Myślisz, że twój komputer słucha tylko ciebie? Bardzo się mylisz. Twój pecet może pracować dla chińskiego rządu, handlarza środkami na potencję albo dla mafii z innego kontynentu
Termin „zombie”, zaczerpnięty z mitologii voodoo, dobrze oddaje charakter zjawiska. Twój komputer zaczyna spełniać polecenia wydawane mu przez „kapłana” sterującego nim z zupełnie innego miejsca niż twoje biurko. Zamiast magii jednak używa się tutaj programów zwanych potocznie trojanami, potajemnie instalujących się na sprzęcie użytkownika. Otwieranie podejrzanych wiadomości e-mailowych, próby ściągnięcia darmowych plików muzycznych i wideo to najczęstsze drogi infekcji.
MIĘDZYNARODOWA ARMIA UPIORÓW DO WYNAJĘCIA
Sieć „zombiaków” liczy zazwyczaj tysiące maszyn, choć największe sieci mogą osiągać liczbę nawet kilkuset tysięcy komputerów! Takie monstra nazywane są botnetami. To idealne narzędzie dla sieciowych przestępców. Zorganizowanego botneta można sprzedać z zyskiem lub wynająć. Niewielka sieć, na którą składa się tysiąc „zombiaków”, kosztuje około 300–500 dolarów, czyli mniej więcej pół dolara za jeden komputer. Cena rośnie proporcjonalnie do liczby zainfekowanych komputerów składających się na botnet. Można je także wynajmować do różnego rodzaju przestępczych zadań. Za 24 godziny działania takiego tworu, wykorzystywanego np. do ataku na jakiś serwer, należy zapłacić do 2 tysięcy dolarów.
W 2006 roku w Stanach Zjednoczonych aresztowano i skazano dwudziestoletniego hakera, któremu udowodniono stworzenie botnetu liczącego pół miliona komputerów na całym świecie. Jeanson Ancheta, bo tak nazywa się przedsiębiorczy haker, sprzedawał różnym firmom możliwość wyświetlania swoich reklam na komputerach należących do jego botnetu. Dziś odsiaduje 5-letni wyrok w więzieniu. Olbrzymim botnetem był też Kraken, liczył ponad 400 tysięcy pecetów. Wykryła go w 2008 roku firma Damballa, zajmująca się bezpieczeństwem w sieci. Specjaliści z tej firmy opublikowali instrukcje pomocne w pozbyciu się spyware’u z zarażonych komputerów oraz podali listę adresów IP zombie składających się na ten botnet.
Inna sieć botów, funkcjonująca pod nazwą Storm, obejmowała 200 tysięcy maszyn, a samo rozsyłanie spamu przyniosło kontrolującej ją mafii ponad 2 miliony dolarów zysku. Jednym z rekordzistów wśród tego typu przedsięwzięć był też Botnet Shadow, liczący ponad 100 tysięcy komputerów. Tego molocha – zanim został zlikwidowany przez holenderską policję z pomocą informatyków firmy Kaspersky Lab – próbowano sprzedać za około 40 tysięcy dolarów. Na forach internetowych można spotkać różnego rodzaju oferty sprzedaży bądź wynajmu botnetów. Tam również można nabyć odpowiednie oprogramowanie, oszukujące programy antywirusowe. Mniej zamożny, ale sprawny haker może także próbować ukraść istniejącego już botneta. Wiosną tego roku botneta zakupiła telewizja BBC. Cała transakcja została przeprowadzona jako swego rodzaju prowokacja. Dziennikarze angielskiej telewizji chcieli udowodnić, jak łatwo jest kupić w internecie komputery zombie. Po odwiedzeniu zaledwie kilku sieciowych czatów dziennikarzom udało się nawiązać kontakt ze sprzedawcą i dobić targu. Po zawarciu transakcji przejęli kontrolę nad blisko 22 tysiącami komputerów. BBC nie podało, ile kosztowała zakupiona sieć, eksperci podejrzewają jednak, że kwota ta mogła wynieść od 5 do 6 tysięcy funtów.
LEPIEJ ZAPŁACIĆ OKUP
Botnety służą najczęściej do rozsyłania na masową skalę niezamawianych przez odbiorców wiadomości e-mailowych, czyli spamu. Szacuje się, że tego typu przesyłki stanowią 2/3 wszystkich wiadomości elektronicznych. To miliardy e-maili każdego dnia. Amerykańskie przedsiębiorstwa liczą związane z tym straty na około 70 miliardów dolarów rocznie. Masowa skala problemu wynika ze stosunkowo niewielkich kosztów takiej działalności: cena wysłania jednego e-maila wynosi około jednej setnej centa.
