Securitatea reelelor.

Viermele Internetului
Internet este o structur deschis, la care se poate conecta un
numr mare de calculatoare fiind deci greu de controlat. De aceea
putem vorbi de vulnerabilitatea reelelor manifestat pe variate
planuri. Un aspect crucial al reelelor de calculatoare, n special al
comunicaiilor prin Internet l constituie securitatea informaiilor.
Categorii de atacuri asupra reelelor
meninrile la adresa securitii unei reele de calculatoare
pot avea urmtoarele origini! de"astre sau calamiti naturale,
defectri ale echipamentelor, gre#eli umane de operare sau
manipulare, fraude. $rimele trei tipuri de ameninri sunt
accidentale, n timp ce ultima este intenionat. C%teva studii de
securitate a calculatoarelor estimea" c &umtate din costurile
implicate de incidente sunt datorate aciunilor voit distructive, un
sfert de"astrelor accidentale #i un sfert gre#elilor umane. cestea
din urm pot fi evitate sau, n cele din urm, reparate printr'o
mai bun aplicare a regulilor de securitate (salvri regulate de
date, discuri oglindite, limitarea drepturilor de acces).
*n ameninrile datorate aciunilor voite, se disting dou categorii
principale de atacuri! pasive #i active.
+) tacuri pasive ' sunt acelea n cadrul crora intrusul observ
informaia ce trece 'prin ,canal,, fr s interfere"e cu flu-ul sau
coninutul mesa&elor. Ca urmare, se face doar anali"a traficului,
prin citirea identitii prilor care comunic #i ,nv%nd,
lungimea #i frecvena mesa&elor vehiculate pe un anumit canal
logic, chiar dac coninutul acestora este neinteligibil. tacurile
pasive au urmtoarele caracteristici comune!
.u cau"ea" pagube (nu se #terg sau se modific date)/
*ncalc regulile de confidenialitate/
0biectivul este de a ,asculta, datele schimbate prin reea/ .
$ot fi reali"ate printr'o varietate de metode, cum ar fi
supravegherea legturilor telefonice sau radio, e-ploatarea
radiaiilor electromagnetice emise, rutarea datelor prin noduri
adiionale mai puin prote&ate.
1) tacuri active ' sunt acelea n care intrusul se anga&ea" fie n
furtul mesa&elor, fie 'in modificarea, reluarea sau inserarea de
mesa&e false. ceasta nseamn c el 2 poate #terge, nt%r"ia sau
modifica mesa&e, poate s fac inserarea unor mesa&e % false sau
vechi, poate schimba ordinea mesa&elor, fie pe o anumit direcie,
fie pe 'ambele direcii ale unui canal logic. ceste atacuri sunt
serioase deoarece modific starea sistemelor de calcul, a datelor
sau a sistemelor de comunicaii. 3-ist . urmtoarele tipuri de
ameninri active!
4ascarada ' este un tip de atac n care o entitate pretinde a fi o
alt entitate. De e-emplu, un utili"ator ncearc s se substitue
altuia sau un serviciu pretinde a fi un alt serviciu, n intenia de
a lua date secrete (numrul crii de credit, parola sau cheia
algoritmului de criptare). 0 ,mascarad, este nsoit, de
regul, de o alt ameninare activ, cum ar fi nlocuirea sau
modificarea mesa&elor/
5eluarea ' se produce atunci c%nd un mesa& sau o parte a
acestuia este reluat (repetat), n intenia de a produce un
efect neautori"at. De e-emplu, este posibil reutili"area
informaiei de autentificare a unui mesa& anterior. *n conturile
bancare, reluarea unitilor de date implic dublri #i6sau alte.
modificri nereale ale valorii conturilor/
4odificarea mesa&elor ' face ca datele mesa&ului s fie alterate
prin modificare, inserare sau #tergere. $oate fi folosit pentru a
se schimba beneficiarul unui credit n transferul electronic de
fonduri sau pentru a modifica valoarea acelui credit. 0 alt
utili"are poate fi modificarea c%mpului destinatar6e-peditor al
po#tei electronice/
5efu"ul serviciului ' se produce c%nd o entitate nu i"bute#te s
ndeplineasc propria funcie sau c%nd face aciuni care
mpiedic o alt entitate de la ndeplinirea propriei funcii/
5epudierea serviciului ' se produce c%nd o entitate refu" s
recunoasc un serviciu e-ecutat. 3ste evident c n aplicaiile de
transfer electronic de fonduri este important s se evite
repudierea serviciului at%t de ctre emitor, c%t #i de ctre
destinatar.
*n ca"ul atacurilor active se nscriu #i unele programe create
cu scop distructiv #i care afectea", uneori esenial, securitatea
calculatoarelor. 3-ist o terminologie care poate fi folosit pentru
a pre"enta diferitele posibiliti de atac asupra unui sistem. cest
vocabular este bine populari"at de ,pove#tile, despre ,hac7eri,.
tacurile presupun, n general, fie citirea informaiilor
neautori"ate, fie (n cel mai frecvent ca") distrugerea parial sau
total a datelor sau chiar a calculatoarelor. Ce este mai grav este
posibilitatea potenial de infestare, prin reea sau copieri de
dischete, a unui mare numr de ma#ini. Dintre aceste programe
distructive amintim urmtoarele!
Viru#ii ' repre"int programe inserate n aplicaii, care se
multiplic singure n alte programe din spaiul re"ident de
memorie sau de pe discuri/ apoi, fie saturea" complet spaiul
de memorie6disc #i blochea" sistemul, fie, dup un numr fi-at
de multiplicri, devin activi #i intr ntr'o fa" distructiv (care
este de regul e-ponenial)/
8omba soft9are ' este o procedur sau parte de cod inclus
intr'o aplicaie ,normal,, care este activat de un eveniment
predefinit. utorul bombei anun evenimentul, ls%nd'o s
,e-plode"e,, adic s fac aciunile distructive programate/
Viermii ' au efecte similare cu cele ale bombelor #i viru#ilor.
$rincipala diferen este aceea c nu re"id la o locaie fi- sau
nu se duplic singuri. Se mut n permanen, ceea ce i face
dificil de detectat. Cel mai renumit e-emplu este Viermele
I.:35.3: ului, care a scos din funciune o parte din
I.:35.3: n noiembrie +;<</
:rapele ' repre"int accese speciale la sistem, care sunt
re"ervate n mod normal pentru proceduri de ncrcare de la
distan, ntreinere sau pentru de"voltatorii unor aplicaii. 3le
permit ns accesul la sistem, elud%nd procedurile de
identificare u"uale/
Calul :roian ' este o aplicaie care are o funcie de utili"are
foarte cunoscut #i care, intr'un mod ascuns, ndepline#te #i o
alt funcie. .u creea" copii. De e-emplu, un hac7er poate
nlocui codul unui program normal de control ,login, prin alt
cod, care face acela#i lucru, dar, adiional, copia" ntr'un fi#ier
numele #i parola pe care utili"atorul le tastea" n procesul de
autentificare. Ulterior, folosind acest fi#ier, hac7er'ul va
penetra foarte u#or sistemul.
4odelul de securitate n reele
4odelul de securitate pentru un calculator seamn cu o ceap.
.iveluri de securitate ncon&oar subiectul ce trebuie prote&at.
=iecare nivel i"olea" subiectul #i l face mai greu de accesat n alt
mod dec%t n cel n care a fost planificat.
+) Securitatea fi"ic repre"int nivelul e-terior al modelului de
securitate #i const, n general, n ncuierea echipamentelor
informatice ntr'un birou sau ntr'o alt incint. Securitatea
fi"ic merit o consideraie special. $roblema cea mai mare o
constituie salvrile pentru copii de re"erv ale datelor #i
programelor #i sigurana pstrrii suporilor de salvare. *n
aceste situaii, reelele locale sunt de mare a&utor! dac toate
fi#ierele schimbate frecvent re"id pe un server, acelea#i
persoane (sigure #i de ncredere), care lansea" salvrile pentru
mainframe'uri, pot face acela#i lucru #i la server. Calculatorul,
ca orice pies costisitoare, ar trebui s fie prote&at #i. de
pericolul furtului. $strarea n afara "onelor publice este una
dintre cele mai bune forme de protecie. Simpla ncuiere a
echipamentelor va preveni mutrile ascunse precum #i furtul.
*ntr'un sistem n care prelucrarea este distribuit, prima
msur de securitate fi"ic care trebuie avut n vedere este
prevenirea accesului la echipamente. $entru a nvinge orice alte
msuri de securitate, trebuie s se dispun de acces fi"ic la
echipamente. cest lucru este comun tuturor sistemelor de
calcul, distribuite sau nu.
1) Securitatea logic const din acele metode care asigur
controlul accesului Ia resursele #i serviciile sistemului. 3a are,
la r%ndul ei, mai multe niveluri, mprite n dou grupe mari!
niveluri de securitate a accesului (S) #i niveluri de securitate a
serviciilor (SS).
>)
Securitatea accesului (S) cuprinde!
accesul la sistem (S), care este rspun"tor de a determina
dac #i c%nd reeaua este accesibil utili"atorilor. 3I poate fi,
de asemenea, rspun"tor pentru decuplarea unei staii, ca #i
de gestiunea evidenei accesului. S e-ecut, de asemenea,
deconectarea forat, dictat de supervi"or. S poate, de
e-emplu, s previn conectarea n afara orelor de serviciu #i
s ntrerup toate sesiunile, dup un anumit timp/
accesul la cont (C), care verific dac utili"atorul care se
conectea" cu un anumit nume #i cu o parol e-ist #i are un
profil utili"ator valid/
drepturile de acces (D), care determin ce privilegii de
conectare are utili"atorul (de e-emplu, contul poate avea
sesiuni care totali"ea" ? ore pe "i sau contul poate utili"a
doar staia 1@).
Securitatea serviciilor (SS), care se afl sub S, controlea"
accesul la serviciile sistem, cum ar fi fire de a#teptare, I60 la
disc #i gestiunea server ului. Din acest nivel fac parte!
controlul serviciilor (CS), care este responsabil cu funciile
de averti"are #i de raportare a strii serviciilor/ de
asemenea, el activea" #i de"activea" diferitele servicii/
drepturile la servicii (DS), care determin e-act cum
folose#te un anumit cont un serviciu dat/ de e-emplu, un cont
poate avea numai dreptul de a aduga fi#iere la spooler'ul
unei imprimante, dar are drepturi depline, de a aduga #i
#terge fi#iere, pentru o alt imprimant.
