Počítačový červ

z Wikipédie, slobodnej encyklopédie
Prejsť na: navigácia, hľadanie

Počítačový červ je program so škodlivým kódom, ktorý napáda hostiteľský počítač, využíva jeho prepojenie cez sieť s ďalšími počítačmi a prostredníctvom nich sa šíri ďalej.

Je podtriedou vírusu. Na rozdiel od počítačových vírusov, červ nepotrebuje na svoje šírenie hostiteľský program. Obsahuje totiž rutiny, resp. podprogramy ktoré zabezpečujú jeho kopírovanie a ďalšie šírenie, čo je ich obrovská výhoda. Nebezpečné sú najmä vďaka svojej schopnosti replikácie vo veľkých objemoch. Škodlivé kódy, ktoré sa poslednú dobu šíria, sú vo veľkej väčšine práve červy.

Typy[upraviť | upraviť zdroj]

Jedným z kritérií na rozlišovanie typov počítačových červov je podľa povahy šírenia a typu útoku:

  • e-mailový červ, ktorý sa šíri na základe zoznamu adries v užívateľskom programe. Na svoje šírenie používa e-mailovú komunikáciu, pričom zneužíva chyby v programe. Napriek tomu však potrebuje aj ľudský prvok na to, aby sa mohol úspešne šíriť. Príklady e-mailových červov: Melissa, Klez, BugBear, W32/Kedebe-F, Zotob…
  • sieťový červ sa po sieti šíri využívajúc chyby v serverových častiach programov, pričom sám aktívne vyhľadáva ďalšie servery vhodné na napadnutie. Vďaka tomu, že nepotrebuje k svojej činnosti ľudský prvok, je nebezpečnejší a ťažko ovládateľný. Príklady sieťových červov: CodeRed, Slapper, Sdbot.ABI, Randex.AJA

História[upraviť | upraviť zdroj]

Dňa 2.11.1988 bol internetom rozšírený prvý počítačový červ, ktorého autorom bol Robert Tappan Morris. Jediným cieľom tohto červa bolo šírenie sa, no aj napriek tomu bol jeho výsledný efekt zdrvujúci. Následkom jeho zlého naprogramovania bolo to, že červ napádal aj napadnuté počítače. Morrisov červ tak ako prvý v praxi predviedol, aké možnosti poskytuje internet ako médium šírenia. Odozvou na neho, bolo vytvorenie koordinačného centra CERT (Computer Emergency Response Team), ktoré sa zaoberá bezpečnosťou internetu. R.T.Morris bol ako autor červa odsúdený na 3 roky podmienečne, 400 hodín verejnoprospešných prác a musel zaplatiť pokutu vo výške 10 000USD (približne 6864 €).

Činnosť červa[upraviť | upraviť zdroj]

Opis sieťového červa[upraviť | upraviť zdroj]

Jeho obvyklou súčasťou je program, ktorý na infikovanom stroji aktívne a úplne automaticky vyhľadáva ďalšie systémy, ktoré sú vhodné na napadnutie. Keď takýto počítač (resp. server) nájde, červ spustí svoju infekčnú rutinu a prenesie sa na nový server, pričom na pôvodnom stroji zostáva ďalej a skúša vyhľadať ďalší napadnuteľný systém. Tento cyklus sa opakuje aj na novo napadnutom stroji.

Modelový príklad činnosti sieťového červa[upraviť | upraviť zdroj]

Predpokladajme, že máme nasýtený internet, ktorý je postavený na protokole IPv4. Formát IP adresy definovanej protokolom IPv4 je: aaa.bbb.ccc.ddd. Čiže 255*255*255*255, čo sa rovná 4 228 250 625 počítačom a povedzme, že všetky sú napadnuteľné. To je skoro 4 a pol miliardy počítačov, potenciálne napadnuteľných počítačov, ak nepočítame lokálne siete s počítačmi s lokálnymi adresami. Ak by červovi trvalo napadnutie jedného PC jednu sekundu, trvalo by mu napadnutie všetkých počítačov 134 rokov!

Ako teda tento proces urýchliť?

Najväčším problémom, je počiatočná populácia potomkov, ktorá zabezpečí rýchly útok. Najvýznamnejšiu časť dĺžky celého procesu je infekcia prvých 10 000 počítačov. Cesta ako výrazne skrátiť časové podmienky je skenovanie s pripraveným zoznamom potenciálnych hostiteľov. Autor červa si preto ešte pred tým ako červa vypustí, pozbiera informácie o 10-50 tis. napadnuteľných počítačov s dobrým pripojením.

Červ, uvolnený na prvý stroj na tomto zozname, začína skenovanie dole celým zoznamom. Keď napadne ďalší stroj rozdelí zoznam na polovicu, predá jednu polovicu novému príjemcovi, a zároveň si udržuje druhú polovicu. Toto rýchle delenie zaisťuje, že aj keby len 10-20% všetkých počítačov na zozname bolo skutočne infikovateľných, červ prejde celým zoznamom a zaistí svoje nakopírovanie na všetky zraniteľné počítače v čase pod jednu minútu. A napriek tomu, že počiatočný zoznam môže mať veľkosť okolo 200 kB, je jeho veľkosť s každou ďalšou infekciou zrazená na minimum.

Takéto počiatočné podmienky je možné získať skenovaním potenciálnych cieľov. Náhodné skenovanie však začína upadať spolu s úpadkom počtu dosiaľ neinfikovaných počítačov. To sa dá zredukovať použitím permutačného skenovania.

  • Pre viac informácií o skenovaní, čítajte článok Skenovanie.

Najlepších výsledkov sa dá dosiahnuť s takýmto potenciálnym červom, pokiaľ by sme využívali chyby vo viacerých programoch naraz. Taký červ sa nazýva multimode worm. Príkladom je červ Nimda, ktorý sa bol schopný šíriť e-mailom, web servermi…

Pokiaľ by sme do takéhoto červa umiestnili tzv. zadné vrátka (backdoor), bolo by možné spustiť prostredníctvom nich DDoS útok na nejaký dôležitý server alebo skupinu serverov. Pokiaľ by sa podaril úspešný DDoS útok napríklad na rootovské servery systému DNS v internete, mohol by sa internet, ktorý je na systéme DNS úplne závislý, stať na nejakú dobu úplne nefunkčným.

Táto myšlienka nie je dosiaľ uskutočnená, pretože zložitosť zdrojového kódu a nároky na matematické a iné znalosti kladené na programátora sú príliš vysoké.

Túto hrozbu by značne znížil prechod na verziu protolu IPv6, pretože adresné rozsahy pre permutačný sken by boli príliš veľké.

Šírenie všeobecne[upraviť | upraviť zdroj]

V skutočnosti sa takmer žiadny červ nemôže šíriť, pokiaľ používateľ neotvorí a nespustí program. Väčšina červov sa primárne šíri v prílohách e-mailov, to znamená v súboroch posielaných e-mailovými správami. Iné červy a vírusy sa môžu šíriť prostredníctvom programov, ktoré používateľ stiahne z Internetu alebo zo zavírených diskov či diskiet.

Externé odkazy[upraviť | upraviť zdroj]

WikiProjekt[upraviť | upraviť zdroj]