Internetul subteran ataca pe 1 aprilie
IT&C | Data Publicarii: 23-03-2009

O lupta extraordinara se da, in spatele scenei, intre mari grupuri de securitate informatica din intreaga lume si sfidatorul autor al virusului numit Conficker. Aceasta amenintare informatica a captat atentia specialistilor inca din octombrie 2008, cand a aparut si s-a raspandit rapid, ajungand sa infecteze milioane de computere din intreaga lume cu un cod software destinat sa preia controlul acestora si sa le faca sa lucreze impreuna, la fel ca si un singur calcultor puternic.

O astfel de retea se numeste botnet, iar calculatoarele sunt practic transformate in niste zombie ce ajung sa efectueze orice operatiune ce este comandata de la distanta de catre hackeri. De cand a aparut, Conficker a reusit sa infecteze peste 15 milioane de calculatoare, iar autorul l-a adaptat periodic si reusit sa contracareze toate eforturile pe care specialistii le fac de cateva luni bune pentru a-i limita efectele.

Practic, totul s-a transformat intr-un joc "de-a soarecele si pisica", dupa cum scrie si ziarul "The New York Times", intre acest hacker/hackeri si  alianta internationala formata din cele mai mari companii de securitate informatica si agentii guvernamentale din intreaga lume (denumita de membrii sai Conficker Cabal). Este si motivul pentru care Microsoft a anuntat, luna trecuta, o recompensa de 250.000 de dolari pentru informatia care ar putea sa conduca la capturarea autorului Conficker.
 
Botnet-uri de inchiriat

Conficker se foloseste de o vulnerabilitate existenta in sistemele de operare Windows (in Windows Server Service) pentru a se instala pe computerul victima, dupa care se ataseaza unor programe rulate in mod curent (svchost.exe, explorer.exe, services.exe) si continua sa infecteze alte calculatoare. Se formeaza, astfel, un botnet.

Botnet-urile sunt folosite pentru a fi utilizate ca platforme profitabile pentru sustinerea fraudei masive ce se desfasoara in internet, pe acelasi principiu al economiei subterane. Multe dintre ele sunt create de catre hackeri pentru a fi partajate si inchiriate altor infractori ce se ocupa in mod curent cu fraudele electronice.

In marea lor majoritate, botnet-urile sunt utilizate pentru a trimite mesaje spam pe e-mail. Spamul, la randul sau, constituie baza promotiilor comerciale mincinoase ce includ inclusiv scheme prin care speculeaza, in mod frecvent, neatentia utilizatorilor de internet pentru a le planta acestora alte software-uri malitioase pe computer. Aceste programe specializate pot fi utilizate pentru sustragerea informatiilor confidentiale, cele mai vanate fiind cele financiare.

Victimele, proprii calai

Victimele sunt de cele mai multe ori propriii calai din cauza lipsei de cunostinte mai aprofundate in utilizarea PC-urilor, dar si a neatentiei. In general, acesti utilizatori sunt indusi in eroare ca sa dea ok la instalarea unui soft, crezand ca o fi vorba, de exemplu, despre o versiune mai buna a mediaplayerului. In schimb, ei instaleaza un software daunator si capabil sa copieze informatii din computer, sa le trimita hackerului via in-ternet. De asemenea, softwareul care ruleaza in fundal chiar poate sa-i cedeze controlul hackerului asupra PC-ului, care le va transforma sistemul celor conectati la net intr-un zoombie fara ca ei sa sesizeze acest lucru.

Acest lucru se intampla mai usor pentru ca acesti virusi de generatie mai noua se pot auto-upgrada, receptionand noile variante software de pe internet de la cei care i-au pus in circulatie. Din pacate, au evoluat si pe partea de evitare si dezactivare a solutiilor antivirus pe care utilizatorul le are instalate pe computer si mizeaza pe ele.
Este ceva obisnuit in internetul subteran, spun specialistii IT.

Ce e de facut?

In primul si in primul rand, utilizatorii trebuie sa se abtina sa mai dea imediat click pe orice link primit de oriunde. De asemenea, este bine sa nu mai intre pe orice site si sa nu mai deschida mail-urile ce nu ii privesc (nesolicitate). De asemenea, daca primesc fisiere ciudate trimise de amicul de pe Messenger, este mai bine sa-l intrebe daca acesta chiar le-a trimis ceva sau care este contextul expedierii. Dupa aceea, daca PC-ul a fost infectat, lupta intra pe terenul solutiilor antivirus, unde - dupa cum se vede - meciul nu are inca un rezultat concret.

