AURKIBIDEA - Elhuyar · gaitasun hori aurrera ateratzeko behar ziren oinarri teknikoak. 1957....
20
Transcript of AURKIBIDEA - Elhuyar · gaitasun hori aurrera ateratzeko behar ziren oinarri teknikoak. 1957....
AURKIBIDEA
1 Hitzaurrea ........................................................... 1
2 Historia ............................................................... 52.1 Hasiera ........................................................................ 72.2 Korapiloa..................................................................... 112.3 Amaiera....................................................................... 23
3 Zer da birus informatikoa?................................... 253.1 Egitura ........................................................................ 273.2 Kaltea.......................................................................... 283.3 Bizi-zikloa .................................................................... 30
4 Birusak ez diren “birusak”.................................... 334.1 Harra........................................................................... 354.2 Dropper-ak................................................................... 364.3 Troiarrak...................................................................... 374.4 Atzeko ateak ............................................................... 384.5 DDoS eragileak ............................................................ 40
5 Hasieratik hasita.................................................. 43
6 Denborak aldatzen diren heinean........................ 51
v
6.1 BATCH fitxategiak ....................................................... 546.2 TSR birusak.................................................................. 566.3 Makro-birusak .............................................................. 626.4 PE fitxategiak .............................................................. 646.5 Bestelako fitxategi kutsagarriak................................... 73
7 Baina nola? Nondik? ........................................... 837.1 Ezjakintasuna .............................................................. 857.2 Gizarte-ingeniaritza...................................................... 877.3 Erabiltzen dugun softwarearen zuloak......................... 887.4 Atakak......................................................................... 91
8 Helburua lortu da!............................................... 99
9 Eta orain…ugaltzera............................................ 109
10 Susmo txarrik sortu baino lehen… ezkutatu ....... 11910.1 Stealth ..................................................................... 12210.2 Tunneling................................................................. 12510.3 Zifraketa .................................................................. 12810.4 Polimorfismoa .......................................................... 13110.5 Metamorfismoa ........................................................ 13510.6 Antiheuristika .......................................................... 138
11 Ez dut tutik ere ulertu........................................ 14111.1 Historia .................................................................... 14311.2 Zer da birus informatikoa? ....................................... 14511.3 Birusak ez diren “birusak”......................................... 14711.4 Hasieratik hasita ...................................................... 14911.5 Denborak aldatzen diren heinean ............................ 14911.6 Baina nola? nondik?................................................. 15311.7 Helburua lortu da!.................................................... 15611.8 Eta orain… ugaltzera................................................ 15711.9 Susmoak sortu baino lehen… ezkutatu..................... 159
12 Enpresei so ........................................................ 16512.1 Zer da eta nola funtzionatzen du BS 7799 arauak? .. 16912.2 Estatu mailako azterketa (ASIMELEC) ....................... 17012.3 Gure ingurura ekarriz ............................................... 174
vi
13 Babesa............................................................... 17913.1 Makinaren ezagutza ................................................. 18213.2 Sistema eragileen eta aplikazioen eguneraketa......... 18513.3 Antibirus eta firewall egoki bat ................................ 18613.4 Erabateko mesfidantza ............................................. 18813.5 APlikazio erabiliegiak ............................................... 18913.6 Posta elektronikoa ................................................... 190
14 Etorkizuna?........................................................ 193
15 Glosategia.......................................................... 199
16 Bibliografia ........................................................ 205
vii
AURKIBIDEA
Zaila da jakitea noiz izan zen birus informatikoei buruzko lehen aipamenaedota agerraldia. Birus informatikoek adimen eta bizitza artifizialei buruzkoazterketa zientifiko batzuetan dute hasiera. Hastapenetan, ikerketa-zentzuazuten eta unibertsitate-saiakuntzak besterik ez ziren, burutazio txar batzuekerabaki zuten arte haietaz baliatzea kalte informatikoak sorrarazteko.
Historia guztien antzera, birus informatikoenak ere hasiera, korapiloa etaamaiera ditu. Jakina, birusak dauden bitartean, amaiera hori bukatu gabeegongo da, baina eskuliburu honetan orain artekoaren hurbilpena egitensaiatuko gara.
2.1 HASIERA
Nork izan zuen lehen ideia? Zergatik eta, batez ere, noren erruz dauzkagugaur egun hainbeste arazo eta buruhauste birus informatikoekin?
JOHN VON NEUMANN (1903-1957)
Informatikaren aitatzat har dezakegun hungariar honek ingeniaritza kimikoaikasi zuen Alemanian. Txikitatik izan zuen matematikaren inguruko intereshandia, eta horrek matematikaren arlo teorikoan doktoratzera eraman zuen1926an Budapest-en.
1923an, 20 urte zituelarik, gaur egun oraindik erabiltzenden zenbaki arrunten definizioa egin zuen.
Bigarren mundu gerra bitartean, John-ek automatetan etakonputagailuetan jarri zuen interes handiena, eta, 1949. urtean Theory andOrganization of Complicated Automata izenburuko saioan, bere buruakopiatzeko gai zen programa baten kontzeptuak hedatu zituen (ikus 2.1irudia).
Normala denez, garai haietan gaitasun hori zuen programa bat hedatzeapentsaezina zen, baina, Von Neumann-i esker eta memoria berean datuaketa programak batera gordetzea ahalbidetzen zuen “programabiltegiratuaren” kontzeptuari esker, finkatu egin ziren bere burua kopiatzeko
�
HISTORIA
gaitasun hori aurrera ateratzeko behar ziren oinarri teknikoak. 1957. urteanminbizia sendaezinez hil egin zen, Washington D.C.n.
CORE WARS
1959an, hiru programatzailek, H. Douglas Mcllroy-k, Victor Vysottsky-k etaRobert Morris-ek, Core Wars (edo nukleo-gudak) izeneko joko txikia sortuzuten Bell laborategietan. Core Wars jokoa Red Code izeneko mihiztadura-hizkuntzaren antzeko hizkuntza batean idatzi zen. Programazio-hizkuntzahorrek prozesadore baten ordez Mars izeneko (Memory Array RedCodeSimulator) simulagailu bat erabiltzen zuen. Core Wars jokoan, bi programakmemoria zati komun bat lortzeagatik lehiatzen zuten, eta memoria gehieneskuratzea edo bestea ezereztea lortzen zuenak irabazten zuen.Horretarako, eraso-, ezkutatze- eta ugaltze-teknikak erabil zitzaketenprogramek.
�
BERE BURUA KOPIATZEKO GAI DEN AUTOMATAREN KONTZEPTUA
Automata sinplearen egitura:1. A eraikitzaile unibertsal bat da,
zeinak, I aginduei jarraituz, edozeinautomata eraiki dezakeen.
2. B kopiatzaile bat da, zeinak Iaginduen kopia egin dezakeen.
3. C kontrolatzaile bat da, A eta Bkontrolpean dituena. A-k, I-renarabera, beste automata bat egitendu; B-k I aginduak kopiatu etaautomata berrian barneratzen ditu,eta A+B+C-tik automata berrirabanatzen ditu.
4. D automata bat da, A, B eta C-zosatua.
5. I agindu-multzoa da, D automatanola eraiki esaten duena.
6. E automata bat da, D eta I-z osatua.
2.1 irudia
CD
D
ID
ID E
Parent
Offspring
BA
New automaton
Urte hartan idatzitako jokotik gaur egun oraindik jolasteko eta lehiaketakprestatzeko erabiltzen denera, desberdintasun nabariak daude. Gaur egun,Windows, MS-DOS eta UNIXerako bertsioak daude, baita horientzakoberariazko lehiaketak ere, baina programek agindu gehiago dituzte. CoreWars jokoaren inguruko informazio gehiago haren web orrialdean aurkitudaiteke. Han,“gudari” berriak nola prestatu jakiteko eta lehiaketetan partehartzeko informazioa dago eskuragarri: www.koth.org
�
HISTORIA
1959an IDATZITAKO CORE WARS JOKOA
1. 8.000 gelaxkako memoria zirkular batean egiten zen lehia.2. Bi programak memorian kargatu, eta agindu bat exekutatzen zuten
txandaka.3. Ideia orokorra zen beste programan agindu akastun bat sartzea,
bestea gauza bera egiten saiatzen zen bitartean.
1. Erregistrorik gabea da; dena memorian gordeta dago.2. Aldagai globalik gabea; denak PCarekiko erlatiboak dira.3. 8 agindu mota desberdin ditu soilik, eta datu-aitorpenetarako
beste bat:Aritmetikoak: Sub eta AndDatu-mugimendukoak: MovTransferentzia-kontrolekoak: Jmp, Jmz, Jmg, Djz eta CmpDatu-aitorpenekoak: Dat
9 agindu horiekin beste agindu guztiak sortu zituzten. Adibide bat ematearren,Gemini, aipatuko dugu: bere burua beste posizio batean kopiatzen zuen, etakontrola ematen zion berriari.
GEMINIDat 0 -- erakusle bat uneko helbideraDat 99 -- erakusle bat helburu-helbideraMov @-2 @-1 -- kopiatu unekoa helbururaCmp -3 #9 -- programaren 10 lerroak kopiatuta? (begizta)Jmp 4 -- bai, utz ezazu begiztaAdd #1 -5 -- ez, eguneratu uneko helbideaAdd #1 -5 -- eta helburu-helbideaJmp -5 -- eta berriz begiztaraMov #99 93 -- helburu-helbide berriaJmp 93 -- egin jauzi helburuko kopiara
2.2 irudia
JOKUA
REDCODE
Ikertzaileen munduan ikaragarrizko ospea izan bazuen ere, Core Wars ezzen ezagutzera eman 1983. urtea arte. A.K. Dewney-k argitaratu zuen, etaprogramatzaile guztiak “izaki” horiekin saiakuntzak egitera bultzatu zituen.Hurrengo urtean, Scientific American aldizkariak programaren ezaugarriakargitaratu zituen.
“When the column about Core War appeared last May, ithad not occurred to me how serious a topic I was raising. Mydescriptions of machine-language programs, moving about inmemory and trying to destroy each other, struck a resonantchord. (A.K.Dewney)”
Esaldi horrekin hasi zuen A. K. Dewney-ek bigarren saioa,horrelako programa bat argitara emateak zer-nolako ondorioakizango zituen buruan zuelarik.
