W dniu 28 lipca 2009 Micha Krause zgłosił błąd dotyczący popularnego serwera DNS — BIND9, który okazał się być podatny na zdalny atak typu DoS (Denial-of-Service).

Wykorzystanie luki umożliwia wyłączenie serwera BIND9 za pomocą pojedynczego pakietu UDP, o ile atakowany serwer DNS jest serwerem typu master przynajmniej dla jednej ze stref. Należy przy tym pamiętać, że zgodnie z RFC 1912 Common DNS Operational and Configuration Errors każdy serwer DNS powinien być podstawowym serwerem dla stref specjalnych, typu localhost, 0.0.127.in-addr.arpa, 255.in-addr.arpa, 0.in-addr.arpa.

Atak polega na wykorzystaniu mechanizmu aktualizacji DNS opisanego w RFC 2136 Dynamic Updates in the Domain Name System (DNS UPDATE). Atakujący wysyła spreparowane zapytanie do serwera DNS z ustawioną wartością opcode na 5 (UPDATE) oraz rekordem ANY w sekcji Prerequisite. Przetworzenie takiego pakietu skutkuje niespełnioną asercją w funkcji dns_db_findrdataset(), i w efekcie kończy się wyjściem serwera BIND.

Warto w tym miejscu dodać, że w sieci pojawiły się rady, jak zablokować tego typu ataki przy pomocy prostej reguły w iptables. Niestety, są one nieskuteczne ponieważ RFC 2136 2.1 stanowi, że tego typu złośliwe zapytanie może zostać wysłane również przy użyciu protokołu TCP. Zalecanym rozwiązaniem jest aktualizacja serwera BIND do najnowszej wersji. Ostatecznie można zdecydować się również na blokowanie komunikacji do serwera master, zostawiając dostępne jedynie serwery slave. Warto tutaj nadmienić, że wyłączenie funkcji dynamicznej aktualizacji (np. poprzez opcję allow-update) – nie chroni przed opisywanym atakiem. (more…)

Conficker (znany także jako Downadup lub Kido), to najgłośniejszy medialnie i zarazem jeden z najgroźniejszych w ostatnim czasie robaków. Dla specjalistów zajmujących się bezpieczeństwem komputerowym jest ponadto bardzo interesujący ze względu na zastosowane przez jego twórców nieznane wcześniej rozwiązania. Na początku kwietnia informowaliśmy (zob. wiadomość Conficker – raport z pola walki), że monitorujemy ruch HTTP do pewnej liczby tzw. “polskich domen confickerowych”, z którymi miały się łączyć zarażone tym robakiem komputery. Nasze obserwacje kontynuowaliśmy przez miesiąc w ramach projektu nazwanego Confiture (skrót od Conficker capture). Realizowała go grupa specjalistów zwana NASK Conficker Working Group (w jej skład weszli specjaliści z trzech działów NASK: CERT Polska, Działu Domen, oraz Zespołu Integracji i Bezpieczeństwa). Wyniki obserwacji oraz płynące z nich wnioski umieściliśmy w raporcie, który można ściągnąć z naszej strony (plik PDF: Projekt Confiture). Poniżej przedstawiamy najistotniejsze fragmenty raportu.

Wstęp

Celem projektu Confiture była obserwacja ruchu HTTP do pewnej ilości domen pochodzących z tzw. kwietniowej puli confickerowych polskich nazw domenowych wygenerowanych przez zaimplementowany w robaku Conficker tzw. Algorytm Generujący Nazwy Domenowe (z ang. Domain Name Generation Algorithm). Domeny te miały być używane do ściągania przez zarażone komputery uaktualnień robaka (był to jeden ze sposobów, innym była dystrybucja poprzez wbudowany protokół P2P). Ponieważ robak komunikował się codziennie z innym zestawem domen, monitorowanych przez nas było co najmniej kilka domen “.pl” z każdej dziennej puli od pierwszego do trzydziestego kwietnia. Serwer DNS NASK w odpowiedzi na zapytania o te domeny zwracał adresy IP kierujące do naszego honeypota (a właściwie konfitury, czyli komputera-pułapki), który rejestrował wszystkie połączenia. Jednocześnie monitorowane były zapytania do wybranych serwerów secondary DNS dla domeny “.pl” o wszystkie confickerowe domeny “.pl” z puli kwietniowej. Ponadto nasze wyniki skorelowaliśmy z danymi pochodzącymi z dwóch źródeł zewnętrznych: systemu ARAKIS, oraz obserwacji prowadzonych przez specjalistów z Conficker Working Group.

