V p°edchozφ Φßsti Φlßnku jsme poukßzaly na to, ₧e prioritou ·sp∞ÜnΘho Φerva je jeho rychlost Üφ°enφ! Ambici≤znφ pisatel Φerv∙ se tedy zajφmß jak by donutil svΘho Φerva aby byl opravdu rychl², tak rychl², aby byl rychlejÜφ ne₧ distribuce antivirov²ch definic, a tak rychl², aby byl schopen ₧ivota a jeÜt∞ n∞co oÜklivΘho vyvßd∞l? Podφvejme se tedy hloub∞ji na to, jak takov² rychl² Φerv m∙₧e v praxi pracovat... .

Nejv∞tÜφm problΘmem, kter² siln∞ infekΦnφ Φerv musφ vy°eÜit, je poΦßteΦnφ populace potomk∙, kterß provede rychl² ·tok. P°esto₧e vyhledßvßnφ dalÜφch napadnuteln²ch host∙ mß exponencißlnφ slo₧itost, je poΦßteΦnφ fßze infekcφ dosti pomalß a Φas infekce prvnφch 10 000 poΦφtaΦ∙ je dominantnφ pro celou dobu infekce (... jak ostatn∞ ukazuje nßzorn² graf Üφ°enφ Φerva CodeRed).

Existuje jednoduchß cesta, jak tento problΘm obejφt a v²razn∞ tak zkrßtit ΦasovΘ podmφnky û tou cestou je skenovßnφ s p°ipraven²m seznamem potencißlnφch hostitel∙. Dlouho p°edtφm ne₧ autor Φerva vypustφ do sφt∞, posbφrß si p°edem informace °ekn∞me od 10 000 do 50 000 napadnuteln²ch poΦφtaΦ∙ s dobr²m sφ¥ov²m p°ipojenφm.
╚erv, uvoln∞n² na poΦßteΦnφ stroj na tomto seznamu, zaΦφnß skenovßnφ dol∙ skrz cel²m seznamem. Kdy₧ nakazφ dalÜφ stroj, rozd∞lφ seznam v polovin∞, p°edß jednu polovinu novΘmu p°φjemci, a zßrove≥ si udr₧uje druhou polovinu. Toto rychlΘ d∞lenφ zajiÜ¥uje, ₧e i kdyby jenom 10-20 % vÜech poΦφtaΦ∙ na seznamu bylo opravdu infikovateln²ch, Warhol∙v Φerv projde cel²m seznamem a zajistφ svoje nakopφrovßnφ na vÜechny zranitelnΘ poΦφtaΦe v Φase pod jednu minutu. A p°esto₧e poΦßteΦnφ seznam m∙₧e mφt velikost okolo 200 kB, je jeho velikost s ka₧dou dalÜφ infekcφ sra₧ena na minimum.

Te∩ si asi v∞tÜina z Vßs °ekne, ₧e je to sice p∞knΘ, ale takov² seznam vytvo°it m∙₧e b²t dosti pracnΘ, a takΘ neefektivnφ. To nenφ tak docela pravda, ·toΦnφk mß velmi mnoho mo₧nostφ, jak takovΘ poΦßteΦnφ podmφnky zajistit nap°φklad pomal²m oskenovßnφm. Na webov²ch strßnkßch skriptem, nebo Φφmkoliv jin²m. S tφmto pomal²m skenovßnφm se p°ece ka₧d² z administrßtor∙ setkßvß skoro denn∞ v log souborech svΘho firewallu.

P°esto₧e nßhodnΘ skenovßnφ je metoda na zaΦßtku velmi efektivnφ, zaΦφnß pomalu umφrat na tom, jak jde poΦet dosud neinfikovan²ch poΦφtaΦ∙ dol∙. Toto utichßnφ m∙₧e b²t zredukovßno za pou₧itφ permutaΦnφho skenovßnφ. V permutaΦnφm skenu infikovan² stroj odpovφdß jinak ne₧ potencißlnφ nov² cφl, je to cesta °φkajφcφ skenujφcφmu Φervu, ₧e stroj je ji₧ infikovan². Toto nejen zabra≥uje zbyteΦnΘ znovuinfikekci, ale m∙₧e to b²t pou₧ito jako koordinace Φerva.