70 ETA 80KO HAMARKADAK
70. hamarkadaren bukaeran, Xerox ikerketa-zentroko bi langilek, John Socheta Jon Hupp-ek, sare informatikoak gauetan zaintzea helburu zuenprograma bat garatu zuten. Bere burua ugaltzeko gaitasuna zuen, eta,horrela, makinaz makina mugitzen zen; helburuaren prozesadorea geldirikaurkitzen bazuen, bere buruaren kopia bat bidaltzen zuen bertara. Hala,ordenagailu horren prozesadorea erabili egin zitekeen, denbora xahutzenegon beharrean. Baina PARCaren sareko makina guztietatik zabaldu zenprograma, eta haren ugalketa kontrolaezin bihurtu zen; azkenean, sarea etasarera konektatutako ordenagailu guztiak kolapsatu egin zituen. Programahorren ugalketa geldiarazteko eta programa bera ezabatzeko, besteprograma bat sortu behar izan zuten, ordenagailuz ordenagailu ugaltzenzena eta lehengo programa ezabatzen zuena.
Garai hartan ere Creeper izeneko harra sortu zuen Bob Thomas-ek. Harramakinaz makina “narrasten” zihoan, mezu bat erakutsiz, i’m the creeper…catch me if you can (herrestaria naiz… harrapa nazazu ahal baduzu). Horrenkontra, beste programatzaile batek Reeper izeneko programa sortu zuen,ugalketaren bidez Creeper harrak suntsitzen zituena.
��
2.2 KORAPILOA
Zergatik korapiloa, puntu honetan? Nork eta zerk definitzen du historiahonetan garai-aldaketa hau?
FRED COHEN
1985. urtean, Hego Kaliforniako unibertsitateko ikasle batek, Fred Cohen-ek,bi urte lehenago hasitako tesia bukatu zuen, haien burua bikoiztekogaitasuna zuten programei buruzkoa, hain zuzen. Han, birus informatikoarenlehen definizio akademiko moduan ezagutzen dena argitaratu zuen: “besteprograma bat kutsatzeko aukera duen programa; bere buruaren kopia, seguraski aldatua, barneratzen du programa hartan”.
Egia esateko, korapiloaren puntu hau hobeto ulertzeko, atzera jo beharkogenuke, 1983. urteko azaroaren 3ra, segurtasun informatikoari buruzkomintegi batean, esperimentu gisa, lehen birusa aurkeztu zen mementora,hain zuzen. VAX 11/750 batean UNIX exekutatzen 8 ordu eman behar izanzituzten, lehen birusaren proba prest egon zedin. Cohen-ek berak definituzuen kontzeptua eta Len Adleman-ek eman zion “birus” izena. Baina urtehorretako azaroaren 10a arte, baimenak lortu eta 5 esperimenturen ostean,ezin izan zen froga enpirikorik erakutsi.
Eman dezagun A algoritmo bat dugula, zeinak P aztertuostean “Egia” itzultzen duen baldin eta soilik baldin P birus batbada. Orduan P programa bat sor daiteke, zeinak (A(P)= “Faltsua”) erantzuten badu, sistema kutsa dezakeen eta(A(P)= ”Egia”) erantzunez gero, ez duen ezer kutsatzen. Hauda, A-k ezetz badio P birus bat da, eta A-k baietz badio, ez dabirusa. Kontraesanaren eraginez, ez dago A algoritmorik
Fred Cohen-ek bere tesian definitutako baieztapena: ezdago antibirus perfekturik.
Korapiloaren hasiera Fred Cohen-ek egindako birus-definizioari esleitzendiogu, baina, hemendik aurrera? Fred Cohen-ek definitutakoa egia bihurtukoal da? Hau da, birusen sorrera segurtasun informatikoarentzako arazorikhandiena eta larriena izango da?
��
HISTORIA
BRAIN
1986. urtean izan zen birus baten lehen eraso ezaguna, Pakistaneko Basiteta Amjads programatzaileek sortutakoa. Hasiera batean Ashar izenekoprograma kaltebera hedatu zuten, baina jatorrizko programa hori Brainbihurtu zuten programatzaileek bigarren bertsio batean. Brain programakantzinako 5,25 hazbeteko disketeak kutsatzen zituen. INT 13h, ah = 2 erabiliz(Software Interrupt agindua, kasu honetan, sarrera/irteera disketearenetenaldia), birus horrek bere burua gainidazten zuen abio-sektorearen clusterlibreetan, eta, gero, cluster horiek “txar” gisa identifikatzen zituen (pseudobad cluster). Disketearen bolumenaren etiketa-izena “(c)Brain” bezalaidazten zuen.
Norton Utilities editorearekin birus-kodearen barneanondokoa irakur zitekeen:
Ongietorri ziegara(c) 1986 Basit & Amjad (pvt) LtdBrain Computer ServicesNIZAN BLOCK ALLAMA IQBAL TOWNLahore, PakistanKontu izan birus honekinMilioika disketetara igorriko da
Kaltegarria ez bazen ere, abio-sektorea kutsatu eta ezkutatze-teknikak(stealth) erabiltzen zituen lehen birusa zelako egin zen ospetsua. Ezkutatze-teknikari esker, kutsatutako disketeak diskete normala zirudien, eta arrazoihorrengatik, besteak beste, ez zen ezagutzera eman hurrengo urtea arte.IBMk horren kontrako BrainStop txertoa garatu bazuen ere, arazoa konponzitekeen diskete garbi bat A unitatean sartu, kutsatutakoa B-n, eta A:\ SYS B:[Enter] sakatuz (agindu horrek sistemaren ezkutuko fitxategiak eta abio-sektorea berritzen ditu).