(more…)

W połowie stycznia opublikowaliśmy raport roczny zespołu CERT Polska dotyczący incydentów zgłaszanych do nas w roku 2008. Obecnie dokument ten został rozszerzony o raport z systemu wczesnego ostrzegania o zagrożeniach w sieci ARAKIS.

W raporcie zamieszczono statystyki dotyczące alarmów generowanych przez system, które są kluczowe z punktu widzenia obsługi systemu. Ponadto opisano kilka interesujących przypadków obserwacji dokonanych przez ARAKISa.

• W 2008 roku operatorzy systemu ARAKIS obsłużyli łącznie 11 335 alarmów (średnio ok. 31 alarmów na dzień), z czego 4% miało najwyższy priorytet, oznaczający realne zagrożenie dla któregoś z podmiotów biorących udział w systemie.
• Zainstalowanych zostało 6 nowych fizycznych sond, a łączna ich liczba wyniosła 54.
• Sondy są umiejscowione w różnych instytucjach państwowych szczebla centralnego (projekt ARAKIS-GOV) oraz w sieci NASK.

Raport z systemu ARAKIS (zintegrowany z raportem dotyczącym obsługi incydentów) jest dostępny w formacie PDF pod adresem: www.cert.pl/PDF/Raport_CP_2008.pdf.

Dwa dni temu, przy okazji naszych przewidywań dotyczących działań robaka Conficker po 1-szym kwietnia wspomnieliśmy, że monitorujemy pewną liczbę domen z którymi zarażone komputery miały się łączyć. W niniejszym artykule chcieliśmy podzielić się dotychczas uzyskanymi informacjami wynikającymi z tych obserwacji.

Wstęp

Domeny przez nas obserwowane pochodzą z kwietniowej listy “polskich nazw domenowych” (”.pl”) wygenerowanych przez rozpracowany przez specjalistów confickerowy Algorytm Generujący Domeny (z ang. Domain Generation Algorithm). Używamy od kilkunastu do kilkudziesięciu domen z  pierwszych dni kwietnia (robak komunikuje się codziennie z innym zestawem domen). Odpowiednie wpisy w serwerze DNS kierowały połączenia do domen na specjalny dedykowany komputer udający serwer www (tzw. honeypot). Aby uniknąć wykrycia i jak najbardziej upodobnić się do serwerów “confickerowych” odwzorowanie domena <-> adres IP wynosi 1:1.

Nasze obserwacje

Dotychczasowe nasze obserwacje potwierdzają ogólne przewidywania naukowców zajmujących się analizą robaka: od północy czasu GMT zanotowaliśmy wzrost liczby połączeń. Musieliśmy jednakże odfiltrować ruch, który jednoznacznie wskazywał na nie pochodzący od zainfekowanych komputerów. Pierwszym wyznacznikiem był występujący w protokole HTTP nagłówek User-Agent określający przeglądarkę, której klient używa do połączenia się z serwerem www. Conficker identyfikuje się jako Internet Explorer. Kolejnym ważnym punktem był nagłówek HTTP Host – robak najpierw zamienia adres domenowy na IP, a dopiero następnie wykonuje połączenie bezpośrednio na to IP. Odpadają więc wszystkie połączenia, które w nagłówku Host miały adres domenowy, a nie IP.

Na powyższym wykresie przedstawiono ilość połączeń HTTP GET w dziesięciominutowym oknie czasowym dla domen z 1-go kwietnia. Kolorem niebieskim oznaczono prawdopodobne połączenia zarażonych komputerów, natomiast czerwonym ruch, co do którego mamy pewność, że nie jest aktywnością robaka. Czerwony wykres rozpoczyna się z końcem wykresu niebieskiego, nie jest liczony od osi odciętych.

