Blacklist na zombie stroje

*Zombie stroj* je bežná pracovná stanica pripojená k internetu. Takých je na svete suverénne najviac. Človek, čo za ňou sedí ju má kdesi doma, v kancelárií na stole. Prístupom k internetu a masívnym „preposielaním“ sprostostí e-mailami sa stáva náchylným ku kompromitácií.


*Kompromitácia* je udalosť, pri ktorej sa do počítača dostane ním *neautorizovaný počítačový kód* (program) a vykonáva činnosti, o ktorých netuší presnejšie ani si ich nedokáže predstaviť. (horšia možnosť – kašle na to, čo iné ešte jeho počítač robí, pokiaľ mu funguje to, čo s ním robí).
*Neautorizovaný počítačový kód* je software, ktorý nejakým spôsobom sa dostane do počítača, aktivuje sa a vykonáva činnosť, ktorá je v ňom naprogramovaná. Medzi takéto programy patria napríklad *trojany.*
*Trojan* je program, ktorý sa spustí v kompromitovanom počítači a *plní úlohy dané svojim programom.* Môže teda cez internetové pripojenie oznámiť svojmu autorovi, že žije a tak na druhú stranu môže plniť príkazy svojho autora.
Zombie stroj s aktívnym trojanom vystupuje v internete pod nejakou IP adresou (pevnou alebo meniteľnou – zavisí to od poskytovateľa pripojenia k internetu) ale to nie je až tak dôležité.
Trojany môžu teda napr. *prebehnúť e-maily a uložené súbory v zombie stroji* a rozposielať na ne svoju kópiu (vo voľnom čase) alebo plniť ďalšie úlohy ako distribúcia spamu, vírusov, phishingu. Túto aktivitu môže zombie stroj vykonávať dovtedy, kým nie je odhalený. Človiečik teda príde k počítaču, zapne ho. Spustí sa trojan a maká. Jeho prácu si *nijako nevšimne.* Nanajvýš zanadáva, že už má starý pomalý počítač ale zvyčajne vtedy už trojan neuveriteľným množstvom e-mailov rozšíril svoju kópiu. Čo horšie – medzi jeho priamych známych, ktorých adresy mal v pošte. Takže aj keď si o pár dní odvíri stroj, tak *jeho známi mu ho opätovne vrátia* (veď si navzájom posielajú sprostosti).
Takto náchylné sú *siete poskytovateľov internetu,* ktorí pripájajú stroje bez jednotnej bezpečnostnej politiky.
*Pôjde to riešiť násilím?* Možno áno ale najskôr nie. Povedzme si niečo o blacklistoch.
*Blacklist je zoznam IP* (názvov) počítačov, ktoré sa kompromitovali rozposielaním spamu, vírusov, phishingu a pod. Proste chŕlia kvantá mailov na všetky možné strany. Až to niekoho naštvalo a oznámi IP adresu na server, ktorý prevádzkuje blacklist. No a po zaradení na tento zoznam už je „zamknutý“. Tieto zoznamy si poštové servery preberajú a pri prijímaní emailov kontrolujú, či počítač, ktorý sa im snaží vnútiť emaily, je čistý alebo „zamknutý“.
Ak je to počítač z blacklistu, tak proste odmietne prijať čokoľvek z tohto počítača.
Významným rozdielom pri komunikácií poštových serverov je, že takmer nikdy nie je za „závadný“ označený taký ten najbežnejší poštový server bežnej firmy, inštitúcie. Zvyčajne tam totiž sedí administrátor, ktorý nemá sople v hlave a postará sa o to, aby z jeho servera nič také neunikalo. Naproti tomu prevažná väčšina počítačov, ktoré odosielajú závadný materiál emailami na iné poštové servery sú pracovné stanice. Zvyčajne ich teda ani nenájdete v DNS záznamoch v položke MX.
*MX záznam v DNS* je evidencia poštových serverov. Skoro by sa dalo povedať, že poštový server by ani nemusel prijímať poštu od iných serverov ako tých, ktoré nájde v DNS s MX záznamom. Realita je trochu menej optimistická.
*Čo tak teraz zapojiť do blacklistov aj IP adresy pracovných staníc?* Dobrý nápad ale nutne musíme zvážiť pár proti:
* *zombie nemá pevnú IP adresu,* takže jeho IP môže o pár dní mať iný počítač; to by až tak vadiť nemuselo pokiaľ uvažujeme, že z bežný PC by nemali nikdy odchádzať spojenia priamo na cudzie poštové systémy ale iba na jeden jediný (a to ten, ktorý im poskytuje internetový provider),
* účinné by bohužiaľ bolo ak by sa do blacklistu dostali *celé IP rozsahy poskytovateľa internetu,* v ktorom figuruje zombie počítač; toto kladivo by značne rozbúrilo vody poskytovateľov pripojení a masoví provideri by boli až neslušne proti,
* zombie stroje *pribúdajú a ubúdajú príliš rýchlym tempom:* zmeny v blacklistoch zaregistrujú ich odberatelia možno už neskoro; spamy zo zombie stroja totiž odídu v desiatkach tisíc v priebehu pár minút, a to sa nestačí ani objaviť desktop po zapnutí; nahlásenie bohužiaľ musí vykonať niekto ručne, chvíľu trvá zaradenie do blacklistu a jeho odber si riadi každý sám. V reáli má teda zombie stroj pridlhý čas na beztrestné rozposielanie.
*Môžeme sa teda účinne brániť?* My nie. Provideri majú čierneho Petra v rukách. Mali by smerovať port 25 svojich klientov na SVOJ poštový systém a tam robiť profilaktiku a to nielen softwarovú ale aj dohľadom (personálne) nad „krivkami grafou“ a neobvyklými aktivitami pripojených strojov.
Dúfať, že sa „fanúškovia“ odoberajúci fotky na ktorých sú *Mojsejovci, Hviezdy na ľade, sexi babenky, práca na doma, Novotný a Drobová, Britney Spears, Suzuki Swift, nahé celebrity, sms zadarmo* sa nejakým zázrakom spamätajú je chimerózne :-)

Written by rony

4 komentáre

mayo

Nasadenie blacklistu je najhoršie možné riešenie. Najviac totiž trestá „regulérnych“ užívateľov, ktorý nemajú vlastnú verejnú adresu. Osobne blacklisty nenávidím, pretože moja IP adresa, ktorú som zdedil po nejakom spamerovi je v nejakom SORBS a ja musím odosielať ten istý email viackrát. Najhoršie je keď odpoveď o nedoručení príde po hodine a ja som už celú vec považoval za vybavenú.

mayo

„Naproti tomu prevažná väčšina počítačov, ktoré odosielajú závadný materiál emailami na iné poštové servery sú pracovné stanice.“
Toto rieši SPF – sender policy framework. Overiť či sa používa SPF sa dá cez nslookup; set type=TXT; [nazov domeny]. Napriklad zoznam.sk pouziva nasledovne spf: „v=spf1 mx ip4:62.65.179.0/25 ip4:195.146.147.80/29 ip4:212.5.219.25/32 ip4:192.168.0.0/16 ip4:127.0.0.1/32 -all“. To znamená, že ak príde email napr. od ferko@zoznam.sk ale z inej IP adresy (rozsahu adries), ako je nastavené v SPF je vysoko pravdepodobné, že email je podvrhnutý (spam).

rony

[3] ano toto som mal na mysli. Problem u mna je v implementacii ale vo vseobecnosti to povazujem za dost dobry prostriedok voci zombie strojom. Ale iba v pripade, ze zombie neposiela maily cez providera nestastnika ;-)

Comments are closed.