1987. URTEA, BENETAKO BIRUSEN DANTZA
Urte horretan, Charlie, Lehigh eta Friday 13th edo Jerusalem birusak agertuziren, eta horietatik eratorritako aldaera guztiak. Esan daiteke garai hartanhasi zela birus informatikoen dantza, benetako arriskua.
��
Charlie delako birusa, Vienna izenarekin ezagunagoa, ospetsua egin zenbere kodearen zati bat birusei buruzko liburu batean argitaratu zenean (RalfBurger-ek idatzitako Computer viruses: A High-Teach Disease liburuan).Kodea argitaratzeak ekarri zuen ikertzaileen eskuetan Vienna-ren aldaeraasko sortzea. Vienna ez zen birus egoiliarra, eta .com fitxategi kutsaerrazakkutsatzen zituen: 648 bytetan handitzen zituen, eta 8 fitxategitatik bat ezabatuegiten zuen. Hainbat aldaera izateak arazoak ekarri zizkien urte hartako“birus-sendatzaileei”. Oraindik ez zegoen heuristikarik, eta, antibirusek birusatopatu eta erauzi ahal izateko, birus beraren kodearen kopia izan beharzuten.
Vienna birusaren aldaera ugari ezagutzen dira, adibidez:Lisbon, Vienna. Violator, New Vienna, Viena-827
Garai hartako beste birus zabaldu bat Lehigh izan zen. Gerora ospe handiaizan bazuen ere, ez zen Lehigh-eko unibertsitatetik atera. Karga (birusaknahita egindako kaltea) goizegi adieraztea izan zen haren akatsa.Eskuliburuaren hurrengo kapituluan azalduko dugunez, payloada (edo karga)zenbat eta geroago askatu, orduan eta ugaltzeko aukera gehiago izango dutebirusek. Hasiera batean, memorian egoiliar ote zegoen aztertu, eta, hala ezbazen, INT 21h aginduarekin (DOS funtzioaren deia) bere burua egoiliarjartzen zuen. Gero, diskete bat sartu eta Command.com fitxategia kutsatugabe aurkitzean, zuzenean kutsatzen zuen, eta jatorrizko fitxategiaexekutatzen. Behin memorian egoiliar egonda, kutsatu egiten zituenexekutatzen ziren kutsatu gabeko fitxategi guztiak (EXE fitxategiak alde baterautziz). 555 bytetan handitzen zituen Command.com fitxategiak, eta, berebarneko kontagailuak 4 kutsatze zenbatzean, ezabatu egiten zuen disketea.
Garai hartan, oso ospetsua egin zen Jerusalem delakoa, edo horrenaldaera, Friday 13th. Sistemaren Ram memorian egoiliar ezkutatuta, 8h eta21h itxaroten zituen (erlojuaren eta DOSen etenaldiak, hurrenez hurren), eta,gero, etenaldien kontrola bereganatzen zuen. Behin kontrol hori izanda, .cometa .exe fitxategiak kutsatzen zituen (.com fitxategiak 1.792 bytetan handitzenzituen, eta .exe fitxategiak, 1.808tik 1.822ra byte bitartean). Kutsatutakofitxategia exekutatzen zen aldioro, 1.808 bytetan handitzen zuen bere burua,eta horrek izugarri moteltzen zuen makina (memoria urte haietan 640 kB-koazen, eta disko gogorra murritza, 20 edo 30 MB-koa, garai haietan). Mundu
��
HISTORIA
osoan zehar zabaldu zen, eta birus informatiko bati egotzitako lehen ikaraldiasortu zuen. Viennarekin gertatu zen bezala, Jerusalemen aldaera ugarizabaldu ziren: Arab Star, PLO, Black Box, Black Widow, Jeru.Roger, etab.
ARPANET-i ERASOA, MORRIS HARRA
1988. urtean ezagutu ziren lehen aldiz kontrolik gabeko software kaltegarribatek eragin zitzakeen ondorio larriak.
1988ko azaroaren 2an, Internetek (garai hartan oraindik, ARPAnet) sareguztia geldiarazi zuen eraso larria jasan zuen. Eraso honek sarerakonektatutako ordenagailuen memoria “jaten” zuen, eta, ondorioz,ordenagailu guztiak moteltzen zituen. Har bat izan zen horren guztiarenerrudun; 3 orduan, Estatu Batuetako ia sistema administratzaile guztiekezagutu zuten har hau. Ordu gutxiren buruan bazekiten harra postaelektroniko bidez heldu eta ugaldu zela, baina ordurako kutsatuta zeudenunibertsitate eta erakunde zientifiko askoren ordenagailu anitz: NASA, MIT(Massachusetts Institute of Technology), Adimen Artifizialeko laborategia etaIpar Amerikako defentsa-sailaren sarea (MILNET), adibidez.
Morris harrak Interneteko sare guztian izan zuen eragina, eta huragelditzeko konponbideak egun batzuen buruan heldu ziren. Harra erauzteakmilioi bat dolar baino gehiagoko gastua ekarri zuen, sarearen kolapsoakekarririko diru-galerak kontuan izan gabe.