Okazało się, że “nie-confickerowych” połączeń było nadspodziewanie dużo – aż ok. 20% ruchu. Co więcej, ruch ten utrzymywał się na stałym poziomie. Wygląda więc na to, że badacze Confikera mogą mocno przyczynić się do obciążenia łączy i przypadkowych serwerów. Poza tym świadczy to o tym, że zainteresowanie/uwaga poświęcona robakowi jest póki co niewspółmierna do realnego zagrożenia.

Kolejny wykres przedstawia zestawienie połączeń HTTP GET (rozdzielczość, to również dziesięciominutowe okno czasowe) rozszerzone o domeny z dnia 2-go kwietnia (wykres zielony). Dodatkowo, aby pokazać skalę połączeń “nie-confickerowych”, wykres czerwony i niebieski rozdzielono.

(more…)

Nie ma wątpliwości, że grasujący od listopada robak Conficker (zwanym także Downadup lub Kido) stał się największym tego typu zagrożeniem z okresu ostatnich kilku lat. Kolejne doniesienia prasowe mówiły o ustalaniu następnych rekordów zarażonych komputerów, dochodzących nawet do kilkunastu milionów. Zdarzały się też optymistyczne wieści, że główną falę ataków mamy już za sobą. Poniżej podzielamy się naszymi obserwacjami dokonanymi przez system ARAKIS. Warto pamiętać, że system korzysta z rozproszonej sieci sensorów znajdujących się tylko na terenie Polski, więc informacje przez niego dostarczane można interpretować jako próbę zobrazowania sytuacji z punktu widzenia polskiego użytkownika systemu Windows.

Na początek krótkie wprowadzenie co to jest ten Conficker i jak się nim można zarazić? Robak  (jego pierwsza wersja) pojawił się w listopadzie zeszłego roku i wykorzystywał lukę znajdującą się w mechanizmie obsługi zdalnych wywołań procedur RPC (biuletyn bezpieczeństwa Microsoft numer MS08-067). Pomimo wydania (i to jeszcze przed pojawieniem się robaka!) przez Microsoft poprawki, regularnie rosła liczba zainfekowanych komputerów. Początkowo robak propagował się tylko przez sieć (wykorzystując wspomnianą wyżej podatność i tylko ją) – przez porty 445 i 139 TCP. Jednak na początku stycznia twórcy robaka uzbroili go w nowe groźne funkcjonalności – Conficker.B (bo tak nazwano nową odmianę) próbuje dostać się do systemu ofiary poprzez udostępnione w sieci lokalnej zasoby, a gdy te są chronione, próbuje złamać hasło! Robak używa ataku słownikowego, więc podatne są nieskomplikowane hasła (przy okazji polecamy nasz poradnik “Jak skonstruować dobre hasło?“). Ponadto infekowane są przenośne pamięci, jak na przykład zewnętrzne dyski twarde, pendrive’y, odtwarzacze mp3 czy karty pamięci. Oznacza to, że zagrożone są także komputery mające załataną podatność opisaną w MS08-067. To wszystko sprawiło, że według naszych obserwacji przez pierwsze dwa tygodnie nowego roku potroiła się liczba zainfekowanych komputerów.  Objawiło się to wyraźnym wzrostem ruchu (unikalne adresy IP) na ARAKISowych wykresach opisujących port 445/TCP dotyczących zarówno honeynetu, jak i firewalli czy darknetu (o źródłach z których korzysta ARAKIS można przeczytać w ARAKIS FAQ).

Wykres przedstawia aktywność zaobserwowaną tylko przez honeypoty. Oś rzędnych przedstawia liczbę unikalnych (niepowtarzalnych) adresów IP w 5-minutowym “oknie” czasowym. Dobowe wahania odzwierciedlają najprawdopodobniej pory dnia, w których najczęściej zarażone komputery były użytkowane (maksimum wypada w okolicach godziny 18 polskiego czasu, minimum między 1 a 8 rano).

