6.6.12

Flame: pogrešna dilema

Kao i u brojnim slučajevima u proteklim godinama, pojava "virusa" Flame popraćena je bombastičnim naslovima i katastrofičnim predviđanjima u javnim medijima. S druge strane, pojavljuju se i osporavatelji  koji smatraju da se radi samo o novom pretjeravanju industrije, medija i neobjektivnih stručnjaka. U sličnim situacijama javnost običava pojednostavljeno i kompromisno zaključiti da je istina negdje u sredini. No, slučaj Flame nije takav. Mi zaista svjedočimo moćnom malicioznom softveru koji nije prekretnica nego konačni dokaz trenda u razvoju i distribuciji malicioznih programa. Ipak, argumenti koji se u medijima koriste kako za naglašavanje opasnosti novog malicioznog programa tako i za njegovo minoriziranje nisu točni.

Tekstovi katastrofičara, a govorim o medijima okrenutim široj populaciji, ostavljaju dojam da se radi o virusu koji samo što nije poharao milijune bespomoćnih računala. Osporavatelji, s druge strane, iznose točan podatak da je program Flame osvojio tek oko tisuću računala te da je buka koja se stvorila potpuno nepotrebna.

Suprostavljene grupe koriste istu argumentaciju, no ona je u ovom slučaju potpuno pogrešna. Flame pripada kategoriji Advanced Persistant Threat malicioznih programa, a ovu kategoriju ne moraju odlikovati neki specifičan tehnološki mehanizam ili inovacija, koliko ciljevi i strategija njihovih  autora i operativnih skrbnika (je li možda neprimjereno nazvati ih  "korisnicima"?). Ciljevi koji stoje iza programa Flame, Stuxnet, te drugih sličnih događaja o kojima smo posali na ovim stranicama nije trčanje za pet minuta slave niti hranjenje ega njihovih autora. Njihovi autori nemaju namjeru bolno šokirati milijune korisnika, već, vođeni jasno postavljenim poslovnim ili političkim ciljevima, što je moguće diskretnije doći do traženih podataka. Zato Flame i slični programi izbjegavaju masovnu propagaciju koja je u pravilu nekontrolirana. Prve analize programa Flame okrenule su se i prema prošlosti, pa je tek danas utvrđeno da su se prve verzije ovog programa pojavile u 2010. godini, no cijelo ovo vrijeme ostale su neotkrivene od antivirusnih sustava (kako je navedeno neposredno po objavi prvih podataka, niti jedan od 43 antivirusnih programa nije prepoznao ovaj program - naravno, u međuvremenu su objavljeni uzorci pa danas to više nije slučaj). Kako sada izgleda, ovim programom je zaraženo oko tisuću (ili nekoliko tisuća) računala što je beznačajno ako govorimo o uobičajenom stupnju kontaminacije koju uzrokuju uobičajeni virusi. No, takav pristup je programu Flame osigurao i dugi život.

Od prvih analiza o programu Flame pa do trenutka pisanja ovog teksta, najznačajnijim momentom smatram objavu podataka o tehnici zaraze računala programom Flame. Prije nekoliko dana je objavljeno da je ovaj maliciozni program iskoristio jedan nedostatak u korištenju certifikata unutar Microsoft operativnih sustava, točnije njegove Terminal Services komponente. Uočena je slabost u konstrukciji ovog certifikata, te je otkriveno da se može koristiti ne samo za autentikaciju klijenata u Terminal Services komunikacijui nego i za potpisivanje programskog koda (što nikako nije bila namjera). Scenarij je upotpunjen krivotvorenjem Windows Update servisa kojim je računalo žrtve preuzelo update s pogrešne adrese. U kombinaciji s manipuliranim certifikatom, eto načina da sustav sa svim zakrpama (i ažurnim antivirusnim sustavom) postane zaražen malicioznim programom Flame.

Istraživači malicioznih programa su pružili osnovni profil ovog programa i prije objave uloge Microsoftovih certifikata.(za detaljnu analizu će trebati puno više vremena). Definitivno, radi se o kompleksnom i velikom programu, koji je modularno građen. Kao i kod drugih modernih i učinkovitih malicioznih programa, Flame komunicira sa komandnim sustavom (C&C). Modularana građa omogućuje primjenu različitih dodataka kojima se obogaćuje njegova funkcionalnost: Flame ima mogućnost krađe podataka, snimanja razgovora, kopiranja sadržaja ekrana, slanja svih podataka trećoj strani...

Dok se ne dozna više tehničkih detalja o funkcioniranju ovog programa, stručnu je javnost zainteresirala i njegova (politička) pozadina. Flame je otkriven na malom broju računala no zemljopisno ograničenih na područje bliskog istoka i njemu susjednih zemalja (Iran, dio Izraela pod palestinskom samoupravom, Sudan, Sirija, Egipat, Libanon...). Njegove instance u Mađarskoj i Austriji za sada se tumače kolateralnim slučajevima. Neizbježno, nameće se usporedba sa programom Stuxnet, iako sadržajno nemaju dodirnih točaka. Ipak, stručna javnost zaključuje da zbog njegove kompleksnosti (koja, pored visoke kompetencije, zahtjeva i znatnu materijalnu podršku), iza programa Flame stoje državne institucije. Po svemu sudeći, iste države (ili istih država) kao i u slučaju Stuxnet.

Nema komentara: