Nuo gegužės vidurio interneto saugumo ekspertams ir daugelio tinklų administratoriams rūpestį kėlęs įtartino duomenų srauto šaltinis pagaliau išaiškintas. Tai bandomasis naujo “Trojos arklio” variantas. Nors jis tiesioginės grėsmės dar nekelia, ekspertai mano, kad tokia žvalgyba - tik pasiruošimas būsimam puolimui.
Jau daugiau nei mėnesį įvairių šalių tinklų administratoriai bando nustatyti savo tinkluose stebimo keisto duomenų srauto ištakas. Kažkas reguliariai bando prisijungti prie neegzistuojančių serverių ar nenaudojamų veikiančių serverių tarnybų. Pasak “CNet”, visi aptikti tokie tinklo skenavimo bandymai turėjo bendrų bruožų: siunčiamų paketų TCP “lango” dydis buvo 55 808 baitai, o srautas daugeliu atvejų buvo siunčiamas iš neegzistuojančių interneto adresų.
TCP “langu” vadinamas parametras TCP/IP tinkluose apibrėžia maksimalų duomenų kiekį, kurį gali naudoti siunčiantis įrenginys nelaukdamas gaunančiojo patvirtinimo. Nustatant skirtingas šio parametro vertes galima keisti duomenų perdavimo patikimumą ir spartą. Paprastai pirmą kartą inicijavus ryšį su kitu prie interneto prijungtu kompiuteriu pasirenkamas mažesnis siunčiamų paketų dydis - pavyzdžiui, 1024 baitai. Keistą duomenų srautą tyrinėję saugumo specialistai sako, kad nė viena iš operacinių sistemų neužmezginės ryšio naudodama tokį didelį (55 808 baitų) TCP “langą”.
“CNet” remiasi tinklų saugumo sprendimų kompanijos LURHQ vyresniuoju įsibrovimų analitiku Joe Stewartu, kuris gegužės pabaigoje pastebėjo, kad kažkas bando prisijungti prie kompanijos tinkle neegzistuojančio kompiuterio. Duomenų srautas sukėlė įtarimą dėl to, kad kaip tariamas jo šaltinis buvo nurodyta IP adresų erdvė, kurią interneto vardų skyrimą koordinuojanti organizacija IANA (www.iana.org) buvo jau rezervavusi, tad jų negalėjo persiųsti joks interneto maršrutizatorius. Tad nors buvo apie 900 bandymų prisijungti prie kompanijos serverio, Stewartas negalėjo atsekti jų šaltinio. Pasak jo, tokį srautą galėjo generuoti blogai veikiantis tinklo skeneris arba kažkieno bandymai sužymėti adresų erdvę.
Į svarstymus, kas yra atsakingas už šį įtarimus keliantį 55 808 baitų “lango” duomenų srautą - naujas kirminas, “Trojos arklys” ar dar nematyta atakos priemonė - įsijungė kompanija “Internet Secyurity Systems (ISS, www.iss.net), pranešusi, kad jai pavyko aptikti ir išanalizuoti didžiąją tokio srauto dalį generuojantį programinį kodą. Tai esantis eksperimentinis “Trojos arklio” variantas, kurį ISS pavadino “Stumbler”. Panaudojus paskirstytojo (distributed) tinklo architektūrą jis renka iš įvairiuose serveriuose įdiegtų savo “agentų” gautą informaciją apie konkrečius IP adresus ir atvirus prievadus (ports). Kadangi “Stumbler” nesireplikuoja, o kiekviename serveryje turi būti įdiegiamas atskirai, jis nėra toks pavojingas. Visa žala, kurią jis daro, yra ta, kad siuntinėdamas IP paketus su klaidingais srauto šaltinio adresais ir paketų “šniukštinėjimo” įrankiu išfiltruodamas pasiekiamus IP adresus bei atvirus prievadus, gali sužymėti tam tikrą tinklą, kad vėliau prieš jį galima būtų rengti įvairaus pobūdžio atakas.
Pasak ISS, skenuojantis “Stumbler” tinklas paremtas daug rimtų klaidų turinčiu kodu, o tai reiškia, kad jis dar labai eksperimentinis. Šis “Trojos arklys” dar nemoka aptikti blogai apsaugotų serverių ir juos užkrėsti, visa jo veikla nukreipta tik į informacijos surinkimą.
Paprastai “Stumbler” užkrėstoje sistemoje palieka (/tmp/…/ kataloge) raidėmis “a” ir “r” pavadintus failus ir per TCP 22 prievadą bando išsiųsti surinktą informaciją susijungus su 12.108.65.76 IP adresu. Vieną “Stumbler” modifikaciją tyrę kompanijos “Intrusec.com” (http://www.intrusec.com/55808.html) ekspertai teigia, kad užkrėstą serverį savo tinkle pastebėti labai nesunku dėl didelio 55,8 KB TCP “lango” paketų srauto. Jie mano, kad ši kenkėjiška programa - tai bandymas įgyvendinti vadinamosios trečiosios kartos “Trojos arklių” koncepciją, kurie bus kur kas klastingesni ir pavojingesni, nes mokės aptikti ir paruošti atakos placdarmus stambaus masto išpuoliams internete.
