Největší případ hackingu v dějinách!

Minulý týden bylo zjištěno, že Microsoft byl napaden přímo v samém centru svého síťového dění, hackerům se pomocí viru QAZ podařilo dostat až ke zdrojovým kódům Windows a Office. Čtěte v článku více informací.

Již v pátek jsme v mimořádném večerním článku Nestalo se nic, akorát nám ukradli zdrojáky..... informovali o neuvěřitelné skutečnosti. Neznámým hackerům se pomocí viru QAZ (QAZ worm, pozor na něj.) podařilo dostat až přímo do centra Microsoft sítě.

Praktická demonstrace nebezpečí, plynoucího z dnešní "otevřenosti" a nezvladatelnosti počítačových sítí a jejich uživatelů, je bezpečnostními experty označována za "Největší případ hackingu všech dob" a pravděpodobně zcela oprávněně.

Mikko Hyppönen ze společnosti F-Secure Corp. přitom před podobným nebezpečím varoval již dlouho předtím, než se objevil tento mimořádně viditelný a problematický případ. "Konečně se to stalo. A jsem pouze překvapen že se to stalo těm nejlepším", říká Hyppönen.

Trojské koně a počítačové červy nejsou skutečně nic neznámého, famózní Melissa či ILOVEYOU byly celosvětovou pohromou. QAZ, zodpovědný za hack Microsoftu, se světovou pohromou nestal. O to větší publicitu si ovšem vysloužil tím, že stojí za hacknutím společnosti, u které by se daly očekávat všechny myslitelné druhy zabezpečení před podobným problémem.

Tyto druhy virů se šíří velmi snadno zpravidla díky naivnosti a nezkušenosti řady počítačových uživatelů. Zpravidla postačí jeden nepozorný a nezkušený uživatel, kterému virový program "přistane" v jeho poštovní schránce či si jej stáhne z Internetu. Ve většině případů využívají lidské chuti poznávat zakázané ovoce a maskují se za soubory obsahující lechtivé obrázky či za legitimní dokumenty, řada těchto virů se tak šíří například jako životopis zájemce o zaměstnání.

QAZ infikoval podle všeho jeden z počítačů přímo v Redmondu již před několika měsíci a po celou dobu sloužil autorovi k monitorování a pátrání v počítačové sítí Microsoftu. Právě pomocí tohoto vstupu do sítě Microsoftu se mu posléze podařilo zjistit jméno a heslo použitelné pro přímý vstup do počítačové sítě s pomocí vstupních bran otevřených pro zaměstnance Microsoftu. Důvod, proč nezareagoval antivirový program (QAZ je znám již od července tohoto roku), je podle všeho prostý, někdo jej vypnul, aby ho neobtěžoval v práci.

Microsoft President a CEO, Steve Ballmer, nejprve v pátek přiznal průnik do počítačové sítě Microsoftu, ale popřel jakýkoliv přístup ke zdrojovým kódům. Později ovšem přiznal i tuto informaci. Hackerům se tak podle všeho podařilo získat přístup ke zdrojovým kódům pro Office a Windows - v obou případech pravděpodobně ke zdrojovým kódům budoucích verzí těchto produktů. Spekulace rovněž hovoří o přístupu ke kódu pro Windows ME, čerstvě uvolněné verzi operačního systému pro domácí uživatele.

Napsat konkrétní virus či upravit existující viry pouze pro omezenou potřebu napadení jedné konkrétní společnosti přitom není nic složitého (viz například článek ILOVEYOU varianta útočí na konkrétní banky). Takovýto virus je potom velmi těžko odchytitelný antivirovými programy, ty se totiž zaměřují pouze na viry, o kterých vědí - zpravidla tedy takové viry, které si zasloužily pozornost širším výskytem. Podobně "na míru šitý" virus by potom mohl působit skutečně celé měsíce bez povšimnutí.

