'Mariborski virus' naj bi okužil 13 milijonov računalnikov. Med njegovimi žrtvami naj bi bilo 750 velikih ameriških podjetij in bank. Številke še niso uradno potrjene, so pa realne, meni doc. dr. Mojca Ciglarič, predstojnica Laboratorija za računalniške komunikacije na ljubljanski Fakulteti za računalništvo in informatiko. Hkrati je opozorila, da konkretnega 'botneta' oziroma množice okuženih računalnikov še niso popolnoma raziskali.

Okužba se je sicer širila prek IM-programov (instant messaging oziroma takojšnje sporočanje), okuženih USB-ključkov in prek omrežij za izmenjavo datotek (P2P). Zaznali so tudi poskuse širjenja s pomočjo izkoriščanja varnostnih razpok v Internet Explorerju 6. V konkretnem primeru naj bi bili lastniki Španci, ki naj bi tudi vodili evidenco okuženih računalnikov. V hišni preiskavi pri španskih nadzornikih 'botneta' je policija zasegla podatke, ki so pripadali več kot 800.000 lastnikom okuženih računalnikov, med njimi uporabniška imena, gesla, podrobnosti bančnih računov, številke kreditnih kartic.

Trije načini za zlorabo

Botnet je množica računalnikov, ki so okuženi. (Foto: POP TV)

Mojca Ciglarič (Foto: Tadej Ciglarič)

V praksi je lastnik 'botneta' obveščen o vsakem okuženem računalniku. Naslovi se avtomatično shranijo, okuženi računalniki pa čakajo, kaj mu bodo poslali nadzorniki oziroma lastniki 'botneta'. Do ključnih podatkov lahko napadalec pride, če na njih namesti kodo, ki preverja izhodni promet. ''Če bi jaz na primer delala transakcijo na okuženem računalniku (kupovala v spletni trgovini), lahko prestreže podatke moje kreditne kartice in jih zlorabi. To se je baje dogajalo na 'botnetu' Mariposa'', saj naj bi med drugim kradli številke kreditnih kartic. In več kot je okuženih računalnikov, daljši seznam ima lastnik. Ko želi nekaj izvesti, ponavadi kakšno kaznivo dejanje, pošlje škodljiv ukaz ali programsko kodo vsem okuženim računalnikom.

Okužene računalnike se lahko tudi uporablja za množično pošiljanje nezaželene pošte. Tretja možnost so napadi, ko želijo hekerji onemogočiti strežnik ali omrežje. Nadzornik v tem primeru pošlje ukaz vsem računalnikom v 'botnetu', naj na strežnik pošiljajo veliko zahtev. Poplavo ukazov pa strežnik zaradi omejenih zmogljivosti ne more izpolniti. Ukvarja se s ''kvazi'' zahtevami, zato pravi uporabniki ostanejo odrezani. ''To je tako imenovani DDoS napad z onemogočanjem storitve.'' Po pojasnilih Ciglaričeve so vsa opisana početja nelegalna. Po razpoložljivih spletnih virih naj bi bili sicer nadzorniki Maripose dokaj nespretni, saj bi lahko z 'botnetom' takšnih razsežnosti naredili veliko več škode.

''Vodotesne'' zaščite ni

Na vprašanje, ali se lahko stoodstotno zaščitimo pred napadi, Ciglaričeva odgovarja, da smo popolnoma varni le, če se odklopimo z interneta, kar je rahlo nepraktično. Sicer pa protivirusne programe hitro posodabljajo, zato smo pred klasičnimi virusi relativno varni: ''Približno teden od nastanka virusa ga posodobljen protivirusni program navadno lahko že ustavi.'' Pri konkretnem primeru gre za širjenje na več različnih načinov. ''Če izkorišča kakšne druge razpoke, črve ali uporablja trojanske konje za širjenje, potem ga je vseeno težje zaznati.''