Przez cały czas trwa swoisty wyścig zbrojeń. Gdy tylko informatycy opracują nowe zabezpieczenia i filtry, spamerzy podejmują wysiłek, aby wynaleźć jakiś sposób obejścia tej ochrony. I trzeba przyznać, że zwykle im się to udaje. Policja – wspomagana przez informatyków i dostawców internetu, a także samych użytkowników – notuje coraz częściej sukcesy w zwalczaniu tego typu kryminalnych inicjatyw. Zamknięto już wiele firm, których serwery służyły przestępcom do kontrolowania ogromnych botnetów.
Botnet może być potężną bronią w walce gospodarczej albo politycznej. Można z jego pomocą przeprowadzić atak typu DDoS (Distributed Denial of Service – rozproszona odmowa usługi). Polega on na zasypaniu jakiegoś systemu komputerowego fałszywymi próbami skorzystania z oferowanych przez niego usług. Ponieważ aby obsłużyć każde zapytanie, system musi „oddelegować” fragment swoich zasobów (pamięci i mocy obliczeniowej), masowa napaść skutkuje zawieszeniem atakowanego systemu. Obliczono, że w 2008 roku dokonano około 190 tysięcy tego typu ataków, które przyniosły przestępcom około 200 milionów dolarów zysku.
DDoS mogą być przejawem nieuczciwej konkurencji w walce firm i konsorcjów. Często używane są, aby witryna internetowa konkurencyjnej firmy zniknęła na jakiś czas z internetu. To czysty zysk dla zleceniodawcy, który próbuje przejąć klientów zaatakowanej firmy.
Po czym poznać, że komputer to zombie?
Spowolnienie pracy komputeraSamoczynna zmiana haseł dostępu do pocztySamoczynna zmiana rozdzielczości monitoraSamoczynna zmiana strony startowej w przeglądarce internetowejSamoczynna zamiana funkcji zaprogramowanych dla lewego i prawego przycisku myszySamodzielne poruszanie się kursora po ekranieZablokowanie klawiatury i kursora myszy
Czasami też hakerzy działają bez zlecenia, na własny rachunek. Atakują duże firmy i szantażują je. Ofiary nierzadko spełniają żądania cyberprzestępców, ponieważ usunięcie konsekwencji szturmu DDoS może kosztować znacznie więcej niż okup. W styczniu 2009 roku atak przeprowadzony na godaddy.com, dużego dostawcę hostingu internetowego, spowodował, że kilka tysięcy stron internetowych utrzymywanych na serwerach sieciowych tej firmy było niedostępnych przez prawie 24 godziny. W kwietniu inna firma hostingowa, The Planet, zarządzająca prawie 50 tysiącami serwerów, padła ofiarą ataku, którego rozmiar jej pracownicy określili jako „wielki”. Problem ten dotknął również tak szacowne witryny jak CNN.com., Yahoo, Amazon.com. W Polsce szerokim echem odbił się atak na portal „Gazety Wyborczej” w listopadzie 2006 roku; w ataku brało udział 80 tysięcy komputerów, w tym jeden umiejscowiony w siedzibie… „Gazety Wyborczej”.
MIKROPROCESORY I WIELKA POLITYKA
Twój komputer może też służyć wielkiej polityce: pracować np. dla rządu Chin, Rosji lub USA. Ataki cyberterrorystyczne coraz częściej towarzyszą konfliktom zbrojnym lub kryzysom dyplomatycznym. Pierwsze takie zdarzenia odnotowano już podczas pierwszej wojny w Zatoce Perskiej w latach 1990–1991. Akty cyberterroru towarzyszyły też konfliktowi kosowskiemu czy kryzysowi dyplomatycznemu z wiosny 2001 r., kiedy to, po przechwyceniu przez Chiny amerykańskiego samolotu szpiegowskiego, w sieci starli się hakerzy obu stron konfliktu. Jednak najbardziej znanym atakiem cyberterrorystycznym był ten z kwietnia 2007 roku, którego celem stała się Estonia. Pomysł usunięcia z centrum Tallina pomnika żołnierzy radzieckich spowodował reperkusje dyplomatyczne, zamieszki prowokowane przez mniejszość rosyjską w Estonii oraz skoordynowany cyberatak na estoński internet. Zaczęło się od „e-mail bombingu”, który nastąpił 27 kwietnia 2007 roku. Atak tego typu polega na zapchaniu serwera pocztowego ogromną liczbą wiadomości, wysyłanych do adresata z wielu miejsc w tym samym czasie – najlepiej przez komputery zombie. Skrzynka ofiary szybko zostaje zapchana. Tak też było w przypadku Estonii. Unieruchomiono witryny parlamentu, kilku ministerstw, policji. 9 maja, w rosyjski Dzień Zwycięstwa, zaatakowane zostały banki i największe gazety Estonii. Podejrzewa się, że sygnał do cyberszturmu na Estonię dali hakerzy sympatyzujący z prokremlowską organizacją „Nasi”.