V permutaΦnφm skenu, vÜichni Φervi sdφlφ spoleΦn² pseudo nßhodnou permutaci IP rozsahu adres. Takovß permutace m∙₧e b²t vygenerovßna za pou₧itφ jakΘkoliv blokovΘ Üifry s 32bitov²m p°edvolen²m klφΦem. Co₧ se v praxi projevφ tak, ₧e Φerv, kter² se na hostitelsk² poΦφtaΦ dostal pomocφ p°edchozφ fßze infekce za pou₧itφ p°ipravenΘho seznamu, zaΦne vyhledßvat potencißln∞ napadnutelnΘ poΦφtaΦe za pou₧itφ novΘ metody û tedy permutaΦnφho skenu. Jakmile ale nalezne stanici, kterß ji₧ infikovßna byla, zm∞nφ nßhodn∞ poΦßteΦnφ podmφnky v permutaΦnφm skenu a zaΦne znovu s novou nßhodnou permutacφ
SmφÜenφm permutaΦnφho skenovanφ s metodou "d∞lenφm na p∙l", kterß byla popsßna v p°edchozφ Φßsti, se dosßhne obrovskΘ rychlosti vyhledßvßnφ nov²ch potencißln∞ napadnuteln²ch poΦφtaΦ∙ (... tak, jak ukazuje obrßzek).

Pan Nicolas Weaver na zßklad∞ t∞chto hypotΘz vytvo°il simulaΦnφ program, kter² m∞l ukßzat rychlost Üφ°enφ takovΘho programu. V²sledek ukßzal, ₧e pro jeden milion zraniteln²ch poΦφtaΦ∙ se skupinou p°eddefinovan²ch 10 000 zraniteln²ch poΦφtaΦ∙ na poΦßteΦnφm seznamu, kterΘ budou naka₧eny za dobu p°esn∞ jednΘ minuty se 100 skeny za sekundu a jednou sekundou na infekci novΘho hostitele (... vzpome≥te si na zaΦßtek Φlßnku), bude mili≤n zraniteln²ch systΘm∙ naka₧eno v 99 % za dobu 6 minut a 30 vte°in!

To je vskutku ohromujφcφ rychlost û a vezm∞me v potaz, ₧e je zde obrovskß cφlovß skupina napadnuteln²ch poΦφtaΦ∙, ₧e se nejednß pouze o matematickou nebo laboratornφ simulaci. Existuje hromada dob°e napadnuteln²ch cφlov²ch program∙: MS Exchange, MS IIS, n∞kterΘ P2P programy, chat programy nebo samotnΘ operaΦnφ systΘmy. Nov∞ objevenΘ bezpeΦnostnφ dφry na t∞chto programech mohou zp∙sobit vznik prßv∞ takto vysoce naka₧liv²ch Φerv∙.

V∙bec nejlepÜφho v²sledku bychom s takov²m potencißlnφm Φervem dosßhli, pokud bychom nepou₧ili pouze jednu zneu₧itelnou bezpeΦnostnφ dφru v jednom programu, ale pokud bychom pou₧ili metodu zam∞°ujφcφ se na vφcero program∙ a vφcero bezpeΦnostnφch d∞r najednou. Pak bychom mluvili a vlastn∞ ji₧ mluvφme o tzv. multimode wormech. A proΦ u₧ mluvφme?
Proto₧e jeden takov² u₧ tady p°ece jen je û je nφm Nimda. Tento virus se byl schopen Üφ°it e-mailem (... jako nap°. BadTrans), p°es webovΘ servery (... jako nap°. CodeRed) nebo p°es souborovß sdφlenφ (... jako nap°. FunLove). A snad nemusφme p°ipomφnat, jakΘ nßsledky nßm Nimda p°inesla a jak rychle a jak dlouho se dokßzal tento internetov² Φerv Üφ°it.