Harrak Sendmail posta elektronikoko kudeatzaileei erasotzen zien, eta,ordenagailuz ordenagailu dabiltzan berezko mezuekin batera, harrabidaltzeko aukera ematen zuen programazio-akats batez baliatzen zen.Datuei kalterik eragiten ez ziela ere jakinarazi zen. Berkeley-ko teknikariekakats hori konpontzen zuen adabaki bat sortu zuten, kutsatzea behingozkonpontzen zuena.
Azkenean, atxilotu egin zuten harraren egilea: Robert Tappan Morris,lehen aipatutako Core Wars famatuaren hiru egileetariko baten, RobertMorrisen, semea. Robert T. Morris Hardvard-eko 23 urteko graduatua zen;errua bereganatu eta “akats katastrofiko” moduan kalifikatu zuen bere lana.Gaur egun, Massachusetts-eko teknologia-institutuan dago irakasle-lanetan.
�
�
HISTORIA
MORRIS HARRA
Hau da Morris harraren eraso-motorraren egitura. Helburu-makinaren pasahitzaasmatzea 4. urratseko ibilbidean banatzen da:
� Zero urratsean “/.rhosts”, “/etc/hosts.equiv” eta “/etc/passwd” fitxategiakirakurtzen ditu, helburu-makinak eta pasahitza zifratuak topatu nahian.
� Lehenengoan, erabiltzaile bakoitzeko hainbat pasahitz logiko aukeratzen ditu;zifratu eta “/etc/passwd”-an topatutakoekin alderatzen ditu. Behin saiakera haueginda, hurrengo urratsera doa.
� Bigarren urratsean, birus-kodearen barnean dagoen hitz-zerrenda batetik hitzakbanan bana hartzen joango da (adibidez, commrades computer condo cookiecooper cornelius couscous creation creosote cretin daemon dancer daniel dannydave december defoe deluge desperate develop dieter digital discovery disneydog drought). Gero, hitz horrekin lehenengo urratsean bezala lan egingo du, etapasswd fitxategian aurkitutakoekin alderatuko du. Zerrendako hitzak bukatzean,hurrengo urratsera joango da.
Interface-taula
if_init
Helbide-taula
rt_init
/.rhosts
0 Urratsa
/etc/hosts.equiv
/etc/passwd
1. urratsa
2. urratsa
3. urratsa
Logikaz asmatutakoak
Barneko hitzak
usr/dict/words
Erabiltzaile-izenen
zerrenda
Asmatutakopasahitzak
Helburuenzerrenda
Fingertresnaren
erasoa
/.Forward /.rhosts
rexectresnaren
erasoaSMTP tresnaren
erasoarsh tresnaren
erasoa
waithit(itxaron kutsatutako bezeroak erantzun dezan)
Morris harrak informatika-enpresetan argi gorria pizteko balio izan zuen.Informatika-enpresek noizbait konturatu behar zuten zerbait egin behar zelaarazo horien kontra. Izurritearen kontrako gudak hasi behar zuen. Antibirusenjaiotza 1988-1989 urteetan kokatzen da.
MUNDUAREN KONTZIENTZIAZIOA
Urte hauetan (1988-1989), birusen erasoez babesteko beharraz jabetu zirenindustria informatikoak. Eraso horiek publiko egiten hasi zirenean, erabiltzaileeta enpresa gehienen artean ikara zabaldu zen. Eraso horien aurkaordenagailuak babesteko adituak agertu ziren orduan. Birusen kontrakosegurtasun-aholkulari moduan eskaintzen zituzten beren zerbitzuak, etabirusak aurkitu eta suntsitzeko aukera ematen zuten programak saltzenzituzten. Antibirusen industriaren jaiotza zen.
Urte hartan IBM konpainia konturatu zen kontuan hartu behar izangozuela birusen arazoa. IBMk berak Cascade birusaren agerraldia pairatubehar izan zuen bere instalazioetan, eta bezeroei kutsatuak izan zirelajakinaraztearen behar deserosoaren aurrean aurkitu zuen bere burua.
��
2.3 irudia
� Hirugarren urratsean, “usr/dict/words” fitxategiko (24.474 hitzez osatutako UNIXsistema batzuen barne-hiztegiko) hitzekin lan egingo du. Oraingoan ere, bigarrenurratsean bezala, hitzez hitz joango da, zifratuz eta konparatuz.
Bitartean, “if_init” eta “rt_init” errutinak exekutatzen dira. Lehenak interfazeenlan-sareko matrizea aztertzen du, eta bigarrenak “netstat -r -s” azpirrutina gisaexekutatzen du, helburu-makinen bila. Behin lortu duenean, erasoak datoz. 4 erasomota exekutatzen ditu:
� Finger erasoa: TCP 79. atakatik, helburu-makinaren finger aginduaren atakatik,sartzen saiatzen da.
� SMTP erasoa: TCP 25 atakatik, Sendmail deabruaren zuloa erabili nahian.
� rsh erasoa: rsh agindu bitarra helburuko makinan exekutatzen saiatzen da,honako hiru izen hauekin: “/usr/ucb/rsh”, “/usr/bin/rsh” eta “/bin/rsh”.Horietariko bat suertatzen bada, bi ordenagailuen arteko konexioarensinkronizazioa eman dadin saiatzen da 30 segundoz.