V případě napadení Microsoftu se také pochopitelně spekuluje o možnosti klasické průmyslové špionáže. Zdrojové kódy Windows a Office mohou být užitečné pro konkurenci Microsoftu, stejně tak jako pro top-level hackery, schopné odhalit doposud nezjištěné bezpečnostní problémy skryté hluboko v kódu software.

Hack Microsoftu ovšem také v plné míře ukazuje, na jak tenkém ledě se pohybujeme v současné době. Bezpečný není nikdo a metody vedoucí k zabezpečení proti masovému rozšíření tohoto problému jsou vzdáleny měsíce daleko a představují mnoho člověkoroků práce. Operační systémy a aplikační software se totiž před několika lety vydaly cestou vyhovět koncovému uživateli. Výsledkem jsou vražedně nebezpečné kombinace, umožňující zkušenému hackerovi či autorovi virů dokázat něco doposud prakticky nemožné. Internet samotný k tomu přispívá nemalou měrou, globální komunikační síť, obepínající celou zeměkouli, umožňuje být v Redmondu a přitom sedět například v České republice. A používat přitom počítače umístěné třeba v Číně (QAZ pochází podle všeho z Číny) nebo v Rusku (QAZ, použitý pro hack Microsoftu, posílal své údaje kamsi do Petrohradu). Šance na vypátrání takovéhoto útočníka jsou přitom zcela mizivé a škody, které může způsobit, mohou  být astronomické.

Překvapivě ovšem tento případ hackingu ukazuje i Microsoft jako společnost nedbající základních bezpečnostích opatření. QAZ měl totiž v prvním momentě být odchycen v poštovním serveru - pro společnost rozměru Microsoftu by mělo být otázkou pudu sebezáchovy, aby provozovala kvalitní antivirové řešení na svých Exchange serverech. Tam totiž nemůže dojít k vypnutí kontroly, jako je to možné na klientském počítači.

Činnost případného aktivovaného QAZ ovšem měla být odhalena také okamžitě. Tento virus komunikuje skrz 7597 port (nebo jiný zcela nestandardní port) a lze si jenom velmi těžko představit, že by Microsoft nepoužíval kvalitní firewall s korektní konfigurací. V normálním případě by QAZ prostě neměl šanci komunikovat mezi hackerem a backdoor částí červa. Bohužel, jak je vidět, výjimky potvrzující pravidlo existují vždy a kovářova kobyla zásadně chodí bosa.

Virus měl být také zachycen antivirovým software přímo na klientském počítači. Odhlédněme od faktu, že zaměstnanec Microsoftu projevil mimořádnou dávku naivity a virus aktivoval, ILOVEYOU byl koneckonců aktivován stovkami milionů lidí po celém světě. Korektní antivirové řešení neumožňuje deaktivaci obyčejným uživatelem.

A nakonec, QAZ měl být také odchycen bezpečnostními opatřeními a systémovou politikou zcela jistě aktivní v Microsoft síti. Zcela povinně by Microsoft měl všechny své vývojáře a zaměstnance mít podchycené pod Windows 2000 sítí a systémy, které umožňují více než dobře zamezit řádění virů, šířících se pomocí síťových prostředků a spokojeně přepisujících NOTEPAD.EXE. A méně bezpečné počítače, jako je Windows95, 98 či Windows ME, by neměly v žádném případě být připojeny kamkoliv, kde je možné cokoliv získat a používat účty zcela oddělené od ostatních částí sítě.

A vlastně ještě jedna zvláštní věc. Pokud je skutečně pravdou, že hackeři mohli provozovat svůj virus nerušeně po dobu tří měsíců, je něco shnilého i v otázce zabezpečení účtů a hesel v Microsoft vnitřní síti. Protože je velmi málo pravděpodobné, aby během tří měsíců nedošlo k celkové obměně hesel. Ale jak už to tak bývá, málo pravděpodobné věci se jistě dějí.

Nestalo se nic, akorát nám ukradli zdrojáky.....

Tak nějak by se dal označit bezpečnostní incident, v jehož centru stojí samotný Microsoft a prozatím neznámí hackeři.