Mniej więcej od połowy stycznia trend się “uspokoił”. Wprawdzie obserwujemy ciągły wzrost liczby zainfekowanych komputerów, lecz nie jest on już tak wyraźny. Oczywiście nie cała aktywność na porcie 445/TCP oznacza Confickera – są jeszcze inne robaki (jak np. Sasser), które ciągle propagują się przez ten port. Jednak liczba zarażonych nimi (łącznie) komputerów jest ok. kilkanaście razy mniejsza, niż hostów zainfekowanych Confickerem. W systemie ARAKIS wytworzyły się dwa klastry opisujące pierwszy etap nawiązania połączenia przez tego robaka (dokładnie negocjację SMB). Analizując statystyki dotyczące aktywności klastrów okazuje się, że ok. 70%-80% (dane z ostatniego tygodnia) wszystkich komputerów widzianych w honeynecie ARAKISa propagowało Confickera (klaster opisujący tego robaka jest na pierwszym miejscu zarówno pod względem ilości unikalnych źródłowych adresów IP, jak i ilości przepływów). Według obserwacji ARAKISa jest to więc obecnie największe zagrożenie, które rozprzestrzenia się drogą sieciową w sposób aktywny, a pamiętać należy, że to nie jedyna metoda propagacji tego robaka. Poniżej statystyki klastrów z ostatnich 24 godzin.

Można więc śmiało powiedzieć, że problem “epidemii” Confickera dotyczy także polskich użytkowników systemu Windows i Internetu. Ciekawe więc mogą być obserwacje ilości ataków widocznych w ARAKISie pochodzących z terytorium Polski. W rankingu TOP 10 państw, z których widoczne były próby ataku, Polska (na szczęście!) w ogóle nie występuje. Najwięcej połączeń (ok. 23%) pochodzi z terytorium Rosji, a następnie blisko siebie są Brazylia i Chiny (ok. 12%). Rozpatrując tylko polskich dostawców Internetu statystyki pokazują najwięcej połączeń z sieci takich providerów, jak TPNET, Netia, Dialog, Vectra, Multimedia. Są to więc m.in. najwięksi polscy dostawcy Internetu, przy czym im więcej klientów, tym więcej infekcji (co jest logiczne). Z powodu różnic w ilości klientów nie ma sensu pokazywać statystyk opisujących który provider ma najwięcej zarażonych komputerów. Można natomiast pokazać procentowy rozkład źródeł ataków na województwa. Najwięcej, bo aż ok. 50% widzianych w ARAKISie “polskich” ataków, pochodzi w województwa dolnośląskiego.

Podsumowując: pomimo stosunkowo niedużego udziału polskich IP w widzianych przez ARAKIS atakach, naszego państwa nie ominęła epidemia Confickera (w Internecie nie ma przecież granic). Polski Internauta jest jak najbardziej zagrożony. Nie obserwujemy także spadku liczby zainfekowanych komputerów – wręcz przeciwnie, liczba ta (choć wolniej niż przed miesiącem) stale rośnie, co widać na wykresach ruchu na porcie 445/TCP oraz w statystykach klastrów. Ruch generowany przez tego robaka jest naprawdę znaczący i – szczególnie słabszym łączom – może sprawiać trudności. Na koniec prosimy pamiętać, że sensory ARAKISa nie widzą wszystkiego. Niekoniecznie przytoczone powyżej dane muszą idealnie odzwierciedlać rzeczywistość w polskiej części Internetu, lecz ze względu na rozproszoną sieć sond jest to całkiem prawdopodobne. Wybrane dane systemu ARAKIS dostępne są publicznie na stronie www.arakis.pl.

Więcej ciekawych informacji na temat robaka Conficker można znaleźć:

• Centralized Information About The Conficker Worm, Microsoft Malware Protection Center
• Downadup: Attempts at Smart Network Scanning, Symantec Security Response Blog
• Downadup: Small Improvements Yield Big Returns, Symantec Security Response Blog
• MSRT Released Today Addressing Conficker and Banload, Microsoft Malware Protection Center

Wszystko wskazuje na to, że w sieci od ok. tygodnia na szeroką skalę propaguje się nowy robak wykorzystujący niedawno upublicznioną lukę w systemach operacyjnych z rodziny Windows (biuletyn bezpieczeństwa Microsoft numer MS08-067, o której pisaliśmy w newsie Krytyczna aktualizacja Microsoft Windows z dn. 24.10.2008). Zanim przedstawię szczegóły naszych obserwacji, chciałbym zaapelować do wszystkich, którzy jeszcze tego nie zrobili: jak najszybciej zaktualizujcie swoje Windowsy.