0 dat stabilit cone-iunea, S validea" #i define#te contul.
0peraiile ce trebuie e-ecutate sunt controlate de SS, care
mpiedic cererile ce nu sunt specificate n profilul utili"atorului.
ccesul intr'un sistem de securitate perfect trebuie s se fac prin
aceste niveluri de securitate, de sus n &os. 0rice sistem care v
las s evitai unul sau mai multe niveluri ale modelului de
securitate implic riscul de a fi nesigur.
Viermele Internet'ului
Introducere
*n seara "ilei de 1 noiembrie +;<<, dup ora +@, un program
ciudat era e-ecutat pe mai multe dintre calculatoarele Internet.
cest program aduna informaii despre host'uri, reele #i
utili"atori #i folosea aceste informaii pentru a stabili cone-iuni
reea #i pentru a ptrunde pe alte ma#ini. 3l folosea anumite
defecte sau slbiciuni pre"ente n anumite programe. Dup
aceast ptrundere, programul se multiplica, iar copia sa ncerca
infectarea altor sisteme, n aceea#i manier. Chiar dac
programul nu a infectat dec%t sistemele Sun 4icrosAstems Sun >
#i calculatoarele VB pe care rulau variante ale lui ? 8SD U.IB,
el s'a e-tins rapid, cre%nd confu"ie #i consternare n r%ndul
administratorilor de sistem #i al utili"atorilor, atunci c%nd ace#tia
au descoperit inva"ia produs n sistemele lor. De#i se cuno#tea c
U.IB'ul are c%teva slbiciuni de securitate, n special n modul
obi#nuit de operare n medii deschise, totu#i scopul #i modul n
care acestea au fost folosite a constituit o surpri" mare pentru
toat lumea.
$rogramul era ciudat pentru utili"atori, n special din
punctul de vedere al punctelor de apariie. u fost introduse
fi#iere neobi#nuite n directoarele lusrltmp, iar unele mesa&e
stranii au aprut n fi#ierele unor utilitare, cum ar fi sendmail.
:otu#i, cel mai notabil efect a fost faptul c sistemele au devenit
din ce n ce mai ncrcate cu procese datorit infectrii multiple.
Cu trecerea timpului, unele dintre ma#ini au devenit at%t de
ncrcate, nc%t nu au mai fost capabile s lucre"e/ unele ma#ini
au fost blocate complet, atunci c%nd spaiul de evacuare (s9aping)
sau tabela de procese au fost saturate.
*n dimineaa "ilei de > noiembrie, personalul de la
Universitatea 8er7eleA din California #i de la Institutul de
:ehnologie 4assachusetts au ,capturatC copii ale programului #i
au nceput s le anali"e"e. Utili"atori din alte locuri au nceput, de
asemenea, s studie"e programul #i au fost de"voltate metode de
eradicare a acestuia. 0 caracteristic a programului a ie#it n
eviden! modifica resursele sistemului ntr'un fel care nu putea fi
detectat rapid. u fost alterate fi#iere #i distruse informaiile, ceea
ce a impus cutarea unei soluii. Dup ora D am la mai puin de +>
ore de la prima descoperire a programului, Computer SAstems
5esearch Eroup de la 8er7eleA a stabilit un set provi"oriu de
msuri, n vederea opririi e-tinderii. $rintre acestea se afla #i o
modificare la serviciul sendmail #i sugestia de a redenumi
compilatoarele C #i ncrctorul, pentru a preveni utili"area lor.
ceste sugestii au fost publicate n listele de po#t electronic #i
prin sistemul de #tiri din reeaua Usenet, cu toate c e-tinderea
viermelui a fost mpiedicat, cel mai adesea prin deconetarea
sistemelor de la I.:35.3:, n ncercarea de a le de"infecta
ulterior.
$e la orele ; pm, n aceea#i "i, a fost descoperit #i publicat
la $urdue UniversitA o alt metod simpl pentru stoparea
inva"iei acestui program. *mbuntiri soft au fost anunate #i de
ctre grupul 8er7eleA, pentru a ,astupa, fisurile ce permiteau
programului s invade"e sistemele. :ot ceea ce rm%nea de fcut
era de a se anali"a codul care a generat aceste probleme #i de a
descoperi cine #i de ce lansat viermele.
Cronologia evenimentelor
3ste foarte interesant de remarcat vite"a #i profun"imea cu
care Viermele s'a e-tins #i este semnificativ de urmrit rapiditatea
cu care a fost identificat #i'a oprit utili"%ndu'se aceea#i reea
pentru comunicarea ntre speciali#ti a re"ultatelor. 3ste, credem
noi, foarte interesant #i instructiv de urmrit desf#urarea n timp
a rsp%ndirii Viermelui, cel mai important eveniment de
securitate din istoria I.:35.3:'ului, dar 'este la fel de util de a
vedea rapiditatea cu care s'a cristali"at riposta speciali#tilor.