Na vprašanje, za kakšne vrste virus bi lahko šlo v konkretnem primeru, domnevno tako velikih razsežnosti, ki naj bi se širil vsaj leto dni, je Ciglaričeva odgovorila: ''Tudi ko se okužbo odkrije, je težko preprečiti njegovo njeno širjenje.'' Če se za širjenje izkorišča varnostne razpoke v operacijskih sistemih, brskalnikih in drugih programih, dokler proizvajalec ne izda popravka in uporabnik tega ne namesti, računalnik seveda ni varen.

Nevarni so tudi nelegalni programi, ki jih prenesemo na računalnik, a jih ne moremo posodabljati. Zato varnostne luknje ostanejo ''odprte'', kar je odlična priložnost za spletne nepridiprave. Zelo verjetno je, da so imeli vsi okuženi računalniki v primeru Mariposa program ali družino programov z isto ali podobno varnostno luknjo. ''Vse pa je odvisno od tega, koliko sofisticiran je bil tisti, ki si je to zamislil,'' je poudarila.

Študente učijo predvsem obrambe, ne napada

Mariborčani naj bi bili nekdanji študenti mariborske računalniške fakultete. Na vprašanje, ali bi bila ponosna, če bi bili njeni učenci, je Ciglaričeva odgovorila, da mora fakulteta pri študentih privzgojiti etična merila. ''Poučujem računalniške komunikacije. Tudi pri nas pojasnimo aktualne napade, ker je treba pri komunikaciji veliko pozornosti nameniti varnosti. Ampak vedno poudarjamo, da je tovrstno početje protizakonito, da lahko sledijo težave.'' Na ljubljanski fakulteti učijo predvsem, kako se zaščititi pred napadom, ne kako ustvariti škodljiv program, je dodala.

Dejstvo je, da za ustvarjenje škodljivih programov ni treba posebnega znanja. Po besedah Ciglaričeve ga lahko izdelajo že gimnazijci. Če imajo dovolj časa za deskanje po spletu, lahko hitro pridejo do škodljivega programa, ki si ga naložijo. ''Klikajo, morda celo ne vedo točno, kaj počnejo, pa so že koga napadli.'' V računalniških krogih se za njih uporablja izraz 'otročki, ki pišejo skripte'. ''Sam izraz ponazarja, da je lahko otročje lahko,'' pri čemer je treba poudariti, da je vendarle moral škodljiv program nekdo prej napisati.

En okužen računalnik vreden nekaj dolarjev?

Na vprašanje, koliko je 'hekerjev' v Sloveniji, je Ciglaričeva odgovorila: ''Mislim, da je v Sloveniji peščica takih, ki vedo, kaj počnejo. Ki ne vlečejo programov s spleta, temveč jih sami razvijajo. Mogoče jih je 10 ali par 10.'' O inteligenci in znanju osumljenih Mariborčanov ni želela ugibati, ''ker ne vem, kaj so naredili''.

Se ji pa ne zdi nemogoče, da so za en virus iztržili 40.000 evrov, kar pomeni, da bi lahko z računalniškim znanjem precej zaslužili. Na spletu lahko najdemo ocene, da je en okužen računalnik v 'botnetu' vreden do nekaj dolarjev, glede na škodo, ki jo lahko povzroči, in glede na ceno, za katero se 'botneti' prodajajo ali dajejo v najem. Lastniki Maripose bi lahko po teh ocenah letno zaslužili tudi milijon dolarjev, v resnici pa so bili zaslužki verjetno od pet- do desetkrat manjši. To dejstvo pripisujejo nespretnemu marketingu nadzornikov.

Tudi način delovanja 'botneta' ni bil najbolj sofisticiran, omrežje bi se dalo na primer bistveno bolje prikriti. Napaka, zaradi katere so Španci prišli do enega od nadzornikov, pa je bila amaterska, saj naj bi pozabil zamaskirati svoj spletni naslov. "Zato lahko domnevamo, da ni šlo ravno za vrhunske strokovnjake. Po drugi strani pa – če se je že 'botnet' razširil do 13 milijonov, preden so ga lahko ustavili, kdo ve, če ne obstaja kak bistveno večji 'botnet', ki se bolje skriva in ima previdnejše nadzornike?"