Robak propaguje się przez port 445/TCP, co oczywiście objawia się znaczącym wzrostem ruchu na tym porcie. Według obserwacji naszego system wczesnego ostrzegania o zagrożeniach w sieci ARAKIS wzrost ruchu jest znaczny (kilkakrotnie). Ilość przepływów rejestrowana w tzw. darknecie wynosi ok. trzynastu tysięcy w pięciominutowym oknie czasu. Poniżej wykres ruchu na porcie 445/TCP rejestrowany przez ARAKISowe sondy darknetowe.

Wzrosła również ilość unikalnych hostów, z których robak się propaguje. Jest to widoczne na wykresach honeynetowych przedstawiających ilość unikalnych adresów IP z których nastąpiło połączenie do honeypotów.

Oczywiście nie cały ruch na tym porcie jest generowany przez tego robaka. Port ten wykorzystuje do infekowania wiele robaków (m.in. słynny Sasser). Skąd więc wiadomo, że ten wzrost jest generowany przez nowego robaka, a nie np. przez Sassera? Dane przechwycone przez honeypoty pokazują, że różni się on od typowej komunikacji SMB wykorzystywanej przez inne robaki. Wprawdzie nasze niskointeraktywne honeypoty nie zdołały pozyskać kompletnego robaka, to jednak początkowa komunikacja (dokładanie negocjacja wersji protokołu) jest na tyle odmienna, że wygenerował się nowy klaster.

Klaster opisuje pierwszy etap połączenia SMB, który teoretycznie nie jest atakiem. Podobny payload może być widziany w całkiem legalnym ruchu np. w sieci lokalnej. Jednak z dwóch powodów został przez nas sklasyfikowany jako atak. Po pierwsze, połączenia były nawiązywane do adresów IP pod którymi działają honeypoty, po drugie korelując z obserwacjami i analizami innych specjalistów od bezpieczeństwa (linki do publicznych ciekawych stron znajdują się poniżej) jest wielce prawdopodobne, że jest to aktywność nowego robaka.

Propagację robaka, któremu nadano nazwę W32/Conficker.worm oraz W32.Downadup, opisuje wiele zagranicznych serwisów (m.in. REN-ISAC, ISC SANS, Symantec). Jego funkcjonalność jest już także zaimplementowana w co najmniej jednym zestawie narzędzi dla cyberprzestępców, więc nie dziwi wzrost jego wykorzystania. Infekcje mają na celu wcielenie atakowanego komputera do botnetu w celu późniejszego wykorzystaniu go do popełniania przestępstw w Internecie.

Warto zauważyć, że dostępny jest już od ponad miesiąca patch łatający podatność wykorzystywaną przez robaka. Obserwacje wskazują zatem, że wiele użytkowników systemu Windows nie zaktualizowało go. Dlatego jeszcze raz apelujemy, aby wszyscy użytkownicy tych systemów, którzy tego jeszcze nie zrobili, jak najszybciej je zaktualizowali.

Ciekawe linki związane z nowym robakiem:

• http://blogs.technet.com/mmpc/archive/2008/11/25/more-ms08-067-exploits.aspx
• http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A
• https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&thread.id=178
• http://securitylabs.websense.com/content/Blogs/3237.aspx
• http://blog.trendmicro.com/ms08-067-vulnerability-botnets-reloaded/

Dwa dni temu przy okazji dwudziestej rocznicy powstania internetowego robaka opublikowaliśmy pierwszą część opracowania, w którym podsumowujemy i analizujemy rozwój jaki się dokonał w przeciągu tych dwudziestu lat wśród zagrożeń dla użytkowników Internetu. Dzisiaj kolej na drugą ostatnią część.