Atak był na tyle skuteczny, że dwa duże banki musiały zawiesić usługi dostępne drogą internetową, a wielu obywateli nadbałtyckiej republiki straciło na pewien czas dostęp do swoich kont. Mimo że nie zniszczono infrastruktury informatycznej kraju, ataki te wprowadziły sporo chaosu, państwo zostało na kilka dni niemal odcięte od reszty świata. Na wszelki wypadek sąsiednia Finlandia przeznaczyła 200 milionów euro na wzmocnienie swoich zabezpieczeń przed tego rodzaju atakami. Warto zauważyć, że i Rosja padła kiedyś ofiarą podobnych działań. Otóż w połowie lat 90. hakerzy z Kaukazu, być może Czeczeńcy, dokonali uderzenia w rosyjski system finansowy, powodując straty wysokości około 300 milionów dolarów.
Ofiarą takiego ataku padła też w tym roku Korea Południowa. Sparaliżowane zostały strony internetowe agencji rządowych i wielu banków, a także pałacu prezydenckiego i kilku ministerstw. Z nieoficjalnych informacji podanych przez agencję Xinhua wynika, że do ataku użyto 12 tysięcy zainfekowanych komputerów w Korei Południowej oraz 8 tysięcy w innych częściach globu. W tym samym czasie zaatakowano portale amerykańskich agencji rządowych, nowojorskiej giełdy i gazety „Washington Post”. Według ekspertów cyberatak był jednym z najpoważniejszych w ostatnich latach. Paraliż zaatakowanych witryn internetowych trwał więcej niż 24 godziny, co zdarza się bardzo rzadko. Południowokoreański wywiad jest przekonany, że za atakami kryją się władze w Phenianie, ale o jednoznaczne wskazanie winnego będzie niezwykle trudno. – Zidentyfikowanie źródła ataku jest niemożliwe, zbyt wiele komputerów bierze w nim udział – stwierdził brytyjski ekspert ds. cyberterroru Tony McDowell.
We wrześniu ofiarą ataku stała się strona internetowa premiera Australii oraz witryna ministerstwa komunikacji. Za tym aktem stała hakerska grupa „Anonymous” sprzeciwiająca się próbom wprowadzenia w Australii systemu filtrowania treści w internecie.
Czy te wszystkie przykłady oznaczają, że rządy zatrudniają hakerów? Nie jest łatwo ustalić, jak silne są powiązania między hakerami i władzami, ponieważ agendy rządowe zwykle nie komentują tego typu medialnych insynuacji. Istnieją jednak przesłanki, by sądzić, że coś może być na rzeczy. Już w 1996 roku hakerzy z amerykańskiej grupy Dis Org Crew zostali wynajęci przez rząd amerykański do pomocy w szkoleniach dotyczących zagrożeń z sieci, mogących dotknąć instytucje rządowe. Jeden z hakerów przyznał się publicznie do włamania w 1998 roku na jeden z chińskich serwerów. Mimo że czyn taki jest w USA nielegalny, haker nie został oskarżony. Być może więc wypełniał zadanie rządowe. Podczas corocznych konferencji hakerskich, odbywających się pod nazwą DefCon, armia amerykańska rekrutuje specjalistów, oferując im wojskowe etaty. Liderem – jeśli chodzi o kaptowanie najzdolniejszych hakerów – są amerykańskie siły powietrzne.
Niedawno tygodnik „Time” ostrzegał, że „chińska cyberarmia przygotowuje się do marszu na Amerykę”: Chiny organizują oddziały hakerskie. Najzdolniejsi informatycy z Państwa Środka werbowani są przez tamtejszą armię, otrzymują rodzaj stypendium i buszują w cyberprzestrzeni, kradnąc dane na zlecenie swego rządu. Są więc rodzajem kaperów XXI wieku, piratów w służbie władcy. Oczywiście, choć często wykonują zlecenia władz, te bez problemu mogą wyprzeć się swojego sprawstwa czy nawet wiedzy o cyberprzestępstwie. To komfortowa sytuacja dla rządu. Właśnie tacy „kaperzy” sparaliżowali sieć informatyczną Japonii podczas zadrażnień dyplomatycznych między obydwoma krajami w 2003 roku. Sprawcy tego ataku zyskali niezwykłą popularność i stali się wzorem patriotów nowego milenium.
