Biztonságunk ára

Figyelem! Kérjük az értelmezésénél a megjelenés időpontját (2000. április 1.) vegye figyelembe!

Megjelent a Cégvezetés (archív) 24. számában (2000. április 1.)
Szöveg nagyítása Szöveg kicsinyítése Nyomtatás
A vállalatok, szervezetek informatikai rendszereit korábban sohasem látott lehetőségekkel ruházza fel az internethez való kapcsolódás. A többletszolgáltatásoknak azonban komoly áruk van, amit előbb-utóbb meg kell fizetnünk. E vonatkozásban nem egyszerűen arról van szó, hogy nagyobb lesz a telefonszámla, vagy többe kerül a hardver és a szoftver. Itt a cégek, szervezetek jó hírének és esetenként működőképességének, informatikai és adatbiztonságának elvesztése is felvetődhet. A korábban leginkább a vírusok által veszélyeztetett terület újabban a kívülről, a hálóról jövő támadásoknak is ki van téve.A számítógépes rendszerek ma már éppen olyan nélkülözhetetlenek egy vállalat, szervezet életében, mint a céges autók, telefonok és faxok. Bármelyik is essen ki, komoly fennakadásokat okozhat a működésben. Mert mire is van szüksége egy vállalat vezetőségének ahhoz, hogy a cég életét befolyásoló döntéseit meghozhassa? Hiteles és pontos információra. Információra arról, hogy milyen eszközökkel rendelkezik, milyen erőforrások állnak készen. A vállalati informatikai rendszer, amely az ügyviteli, termelésirányítási, levelezési és egyéb rendszereket is magában foglalja, kifejezetten érzékennyé teszi a vállalatot a külső vagy belső támadásokra. Minden olyan behatás, amely megbénítja vagy blokkolja a külső és/vagy belső információáramlást, pénzben is kifejezhető károkat okozhat. E támadások pedig mindenütt elkerülhetetlenül megjelennek, ahol támadható célpont tűnik fel. Az internetre való nyitással a rendszerek korábban eltakart gyengeségei sorra napvilágra kerülnek.Hillarytől, a Mount Everest első meghódítójától kérdezték a diadal után, mi hajtja arra, hogy egyre újabb, öngyilkosnak tűnő akciókba fogjon. A válasz az volt, hogy azért kell hegyet másznia, mert a hegy ott van. A számítógéprendszerek támadói, a hackerek és crackerek hasonló okból törik fel a korábban sziklaszilárdnak tűnő védelmeket: mert a kihívás ott van az orruk előtt, és nem tudnak, de nem is akarnak ellenállni neki.

