identifikovali oko 6000 novih zlonamernih kodova mesečno, od kojih su većina bili trojanci i botovi, što je trend koji se javio još 2004. Razlozi za „migraciju” napadača sa virusa i crva na trojance mogu se objasniti i ekonomskim terminima – razvoj jednog trojanca je lakši i jeftiniji od razvoja koda koji je sposoban da se nezavisno replicira. Osim toga, za razliku od napada virusom ili crvom, trojanac može ciljno da se isporuči određenoj kompaniji preko e-mail poruka ili linkova ka sajtovima. Kada se trojancem infiltriraju u sistem, hakeri na udaljenim lokacijama mogu potom nesmetano da kradu informacije i planiraju dalje napade iznutra. Upravo taj „stealth” aspekt trojanaca, činjenica da se oni ne repliciraju spontano i samostalno, dokazuje to da se povećanje njihove učestalosti ne može smatrati slučajnim i da ih predstavnici organizovanog kriminala koriste kao moćne alatke za svoje namere.

„Misli novčano, phishuj lokalno”

Phishing je još jedan dobar primer modernog kriminala jer kombinuje globalnu dostupnost spem poruka sa psihološkim aspektom njihovog sadržaja. Osim tipičnih meta phishinga kao što su eBay, PayPal i velike američke i britanske banke, primećeno je pomeranje ka manjim tržištima. To se verovatno dešava stoga što je većina komitenata najvećih svetskih banaka već primilo stotine različitih phishing poruka, tako da ih više nijedna ne može prevariti. Još jedan primer evolucije phishinga jeste pojava pharminga, to jest eksploatacija bezbednosne rupe u DNS serverima koja omogućava hakerima da preuzmu ime domena za neki sajt i na taj način preusmere Internet saobraćaj s jednog na drugi sajt. Ukoliko je sajt na koji dolazi saobraćaj lažan (kopija sajta neke banke, na primer), on se može upotrebiti kao mamac posetiocima da na njemu ostave svoje poverljive korisničke i finansijske podatke kao što su PIN kodovi i brojevi računa.

Upravo ova „migracija” s američkih finansijskih institucija i servisa na druge dovela je do toga da je u julu „Financial Times Deutschland” objavio izveštaj po kojem su nemačke banke u toku protekle godine izgubile 70 miliona evra zbog phishing napada. Serije napada na Deutsche Bank i Postbank dovele su do uvođenja jednokratnih lozinki potrebnih da bi se autorizovala online transakcija. Zanimljiv slučaj desio se u Švedskoj, u vidu velikog napada na banku Nordea – najveću banku u Skandinaviji koja je ujedno i najveća Internet banka na svetu, sa preko četiri miliona Internet klijenata u osam zemalja. U slučaju tog ataka, napadač je odaslao ogroman broj email poruka s linkom koji je vodio na lažni sajt banke. Cilj napadača bio je da se razbije sistem upotrebe jednokratnih lozinki.

Sistem koji koristi Nordea sastoji se od „greb” kartice na kojoj se nalazi sledeći dostupan PIN kod neophodan za ulazak u sistem. U lažnoj e-poruci upućenoj korisnicima prezentovano je „saopštenje” o novim merama bezbednosti koje su navedene na lokaciji www.nordea-se.com ili www.nordea-bank.net (oba lažna sajta bila su hostovana u Južnoj Koreji). Lažni sajtovi jedva da su izgledali autentično, a od korisnika su tražili njihov lični broj, pristupni kod, kao i kod na „greb” kartici. Bez obzira na to šta bi korisnik uneo, sajt bi se „bunio” za kod s kartice i tražio sledeći, čime su prevaranti zapravo pokušavali da dođu do što većeg broja kodova sa kartica koje bi zatim upotrebljavali u sopstvene svrhe.