� Rexec erasoa: rsh erasoaren antzera, urruneko konexioa erabiltzen du, bainaprogramentzat egituratua. Behin konektatu denean, erabiltzailea, pasahitza eta“/bin/sh”-a (UNIXen erabiltzaile moduan sartzeko Shell-a) bidaltzen dituexekutatzeko.
Memento hartatik aurrera, birusei buruzko guztiaren arduradun bihurtu zenIBMko High Integrity Laboratory-a.
Orduz geroztik, birusak atzemateko eta erauzteko tresnak garatzen hasiziren, eta, hala, CVIA jaio zen (Computer Virus Industry Association).Erakunde horren lan egokia zela eta, birus-sortzaileek ahalegin berezia eginbehar izan zuten, haien maisulanak detektatuak izan ez zitezen.
1989an agertu ziren lehen antibirus heuristikoak: birus ezagunakatzemateaz gain, etorkizunean sortuko diren eta txantiloi susmagarriakexekutatuko dituztenak ere detektatzeko gaitasuna duten birusak dira.Berrikuntza horren kontra, ezkutatze modu berriak erabiltzen zituzten birusaksortu ziren, full stealth modukoak. Gainera, kutsatzeko abiadura bizkortzealortu zuten, exekutatutako fitxategiez gain irekitakoak ere kutsatuz. Garaihorretako adibide esanguratsuenak eta tunneling erabiltzen zuten lehenbirusak hauek izan ziren: Antictne, Telefonica ezizenez ezaguna (munduosoan hedatu zen Espainiako lehen birusa), edo 4096 (FRODO ezizenezezaguna).
Baina birus-egileak, normala zenez, ez ziren besoak gurutzatuta geratu,haien maisulanen erauzketa nola gertatzen zen begira. Hurrengo urteetan,beraz, garapen azkarra izango dugu. Kutsatze eta ezkutatze modu berriaksortu eta antibirusen aurkako guda hasiko da.
GARAPEN LUZE BATEN LEHEN URRATSAK
“Bulgariako faktoria” izenez ezagutu zena ere garai honetan sortu zen (1989-1990); faktoria horretatik etorritako birusen kantitateari eta kalitateari eskeregin zen batez ere ezaguna. Aipagarriak dira, besteak beste, BulgariakoFaktoriako kideek garatutako Eddie, Nomenklatura, the Number of the Beastedo Dark Avenger software kaltegarriak. Horrez gain, haien kodea BBSan(Bulletin Board System) eransten zuten, shareware antibirusak kutsatzenzituzten eta birus-erasoetan kode-iturburua barneratzen zuten, aditu berriakegiteko helburuarekin.
Bulgariako faktoria garrantzitsua izan bazen ere, urte hori aregarrantzitsuagoa izan zen lehen birus polimorfikoa sortu zelako. DarkAvenger ezizenez ezagututako programatzaile bulgariarrak ezizen berekobirusa sortu zuen. Com, exe eta ovl laburdurez bukatutako fitxategiak ziztu
��
HISTORIA
bizian kutsatzen zituen, eta oraindik ere kutsatzen ditu, Command.comfitxategia barne. Behin fitxategi bat exekutatzen denean, exekutatutakofitxategiari eta harekin erlazionatutako guztiei kodea barneratzen die;direktorio bereko programa guztiei, adibidez. Gainera, birus honen kontrakosendagaia agertuko zela aurreikusiz, birusak fitxategietan barneratzen dituen1.800 bytez aparte, disko-sektore batean edo gehiagotan beremikrokodearen 512 byte gehiago idazten ditu ausaz, stealth teknika(ezkutaketa) erabiliz. 1990-1991 urteetan birus honen kontrako konponbideaaurkitu zen, baina, 512 byte horiek ugaltzeko metodo polimorfikoa erabiltzendutenez, ez ziren ezabatzen, eta mezu hau pantailaratzen zuten: “Eddie stilllives, some place in the world…” (Eddie-k bizirik dirau, munduko lekurenbatean…). Orduko erabiltzaile kutsatuek formateatzea zuten birus honenkontrako irtenbide bakarra.
1991n birus-adituentzako izugarrizko laguntza sortu zen. Urte horretan,birusak egiteko lehen tresna sortu zen: Nowhere Man-ek sortutako VCL(Virus Creation Laboratory), eta, aurrerago, Dark Angel-en, Phalcon/SkismMassProduced Code Generator. Tresna horiek birus bat sortzeko erraztasunhandiak ematen zizkioten informatikan aditua zen edozeini. Hori dela eta,hilabete gutxian hamaika birus berri agertu zen.