PC-urile zombie, in asteptare

Conficker este insa mult mai periculos. Desi nimeni nu a putut determina cu precizie care este scopul in care a fost creat, o examinare a viermelui informatic arata ca PC-urile zombie sunt programate pentru a incerca sa intre in contact cu un sistem de control ce va incepe sa le dea instructiuni in data de 1 aprilie.

Pana acum au fost facute doar o serie de speculatii despre natura amenintarii reprezentate de botnet, de la intentia de a se trage un semnal de alarma pana la declansarea unui atac devastator. Au fost deja cazuri de atacuri ce au putut paraliza si lasa off-line web site-urile comerciale si chiar guvernamentale ale unor tari.

Oricum, se ridica tot mai mult suspiciunea ca acest virus este, in cele din urma, tot o schema de inchiriere a computerelor. Cercetatorii se asteapta, de fapt, ca acest botnet sa imite cel mai nou trend din industria IT, numit cloud computing (intr-o traducere aproximativa: nor de calcul), prin care companii precum Amazon, Microsoft sau Sun Microsystems au inceput sa vanda si sa efectueze servicii de calcul prin internet.

Conficker, o posibila ofensiva pentru atacuri concertate

Desi si-au dat toata silinta, cercetatorii care lucreaza la descoperirea unui mod in care sa anihileze acest virus nu numai ca nu au reusit nici pana acum sa determine macar unde se afla autorul, sau autorii, ci s-au si vazut mereu depasiti de situatie, dupa ce virusul a fost continuu adaptat sa le contracareze orice posibila solutie ar fi gasit. Mai multe persoane care au analizat diversele versiuni ale programului spun ca, in mod evident, autorii Conficker urmaresc cu precizie eforturile de limitare a efectelor acestui virus si au demonstrat, in repetate ori, ca abilitatile lor tin de varful tehnologiei informatiei (atat ca resurse, cat si ca percepere). De exemplu, viermele a trecut deja prin mai multe versiuni de cand alianta de experti in securitate informatica a confiscat controlul a 250 de nume de domenii de internet ce ar fi putut forma un sistem care prelua sarcina de a transmite instructiuni pentru milioane de computere infectate.

La scurt timp dupa aceea, in prima saptamana din martie, o a patra versiune a programului - Conficker C-, a extins numarul de site-uri care s-ar putea folosi in acest fel la 50.000. Acest pas a facut practic imposibila impiedicarea autorilor virusului de a comunica cu botnet-ul lor. "Este demn de remarcat faptul ca este vorba despre oameni care iau in serios acest lucru si nu fac multe greseli", a spus Jose Nazario, membru al aliantei internationale din partea Arbor Networks, o companie care ofera unelte pentru monitorizarea performantei retelei. "Sunt dispusi sa riste totul in aceasta afacere". "Poate ca, in cel mai bun caz, Conficker poate fi utilizat ca si o platforma profitabila pentru sustinerea fraudei masive pe internet", a declarat Phillip Porras, director de cercetare la SRI International (fostul Standford Research Institut). In cel mai rau caz, ar putea fi transformat intr-o puternica arma ofensiva pentru declansarea unor atacuri concertate ce ar putea afecta nu doar tari, ci si in-ternetul in sine.

Romania a gasit o solutie

Si in Romania Conficker este destul de cunoscut. A ajuns si sa tina prima pagina a ziarelor in urma infiltrarii lui in retelele de calculatoare ale Administratiei Nationale a Penitenciarelor. Acest lucru a fost confirmat, de voie, de nevoie, de catre autoritatile care au recunoscut spasite ca probabil nu s-a tinut cont de recomandarea pe care Microsoft a facut-o lumii intregi - de la institutii publice, companii si corporatii pana la simplii utilizatori sa-si instaleze ultimele actualizari ale aplicatiilor de securitate, ce le-au fost puse la dispozitie gratuit.

Cel mai probabil, virusul a fost instalat prin intermediul dispozitivelor USB si a speriat sistemul legislativ cu banuiala ca multe dintre datele cuprinse in dosarele electronice ar fi putut fi modificate, nu se stie in ce fel. Tot din Romania a venit si prima solutie din lume de dezinfectare a computerelor care au ajuns sa fie infectate, chiar si cu ultima versiune a Conficker, numita Downadup C (Conficker C). BitDefender a oferit o unealta gratuita care dezinfecteaza toate versiunile cunoscute ale lui Downadup, disponibila la adresa http://bdtools.net.

Programul poate fi folosit de orice utilizator, acest domeniu nefiind blocat de catre vierme.

Integral in Romania Libera