Podle informací z řady médií po celém světě došlo k nečekanému. Prozatím neznámým hackerům se podařilo proniknout až dovnitř sítě Microsoftu a velmi pravděpodobně odtamtud získat prozatím neurčené množství a typ zdrojových kódů. Dohady hovoří o kódech nového Office či dokonce nové verze Windows.  Podle některých hlasů z Microsoftu  by přitom mohlo jít o akt firemní špionáže.

Microsoft CEO, Steve Ballmer, potvrdil v pátek, že incident je reálný, ale nepotvrdil přímo, že by snad došlo k získání přístupu až ke zdrojovým kódům. Případ, na který Microsoft přišel v předchozích dnech,  byl předán FBI a stal se tématem číslo jedna ve zpravodajství.

Wall Street Journal přitom citoval zdroje blízké incidentu a uvedl, že došlo k ukradení zdrojových kódů poslední verze Windows O/S a Office. Identita hackerů přitom není známá, v některých zdrojích se ovšem uvádí, že hackeři měli přístup po dobu tří měsíců. Objevily se i, vcelku pochopitelné, myšlenky, že hackeři mohli využít přístup dovnitř Microsoft sítě ke změnám uvnitř kódu budoucích Microsoft produktů.

Hackeři se do vnitřní sítě Microsoftu dostali pomocí nastrčeného programu, tím byl s největší pravděpodobností červ označovaný jako "QAZ" (varianta KAKWORM viru, viz například Některé viry ani antivirové software neodhalí. ) a sloužící k získání přístupu k informacím dostupným z napadeného počítače. Virus se do vnitřní sítě pravděpodobně dostal jako příloha k nějakému dokumentu, zdánlivě bezpečnému. Incident byl odstraněn lidmi pečujícími o bezpečnost Microsoftu a jeho sítě poté, co program započal odesílat přístupová hesla na mailový účet umístěny u ISP v Petrohradě, uvádí WSJ.

Podobné využití počítačového viru/červa je první velkou a praktickou demonstrací nebezpečí plynoucího z prolnutí světa firemních sítí a Internetu. S trochou snahy a štěstí je tak možné se dostat prakticky kamkoliv a poté využít získané pozice pro získání plného přístupu k informacím uvnitř firem. Oběť přitom zpravidla netuší vůbec nic o případném napadení a totálním kompromitování zdánlivě bezpečné sítě. Hackeři se tak mohou soustředit na déletrvající práci a místo neškodných změn titulních stránek webů se tak mohou dostat k obchodnímu tajemství a řadě dalších důležitých informací.

Přitom právě průniky do firemních systémů jsou velmi časté. Computer Security Institude například v březnu tohoto roku zveřejnil studii, ze které plyne, že 90 % společností zjistilo pokusy o průniky do jejich počítačových sítí. 25 % společností přitom zjistilo pokusy o průnik vedoucí z míst mimo společnost samotnou.

Mechanismus průniku je přitom v mnoha případech velmi jednoduchý. Některý ze zaměstnanců společnosti obdrží elektronickou poštou zdánlivě neškodný mail. Jeho součástí je ovšem počítačový červ, virus, útočný program. Omylem nebo z neznalosti (a nezodpovědnosti) potom zaměstnanec program spustí. Ten pravděpodobně udělá něco, co bylo inzerováno (například zobrazí lechtivé fotografie), ale zároveň vykoná další činnost - instaluje útočnou část do systému.

Útočná část programu potom umožní navázat spojení hackera s napadeným počítačem, případně započně sbírat zajímavá a užitečná data, ty poté může odesílat na předem danou adresu. Díky odesílání elektronickou poštou zpravidla není možné snadno a rychle zjistit, že k něčemu takovému dochází. Útočná část programu také může stáhnout jakékoliv další programy z Internetu a nainstalovat je. Činnost útočné části potom vede k získání přístupových jmen a hesel, které jsou poskytnuty útočníkovi. Ten získá v některé zemi legitimní přístup skrz externí přístupové brány do počítačové sítě napadené firmy a protože používá legitimní jméno a heslo, není snadné jej odhalit. Má tak pochopitelně otevřen přístup ke všemu, k čemu měl přístup původní uživatel.