W tym roku świat obiegła informacja, że cyberprzestępcy, być może inspirowani przez rząd Chin, wykradli olbrzymią, idącą w terabajty ilość danych, dotyczących wartego 300 miliardów dolarów projektu „niewidzialnego” myśliwca F-35 JSF, nad którym pracował koncern Lockheed Martin. To prawdopodobnie jeden z większych aktów cyberszpiegostwa.
W marcu 2009 roku wykryto istnienie wielkiej internetowej sieci szpiegowskiej nazwanej GhostNet (Sieć Duchów). Informatyczni szpiedzy penetrują zasoby serwerów i komputerów ministerstw, ambasad, firm, przechwytując e-maile, wykradając dane z twardych dysków, czy wręcz sterują z zewnątrz zainfekowanym komputerem, kamerami, głośnikami. Tak działo się z komputerami w Dharamsali, mieście w Indiach, w którym przebywa Dalajlama. Komputery Tybetańczyków były sterowane z zewnątrz, najprawdopodobniej przez służby specjalne Chin, co potwierdzili zaproszeni do Indii fachowcy z Kanady. Wyszło wówczas na jaw, że GhostNet, za którym zapewne stoją Chińczycy, sięgnął swoimi mackami do komputerów w ponad stu krajach.
Jak chronić swój komputer – bardzo krótki przewodnik
Korzystaj z oprogramowania antywirusowego i firewalla. W fachowej prasie komputerowej często można znaleźć różnego rodzaju rankingi i testy programów antywirusowych, a także porady na temat konfiguracji firewalli. Warto się z nimi zapoznać.Regularnie aktualizuj system operacyjny i oprogramowanie. Luki zdarzają się zarówno w systemie operacyjnym, jak i aplikacjach.Nie otwieraj podejrzanych e-maili ani wiadomości przesyłanych komunikatorami internetowymi. Nigdy nie klikaj na przesyłane odnośniki.Unikaj sieci P2P. Pamiętaj, że często pod nazwą kasowego przeboju kinowego, który chcesz ściągnąć z sieci P2P (abstrahując od tego, że nie jest to legalne), może kryć się złośliwy program komputerowy.Nie pracuj w internecie na koncie administratora. Wystarczy jedno nieodpowiedzialne kliknięcie, aby zarazić cały system. Nie otwieraj portów bez potrzeby. Każde otwarte połączenie ze światem zwiększa niebezpieczeństwo infekcji.Sprawdzaj certyfikat zabezpieczeń witryny, w której wprowadzasz informacje osobiste lub finansowe. W przeglądarkach internetowych sprawdzaj stan „kłódki” – ikony w prawej dolnej części paska stanu lub obok paska, w którym wpisywany jest adres, potwierdzającej tożsamość przeglądanej witryny. Ikona zamkniętej kłódki oznacza, że w witrynie internetowej jest używane szyfrowanie, chroniące wszystkie wprowadzane poufne informacje.Nie pozwalaj innym korzystać z twojego komputera bez twojej wiedzy.
NIE DAJ SIĘ ZŁOWIĆ
Zostawmy jednak wielką politykę i wróćmy do zagrożeń bliższych zwykłym użytkownikom internetu. Jednym z nich jest phishing, czyli password harvesting fishing. Innymi słowy – łowienie haseł. Być może otrzymałeś kiedyś e-maila, w którym proszono cię o niezwłoczne zalogowanie się na podanej w dołączonym linku witrynie internetowej, która do złudzenia przypominała prawdziwą stronę internetową twojego banku. No właśnie: przypominała. Logując się na fałszywej stronie, stworzonej przez złodziei haseł, podajesz im swoje dane dostępowe do konta bankowego na tacy.
Cyberprzestępcy potrafią nawet manipulować wynikami wyszukiwarek internetowych. Mogą pozycjonować fałszywe strony, tak aby pojawiały się na pierwszych miejscach wyników wyszukiwania. Kiedy niczego nie podejrzewając, wchodzisz na taką stronę, wpadasz wprost w łapy internetowych bandytów. Nie musisz się nawet logować: wystarczy, że taką fałszywą stronę otworzysz, aby w tle, bez twojej wiedzy, komputer zaczął pobierać i instalować groźny spyware, czyli oprogramowanie szpiegowskie. Złośliwy kod, który potrafi ukrywać się przed administratorem komputera czy programem antywirusowym, rozpoczyna swoją „pracę”. Spyware gromadzi dane o użytkowniku i wysyła je – bez jego wiedzy – autorowi szpiegowskiego programu. Informacje o stronach, które odwiedzamy w internecie, hasła dostępowe do witryn czy forów internetowych, adresy pocztowe, poufne dane, z numerami kart kredytowych i kont bankowych włącznie, trafiają w ręce internetowych zbirów.