Vírusfronton a helyzet változatlan

Hiába reménykedtünk abban, hogy már nem vagy nem sokkal romolhat tovább a vírushelyzet. Tavaly, a késő őszi hónapokban több új kártevőcsalád egy-egy friss tagja is felbukkant. Ezek közül a VBScript programférgek közé sorolandó BubbleBoy érdemel részletesebb ismertetést.Az 1999-es év igazi újdonságai közé sorolhatók a több támadáspontú makrovírusok és scriptvírusok. Sajnos, mindennapos jelenség, ha egy makrovírus a Word mellett Excel, Access és/vagy Powerpoint dokumentumokba is beírja saját kódját. E vírusok közös nevezője a Visual Basic, amely a Microsoft Office '97-tel szinte az összes irodai alkalmazásba beépült.A célpontok köre október végétől azonban egy újabb programmal is kibővült. Október 25-én jelentették be a DataFellows weblapján (hivatalosan ma már F-Secure Company néven szerepel a cég), hogy egy korábban ismeretlen makrovírusra bukkantak, amely a Microsoft Project 98 állományait is célpontnak, sőt szaporodási közegnek tekinti. A névtelen elektronikus levélben beküldött vírusmintáról (egyes vélemények szerint maga a szerző küldte el, mintegy tesztelni vírusát) kiderült, hogy egyaránt képes szaporodni Word 97 és Word 2000 dokumentumokban, valamint a Project .MPP állományaiban. Mint családjának első példánya, a Comer (jövevény) névre elkeresztelt vírus valószínűleg demonstrációs céllal született, és a szaporodáson kívül egyéb "illegális tevékenységet" nem folytat.November első felében bukkant fel az interneten egy másik kártevő, amely nem vírus, hanem a programférgek (Worm) csoportjába sorolható, és amelyet BubbleBoy, illetve VBS/Bubbleboy néven vett nyilvántartásba a szakma. - A Network Associates (McAfee VirusScan) weblapján november 8-án, a DataFellowsnál november 10-én írtak a BubbleBoyról. - A féreg működésének előfeltétele a Windows Scripting Host (WSH) aktív jelenléte az adott rendszeren. Ez a szolgáltatás alapértelmezésként jelen van a Windows 98 és Windows 2000 rendszereken, valamint ott, ahol az Internet Explorer 5-öt úgy telepítették, hogy nem iktatták ki a Windows Scripting Host telepítését.A programféreg levélbe ágyazott HTML-formátumban terjed. Az internetet mint szaporodási területet felhasználó többi programkártevőtől eltérően a BubbleBoy-jal fertőzött elektronikus levél csatolt állományt nem tartalmaz. A féreg megcélzott közege az Outlook (egészen pontosan az Outlook '98, az Outlook 2000 és az Internet Explorer 5-tel együtt telepedő Outlook Express).A féreg a vezérlést a fertőzött levél megnyitásakor ragadja magához, és az Outlook ActiveX szolgáltatásait felhasználva küldi szét másolatait a megfertőzött gép levelezőpartnereinek. Az Outlook Express 5 esetében még meg sem kell nyitni a fertőzött levelet, mivel annak Preview üzemmódjában is aktivizálódik és terjed. Más levelezőrendszereket a BubbleBoy nem fenyeget, mert a fenti automatikus programindítási lehetőséget csak az Outlook nyújtja.A fertőzés megelőzhető, ha az Internet Explorerben a biztonsági beállításokat a legmagasabb szintre explandáljuk, vagy más, nem Microsoft-fejlesztésű levelezőprogramot használunk. Ezzel megakadályozható a féregprogram futása. Az eset rámutat az Internet Explorer egyik biztonsági hiányosságára, amit a Microsoft részben már orvosolt is azzal, hogy elkészítette programjának javítását, amely letölthető a http://www.microsoft.com/security/Bulletins/ms99-032.asp címről. (További letöltési címek és információk: http://windowsupdate.com, http://www. microsoft. com/ msdownload, http://www.microsoft.com/ msdownload/ iebuild/ascontrol/en/ascontrol.htm, http://www. microsoft.com/security/Bulletins/ms99-048faq.asp, http://support.microsoft.com/support/kb/articles/
q244/5/40.asp).Félő azonban, hogy többen vannak, akik nem tudnak sem a programféreg okozta fenyegetettségről, sem a már tulajdonképpen rendelkezésre álló javításról. Az emberek többsége - főleg Magyarországon - nem csatlakozik közvetlenül az internetre, s ha igen, akkor sincs felkészítve a frissítések letöltésére és telepítésére. Így hiába áll készen a javítás, amennyiben a szoftverek telepítését és újratelepítését a korábban megvásárolt CD-lemezekről végzik, elmarad annak a biztonsági lyuknak a befoltozása, amelyet a BubbleBoy típusú kártevők kihasználnak.

Hatáselemzés

A BubbleBoy programkódja a következő lépéseket végzi el, amennyiben nem kapják el időben: átírja a programok tulajdonosának nevét BubbleBoyra (innen a név), a jogosult felhasználási helyet pedig Vandelay Industriesre, mint azt az ábrán is láthatjuk. Ezek azonban csak mellékes tünetek. Ami ennél sokkal aggasztóbb, az az, hogy a BubbleBoy az Outlook összes címlistájának minden címére elküldi saját magát. Az elküldés tényét előrelátóan a Registryben rögzíti, és többször már nem küldi el magát ugyanoda.A fertőzött levél viszonylag könnyen felismerhető, mert a féreg minden esetben a képen levő mintához hasonlóan készíti el: a From: (Kitől:) mezőbe a fertőzött felhasználó levelezési neve kerül. A Subject: (Tárgy:) mezőbe a "BubbleBoy is back!" felirat kerül, és a szövegtörzsben a Seinfeld című tv-sorozatból való képek találhatók.Miután a levelezést, azaz a szaporodást a féreg elintézte, megjeleníti a hibaüzenetet.Érdemes a BubbleBoy jelenség hatásait is elemezni. Talán kezdjük azzal, hogy megint megdőlt egy korábban megingathatatlannak tűnő axióma. Korábban azt írtuk, tanítottuk, hogy maguk az e-mail üzenetek nem jelentenek, nem jelenthetnek veszélyt a felhasználó adataira és programjaira, csak a hozzájuk csatolt (attachment), potenciálisan vírushordozó program-, tömörített vagy dokumentumfájlok. Mivel azonban az Outlook az üzenetszövegbe beágyazott script programokat is képes automatikusan elindítani és végrehajtani, e programcsalád komoly rést nyit a számítógépes rendszerek biztonságán.