Pokud by n∞kdo cht∞l b²t opravdu d∙sledn², mohl by do naÜeho novΘho a vysocenaka₧livΘho programu umφstit zadnφ vrßtka, jako nap°φklad ta, co byla umφst∞na v Φervu Slapper. Pomocφ takov²ch vrßtek by bylo mo₧nΘ po dokonΦenφ infekce stanic, °ekn∞me 20 minut po spuÜt∞nφ Φerva, spustit DDoS ·tok na n∞jak² d∙le₧it² server nebo skupinu server∙. ZajφmavΘ by bylo, kdyby cφlem DDoS ·toku byly rootovskΘ servery systΘmu DNS v internetu. Pokud by takov² ·tok byl ·sp∞Ün², byly by to obrovsk² problΘm. V nejhorÜφch p°edstavßch by se internet, kter² je dnes na systΘmu DNS zcela zßvisl², na n∞jakou dobu (... dn∙ nebo t²dn∙) stal zcela nefunkΦnφm.

To jsou dosti neradostnΘ vyhlφdky a co se t²Φe obrany proti takovΘmu ·toku, budeme znovu a znovu mluvit o vÜeobecn∞ znßm²ch v∞cech: bezpeΦnost jako zßklad systΘmu, rozumnß nastavenφ a rozmanitost prost°edφ. Jenom₧e toto v ÜirokΘm pojetφ internetu s miliony p°ipojen²ch stanic v r∙znΘm stßdiu zabezpeΦenφ nebo nezabezpeΦenφ, prost∞ nem∙₧e projφt.

P°esto₧e vysoce virulentnφ program s destrukΦnφ nebo ochromujφcφ rutinou je lßkav²m cφlem pro pisatele, nenφ naÜt∞stφ v praxi tato myÜlenka dovedena v opravdov² program. To proto, ₧e slo₧itost zdrojovΘho k≤du a nßroky na matematickΘ a jinΘ znalosti kladenΘ na pisatele, jsou naÜt∞stφ p°φliÜ vysokΘ.

Dlu₧no podotknout, ₧e rychlejÜφ p°echod na novou verzi protokolu IPv6 by riziko vzniku Φerv∙ zalo₧en²ch na permutaΦnφch skenech znaΦn∞ snφ₧ilo, proto₧e IP adresnφ rozsahy pro permutaΦnφ skeny by byly p°φliÜ velkΘ a vytvß°enφ vÜech mo₧n²ch kombinacφ by zabralo opravdu hodn∞ Φasu. Pravd∞podobn∞ nejd∙le₧it∞jÜφm obran²m prvkem proti takovΘmu typu Φerva je dob°e a citliv∞ nastaven² firewall na vstupnφ brßn∞ a systΘm personßlnφch firewall∙ na poΦφtaΦφch ve vnit°nφch sφtφch.

Zßv∞rem lze °φci, ₧e Φerv, jako Ükodliv² k≤d p°edstavuje vß₧nΘ ohro₧enφ pro homogennφ, siln∞ propojenΘ sφt∞. Prßv∞ proto i v podstat∞ velmi vlφdnΘ a pomalΘ programy jako SirCam nebo CodeRed dokßzaly nad∞lat velkΘ Ükody. Vytvo°enφ hyper virulentnφho programu, kter² se Üφ°φ rychleji ne₧ dokß₧φ lidΘ zareagovat a porozum∞t tomu, co se stalo, m∙₧e znamenat ochromenφ, nebo zastavenφ internetu nebo zniΦenφ terabajt∙ a terabajt∙ dat na posti₧en²ch poΦφtaΦφch. Mßme se tedy v budoucnu Φeho bßt?! Zamyslete se nad tφm, kdy₧ vylepÜujete nebo stavφte bezpeΦnost VaÜφ poΦφtaΦovΘ sφt∞.