Cyberprzestępcy często korzystają z ogromnej popularności niektórych portali, choćby serwisu YouTube. Tworzą fałszywe strony, bardzo podobne do oryginalnych witryn. Następnie rozsyłają wiadomość e-mail z informacją na temat interesującego materiału filmowego umieszczonego na takiej stronie.
Zachęcają do kliknięcia odsyłacza, który umożliwia obejrzenie filmiku. Ofiara zostaje przekierowana na fałszywą stronę. Tam przeważnie okazuje się, że odtworzenie filmu nie jest możliwe, ponieważ w komputerze brakuje np. kodeka czy aktualizacji do programu pozwalającego na oglądanie filmów. Zgoda na propozycję pobrania brakującego elementu równoznaczna jest z załadowaniem do komputera programu szpiegowskiego.
POLSKA KRAJEM FAŁSZYWYCH STRON
Ofiarą phishingu padł swojego czasu sam Microsoft: do internetu wyciekły hasła dostępowe do tysięcy kont pocztowych na Hotmailu (bezpłatna usługa Microsoftu). Najświeższym sukcesem hakerów jest wykradzenie tą właśnie metodą danych dostępowych kilkuset użytkowników Gmail, czyli poczty Google. Trzy lata temu Bank of Ireland zmuszony został do wypłacenia odszkodowań klientom, którzy stracili pieniądze właśnie w wyniku phishingu.
Badania wykazały, że to w Polsce znajduje się najwięcej stron www wykorzystywanych do przestępstw phishingowych. Również i u nas miały miejsce głośne wydarzenia związane z tą sferą działalności przestępczej, choćby wyciek haseł użytkowników popularnego portalu Nasza-klasa. W 2008 roku użytkownicy serwisów pocztowych Wirtualnej Polski i O2 otrzymali e-maile z prośbą o ponowne wprowadzenie swoich danych do bazy w związku z przenosinami systemu pocztowego na inny serwer. Oczywiście były to „fałszywki”. Również klienci kilku polskich banków, m.in. banku BZ WBK, otrzymywali wiosną 2008 roku e-maile dotyczące obowiązku zalogowania się na spreparowanej stronie, wizualnie identycznej z oryginalną witryną banku.
Nowszą, jeszcze niebezpieczniejszą metodą łowienia haseł jest pharming. Podobnie jak w przypadku phishingu trafiamy na fałszywą stronę internetową, identyczną jak witryna naszego banku. Tym razem jednak nie za sprawą odsyłacza pułapki, lecz samego oprogramowania szpiegowskiego, które ingeruje w konfigurację naszego peceta. I powoduje, że przeglądarka kieruje nas na stronę www przygotowaną przez złodziei, mimo że wpisaliśmy poprawny adres witryny banku.
Wykradzione dane osobowe i hasła przestępcy sprzedają na czarnym rynku. Komplet danych mieszkańca Stanów Zjednoczonych, na który składa się m.in. numer ubezpieczenia społecznego, kosztuje na czarnym rynku kilka dolarów. Kilkakrotnie więcej przestępcy muszą zapłacić za podobne dane mieszkańca Unii Europejskiej. Takie dane dają bowiem szersze możliwości zastosowania, bo na terenie każdego kraju Wspólnoty. Jednak za informacje o koncie bankowym, na którym znajduje się spora ilość pieniędzy, trzeba już zapłacić około tysiąca dolarów.
Co ma zrobić ofiara phishingu w naszym kraju? Bezwłocznie zawiadomić policję, która coraz częściej notuje sukcesy w zwalczaniu tego rodzaju przestępczości. Policyjne wydziały do walki z przestępczością gospodarczą badają serwery www, kanały IRC, komunikaty i czaty, serwery grup dyskusyjnych, sieci P2P, gdzie zlokalizowane mogą być dane związane ze skradzionymi tożsamościami, przede wszystkim dotyczące elektronicznych instrumentów płatniczych. Funkcjonariusze Wydziału Zaawansowanych Technologii Biura Kryminalnego Komendy Głównej Policji współpracują z dostawcami usług internetowych w celu wymiany informacji. Polska policja stosuje więc wzorce sprawdzone w całej Europie. Szkoda tylko, że Komenda Główna nie ma pieniędzy na aktualizację licencji programów antywirusowych, chroniących policyjne komputery. Strach pomyśleć, jakie dane mogłyby z nich wycieknąć.