Nebezpečné jsou potom i webové mailové systémy a různé freemail služby, které zaměstnanci zpravidla používají pro své soukromé mailové účty. Zpravidla je ovšem používají i v pracovní době a z počítačů určených k pracovní činnosti. Právě tudy se mohou škodící programy snadno dostat na místo určení a mohou tak uniknout i různým formám ochran instalovaným na hlavních serverech společností.

Hackerům pochopitelně nahrává zpravidla závratný objem e-mailové i webové komunikace, kterou velké firmy mají.

Články na zahraničních zdrojích:


Vyjádření společnosti Microsoft

k napadení interní sítě Microsoftu neznámými hackery tak, jak bylo poskytnuto 27. října na www.microsoft.com/security

Information About Security Incident on Microsoft Corporate Network

You may have read news reports today about a security incident involving the Microsoft corporate network. Here is some information on the incident and what Microsoft is doing about it.

Microsoft Corporate Security recently became aware of a hacking incident on the Microsoft Corporate Network, and is moving aggressively to isolate the problem and ensure the security of the network. Although Microsoft Corporate Security is continuing to investigate the incident to determine its full scope, we have no reason to believe that any customers have been or will be affected in any way by the incident.

The best information we have suggests that the scope of the incident may have been much narrower than originally reported. The hacker may have viewed the source code for a single future product under development. Contrary to some reports, the product was not a major product such as Windows ME, Windows 2000 or Office, and our investigation has confirmed that it has not been modified or corrupted in any way. We have no evidence to suggest that the hacker gained any other access to any other source code. Similarly, we have no evidence to suggest that any of Microsoft’s online services have been or will be affected by the incident.

The security breach did not involve a security vulnerability in any Microsoft product. Microsoft is implementing an aggressive plan to improve the protection of our internal corporate network -- both in the immediate term and in the long term -- and will announce some of these measures in the near future.

Microsoft is a frequent target of network-based attacks, and Corporate Security actively works to protect the network against them. Microsoft is working with US law enforcement authorities to investigate this incident, and will take appropriate action when the responsible parties have been identified.

In sum, this is a deplorable act of industrial espionage, but we anticipate that customers will be unaffected by it. We are taking appropriate steps to deal with the immediate problem, and are developing follow-on steps to prevent it from happening again.


Deset nejzajímavějších věcí

které by hackeři mohli udělat se zdrojovými kódy, které se jim podle všeho podařilo vykouzlit doslova z centra Microsoft sítě v Redmondu.

  • Vytisknout si je a vytapetovat s nimi vilu o velikosti jistě ne menší, než je vila Billa Gatese.
  • Vytisknout si je a poté odnést do sběrných surovin a získat jistou hodnotu, o které zlé jazyky tvrdí, že odpovídá skutečné hodnotě.
  • Sečíst každý třetí bajt, vynásobit každým šestým, odečíst střídavě osmý a poté dvanáctý a získat výsledek. Odborníci se nedohodli zda půjde o odhalení tajemství vesmíru, lék proti rakovině či vodičku proti padání vlastů (pro Steva Ballmera).
  • Prodat je zpět Microsoftu, ten by je konečně mohl použít, aby vypustil ven všechny ty zpožděné produkty.
  • Smazat, zabírají více místa, než je zdrávo.
  • Zkomprimovat, výsledná velikost by mohla být takřka blížící se nule.
  • Podívat se, proč produkty Microsoftu pořád padají. Možná by ale bylo jednodušší všechno napsat znova.
  • Odnést do nejbližšího blázince a nabídnout bláznům, jako zaručeně čerstvé zprávy z okolního světa.
  • Vytisknout si je a věnovat je na charitu, blížící se tuhá zima bude vyžadovat dostatek věcí ke spálení.
  • Desátá věc je stejně tajná jako ukradené zdrojové kódy....