1 .oiembrie +;<<
+@.FF. Viermele este e-ecutat pe o ma#in la Cornell UniversitA/
+<.FF. 4a#ina prep.ai.mit.edu a lui 4I: a fost infectat. $rep
era o ma#in cu acces public, utili"at pentru stocarea #i
distribuirea soft'ului prin proiectul E.U. 4a#ina a fost
configurat cu c%teva vulnerabiliti de securitate de
notorietate, care permiteau . utili"atorilor de la distan s
introduc fi#iere n sistem/
+<.>F. 4a#ina infectat de la $ittsburgh UniveritA a infectat o
ma#in a corporaiei 5.D/
1+.FF. Viermele este descoperit pe ma#inile de la Stanford
UniversitA/ 1+.>F. 3ste invadat o prim ma#in la 4innesota
UniversitA/
1+.>?. 4a#ina gate9aA a Universitii 8er7eleA din California
este invadat. Se descoper o neobi#nuit incrcare a ma#inii
cu procese de po#t/
11.>?. 3ste infectat ma#ina gate9aA a Universitii $rinceton/
11.?F. 4a#ini de la Universitatea .orih Carolina sunt infectate
#i sunt ncercri de a invada alte ma#ini/
11.?<. Sunt infectate ma#ini ale S5I via sendmail (po#t)/
11.D1. Viemele incearc s invade"e ma#ina andre9.cmu.edu de
la Universitatea Carnegie'4ellon (po#t)/
11.D?. Calculatoarele gate9aA de la Universitatea din
4arAGand sunt atacate prin . . procesul din fundal
corespun"tor programului fingerd/
11.D;. 4a#inile de la Universitatea din $ennsAlvania sunt
atacate, dar sunt ,insen'sibile,. Vor fi depistate 1+F ncercri
de infectare n urmtoarele +> ore, prin po#t/ 1>.?<.
Calculatorul mimsA.umd.edu de la Universitatea din 4arAland
este infectat via sendmail (po#t)/
1>.?F. Cercettorii de la 8er7eleA descoper intele de atac ca
fiind sendmail #i rsh. 3i incep s nchid serviciile pentru alte
reele, ca msur de precauie/
1>.?D. 4a#inile de la Dartmouth #i Haboratorul de Cercetri
8alistice al rmatei (85H) sunt atacate #i infectate (po#t,
.CSC)/
1>.?;. Eate9aA'urile de la Universitatea din Utah sunt
infectate. *n urmtoarea or numrul ncercrilor va a&unge la
+FF/
> .oiembrie +;<<
FF.F@. 3ste infectat ma#ina Univesitii din ri"ona, prin
po#t/
FF.1+. 3ste infectat ma#ina principal a Universitii
$rinceton (un VB <IDF). .umrul ncercrilor a&unge la I< #i
ma#ina clachea"/
FF.>>. 3ste infectat ma#ina de9eA.udel.edu a Universitii din
Dela9are/
F+.>F. 4a#inile de la UCH sunt infectate/
F1.FF. Viermele este identificat pe ma#inile de la Universitatea
Jarvard/
F1.><. De la 8er7eleA se transmite un mesa& prin po#t cu
coninutul! ,Suntem atacai,. Domeniile menionate ca fiind
infectate sunt! U.C.8er7eleA, U.C.San Diego, HHH, Stanford #i
.S mes/
F>.+D. Sunt infectate ma#iniie de la Universitatea din Chicago.
Una dintre ma#inile de la Departamentuf de fi"ic sufer 11D
de ncercri de infectare, via fingerd, de la ma#ini din Cornell/
F>.>;. vertismentul despre Vierme este transmis de la
fooKbar.arpa sub forma! ,3ste probabil un virus pierdut prin
I.:35.3:.,. Urmau trei scurte fra"e despre cum s fie oprit
Viermele, urmate de ,Sper c acestea a&ut, dar mai mult, sper
c este vorba de o fars.,. Cel ce transmitea s'a dovedit a fi
ndA Sudduth de fE .arvard, care a fost sunat prin telefon de
presupusul autor al Viermelui, 5obert : 4orris. Datorit
ncrcrii reelei #i ma#inilor, avertismentul nu este propagat ir
urmtoarele 1? de ore/
F?.FF. Universitatea Colorado este #i ea supus atacului/ F?.FF.
4a#inile de la Universitatea $urdue sunt infectate/
FD.D?. Se transmite prin po#t un avertisment cu privire la
Virme #i, n plus, c msur de protecie minimal referitoare la
programul sendmail. 4esa&ul su este preluat de grupul de
#tiri Useni-/
FI.?D. Se sun la .ational Computer SecuritA Center #i se
informea" despre Vierme/
F@.FF. 4a#ini ale Institutului de :ehnologie din Eeorgia sunt
infectate. 4a#ina gate9aA (un VB @<F) sufer peste >F de
ncercri/
F@.>F. Se descoper infectarea ma#inilor de la Universitatea
$urdue. 4a#inile sun at%t de ncrcate, nc%t nu se puteau citi
mesa&ele primite prin po#t, inclusiv mesa&ul despre Vierme/
F<.F@. Ha 8er7eleA se identific atacul Viermelui prin
intermediul programului fingerd, dar mesa&ul trimis prin po#t
nu poate fi citit mai bine de +> ore/
F<.+<. Se retransmite avertismentul despre Vierme grupului de
#tiri Usene ne9s.announce.important #i altor >F de site'uri.