Birusaren sortzaileak VCL programaren bidez zer birus motasortuko duen edo birusa exekutatzean zer payload sortuko denerabaki dezake, besteak beste, betiere ezaugarri komun batzukkontuan izanda:
� Ez dira memorian egoiliar izango.� Fitxategi bat kutsatzean, erro-direktorioa edota
fitxategiaren direktorioa bera aztertzen dute.� Com fitxategietara eransten dira, com fitxategi berri bat
sortzen dute edo com edo exe gainidazten dute
1992. urtean, gauza berri asko gertatu ziren bat-batean. Urtarrilean, DarkAvenger-en Self Mutating Engine (MtE) agertu zen. Hasiera batean, MtEhorrekin topo egin zutenek pentsatu zuten Dedicated izeneko birus berri batzela, baina, gero, benetako birusa zen MtE azaldu zen. Obj fitxategi batenmoduan ageri zen, birus arrunt baten kodearekin, zifratze-metodoa berehalafrogatzeko aukera emateko. Berehala, antibirus-sortzaileen enpresek MtEa
��
detektatzeko softwarea egiten hasi ziren, baina birus-egileak laster konturatuziren MtE bat aurkitzeko balio zuen detektagailuak edozein birus aurkitzekoere balioko zuela. MtEari Commander Bomber-ak jarraitu zion; hori ere, DarkAvenger-ena. Commander-aren aurretik birus bat zein fitxategitan ezkutatutazegoen antzematea erraza zen, eta antibirus-enpresek bide hori erabili zuten.Baina Commander Bomber-ak egoera hori aldatu zuen: Ordutik aurrera,birusa aurkitzeko, fitxategi guztiak arakatzera edo kode guztia aztertzerabehartzen zuen birus-eskanerrak. Baina ez ziren bakarrak izango; Horrenadibide dira hurrengo urtean Holandatik etorritako Trident taldeak egindakoTPEa (Trident Polymorfic Engine) bere Girafe birusarekin batera, edo DarkAngel-en DAMEa (Dark Angel’s Multiple Encryptor Device) bere Triggerbirusarekin batera.
Gaur egun, Mutating Engine edo motor mutatzailehorietatik arazorik gabe babestu gaitezke antibirus egoki baterabiliz, garai batean ikara eta arrisku ugari sortu bazuten ere.
Hainbeste pakete polimorfiko izateak konponbide bat behar zuen.Fitxategi susmagarri baten kodea deszifratzen zuen GDEa (GenericDecoding Engine) izan zen irtenbide hori. Aginduak makina-hizkuntzanemulatzen zituen tresna zen, birusaren zifratze-kodea jakin gabe birusadeszifratzeko gaitasuna eskuratzen zuena. Horrek alarma faltsuen arriskuaekiditen zuen, behin kodea ikusi denean askoz errazagoa baita birusa den alaez asmatzea.
Software kaltegarriei dagokienez, 1992. urtea ospe handikoa izan zenMichelangelo birusa zela eta. Estatu Batuetako antibirus-saltzaileezagunenetariko batek abisua eman zuen: “aurtengo martxoaren 6an bostmilioi PC inguru eror daitezke”. Horietatik 5.000k besterik ez zuten arazorikizan. Michelangelo ez zen birus bortitzegia, baina, prentsaren eraginez,munduan zehar ikara zabaldu zen, eta erabiltzaileek birusen arriskuenkontzientzia hartu zuten.
Michelangelo birusa abio-birus bat zen, Stoned birusaren aldaera bat,sistema bat kutsatzean lehenengo 17 sektoreak gainidazten zituen, etaMBRa (Master Boot Record) disko gogorraren 0 aldera, 0 zilindrora eta 7sektorera mugitzen zuen, benetako MBRaren lekuan birusaren kodea jarriz.
��
HISTORIA
Abio-sektorea kutsatzeaz gain MBRa ordezkatzen zuenez, 512 byteko birushonek aurrejarritako datan ezgaitzen zituen disko gogorrak.
Garai hartan Vx scene deritzonean (adituek birusen munduari jarritakoizena) zebiltzanek bi lehia har zitzaketen irabazitzat: 1993. urtearen hasieranXTREE enpresa, antibirus-softwareen egilea, baztertu egin zen merkatutik,eta hurrengo urtearen hasieran Central Point Software-k, CPAV famatuarensortzaileak, amore ematea erabaki zuen.
1993. urtean Microsoft-ek, CPAVaren aldaera bat zenMSAVa (Microsoft Anti-Virus) sartu zuen MS-DOS 6.0bertsioan. Geroago, Symantec enpresak (gaur egun Nortonantibirusaren jabea) CPAV erosi zuen. Aldi berean, Windows95a ateratzean, MSAV desagertu egin zen eguneraketa-politikatxar bat jarraitu zelako.
Baina egoera ezin larriagoa zela pentsatzen zenean, antibirus-enpresekamore ematea erabaki zuten bitartean birusak geroz eta hedatuagoak,ugariagoak eta bortitzagoak ziren garaian… Internet zabaltzen da mundura.Berrikuntza horrek ekarri zuen arrisku berriei beste ate bat zabaltzea.
INTERNETEN HAZKUNTZA
Estatu Batuetan 1994. urtean ezagutu zen Internet eta, urte pare batenburuan, ia mundu osoan. Horrekin ateak izugarri ireki zitzaizkien birus-sortzaileei. Lehendabizi, sortzaileek informazio guztia eskuragarri dutelako;bigarren, beste programatzaile batekin kontaktuan jartzeko erraztasunadutelako, eta, azkenik, haien maisulanak hedatzeko merkatua izugarrizabaltzen delako. Gaur egun ere, posta elektronikoa da seguruenik birusakzabaltzeko biderik errazena eta erabiliena, baina beste bide asko ere daude,hala nola berri-taldeak. Berri-talde horietan irakurleek erantsitako fitxategiakdituzten mezuak irakur daitezke. Erantsitako fitxategi horiek kutsatzeziurraren iturburu dira, eta, zabaltze-metodoa dela eta (berri-taldea edoposta-zerrenda), irakurtzeko edo zabaltzeko aukera handia dago.