Problemy stwarzane przez ogólnie pojęte szkodliwe oprogramowanie spowodowały powstanie aplikacji i urządzeń, których celem była ochrona całych sieci bądź pojedynczych komputerów. Powstawało wiele firm, które specjalizowały się tylko w tej dziedzinie i opracowywały wiele autorskich rozwiązań. W 2004 roku po raz pierwszy narzędzia, które zostały stworzone do ochrony, same stały się celem robaka Witty. Co ciekawe atakował on produkty tylko jednej firmy: ISS (Internet Security Systems), m.in. firewalle i systemy typu IDS. Wykorzystując ich podatność był w stanie bardzo szybko się rozprzestrzeniać. Początkowa prędkość propagacji była tak duża (w ciągu pierwszych 10 sekund działalności zostało zainfekowanych 110 hostów, w kolejnych 20 sekundach “tylko” 50 nowych), że wzbudziło to podejrzenia, iż robak posiadał wcześniej zdefiniowaną listę docelowych adresów IP pod którymi działało podatne oprogramowanie. Z czasem prędkość rozprzestrzeniania się spadła, choć i tak była imponująca (ok. 12 000 komputerów w przeciągu 45 minut). Cały kod robaka mieścił się w pojedynczym pakiecie UDP. Witty był silnie złośliwy. Oprócz autopropagacji, konsekwencją której było wygenerowanie dużego ruchu w sieci, nadpisywał lub kasował losowe bloki na dyskach doprowadzając z czasem do uszkodzenia całego systemu plików. Robak miał jeszcze jedną charakterystyczną cechę: zaatakował w niecałe 48 godzin od opublikowania przez ISS informacji o luce, co było na owe czasy wynikiem rekordowym. Uwydatniło to słabość systemów w postaci opieszałym aktualizowaniu oprogramowania przez administratorów, bowiem jak się okazało wielu z nich nie zainstalowało na poprawek czas (zob. wiadomość Witty nie dał szans administratorom).

Aktywność takich robaków, jak Slammer, Blaster czy Sasser nie słabnie od lat (co potwierdzają m.in. wspomniane wcześniej obserwacje systemu ARAKIS). Nie oznacza to jednak, że cyberprzestępcy nie wymyślają nowych rodzajów ataków. Obecnie obserwowany trend w propagacji malware’u przez Internet wskazuje na to, że coraz częściej do infekowania internautów używane są luki w tzw. programach klienckich (czyli takich, które pozwalają użytkownikowi łączyć się z serwerem), w szczególności w przeglądarkach internetowych i dodatkach do nich. Aby wykorzystać je w tym ostatnim przypadku wystarczy odpowiednio zmodyfikować kod strony www (najczęściej poprzez wstrzyknięcie złośliwego JavaScripta lub odnośnika do zewnętrznej złośliwej strony www). Odwiedzający ją nieświadomy użytkownik jest zarażany bez jakiejkolwiek dodatkowej interakcji (tzw. atak drive-by-download). Ewentualnie można go odpowiednio “zachęcić”, by sam uruchomił jakiś kod nie mając oczywiście świadomości, że jest szkodliwy. Zatem nie ma potrzeby atakować w sposób bezpośredni (aktywny) zwykłego użytkownika – wystarczy umieścić malware na stronie i czekać, aż internauci sami na nią wejdą i się zainfekują. Dzięki temu można być mniej “widocznym” w sieci, bo zamiast aktywnie poszukiwać ofiary generując podejrzany ruch, malware czeka, aż ofiara “znajdzie” jego. Głównym celem robaków w takim przypadku stały się więc serwery www. Wraz z rozwojem Web 2.0 znacznie łatwiej działać robakom atakującym i modyfikującym treść (wstrzykującym złośliwy kod) stron www – nie trzeba polegać tylko na podatnościach serwerów www, wystarczy błędnie napisany skrypt php, asp itp. Robaki PHP, które wykorzystując błędy w skryptach różnych znanych aplikacji nie skupiając się na jednej były wielokrotnie widziane przez system ARAKIS (zob. wiadomość Robak wykorzystujący luki w skryptach PHP). Niejeden profesjonalny serwis www padł też ich ofiarą – chociażby ostatnio miała miejsce infekcja stron internetowych Serious Magic należącej do firmy Adobe Systems (zob wiadomość Infekcja na stronach internetowych Serious Magic – internauci zgrożeni)