cestea au fost primele informaii despre Vierme, aflate de cei
vi"ai n cursul ntregii "ile, acest grup a schimb de mesa&e prin
po#t cu privire la progresul #i comportarea Viermelui/
+F.>I. Se transmite prima descriere cu privire la modul de
lucru al Viermelui cele din lista nntp'managers. tacul prin
programul fingerd la aceast or nc nu est cunoscut/
++.>F. Defense Communications gencA inhib bridge'urile de
po#t ntre rpane #i 4ilnei/
+>.FF. Sunt blocate peste +>F de ma#ini ale S5I/C
+?.DF. $ersonalul de la $urdue descoper ma#ini infectate cu
variante noi de programe sendmail instalate. Se transmite un
mesa& prin po#t referitor la faptul c noua versiune de sendmail
nu constituie o msur de protecie suficient. cel lucru era
cunoscut de&a n multe locuri, inclusiv la 8er7eleA #i 4I: de
mai bine c%te ore, dar nu se publicase nc nimic/
+I.FF. dministratorii de sisteme de la $urdue se nt%lnesc
pentru a stabili strateg local. Versiunile de Vierme capturate
au furni"at o variant de prevenire a infecie prin crearea unui
director cu numele sh n directorul lusr tmp/
+<.FF. Ha $urdue s'a descoperit cum lucrea" Virmele, cu
defeciunea din program finger,
+;.FF. Ha 4I:, s'a reconstituit atacul Viermelui prin
intermediul programului fingerdC #i s'a telefonat la 8er7eleA
pentru a se anuna aceasta. .u a fost transmis nimic prin po#t
despre acest mod de atac/
+;.+;. S'au transmis noile mbuntiri aduse programelor
sendmail #i fingerd, dar aceste mesa&e au fost recepionate abia
a doua "i/
+;.>@. De la Universitatea din 5ochester a fost trimis prin
po#t o descriere a atacului prin intermediul programului
fingerd/
1+.>F. Erupul de la 8er7eleA ncepe decompilarea Viermelui,
pentru a determina sursa n C.
? .oiembrie +;<<
FF.DF. Se trimite prin po#t o descriere a atacului prin
intermediul fingerd. Se fac #i primele comentarii referitoare la
stilul de cod al autorului Viermelui/
FD.FF. Erupul 4i: ncheie decompilarea codului/
F;.FF. Erupul de la 8er7eleA ncheie decompilarea codului/
++.FF. Sunt reinstalate bridge'urile de po#t ntre 4ilnet'
rpanet/
+?.1F. Se retransmit prin po#t modificrile aduse la
programul fingerd/
+D.>I. De la 4I:, se transmit clarificri asupra modului de
operare a Viermelui/ L +@.1d. Se transmite un set final de
mbuntiri pentru sendmail #i fingerd/
1+.>F. utorul Viermelui este identificat din dou surse
independente ca fiind 5obert : 4orris, fiut directorului
#tiinific al Centrului .aional de Securitate a Calcutatoarelor
(E.SC), 5obert 4orris.
$%n pe < noiembrie, marea ma&oritate a ma#inilor au fost
reconectate la I.:35.3: #i traficul a revenit la normal. *n
aceea#i diminea, apro-imativ DF de cercettori s'au int%lnit
cu oficialitti din CentruM .ational de Securitate. Cu aceast
oca"ie, au fost identificate direciiile ulterioare de aciune n
acest domeniu. nali"atorii de trafic al reelei au continuat s
identifice ncercri de infectare nc e-istente pe ma#inile
I.:35.3:'ului. 0 ultim ncecare a fost identificat la
nceputul lunii decembrie +;<<.
Despre autorul Viermelui
Dup ce Viermele a fost oprit, au fost puse, inevitabil, dou
ntrebri! ,cineN, #i ,de ceN,.
Ha prima ntrebare rspunsul a aprut rapid prin
identificarea lui 5obert :. 4orris de ctre .e9 Oor7 :imes.
3-ist multe elemente care susin identificarea fcut. 4ulte
oficialiti federale au afirmat c au dove"i, obinute de la
persoane distincte, prin care se specific faptul c 4orris a
discutat cu aceste persoane despre Vierme #i cercetrile sale n
aceast direcie. 3i susin, de asemenea, c au nregistrri de pe
calculatoarele de la Universitatea Cornell repre"ent%nd versiuni
de nceput ale codului Viermelui testate pe ma#ini din campus #i,
de asemenea, susin c au copii ale Viermetui gsite n contul lui
4orris. 5aportut furni"at de 0ficiul 5ectoratului Universitii
din Cornelt l indic de asemenea pe 4orris ca fiind culpabil #i
pre"int motive convingtoare pentru a susine aceast conclu"ie.
Dar dac autorul era stabilit, motivul acestei aciuni
rm%nea neclar, plasat ntre un e-periment gre#it #i p%n la un act
incon#tient de r"bunare a lui 4orris mpotriva tatlui su. Din
studiul fcut de multe persoane asupra codului decompilat, au
re"ultat dou conclu"ii!