Mobilnost zla

Mobilni virusi su izvesno iz domena najave prešli u sferu realnosti. U prvoj polovini godine najozbiljniju štetu nanosio je trojanac Skulls, maliciozni SIS fajl koji zamenjuje sistemske aplikacije nefunkcionalnim verzijama, čime uzrokuje da sve osnovne funkcije uređaja postanu apsolutno neupotrebljive. Tokom proleća su stigli izveštaji o pojavi trojanca Cabir, i to u više od 23 zemlje širom sveta. Cabir je crv koji koji inficira Symbian mobilne uređaje i širi se preko Bluetooth veze. U zaraženom uređaju pojavljuje se u Inboxu kao SIS fajl. U momentu kada korisnik klikne na njega i odabere opciju da ga instalira, crv se aktivira i traži nove uređaje koje bi inficirao. Mnogo više briga, međutim, doneo je Commwarrior – mobilni virus koji se širi i preko Bluetooth konekcija i preko MMS poruka. Commwarrior je u stanju da nanese mnogo veću štetu od crva Cabir jer ima mogućnost širenja preko MMS-a te stoga može lako da prelazi iz jedne u drugu zemlju. Kada Commwarrior stigne putem MMS poruke, korisnik vidi prispelu poruku sa attachmentom i tekstom. Problem s ovim virusom je u poverenju, s obzirom na to da ljudi veruju porukama koje im stignu od prijatelja i poznanika.

Kako svi poznati crvi i trojanci za operativni sistem Symbian izazivaju pojavu nekog upozorenja pre instalacije, bilo bi lako optužiti zaražene korisnike da su se zarazili svojom krivicom i neznanjem. Međutim, iskustva sa Cabirom i drugim Bluetooth crvima pokazuju da nije sve tako crno-belo. Prvo, softver za Symbian često zahteva Bluetooth konekciju da bi mogao ispravno da funkcioniše, a neki od tih programa ili sami uključuju Bluetooth bez znanja korisnika ili ga pitaju na način na koji teško može da se odgovori sa „ne”. Nadalje, postoji nekoliko aplikacija za mrežne komunikacije koje koriste Bluetooth, kao što su YOU-WHO i CrowdSurfer, koje omogućavaju korisnicima da Bluetooth upotrebljavaju za online upoznavanje i igranje igara i koje smanjuju nivo bezbednosti kada je u pitanju prihvatanje neke nove konekcije od nepoznate osobe. Najzad, većina Cabir varijanti pokazuje visok nivo agresivnosti u širenju i neprekidnom slanju zahteva za prijemom, čak i ako korisnik tu konekciju odbije, čime se postiže to da korisnik naposletku izgubi strpljenje i klikne potvrdno, što uzrokuje inficiranje uređaja.

Konzolne napasti

U oktobru je zabeležena uzbuna oko SonyPlaystation konzole koja je bila zaražena fajlom za koji se kasnije ispostavilo da je trojanac koji onesposobljava PSP. Fajl odstranjuje nekoliko bitnih sistemskih fajlova sa flasha, što sistem čini nestabilnim i onemogućava njegovo podizanje. Ovaj alat je po mnogima proglašen za prvi „PSP virus”. Nedugo potom, primljen je izveštaj o prvom trojancu za konzolu Nintendo DS handheld game. Ovaj jednostavni trojanac, poznat pod imenom DSBrick, presnimava kritične klastere u memoriji i na taj način sprečava njeno ponovno podizanje.

Kao velika vest u novembru pojavila se informacija o otkriću tzv. rootkita na nekim Sony BMG muzičkim diskovima koje je tamo smestila sama kompanija da bi se kontrolisale polise upotrebe audio-diskova. Sam rootkit se ponaša kao metoda sakrivanja za praćenje ponašanja korisnika preko softvera Digital Rights Management koji se instalira kada se disk ubaci u čitač PC računara sa operativnim sistemom Windows i kada se prihvate uslovi njegovog korišćenja. Skriveno od korisnika, u tajnosti se instalira rootkit, posle čega ne postoji direktan način da se on ukloni. Sistem tada otvara moguća „zadnja vrata” (backdoor) za viruse ili bilo koji drugi maliciozni kod koji na taj način može da iskoristi rootkit za sopstveno sakrivanje. Tim povodom, Risto Siilasmaa, predsednik finske antivirusne kompanije F-Secure, izjavio je sledeće: „Ovaj slučaj nam pokazuje da veliki broj kompanija povezuje svoje proizvode sa ICT tehnologijama. To, međutim, znači da bi one morale prethodno da savladaju i nauče činjenice iz domena bezbednosti podataka, da izgrade sisteme i procese za saniranje optužbi za ugrožavanje bezbednosti i da obuče svoje PR osoblje da se nosi s takvim situacijama. Stotine elektronskih kompanija nalaze se u sličnom problemu, tako da Sony nije jedina firma kojoj se ovo može desiti.”

Dušan KATILOVIĆ