Περισσότερα για τον Conficker

Παρατηρώ πως τα κείμενα που γράφονται για το τι πιθανολογείται να συμβεί την 1η Απριλίου απο την ωρολογιακή βόμβα που λέγεται Conficker, να αυξάνονται συνεχώς. Ενδιαφέρον έχει το κείμενο της Ellen Messmer του PC World, η οποία συγκέντρωσε γνώμες ειδικών Ασφαλείας.

Για όποιον διαβάσει τις αντικρουόμενες απόψεις των ειδικών επάνω στο ζήτημα του «τι πρόκειται να συμβεί» την πρώτη Απριλίου, θα καταλλήξει στο συμπέρασμα πως το θέμα είναι αρκετά σοβαρό.

Πρώτη φορά, υπάρχει τέτοια διχογνωμία μεταξύ ειδικών σε ζήτημα κακόβουλου λογισμικού. Πράγμα που αποδεικνύει πως πρόκειται περι υποθέσεων και όχι τελεσίδικων θέσεων.

Σύμφωνα με τα λεγόμενα ενος απο τους ειδικούς, το reverse engineering που έγινε στον Conficker.C αποκάλυψε πως έχει επενδυθεί «an insane amount of effort in engineering this».

Σήμερα λοιπόν, σκέφθηκα το εξής άβολο σενάριο. Εαν υποθέσουμε πως υπάρχει η δυνατότητα, η τεχνογνωσία και η χρηματοδότηση (κρατική;), ταχύτατης εξέλιξης του worm, τότε ίσως την 1η Απριλίου οι δημιουργοί έχουν απλά σαν στόχο την εκθέτικη μεγέθυνση του αριθμού των μολυσμένων υπολογιστών ωστε να βελτιώσουν τη θέση τους στον πόλεμο που έχει ξεκινήσει.

Το σκεπτικό μου είναι το εξής:

Εαν υπάρχει η δυνατότητα δέσμευσης ενος botnet κάποιου ικανού μεγέθους όπως τώρα, αυξάνεται δραματικά η ευκολία exploitation νεοανακαλυφθέντων κενών ασφαλείας και συνεπακόλουθα η ταχύτατη εξάπλωση του ίδιου του ιού σε μόνιμη και σταθερή βάση.

Κενά ασφαλείας, ανακαλύπτονται καθημερινά και συνεχώς, τα οποία πολλές φορές κρατούνται μυστικά μέχρι να υπάρξει το ανάλογο αντίμετρο. Εαν θεωρήσουμε πως οι άνθρωποι που χειρίζονται τον Conficker.C, έχουν στο δυναμικό τους κάποιους αναλυτές ασφαλείας, τότε ενα και μόνο κενό ασφαλείας (που δεν γνωρίζουν ούτε οι εταιρίες security ακόμα) θα μπορούσε να κάνει τεράστια ζημιά!

Αν την πρωταπριλιά, ο ιός κατεβάσει ως Payload ενα νέο vulnerability scanner με ενα «ολόφρεσκο» κενό ασφαλείας και αρχίσει την μαζική επίθεση εναντίον μη μολυσμένων υπολογιστών, μπορούμε κάλλιστα να μιλάμε για «πυρηνική έκρηξη στο διαδύκτιο».  Τα συστήματα που δεν διαθέτουν ικανή προστασία απο άγνωστες απειλές (behavioral analysis security, HIPS κλπ) θα μολυνθούν.

Εαν μάλιστα βελτιωθεί και η χρήση επιθέσεων εντός τοπικών δικτύων (μέσα απο το firewall), τότε μιλάμε για μια εκθετική άνοδο των μολυσμένων υπολογιστών σε διάστημα μερικών ωρών…

Αν και ακούγομαι υπερβολικός, δεν αποκλείω στα άμμεσα πλάνα των δημιουργών (λέγεται πως είναι Ρώσοι ή Ουκρανοί) να είναι ενα μαζικό χτύπημα στο ίδιο το διαδύκτιο, ως προκαταρκτική εκπαίδευση στις μελλοντικές online μάχες μεταξύ χωρών.

Σήμερα εξάλλου ανακοινώθηκε πως η Κίνα χρησιμοποιούσε το λεγόμενο GhostNet για κυβερνητική κατασκοπία εναντίον κυρίως στον Δαλάϊ Λάμα και τα φιλικά προσκείμενα κράτη, κάτι που βέβαια η κυβέρνηση της Κίνας αρνείται.

Όπως και να έχει, οι πολίτες του διαδυκτίου, θα βρίσκονται θέλοντας και μη, μέσα στα θέρετρα των μελλοντικών TCP/IP πολέμων.