Počítačový červ
Z Wikipédie
Počítačový červ je program so škodlivým kódom, ktorý napáda hostiteľský počítač, využíva jeho prepojenie cez sieť s ďalšími počítačmi a prostredníctvom nich sa šíri ďalej.
- Je podtriedou vírusu. Na rozdiel od počítačových vírusov, červ nepotrebuje na svoje šírenie hostiteľský program. Obsahuje totiž rutiny, resp. podprogramy ktoré zabezpečujú jeho kopírovanie a ďalšie šírenie, čo je ich obrovská výhoda. Nebezpečné sú najmä vďaka svojej schopnosti replikácie vo veľkých objemoch. Škodlivé kódy, ktoré sa poslednú dobu šíria, sú vo veľkej väčšine práve červi.
Obsah |
[úprava] Typy
Jedným z kritérií na rozlišovanie typov poč. červov je podľa povahy šírenia a typu útoku:
- e-mailový červ, ktorý sa šíri na základe zoznamu adries v užívateľskom programe. Na svoje šírenie používa e-mailovú komunikáciu, pričom zneužíva chýb v programe. Napriek tomu však potrebuje aj ľudský prvok na to, aby sa mohol úspešne šíriť. Príklady e-mailových červov: Melissa, Klez, BugBear, W32/Kedebe-F, Zotob…
- sieťový červ sa po sieti šíri využívajúc chyby v serverových častiach programov, pričom sám aktívne vyhľadáva ďalšie servery vhodné na napadnutie. Vďaka tomu, že nepotrebuje k svojej činnosti ľudský prvok, je nebezpečnejší a ťažko ovládateľný. Príklady sieťových červov: CodeRed, Slapper, Sdbot.ABI, Randex.AJA
[úprava] Činnosť červa
[úprava] Popis sieťového červa
Jeho obvyklou súčasťou je program, ktorý na infikovanom stroji aktívne a úplne automaticky vyhľadáva ďalšie systémy, ktoré sú vhodné na napadnutie. Keď takýto počítač (resp. server) nájde, červ spustí svoju infekčnú rutinu a prenesie sa na nový server, pričom na pôvodnom stroji zostáva ďalej a skúša vyhľadať ďalší napadnuteľný systém. Tento cyklus sa opakuje aj pre novo napadnutý stroj.
[úprava] Modelový príklad činnosti sieťového červa
Predpokladajme, že máme nasýtený internet, ktorý je postavený na protokole IPv4. Formát IP adresy definovanej protokolom IPv4 je: aaa.bbb.ccc.ddd. Čiže 255*255*255*255, čo sa rovná 4 228 250 625 počítačom a povedzme, že všetky sú napadnuteľné. To je skoro 4 a pol miliardy počítačov, potenciálne napadnuteľných počítačov, ak nepočítame lokálne siete s počítačmi s lokálnymi adresami. Ak by červovi trvalo napadnutie jedného PC jednu sekundu, trvalo by mu napadnutie všetkých počítačov 134 rokov!
Ako teda tento proces urýchliť?
Najväčším problémom, je počiatočná populácia potomkov, ktorá zabezpečí rýchly útok. Najvýznamnejšiu časť dĺžky celého procesu je infekcia prvých 10 000 počítačov. Cesta ako výrazne skrátiť časové podmienky je skenovanie s pripraveným zoznamom potenciálnych hostiteľov. Autor červa si preto ešte pred tým ako červa vypustí, pozbiera informácie o 10-50 tis. napadnuteľných počítačov s dobrým pripojením.
Červ, uvolnený na prvý stroj na tomto zozname, začína skenovanie dole celým zoznamom. Keď napadne ďalší stroj rozdelí zoznam na polovicu, predá jednu polovicu novému príjemcovi, a zároveň si udržuje druhú polovicu. Toto rýchle delenie zaisťuje, že aj keby len 10-20% všetkých počítačov na zozname bolo skutočne infikovateľných, červ prejde celým zoznamom a zaistí svoje nakopírovanie na všetky zraniteľné počítače v čase pod jednu minútu. A napriek tomu, že počiatočný zoznam môže mať veľkosť okolo 200 kB, je jeho veľkosť s každou ďalšou infekciou zrazená na minimum.
Takéto počiatočné podmienky je možné získať skenovaním potenciálnych cieľov. Náhodné skenovanie však začína upadať spolu s úpadkom počtu dosiaľ neinfikovaných počítačov. To sa dá zredukovať použitím permutačného skenovania.
- Pre viac informácií o skenovaní, čítajte článok Skenovanie.
Najlepších výsledkov sa dá dosiahnuť s takýmto potenciálnym červom, pokiaľ by sme využívali chyby vo viacerých programoch naraz. Taký červ sa nazýva multimode worm. Príkladom je červ Nimda, ktorý sa bol schopný šíriť e-mailom, web servermi…
Pokiaľ by sme do takéhoto červa umiestnili tzv. zadné vrátka(backdoor), bolo by možné spustiť prostredníctvom nich DDoS útok na nejaký dôležitý server alebo skupinu serverov. Pokiaľ by sa podaril úspešný DDoS útok napríklad na rootovské servery systému DNS v internete, mohol by sa internet, ktorý je na systéme DNS úplne závislý, stať na nejakú dobu úplne nefunkčným.
Našťastie táto myšlienka nie je dosiaľ uskutočnená, pretože zložitosť zdrojového kódu a nároky na matematické a iné znalosti kladené na programátora sú príliš vysoké.
Túto hrozbu by značne znížil prechod na verziu protolu IPv6, pretože adresné rozsahy pre permutačný sken by boli príliš veľké.
[úprava] Šírenie všeobecne
V skutočnosti sa takmer žiadny červ nemôže šíriť, pokiaľ používateľ neotvorí a nespustí program. Väčšina červov sa primárne šíri v prílohách e-mailov, to znamená v súboroch posielaných e-mailovými správami. Iné červy a vírusy sa môžu šíriť prostredníctvom programov, ktoré používateľ stiahne z Internetu alebo zo zavírených diskov či diskiet.
[úprava] Externé odkazy
[úprava] WikiProjekt
- Článok je súčasťou Wikiprojektu IT a Počítačová bezpečnosť
 |
Tento článok o počítačoch a súvisiacich veciach je zatiaľ príliš krátky (tzv. "výhonok"). Môžeš pomôcť Wikipédii rozšíriť ho tak, že hore klikneš na záložku "úprava" (alebo alternatívne sem) a dopíšeš alebo zmeníš text. |