0 prim conclu"ie se refer la faptul c programul nu
conine, n mod e-plicit, poriuni de cod care ar provoca e-plicit
distrugeri ale sistemelor pe care ar rula. Hu%nd n considerare
abilitatea #i cuno#tinele evideniate de cod, pentru autor ar fi
constituit o chestiune simpl introducerea unor astfel de comen"i,
dac aceasta ar fi fost intenia lui. *n cele din urm, eliberarea
prematur n reea a Viermelui arat c intenia autorului de a
distruge sau perturba structuri #i sisteme nu poate fi luat n
considerare n mod e-plicit/
doua conclu"ie se refer fa faptul c n cod nu este inclus
un mecanism pentru a opri de"voltarea Viermelui. Hu%nd n
considerare acest lucru, precum #i comple-itatea #irului utili"at ca
argument, necesar pentru a declan#a Viermele, multe persoane
care au e-aminat codul nu consider c Viermele a fost declan#at
accidental sau c intenia a fost de a nu fi propagat puternic.
v%nd n vedere aceste lucruri, sunt ciudate ncercrile fcute
pentru a &ustifica aciunea lui 4orris, susin%ndu'se c intenia lui
era de a demonstra ceva despre securitatea @.:35.3: ului sau
c a fost un e-periment nevinovat. 5aportul 5ectoratului
Universitii din Cornell nu ncearc s scu"e comportamentul lui
4orris. ceast aciune este etichetat ca fiind neetic #i contrar
standardelor profesionale. ciunea sa este considerat a fi
ndreptat mpotriva politicii Universitii #i practicii acceptate #i
ar fi fost de a#teptat ca, av%nd n vedere e-periena pe care o are
n acest domeniu, s cunoasc c astfel de aciuni sunt nepermise.
Cei care cred c Viermele constituie un accident sau un
e-periment nefericit sunt de prere ca autorul s nu fie pedepsit,
merg%nd p%n la a cere pedepsirea administratorilor #i
operatorilor de pe sistemele #i ma#inile afectate, pentru negli&ena
cu care au tratat aspectele ,de securitate. Ceilali consider c
autorul trebuie s fie pedepsit sever, inclusiv cu privarea de
libertate. Comisia de la Cornell a recomandat unele pedepse, dar
nu at%t de severe nc%t s afecte"e cariera ulterioar a lui 4orris.
*n acea recomandare este specificat suspendarea lui 4orris din
Universitate pentru minimum un an. =aptul c nu s'au nt%mplat
mari nenorociri poate constitui un accident #i este posibil ca
intenia autorului s fi fost de a suprancrca l.:35.3:'ul, a#a
cum s'a #i nt%mplat. Scu"area unor astfel de acte de vandalism,
sub declaraia c autorii nu au vrut s cree"e mari nea&unsuri, nu
poate conduce la descura&area repetrii unor astfel de ncercri,
ba chiar mai mult, acestea sunt ncura&ate.
Vulnerabiliti e-ploatate de Vierme
Viermele utili"ea" o serie de defecte sau slbiciuni e-istente
n soft9are'ul standard al multor sisteme U.IB. Unele dintre
aceste defecte sunt descrise n continuare.
$rogramul =ingerd
$rogramul fingerd este un utilitar care permite obinerea de
informaii despre utili"atori. De obicei, este folosit pentru a
identifica numele ntreg sau numele de conectare (login) al unui
utili"ator, dac acesta se afl n sesiune #i posibil, alte informaii
despre persoana respectiv, cum ar fi numerele de telefon etc.
cest program este rulat ca daemon sau proces n fundal
(bac7ground), pentru re"olvarea cererilor de informaii venite de
la distan, utili"%ndu'se protocolul fingerd, cest program
accept cone-iuni de. la programe ce rulea" n alt parte, cite#te
linia de intrare #i trimite rspuns receptorului care a adresat
ntrebarea.
$unctul slab e-ploatat, prin care se ,sparge, acest program,
implic modificarea buffer ului de intrare folosit de acesta.
8iblioteca f6F a limba&ului C are c%teva rutine care citesc intrarea
fr a verifica limitele buffer'ului implicat n aceast operaiune.
*n particular, apelul funciei gets preia datele de intrare ntr'un
buffer, fr a face verificarea limitelor acestuia. pelul acestei
funcii a fost e-ploatat de Vierme. 5utina gets nu este singura care
are acest nea&uns. 0 ntreag familie de rutine din biblioteca C'
ului face posibil dep#irea buffer ului, atunci c%nd se decodific
intrarea sau c%nd se formatea" ie#irea, dac utili"atorul nu
specific e-plicit numrul de caractere pentru conversie.
Cu toate c programatorii e-perimentai sunt cunosctori ai
acestor probleme, muli dintre ei continu s foloseasc aceste
rutine. .eca"ul este c orice server de reea sau program
privilegiat, care utili"ea" aceste funcii, poate fi compromis
datorit utili"rii unei intrri improprii. Interesant este c recent,
au mai fost descoperite nc dou comen"i n standardul 8SD
U.IB, care au aceast problem.