1995. urtean, birus kontzeptu berria sortu zen Windows 95arekin batera:makroen birusak (Mac ordenagailuentzat bazeuden jadanik). Birusenmundua guztiz aldarazi zuten. Abio-sektorearen birusek eraginkortasuna
��
galdu zuten, baina Windows 95 eta Office 4.2ak makroen birusak sortzekobidea ireki zuten. Birus horiek pakete ofimatikoen programen komandoenhizkuntza erabiliz datuen fitxategiak (lehen kutsaezinak zirenak) kutsatzekogaitasuna eskuratu zuten. Concept izan zen Word-en lehen birus ezaguna;gero, Word 97 garatu zen. Laroux birusa, bestalde, Excel makroak erabiltzenzituen lehena izan zen.
Normal.dot fitxategiaren txantiloian instalatutako makroezezagunak (AAAZAO, AAAZFS, PayLoad, AutoOpen, etab)agertzea da makro-birus batek kutsatu gaituelako seinalearruntenetariko bat.
Aipagarria da 1996an Linux sistema eragilearen lehen birusa agertuizana: Staog. Urte hauetan (1995-1996) Espainiako faktoria hasi zen lanean,Dark Node izeneko BBSa sortu eta 29A taldea eratu zuten; Vx scene-nbirusak egiten eta biltzen jarraitzen duten gutxienetarikoak dira gaur egun.(horiei buruzko informazio gehiago web orri honetan: http://29a.host.sk/)
1998. urtean, garai hartan pentsaezina zen birus bat agertu zen.Hardwarea kaltetzeko aukera zuen birus bat zen, eta CIH edo Chernobylizenez egin zen ezaguna. Birus horrek 32 biteko Windows 95/98koexekutagarri guztiak kutsatzeko gaitasuna du. Exekutatu bada, memorianegoiliar geratzeko eta kopiatutako edo exekutatutako fitxategi guztiakkutsatzeko ahalmena du. Fitxategien espazio librea bere kode kaltegarriabarneratzeko erabiltzen duenez, kutsatutako fitxategiak oinarrizko tamainaberarekin uzten ditu birus honek. Baina FLASH BIOSak (gainidazteko aukeraduten BIOSak) gainidazteko aukera da birus horren berezitasun nagusia; horiegitean kutsatutakoen makinen BIOSa aldatzera behartzen zen. Ezaugarrihorrek mundu osoaren arreta erakarri zuen.
Urte honetako eta hurrengo urteko berrikuntzak software kaltegarriakegiteko erabilitako hizkuntzari eta kutsatzeko fitxategiei dagozkie. Accesskutsatzen zuen lehen birusa agertu zen: AccessiV; eta Java hizkuntzanegindako lehena ere: Strange Brew. Azken hori ez zen oso ospetsua egin,ezta oso hedatua ere, baldintza berezi batzuetan bakarrik ugaltzeko gaizelako.
��
HISTORIA
Dena ikusia eta gehiena asmatuta zegoela pentsatzen genuenean,hirugarren belaunaldiko birusak agertu ziren: Interneteko birusak deitzenditugunak.
HIRUGARREN BELAUNALDIA
1999. urtean “hirugarren belaunaldiko” birusak agertu ziren. Lehenbelaunaldia, ohiko birusena; bigarrena, makroen birusena, eta azken hau,hirugarrena, Interneteko birusena: Interneten bidaiatzeko gaitasuna dutenbirusak, sareen baliabide guztiak “lehertzeko” diseinatuak. Melissa, Happy99
��
MSBLAST.EXE
Posta elektronikoa erabiltzen ez duen birusa dugu MSBLAST, edo Blaster ezizenezezagunagoa dena. Behin makina batean sartu denean, kutsatuta dagoen egiaztatuostean, noski, honako pauso hauek ematen ditu:
� IP helbidearen helburuan RPC interfazeak zeukan ahultasuna bilatzen du harrak,hau da, bufferraren gainezkatzea behartu daiteke.
� Aukera hau badago, urruneko saio bat jaurti eta erasoa jasango duenordenagailuaren TCP 4444 edo TCP 135 atakatik eraso-makinaren UDP 69atakara konexio bat irekitzera behartuko du.
� Behin konexioa irekita dagoenean, erasotako ordenagailuan TFTPtik (Trivial FileTransfer Protocol) harraren kopia bat deskargarazten du, horretarako harrak berakdaukan TFTP zerbitzari bat erabiliz.
� Behin makina berriaren barnean dagoela, urruneko exekuzioa behartuko du.Helbururik garrantzitsuena zen windowsupdate.com orrialdea DoS (Zerbitzuenukapena) erabiliz erasotzea, baina, programazio-akats baten erruz, ez zen inoizhorrelakorik gertatu.
Blaster Helburu IPRFC Interfazearen buferraren gainezkatzea?
Bai
TFTP-tik MSBLAST.EXE
Konexioa ireki (TCP 4444,135 atakatik UDP 69 atakara)
Helburua
Ez
Helburua
Ez
Helburua
Ez
2.4 irudia
