» O lupta extraordinara se da, in spatele scenei, intre mari grupuri de securitate informatica din intreaga lume si sfidatorul autor al virusului numit Conficker.
Aceasta amenintare informatica a captat atentia specialistilor inca din octombrie 2008, cand a aparut si s-a raspandit rapid, ajungand sa infecteze milioane de computere din intreaga lume cu un cod software destinat sa preia controlul acestora si sa le faca sa lucreze impreuna, la fel ca si un singur calcultor puternic.
O astfel de retea se numeste botnet, iar calculatoarele sunt practic transformate in niste zoombie ce ajung sa efectueze orice operatiune ce este comandata de la distanta de catre hackeri. De cand a aparut, Conficker a reusit sa infecteze peste 15 milioane de calculatoare, iar autorul l-a adaptat periodic si reusit sa contracareze toate eforturile pe care specialistii le fac de cateva luni bune pentru a-i limita efectele.
Practic, totul s-a transformat intr-un joc "de-a soarecele si pisica", dupa cum scrie si ziarul "The New York Times", intre acest hacker/hacheri si alianta internationala formata din cele mai mari companii de securitate informatica si agentii guvernamentale din intreaga lume (denumita de membrii sai Conficker Cabal). Este si motivul pentru care Microsoft a anuntat, luna trecuta, o recompensa de 250.000 de dolari pentru informatia care ar putea sa conduca la capturarea autorului Conficker.
Botnet-uri de inchiriat
Conficker se foloseste de o vulnerabilitate existenta in sistemele de operare Windows (in Windows Server Service) pentru a se instala pe computerul victima, dupa care se ataseaza unor programe rulate in mod curent (svchost.exe, explorer.exe, services.exe) si continua sa infecteze alte calculatoare. Se formeaza, astfel, un botnet.
Botnet-urile sunt folosite pentru a fi utilizate ca platforme profitabile pentru sustinerea fraudei masive ce se desfasoara in internet, pe acelasi principiu al economiei subterane. Multe dintre ele sunt create de catre hackeri pentru a fi partajate si inchiriate altor infractori ce se ocupa in mod curent cu fraudele electronice.
In marea lor majoritate, botnet-urile sunt utilizate pentru a trimite mesaje spam pe e-mail. Spamul, la randul sau, constituie baza promotiilor comerciale mincinoase ce includ inclusiv scheme prin care speculeaza, in mod frecvent, neatentia utilizatorilor de internet pentru a le planta acestora alte software-uri malitioase pe computer. Aceste programe specializate pot fi utilizate pentru sustragerea informatiilor confidentiale, cele mai vanate fiind cele financiare.
Victimele, proprii calai
Victimele sunt de cele mai multe ori propriii calai din cauza lipsei de cunostinte mai aprofundate in utilizarea PC-urilor, dar si a neatentiei. In general, acesti utilizatori sunt indusi in eroare ca sa dea ok la instalarea unui soft, crezand ca o fi vorba, de exemplu, despre o ver-siune mai buna a mediaplayerului. In schimb, ei instaleaza un software daunator si capabil sa copieze informatii din computer, sa le trimita hackerului via in-ternet. De asemenea, softwareul care ruleaza in fundal chiar poate sa-i cedeze controlul hackerului asupra PC-ului, care le va transforma sistemul celor conectati la net intr-un zoombie fara ca ei sa sesizeze acest lucru.
Acest lucru se intampla mai usor pentru ca acesti virusi de generatie mai noua se pot auto-upgrada, receptionand noile variante software de pe internet de la cei care i-au pus in circulatie. Din pacate, au evoluat si pe partea de evitare si dezactivare a solutiilor antivirus pe care utilizatorul le are instalate pe computer si mizeaza pe ele.
Este ceva obisnuit in internetul subteran, spun specialistii IT.
Ce e de facut?
In primul si in primul rand, utilizatorii trebuie sa se abtina sa mai dea imediat click pe orice link primit de oriunde. De asemenea, este bine sa nu mai intre pe orice site si sa nu mai deschida mail-urile ce nu ii privesc (nesolicitate). De asemenea, daca primesc fisiere ciudate trimise de amicul de pe Messenger, este mai bine sa-l intrebe daca acesta chiar le-a trimis ceva sau care este contextul expedierii. Dupa aceea, daca PC-ul a fost infectat, lupta intra pe terenul solutiilor antivirus, unde – dupa cum se vede – meciul nu are inca un rezultat concret.
PC-urile zoombie, in asteptare
Conficker este insa mult mai periculos. Desi nimeni nu a putut determina cu precizie care este scopul in care a fost creat, o examinare a viermelui informatic arata ca PC-urile zoombie sunt programate pentru a incerca sa intre in contact cu un sistem de control ce va incepe sa le dea instructiuni in data de 1 aprilie.
Pana acum au fost facute doar o serie de speculatii despre natura amenintarii reprezentate de botnet, de la intentia de a se trage un semnal de alarma pana la declansarea unui atac devastator. Au fost deja cazuri de atacuri ce au putut paraliza si lasa off-line web site-urile comerciale si chiar guvernamentale ale unor tari.
Oricum, se ridica tot mai mult suspiciunea ca acest virus este, in cele din urma, tot o schema de inchiriere a computerelor. Cercetatorii se asteapta, de fapt, ca acest botnet sa imite cel mai nou trend din industria IT, numit cloud computing (intr-o traducere aproximativa: nor de calcul), prin care companii precum Amazon, Microsoft sau Sun Microsystems au inceput sa vanda si sa efectueze servicii de calcul prin internet.
