Biztonság vagy kényelem?

A Code Red és a Nimda után két évvel újabb féreg ment villámgyorsan körbe az Interneten, ami azt jelenti, hogy az emberek továbbra sem frissítik szoftvereiket, és a vállalatoknál sem a biztonság az elsőrendű szempont.

Már több variánsa is megjelent az MSBlast féregnek, és a következő hetekben-hónapokban még veszélyesebb változatok várhatók. A támadás első fázisában mintegy 300 000 számítógép fertőzödőtt meg világszerte a gépek gyakori újraindulását okozva. A második lépés a Microsoft javításokat közzétevő oldalának bombázása lett volna, amivel egyrészt a felhasználók képtelenek lettek volna letölteni az ellenszert, másrészt mindenki számára figyelemfelhívásként szolgál a Windowsokban meglévő hibára.

A Microsoft szerencséje, hogy a támadás csak a http://www.windowsupdate.com-ra, nem pedig a valós http://windowsupdate.microsoft.com ellen irányult, így a társaság a domainnév leállításával ki tudta védeni a féregprogram fertőzött számítógépekről induló túlterheléses támadását. A Windows Update frissítési szolgáltatás valójában az utóbbi címen érhető el, amelyet a felhasználók továbbra is igénybe vehetnek a javítások és frissítések letöltéséhez. Mivel a Windows is ezt a címet nyitja meg a Start menűben található ikonra kattintáskor, az operációs rendszeren belül azonos módon lehet elérni a szolgáltatást mint ezidáig. A lépés eredményeként a féregprogram nem tudott fennakadást okozni a Microsoft weboldalának elérésében, illetve a Windows Update szolgáltatás működésében.

Mint Lloyd Taylor, az internetes felügyelettel foglalkozó KeyNote elnökhelyettese elmondta, a Microsoft megoldása szokatlan, de az adott helyzetben teljesen logikus volt. "A Microsoft kihúzta a Blaster méregfogát" - mondta a szakértő utalva arra a lépésre, amely során a társaság lekapcsolta a www.windowsupdate.com domain nevet a biztonsági frissítéseket tartalmazó Windows Update szolgáltatásról.

"Amikor a féregprogram támadni akar, nem kap érvényes címet, így nem tudja, mit kellene megtámadnia" - mondta Taylor. Taylor szerint meglehetősen hanyag lépés volt a készítőktől, hogy nem a windowsupdate.microsoft.com címre irányították a támadást, mivel a Microsoft ezért tudta alkalmazni a mostani taktikát. A szakértő szerint elképzelhető, hogy a hackerek valójában nem is akartak kárt okozni, csak megpróbáltak ráijeszteni a szoftveróriásra. A féreg másodpercenként 50 IP csomagot küldött volna célba, ami a fertőzött gépek számával felszorozva még a Microsoft.com-ot is könnyedén padlóra küldte volna.

A féreg az operációs rendszer egy meglévő hibáját használta ki, és ugyan a javítás már július közepén megjelent, a biztonsági szakértők számára tökéletesen kiszámítható volt egy hasonló program megjelenése. Fontos figyelmeztető jel volt a pár nappal korábban feltűnt IRC-s bot. A féreg sikere nem a programozó tudását dicséri, hanem csupán az internetre kapcsolt gépek sebezhetőségét tette sokadszorra is nyilvánvalóvá.

Habár a Blaster lassan lekerül a híroldalak és a biztonsági jelentések elejéről, a korábbi társaik, mint a Sircam, Nimda vagy a Bugbear továbbra is az antivíruscégek címlapján szerepelnek. A fejlett technológia és biztonság ellenére továbbra is veszélyt jelentenek a vállalati, kormányzati rendszerekre. Vajon miért nem tűnnek el örökre a sülyesztőben?

A magyarázat az Internet nagyságában rejlik - mindig van olyan hely, ahol egy időre megbújhatnak, tenyészhetnek, és időről időre kijutva újabb helyeken tűnhetnek fel. A statisztikák szerint "sikeres" férgek, a leginkább túlélő típusok folyamatosan mozgásban vannak, újrafertőzik a korábban már megtisztitott hálózatokat. Az otthoni felhasználók a legveszélyeztetettebbek, mivel egy részük mindig is be fog dőlni a vírusos levelek utasításainak (kattints egy képre vagy a csatolt file-ra). A legjobb példa erre talán a FunLove vírus, ami 1998 őszi felfedezése ellenére még mindig a Symantec toplistáján szerepel.