Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Przykłady i opisy luk

Tagi:

Microsoft Windows, najpopularniejszy system operacyjny dla systemów podłączonych do Internetu, zawiera liczne, poważne (często krytyczne) luki. Te najczęściej wykorzystywane znajdują się w modułach takich jak IIS, MS-SQL, Internet Explorer, oraz w usługach obsługi plików i przetwarzania komunikatów samego systemu operacyjnego.

Luka w IIS, opisana szczegółowo w Microsoft Security Bulletin MS01-033, jest jedną z najczęściej wykorzystywanych luk systemu Windows. Na przestrzeni lat stworzono wiele robaków sieciowych wykorzystujących tę lukę. Jednym z nich był 'CodeRed'. http://www.viruslist.pl/encyclopedia.CodeRed został po raz pierwszy wykryty 17 lipca 2001 roku. Uważa się, że zainfekował ponad 300 000 komputerów, sparaliżował działalność wielu przedsiębiorstw i spowodował ogromne straty finansowe na całym świecie. Chociaż Microsoft opublikował łatę dla tej luki, wraz z biuletynem MS01- 033 poświęconym tematowi bezpieczeństwa, niektóre wersje robaka CodeRed wciąż rozprzestrzeniają się przez Internet.

Robak sieciowy Spida, wykryty prawie rok po pojawieniu się robaka CodeRed, wykorzystuje do rozprzestrzeniania podatność na atak w pakiecie oprogramowania serwera MS-SQL. Niektóre domyślne instalacje serwera MS-SQL nie posiadały hasła na koncie systemowym 'SA'. Pozwalało to na wykonywanie losowo wybranych poleceń każdemu, kto posiadał sieciowy dostęp do systemu. Wykorzystując tę lukę, robak konfiguruje konto 'Gość', aby umożliwić współdzielenie plików oraz "wrzuca się" się na atakowany komputer. Następnie wykorzystuje ten sam niezabezpieczony hasłem dostęp do konta 'SA' i uruchamia swoją zdalną kopię, rozprzestrzeniając tym samym infekcję.

Robak sieciowy Slammer, wykryty pod koniec stycznia 2003 roku, stosował jeszcze bardziej bezpośrednią metodę infekowania systemów Windows działających pod kontrolą serwera MS-SQL: lukę pozwalającą na przepełnienie bufora w jednym z pakietów UDP obsługujących podprocedury. Slammer rozprzestrzeniał się w niewiarygodnie szybkim tempie, ponieważ miał względnie niewielki rozmiar - 376 bajtów - oraz używał UDP, protokołu komunikacyjnego przeznaczonego do szybkiej transmisji danych. Niektórzy eksperci oszacowali, że do rozprzestrzenienia się po całym świecie Slammer potrzebował zaledwie 15 minut, infekując w tym czasie około 75 000 komputerów.

Robaki Spamer i Spida wykorzystywały luki i podatności na ataki w programach działających pod kontrolą różnych wersji systemu Microsoft Windows. Natomiast robak Lovesan, wykryty 11 sierpnia 2003 roku, wykorzystywał do rozprzestrzeniania znacznie poważniejsze przepełnienie bufora w składniku jądra systemu Windows. Szczegółowy opis tej luki znajduje się w biuletynie Microsoft Security Bulletin MS03-026.

Sasser, który po raz pierwszy pojawił się na początku maja 2003 roku, wykorzystywał kolejną lukę w składniku jądra - lSASS (Local Security Authority Subsystem Service). Informacje o luce zostały opublikowana w biuletynie Microsoft Security Bulletin MS04-011. Sasser rozprzestrzeniał się w dużym tempie i zainfekował miliony komputerów na całym świecie, w wyniku czego przedsiębiorstwa poniosły ogromne straty. Wiele organizacji i instytucji zostało zmuszonych do zawieszenia swej działalności z powodu wywołanych przez robaka zakłóceń w sieci.

Wszystkie systemy operacyjne zawierają luki i podatności na ataki, które mogą być wykorzystane przez hakerów i twórców wirusów. Chociaż luki w systemie Windows są najbardziej nagłaśniane z powodu jego dużej popularności, również Unix posiada swoje słabe punkty.

Przez lata jedną z najpopularniejszych podatności na ataki w świecie Uniksa była usługa 'finger'. Dzięki tej usłudze osoba spoza sieci może widzieć, którzy użytkownicy logują się na poszczególnych komputerach, lub z jakiej lokalizacji użytkownicy uzyskują dostęp do komputera. Usługa 'finger' jest użyteczna, ujawnia jednak dużo informacji, które mogą zostać wykorzystane przez hakerów.

Oto próbka zdalnego raportu programu 'finger':

Login     Name       Tty      Idle  Login Time   Office         Office Phone
xenon                pts/7   22:34  May 12 16:00 (chrome.chiba)
polly                pts/3      4d  May  8 14:21
cracker   DarkHacker pts/6      2d  May 10 11:58

Raport ten ukazuje, że przy użyciu serwera finger można uzyskać interesujące informacje o zdalnym komputerze: zalogowanych jest troje użytkowników, jednak dwoje z nich jest bezczynnych od ponad dwóch dni, podczas gdy trzeci pozostawał z dala od komputera jedynie przez 22 minuty. Nazwy użytkowników ukazywane przez usługę finger mogą zostać wykorzystane do wypróbowywania kombinacji nazwa/hasło. Może to szybko wywołać atak na system, szczególnie gdy hasło użytkownika opiera się na nazwie jego konta, co jest stosunkowo powszechną praktyką.

Usługa finger nie tyko ujawnia ważne informacje o serwerze, na jest uruchomiona; stała się również celem wielu programów typu exploit, w tym sławnego robaka sieciowego stworzonego przez Roberta Morrisa Juniora i opublikowanego 2 listopada 1988 roku. Dlatego też, w większości rozpowszechnianych obecnie Uniksów usługa ta nie jest czynna.

Program 'sendmail', napisany przez Erica Allmana, jest kolejnym popularnym celem hakerów. Celem sandmaila było obsługiwanie przesyłania wiadomości e-mail przez Internet. Poprzez dużą liczbę systemów operacyjnych i konfiguracji sprzętu, sendmail rozrósł się do niezwykle złożonego programu, z dużą liczbą poważnych luk. Stworzony przez Morrisa robak wykorzystywał do rozprzestrzeniania exploita dla sendmaila, jak również lukę w usłudze finger.

W świecie Uniksa istnieje wiele innych popularnych exploitów atakujących pakiety oprogramowania, takie jak SSH, Apache, WU-FTPD, BIND, IMAP/POP3, różne części jąder itd.

Exploity, luki oraz przypadki opisane wcześniej uwydatniają istotny fakt. Podczas gdy liczba systemów działających pod kontrolą IIS, MS-SQL lub innych pakietów oprogramowania sięga setek tysięcy, łączna liczba systemów działających pod kontrolą systemów Windows zbliża się prawdopodobnie do kilkuset milionów. Gdyby wszystkie te maszyny zostały zaatakowane przez robaka lub hakera przy użyciu zautomatyzowanego narzędzia do przeprowadzania ataków, wewnętrzna struktura i stabilność Internetu byłaby poważnie zagrożona.