U nás veru strašil posledných niekolko dní… Podaktoré web stránky zobrazovali samé BuBuBu – ehm teda – BBBBBBBBBBB + nejaké ďalšie divné znaky úplne hore nad samotným obsahom stránky. Objavovalo sa to tam pomerne často, niekedy po každom obnovení stránky, niekedy len sem tam. (Škoda že som si neurobil nejaký ten screenshot…)
Keď som to spozoroval prvý krát (zhodou okolností na stránke www.enigma.sk ktorú som urobil), zľakol som sa že je to chyba webhostingu a že niečo nie je vporiadku. Hneď som sa chcel pokúsiť o zálohu databázy ale do phpMyAdmina sa nedalo kvôli tej chybe vôbec prihlásiť. Vzápätí (keď som mu to ukázal) mi podobnú chybu ale aj na ďalších stránkach potvrdil aj kolega Tomáš. Vtedy som začal mať podozrenie na nejakú chybu v PHP, ktorú mohol spôsobiť upgrade na viacerých serveroch (nič lepšie ma v tom okamihu nenapadlo) a keďže Google nič nenašiel, začal som sa vypytovať inde… No tam sa na mňa akurát divne dívali (a pravdepodobne si krúžili prstom na čele že čo im to píšem.
Vtedy som zaradil spiatočku a začal rozmýšľať ináč. Musel to byť lokálny problém. Na lokálnych web stránkach sa chyba nevyskytovala – jedine na web stránkach „zvonku“. Ďalším podozrivým sa teda stal nejaký server ktorý nejakým spôsobom mohol pozmeňovať komunikáciu – myslel som na nejaký antispam či antivírus, pretože z niečím podobným (pre poštu) sa už u nás experimentovalo (a niekedy to nerobilo dobrotu).
Keďže ráno je múdrejšie večera ďalšie pátranie som podnikol až na druhý deň ráno a pomerne rýchlo som po zadaní správnych kľúčových slov do Google narazil na stránku http://www.mcse.ms/…2553701.html a podľa nej som zistil že zjavne šlo o nejaký vírus s veľmi prefíkaným správaním. O víruse (http://www.symantec.com/…/writeup.jsp?…) ktorý odchytáva sieťovú komunikáciu a pozmeňuje ju aby do HTML kódu dostal IFRAME v ktorom sa má načítať škodlivá web stránka som ešte nepočul. Tu moje pátranie skončilo pretože som nevedel ako ďalej a dúfal som že na našej alma mater sa nájde sa nájde niekto kto bude vedieť (a má prostriedky) ako pátrať ďalej.
História pokračovala dnes keď sa BuBuBu zasa objavilo. Už ma to naštvalo a začal som rozmýšlať ako odchytím sieťovú komunikáciu a podľa nej zistím čo za počítač tú neplechu asi robí. Najprv som skúšal Win32 verziu TCPDump tam som sa však veľa nedozvedel (hlavne preto že tam bola kopa informácií a ja som nevedel ako dostať z toho tú správnu). Tak som začal pátrať po tom ako detekovať ARP poisoning (ARP spoofing) čo podla vyššie uvedenej stránky bolo spôsob akým vírus injektoval neželané informácie do sieťovej komunikácie. Tu som narazil na zmienku o software arpwatch (hľadajte na Google) ktorý slúži na logovanie zmien v ARP tabulke a zároveň na odhaľovanie podobných útokov. Bingo! Už som len dohľadal arpwatch pre windows (na tejto stránke sa nachádza odkaz na archív → http://sid.rstack.org/arp-sk/) a spustil som ho. Hneď sa začali objavovať hlášky o zámene ARP tabuľky ktoré jasne identifikovali MAC adresu útočníka.
Pointa tohoto príbehu je však v tom že kolega z inej fakulty, ktorí pracuje bežne z Unixom na desktope už pred niekoľkými dňami upozorňoval na konkrétnu MAC adresu nášho hlavného „sietarskeho odborníka“ a keby dnes nezavolal ďalšiemu človeku, ktorý ma na starosti sieťový hardware a ktorý s tým bol ochotný niečo urobiť tak by nás možno strašili naše prehliadače ešte dlho… Takto bol zavírený počitač odpojený od siete dokiaľ si s ním majiteľ nespraví poriadok a my si môžeme vydýchnutť…
Keď som bol ja, čo s tým bežne nerobí, schopný (keď som sa do toho pustil) za hodinu zistiť podrobnosti kde sa deje neplecha, čo mohol urobiť správca, ktorý má pod palcom kompletnú evidenciu siete a do nej zaregistrovaných počítačov a je za to platený aby sa o podobné incidenty staral? Je mi jasné že na univerzite máme vyše tisíc počitačov v sieti. Ale keď má niekto prístup ku všetkým sieťovým zariadeniam a k evidencii a štatistike pridelovania IP adries tak by takéto skutočnosti mal byť schopný zistiť sám, bez toho aby bol upozorňovaný – mal by mať vypracované mechanizmy na to aby zistil podobnú nekalú činnosť ako zmenu MAC adresy tam kde by to nemalo byť (práve na to slúži spomínaný arpwatch). Tak prečo sa to nedeje?