Dup atacul asupra I.:35.3:'ului au fost relevate mai
multe probleme poteniale #i mai multe modaliti de a le nltura,
dar cu toate acestea, biblioteca cu aceste rutine continu s fie
utili"at.
$rogramul Sendmail
$rogramul sendmail este un serviciu de po#t electronic,
destinat s rute"e scrisorile ntr'o reea eterogen. $rogramul are
mai multe moduri de operare, dar unul dintre acestea este
e-ploatat de Vierme #i implic lansarea serviciului ca proces n
bac7ground (daemon). *n acest mod de lucru, procesul se afl n
starea de ,ascultare, la un port :C$ (1D), pentru a face
distribuirea po#tei sosite prin protocolul standard I.:35.3:,
S4:$ (Simple 4ail :ransfer $rotocon. C%nd o astfel de situaie
este detectat, procesul intr ntr'un dialog cu un alt proces de la
distan, pentru a determina e-peditorul, destinatarul,
instruciunile de distribuire #i coninutul mesa&ului.
$unctul slab e-ploatat n sendmail este legat de o opiune de
depanare a codului. Viermele transmite comanda D38UE la
sendmail #i apoi specific destinatarul mesa&ului, ca un set de
comen"i #i nu ca o adres utili"ator. *ntr'o operaiune normal,
acest lucru nu este permis/ ns, n activitatea de depanare a
codului este posibil verificarea po#tei sosite pentru un anumit
destinatar, fr a se apela rutinele de adresare. $rin utili"area
acestei opiuni, testele pot rula programe care s afi#e"e starea
sistemului de po#t, fr trimiterea de mesa&e sau stabilirea unei
cone-iuni. ceast opiune de depanare este adesea utili"at
tocmai datorit comple-itii configurrii lui sendmail.
$rogramul sendmail este de mare importan, mai ales
pentru sisteme U.IB derivate din 8SD, deoarece m%nuie#te
procese comple-e de rutare #i distribuire a po#tei. :otu#i, n ciuda
importanei mari #i a utili"rii largi, cea mai mare parte a
administratorilor de sisteme #tiu puin despre felul n care
lucrea" sendmail. De#i sunt relatate multe apariii de driver e
scrise de administratori de sisteme sau modificri aduse Pernel'
ului, nimeni nu a adus nc modificri la sendmail sau la
configuraia fi#ierelor sale. *n conclu"ie, punctele slabe pre"entate
n sendmail sunt puin cunoscute, iar unele dintre ele sunt
depistate #i comunicate pe msura descoperirii lor.
$arole
Una din ,piesele de re"isten, ale Viermelui implic
ncercarea de a descoperi parolele utili"atorilor. *n sistemele
U.IB, utili"atorul furni"ea" o parol ca semn de verificare a
identitii. $arola este criptat, utili"%nd o versiune a algoritmului
D3S, iar re"ultatul este comparat cu re"ultatul criptrii
anterioare, pre"ent n fi#ierul letclpass9d. Dac acestea coincid,
accesul este permis. *n acest fi#ier nu sunt incluse parolele n clar
#i algoritmul se presupune a fi neinversabil/ deci, fr cunoa#terea
parolei nu avem acces.
0rgani"area parolelor n U.IB permite unor comen"i
neprivilegiate s utili"e"e informaii din fi#ierul 6etc6pass9d #i s
accese"e schema de autentificare a parolelor. Deci se permite un
atac prin criptarea unei liste cu parole posibile #i compararea
re"ultatelor cu fi#ierul letclpass9d, fr a se face apel la o funcie
sistem, special dedicat. De fapt, securitatea parolelor este
asigurat n principal prin numrul mare de ncercri ce trebuie
efectuate pentru a le determina, cu toate combinaiile de caractere
posibile. Din nefericire, e-ist ma#ini care lucrea" rapid #i costul
unei astfel de aciuni este n continu descre#tere, datorit
rapiditii de"voltrii produselor hard.
Divi"%nd procesul pe mai multe procesoare, se reduce mult
timpul necesar determinrii unei parole. stfel de atacuri sunt
u#urate mult, atunci c%nd utili"atorul alege drept parol un
cuv%nt comun sau des folosit. *n acest ca", toat cutarea se
re"um la determinarea parolei prin verificarea unor cuvinte
comune, e-istente ntr'o astfel de list (ve"i capitolul 1).
Viermele utili"ea" pentru spargerea parolei un astfel de tip
de atac. *n acest sens se folose#te o list de cuvinte standard,
cuvinte care sunt considerate a fi parole posibile. Viermele asigur
criptarea lor prin intermediul unei versiuni rapide a algoritmului
de cifrare #i apoi, compar re"ultatul cu coninutul fi#ierului
6etc6pass9d. Deci Viermele e-ploatea" accesul la acest fi#ier,
cuplat cu tendina utili"atorilor de a alege cuvinte comune drept
parole.
Un defect discutat n pre"ent #i care a fost e-ploatat de
Vierme implic utili"area sesiunilor de ncredere. Una din
facilitile utile ale soft'ului de reea al lui 8SD U.IB este
suportul de e-ecuie a proceselor pe ma#ini aflate la distan.