Conficker, o posibila ofensiva pentru atacuri concertate
Desi si-au dat toata silinta, cercetatorii care lucreaza la descoperirea unui mod in care sa anihileze acest virus nu numai ca nu au reusit nici pana acum sa determine macar unde se afla autorul, sau autorii, ci s-au si vazut mereu depasiti de situatie, dupa ce virusul a fost continuu adaptat sa le contracareze orice posibila solutie ar fi gasit. Mai multe persoane care au analizat diversele versiuni ale programului spun ca, in mod evident, autorii Conficker urmaresc cu precizie eforturile de limitare a efectelor acestui virus si au demonstrat, in repetate ori, ca abilitatile lor tin de varful tehnologiei informatiei (atat ca resurse, cat si ca percepere). De exemplu, viermele a trecut deja prin mai multe versiuni de cand alianta de experti in securitate informatica a confiscat controlul a 250 de nume de domenii de internet ce ar fi putut forma un sistem care prelua sarcina de a transmite instructiuni pentru milioane de computere infectate.
La scurt timp dupa aceea, in prima saptamana din martie, o a patra versiune a programului – Conficker C–, a extins numarul de site-uri care s-ar putea folosi in acest fel la 50.000. Acest pas a facut practic imposibila impiedicarea autorilor virusului de a comunica cu botnet-ul lor. "Este demn de remarcat faptul ca este vorba despre oameni care iau in serios acest lucru si nu fac multe greseli", a spus Jose Nazario, membru al aliantei internationale din partea Arbor Networks, o companie care ofera unelte pentru monitorizarea performantei retelei. "Sunt dispusi sa riste totul in aceasta afacere". "Poate ca, in cel mai bun caz, Conficker poate fi utilizat ca si o platforma profitabila pentru sustinerea fraudei masive pe internet", a declarat Phillip Porras, director de cercetare la SRI International (fostul Standford Research Institut). In cel mai rau caz, ar putea fi transformat intr-o puternica arma ofensiva pentru declansarea unor atacuri concertate ce ar putea afecta nu doar tari, ci si in-ternetul in sine.
Romania a gasit o solutie
si in Romania Conficker este destul de cunoscut. A ajuns si sa tina prima pagina a ziarelor in urma infiltrarii lui in retelele de calculatoare ale Administratiei Nationale a Penitenciarelor. Acest lucru a fost confirmat, de voie, de nevoie, de catre autoritatile care au recunoscut spasite ca probabil nu s-a tinut cont de recomandarea pe care Microsoft a facut-o lumii intregi – de la institutii publice, companii si corporatii pana la simplii utilizatori sa-si instaleze ultimele actualizari ale aplicatiilor de securitate, ce le-au fost puse la dispozitie gratuit.
Cel mai probabil, virusul a fost instalat prin intermediul dispozitivelor USB si a speriat sistemul legislativ cu banuiala ca multe dintre datele cuprinse in dosarele electronice ar fi putut fi modificate, nu se stie in ce fel. Tot din Romania a venit si prima solutie din lume de dezinfectare a computerelor care au ajuns sa fie infectate, chiar si cu ultima versiune a Conficker, numita Downadup C (Conficker C). BitDefender a oferit o unealta gratuita care dezinfecteaza toate versiunile cunoscute ale lui Downadup, disponibila la adresa http://bdtools.net.
Programul poate fi folosit de orice utilizator, acest domeniu nefiind blocat de catre vierme.
Pirat din curiozitate
In toata aceasta rumoare din jurul securitatii retelelor electronice din intreaga lume, greu pusa la incercare in aceste zile, un roman tocmai a fost arestat la Iasi, dupa indelungi cautari. Acesta a spart, in urma cu doi ani si jumatate, serverele Comandamentului Unitatii de Testare pentru Dezvoltare si experimentare din cadrul Departamentului de Aparare al Armatei SUA. Hackerul, un tanar masterand in Finante-Banci din Iasi, a fost cautat in tot acest timp de o armata de informaticieni romani si americani, dar si de politisti.
Tanarul se conecta din Iasi la servere din Japonia, apoi a exploatat brese din sistemul de securitate pentru a introduce un virus troian pe aceste servere. Virusul ii facilita accesarea ulterioara a acestora, deschizand alte porturi prin care obtinea controlul asupra calculatoarelor infectate. In acest fel a reusit sa obtina acces la informatii confidentiale ale Departamentului de Aparare al Armatei SUA. Prejudiciul se ridica la peste 35.000 de dolari", a declarat magistratul Iulia Diaconu, purtatorul de cuvant al DIICOT Iasi.
Prezentat magistratilor Tribunalului Iasi cu propunerea de arestare preventiva, Eduard Lucian Mandru a precizat ca intentia sa nu era indreptata catre un castig material, ci ca a fost vorba doar de curiozitate, deoarece acele servere sunt considerate cele mai sigure din lume. "N-am intentionat in nici o clipa sa creez vreun prejudiciu, am fost provocat de publicitatea facuta acestor servere drept cele mai sigure din lume. Nu este asa. Regret ce s-a intamplat", a declarat Eduard Lucian Mandru. Lipsa banilor l-a determinat pe Lucian Mandru sa-si caute de lucru prin trimiterea de CV-uri pe internet, folosind o veche adresa de e-mail, lucru care i-a fost fatal. Dupa trei ani de cautari, anchetatorii americani au observat faptul ca personajul care avea nick-ul de hacker "Wolfenstein" si-a accesat din nou adresa wolfenstein_ingrid@yahoo.com.