Oczywiście to nie oznacza zupełnego zarzucenia starszych metod infekcji: dalej popularne jest wykorzystanie e-maili. Coraz częściej malware propagowany jest także przez sieci P2P (sieci te wykorzystywane są także coraz chętniej, zamiast IRC, do zarządzania botnetami). Cały czas bardzo popularna i nadzwyczaj skuteczna jest socjotechnika, czyli namówienie internauty, by sam z własnej woli uruchomił (złośliwy) program. W dalszym ciągu po Internecie grasują Sassery, Blastery itp. Ostatnio wykryto w systemach z rodziny Windows groźną lukę, która może być wykorzystywana przez nowego robaka (pisaliśmy o niej w wiadomości Krytyczna aktualizacja Microsoft Windows). Specjaliści od bezpieczeństwa IT potwierdzają, że taki robak już jest wypuszczony do Internetu, lecz nie są to jakieś masowe ilości (przynajmniej na razie nie może być mowy o epidemii). System ARAKIS nie zaobserwował do tej pory aktywności nowego robaka. Być może ze względu na pewne podobieństwa wykorzystywanej luki do tych używanych przez inne robaki (m.in. Sassera) nie jest opłacalne dla cyberprzestęcpców rozwijanie nowego kodu – można go (i jemu podobne) zablokować dosyć łatwo chociażby poprzez filtrowanie na firewallu pakietów kierowanych na porty 445 i 139 TCP (nie wspominając o zwykłej aktualizacji systemu). Warto także zauważyć, że coraz rzadziej wykrywane są tak poważne luki, że mogą być wykorzystane w podobny sposób przez robaki. Obecnie rozwijane metody infekcji (głównie omówione wcześniej wykorzystujące przeglądarkę internetową) oraz te już sprawdzone są najprawdopodobniej bardziej opłacalne i przynoszą lepsze rezultaty.

Jaki jest obecny cel infekowania użytkowników Internetu? Z historii wynika, że najpierw robaki miały pokazać niedoskonałości aplikacji bądź systemów, przynosić sławę twórcom, czy złośliwie usuwać z systemu różne pliki, wyświetlać zabawne lub obraźliwe komunikaty, itp. W chwili obecnej prawdziwym celem twórców malware’u są pieniądze a motywacją zwyczajna chęć zysku. Zdobywają je na różne sposoby. Mogą instalować w systemach ofiar programy szpiegujące i wykradające hasła do kont bankowych czy różnych płatnych gier on-line. Mogą używać szantażu, jak np. twórcy wirusa Gpcode/PGPcoder, który szyfruje pliki multimedialne i dokumenty i odszyfrowuje dopiero wtedy, gdy ofiara wpłaci na konto cyberprzestępcy określoną sumę pieniędzy. Wreszcie (najpowszechniejsza metoda) tworzą z zainfekowanego komputera członka botnetu (tzw. komputer-zombie). Ofiary najczęściej nie zdają sobie sprawy, że ich komputer jest jednym z tysięcy, a nawet być może milionów komputerów kontrolowanych przez właścicieli botnetu (tzw. botmasterów). Co najwyżej zauważą spowolnienie jego pracy lub połączenia internetowego, ponieważ wykorzystywane są zasoby systemowe oraz sieciowe – cyberprzestępcy używają ich do świadczenia swoim “klientom” odpłatnie takich usług, jak rozsyłanie spamu reklamowego, atak DDoS na serwery konkurencji, itp.

Co zatem zrobić, by nie paść ofiarą cyberprzestępców? Nie ma, niestety, niezawodnego rozwiązania. Nie ma także co liczyć na całkowite wyeliminowanie malware’u. W praktyce jesteśmy świadkami swoistego „wyścigu zbrojeń” pomiędzy cyberprzestępcami a osobami walczącymi z nimi. Powinniśmy zatem pilnować, by używane przez nas oprogramowanie i system operacyjny były zawsze zaktualizowane. Mocno zalecane jest używanie systemu antywirusowego oraz firewalla (najlepiej, gdyby także używał ich nasz dostawca Internetu). Przede wszystkim jednak musimy być ostrożni w trakcie surfowania po Internecie i mieć ograniczone zaufanie do wszystkich stron www, e-maili czy wiadomości w komunikatorach internetowych. Zdrowego rozsądku nic nie zastąpi, tak jak edukacji na ten temat (w myśl zasady, że przeciwnik lepiej poznany jest mniej groźny).