$entru a se evita repetarea tipririi parolelor pentru accesul n
conturi aflate la distan, se asigur posibilitatea unui utili"ator
de a specifica o list cu perechi ga"d6cont, care sunt considerate a
fi de ncredere, n sensul c un acces la distant de la calculatorul
ga"d la acel cont se face fr a utili"a parola contului respectiv.
cest aspect este responsabil de numeroasele accese neautori"ate
la calculatoare, dar continu s fie utili"at, fiind convenabil.
Viermele a e-ploatat acest mecanism prin ncercarea de a locali"a
host'urile de ncredere #i a determina perechile corespun"toare.
cest lucru a fost reali"at prin e-aminarea de ctre Vierme a
fi#ierului de pe host'ul curent, care conine perechile host6conturi.
0dat ce Viermele gse#te astfel de candidai, va ncerca, n
modul cel mai rapid, s se autoinstale"e pe aceste ma#ini, folosind
facilitatea e-ecuiei la distan, copiindu'se pe sine pe ma#ina de la
distan, ca #i cum ar fi un utili"ator autori"at, care efectuea" o
operaie standard de la distan. $entru a inltura astfel de
ncercri n viitor, este necesar ca actualul mecanism de acces la
distan s fie anulat #i nlocuit cu ceva nou. Un mecanism nou
creat, care se apropie de cerinele de mai sus, este server ul de
autentificare Perberos (ve"i subcapitolul @.?).
Descrierea Viermelui
Viermele I.:35.3: este constituit din dou pri! un
program principal #i un program vector (bootstrap).
$rogramul principal, o dat instalat pe o ma#in, va colecta
informaii despre alte ma#ini din reea, cu care calculatorul
ga"d poate fi conectat. Va face aceast colectare prin citirea
fi#ierelor de configurare #i prin lansarea proceselor
corespun"toare programelor utilitare de sistem, care
furni"ea" informaii despre 'starea curent a cone-iunilor din
reea. poi, va ncerca s profite de fisurile din soft, descrise
mai sus, pentru a instala programul su vector pe fiecare din
aceste calculatoare aflate la distan/
$rogramul vector are ;; de linii de cod C, care vor fi compilate
#i rulate pe ma#ina de la distan. Sursa acestui program va fi
transferat la ,victim,, folosind una dintre metode?e care vor
fi pre"entate n continuare. poi, sursa va fi apelat pe ma#ina
victim, prin intermediul unei linii de comand, cu trei
argumente! adresa de reea a calculatorului infectat, numrul
port'ului de reea pentru conectarea la aceast ma#in (pentru
a se copia fi#ierele programului principal al Viermelui) #i un
numr magic, care acionea" efectiv ca o parol cu o singur
utili"are.
Dac Viermele ,server,, de pe ma#ina de la distan, nu
recepionea" napoi acela#i numr magic (cel trimis de
programul vector) nainte de nceperea transferului, va fi
deconectat imediat de la programul vector. cest lucru este
reali"at pentru a preveni ncercrile de capturare a fi#ierelor
binare prin n#elarea Viermelui ,server,.
Codul vectorului acionea" pentru ascunderea sa #i prin
punerea pe F a vectorului su de argumente (imaginea liniei de
comand), #i prin utili"area mecanismului for7 pentru crearea
unui proces fiu identic. Dac se nt%mpl o defeciune n timpul
transferului de fi#iere, codul determin #tergerea fi#ierelor de&a
transferate #i apoi, face ie#irea.
0 dat instalat pe o ma#in, programul vector se va conecta
cu calculatorul pe care se e-ecut procesul Vierme original #i va
e-ecuta transferul unor fi#iere binare (cod precompilat) ctre
ma#ina local. =iecare fi#ier binar repre"int o versiune a
programului Vierme principal, compilat corespun"tor unei
anumite arhitecturi de calculator #i unei anumite versiuni de
sistem de operare. $rogramul vector va transfera, de asemenea, o
copie a sursei sale folosit pentru infectarea altor sisteme. Una
dintre trsturile mai curioase ale programului vector a generat
multe ntrebri! programul are alocate structuri de date pentru
transferul a 1F de fi#iere, din care au fost folosite doar >. cest
lucru a condus la speculaia c a fost planificat, probabil pentru
a fi lansat la o dat ulterioar, o versiune e-tins a Viermelui, cu
alte fi#iere de comand, fi#iere de parole, viru#i locali #i programe
de tip ,cai troieni,.
0dat ce fi#ierele binare au fost transferate, programul vector
ncarc fi#ierele corespun"tor versiunii locale a bibliotecilor
standard, pe care le leag cu programele aduse. Ulterior, aceste
programe vor fi apelate. Dac unul dintre acestea rulea" cu
succes, cite#te n memoria proprie copiile programului vector #i
ale fi#ierelor binare #i apoi #terge originalele de pe disc.
*n pasul urmtor, va ncerca s fore"e ptrunderea pe alte
ma#ini. Dac nici una dintre versiuni nu rulea" cu succes, atunci
mecanismul de rulare a programului vector (un fi#ier de comen"i)
va #terge toate fi#ierele de pe disc create pe durata ncercrii de
infectare, ls%nd sistemul curat.