Meggondolandó, hogy mekkora veszélyt jelent, illetve jelenthet a hálózatba kötött rendszerek biztonságára, ha olyan levelezőszoftvert használunk, amely lehetővé teszi elektronikus levelekben érkező, ellenőrizetlen programok futtatását. A BubbleBoy ma még nem tartalmaz kifejezetten ártó, romboló céllal beágyazott rutinokat, de ez semmiképpen sem garantálható a jövőben, így feltétlenül számításba kell venni a védelmi rendszer kialakításakor, illetve bővítésekor az Outlook és az Internet Explorer e potenciális biztonsági réseit is.

Az Office 2000 mellett kínált Small Business Custom Manager jelzi ugyan, hogy valami van a levélben, de nem sok információt ad róla, s a fertőzött üzenetek Outlook 2000-rel való megnyitásakor is csak egy árnyalatnyival több figyelmeztetést kap a gyanútlan felhasználó.

Év eleji hírek

Februárban az internet több negatív szenzációval is szolgált. Magyar vonatkozásban elég, ha az Elender elleni támadásokat említjük meg. A neves hazai internetszolgáltató minden erőfeszítése dacára sem tudta megakadályozni, hogy egy hacker feltörje biztonsági rendszerét, és miután többször is behatolt a védettnek hitt területekre, több ezer felhasználói nevet és jelszót helyezett el különböző weblapokon.Amellett, hogy sok mindent máshogy is lehetett volna csinálni az ilyen és hasonló támadások megelőzésére, el kell ismernünk, hogy az internetszolgáltatók fokozott támadásoknak vannak kitéve. Mert ott van a hegy...Egy konkrét és szintén aktuális amerikai példa, a neves webszolgáltatók, mint az Amazon.com, a Yahoo!, az eBuy és a Buy.com elleni összehangolt támadássorozat, amelynek ügyében már az FBI is kiterjedt nyomozásba kezdett. A Melissa-vírus fejlesztőjének gyors kézrekerítésével magának e téren is tekintélyt kiharcoló nyomozó szervezet már egyhetes vizsgálódás után is komoly eredményeket mutathat fel. Kiderítették, hogy egy egyetemről indult a támadás, és az egyelőre Waldóként emlegetett támadó számítógépek százait vetette be a megcélzott rendszerek elleni támadásába. E gépek Amerika-szerte véletlenszerűen helyezkednek el, és üzemeltetőiknek a legcsekélyebb közük sincs Waldóhoz. Az egyetlen közös az érintett gépekben az, hogy gépeikre - a kellő védelem hiányában - a hackernek sikerült feltöltenie saját programjait, majd távirányítással e gépekről bombázta üzenetekkel a megcélzott szolgáltatókat.Az eset tanulsága az, hogy ma már édeskevés arról gondoskodni, hogy a vírusvédelem megfelelő színvonalú és naprakész legyen. Az internet felé nyitott kapuk megfelelő ellenőrzése nélkül bárki hackertámadásoknak nemcsak célpontjává, de akaratlanul eszközévé is válhat. És a következmény: újabb milliók fognak az információbiztonsággal professzionális szinten foglalkozó hazai és nemzetközi cégek kasszájába befolyni. Mert aki nem védekezik, az előbb-utóbb áldozattá válik a farkastörvényű világban. 

Figyelem! Kérjük az értelmezésénél a megjelenés időpontját (2000. április 1.) vegye figyelembe!

Nyomtatás Főoldalra Nyomtatás Nyomtatás A lap tetejére A lap tetejére