Kirminai
Kirminai yra panašūs į virusus savo struktūra ir laikomi virusų pogrupiu. Kirminai plinta nuo kompiuterio prie kompiuterio, tačiau anaiptol nei virusai, jie turi galimybę keliauti be vartotojo veiksmų. Kirminai naudojasi failų ir informacijos perdavimo sistemomis kompiuteryje, kurios leidžia jiems keliauti nevaldomiems. Naudodami kompiuterio resursus arba tinklo pralaidumą kirminai dauginasi, o kartais net ir pridaro rimtos žalos.
Didžiausia kirminų stiprybė yra galimybė daugintis vartotojo kompiuteryje ir vietoje vieno išsiunčiamo kirmino siųsti daugybę, taip sukuriant pribloškiantį efektą. Pavyzdžiui, kirminas išsiunčia savo kopiją visiems kontaktams elektroninio pašto adresų knygoje, gavėjo kompiuteryje kirminas atlieką tą patį veiksmą ir t.t. Dėl kirminų dauginimosi galimybės ir nevaldomo keliavimo per tinklus jie suvartoja tiek daug kompiuterio atminties ar tinklo pralaidumo, kad gali sustabdyti kompiuterius, tinklo ar interneto serverius.
Didžioji dali kirminų buvo sukurti tik plisti ir nekeisti sistemų per kurias jie plinta, tačiau po Morris ir Mydoom kirminų pasirodymo, netgi kirminai be nurodymų gadinti sistemas gali išvesti iš didžiules problemas didindami tinklo eismą ar sukeldami kitus neplanuotus efektus.
Payload
„Payload“ yra kodo dali kirmine, sukurta daryti daugiau nei tik skleisti kirminą, ji gali ištrinti failus vartotojo sistemoje (pvz. ExploreZip), užšifruoti failus ar išsiųsti dokumentus elektroniniu paštu. Laibai dažnas „payload“ tipas yra sukurti slaptą priėjimą prie kompiuterio (kaip ir Trojos Arkliai). Tokių kompiuterių su slaptu priėjimu tinklai yra vadinami „botnets“ ir yra labai dažnai naudojami šlamšto (spam) siuntėjų. Dažnai šlamšto siuntėjai yra laikomi kirminų kūrėjų finansuotojais, o kai kurie kirminų kūrėjai yra pagauti parduodantys užkrėstų kompiuterių ar tinklų IP adresų sąrašus. Kiti bando šantažuoti kompanijas grasinančiomis DoS atakomis.
Kirminai su gerais ketinimais
Pradedant nuo pačių pirmųjų kirminų tyrimų Xerox PARC kompanijoje, buvo ieškoma būdų sukurti naudingus kirminus. Pavyzdžiui, Nachi kirminų šeima bandė siųsti ir įrašyti atnaujinimus iš Microsoft svetainės bandydama užtaisyti tas silpnybes, kuriomis pati plinta. Nors ir šis kirminas padarydavo sistemas saugesnes, jis sukurdavo gana didelį tinklo eismą, perkraudavo programinę įrangą ją atnaujindama ir darydavo tai be vartotojo žinios. Nepaisant kirminų kilmės ar ketinimų, visos apsaugos sistemos kirminus atpažįsta kaip virusus.
Kirminų pavyzdžiai
Morris Worm
Robert Morris paleido 99 eilučių kodo kompiuterinį kirminą (greičiausiai atsitiktinai) į internetą 1988 metais, jis laikomas pirmuoju kirminu internete. Šis kirminas naudojo Unix sendmail, fingerd ir rsh/rexec bei lengvus slaptažodžius, kad pasklistų po internetą. Jo paskirtis buvo išmatuoti interneto mastą, tačiau jo autorius nenorėjo, kad ši programa būtų lengvai sustabdoma ir taip jos surinkti duomenys būtų beverčiai, dėl to ši programa sugebėjo užkrėsti tą patį kompiuterį daugelį kartų ir taip jį „užlaužti“. Iš 60 000 Unix mašinų tuo metu prijungtų prie interneto buvo užkrėsta apie 10 procentų. Buvo padaryta nuo 100 000 iki 10 000 000 dolerių žalos.
Code Red
Code Red kirminas save atkartojo daugiau nei 250 000 kartų per 9 valandas 2001-ųjų liepos 19. Pradėjęs daugintis šis kirminas sulėtino internetą, tačiau ne taip stipriai kaip buvo prognozuojama. Kiekviena kirmino kopija skenavo internetą ieškodama Windows NT ar Windows 2000 serverių, kurie neturėjo Microsoft apsaugos atnaujinimo. Radęs tokį serverį šis kirminas nukopijuodavo save į jį ir skenuodavo iš šviežiai apkrėsto serverio. Code Red instrukcijos: - Pakartoti save 20 pirmųjų mėnesio dienų - Pakeisti interneto puslapius apkrėstuose serveriuose puslapiu kuriame rašoma: „Hacked by Chinese“ - Paleisti suderintą ataką prieš Baltųjų Rūmų tinklą Po sėkmingo įsilaužimo, Code Red palaukdavo reikiamos valandos ir jungdavosi prie www.Whitehouse.gov domeno. Ši ataka susidėjo iš apkrėstų sistemų kartu siunčiančių 100 prisijungimų prie 80-o www.whitehouse.gov prievado (198.137.240.91). Jungtinių Valstijų vyriausybė pakeitė šio puslapio IP adresą, kad išvengtų grėsmės ir įspėjo Windows NT bei Windows 2000 vartotojus, kad jie įsirašytų apsaugos atnaujinimą.
Slammer Worm
2003-iųjų sausį pasinaudojo saugumo sparaga Microsoft SQL serveriuose. 55 milijonai bereikšmių duomenų bazių serverių užklausų keliavo aplink pasaulį. Slammer ataka buvo greita ir negailestinga, plintanti šimtą kartų greičiau nei Code Red kirminas, nors ir prasidėjo nuo vienintelio paketo. Jis sukėlė milijardą dolerių žalos, o po pusės metų niekas nežinojo kas tai padarė ir ar tai atsitiks dar kartą. Slammer greitis slypi tame, kad jis naudojo UDP protokolą, kuris yra „lengvesnis“ ir greitesnis nei TCP. Kol TCP reikalauja siuntėjo ir recipiento abipusio sutikimo prieš apsikeičiant informacija, UDP gali nusiųsti žinute vienu, vienkrypčiu paketu. 2000-ųjų Microsoft SQL Server prigrama turi UDP valdomą servisą, kuris leidžia aplikacijoms automatiškai rasti norimą duomenų bazę. Kirminas naudojosi dažnu programinės įrangos trūkumu vadinamu buferių perpildymu (buffer overflow). Jie perpildomi kai duomenų eilutė įrašoma į atmintį be jos ilgio tikrinimo. Jei eilutė per ilga, jos „uodega“ perrašo pačios programos kodą. Slammer kodas užėmė tik 376 baitų.
Blaster
Balster kirminas plito išnaudodamas jau minėtą buferių perpildymo spragą atrasta lenkų hakerių Last Stage of Delirium DCOM RPC servise apkrėstose sistemose. Tai leido kirminui plisti tiesiog siunčiant savo kopijas atsitiktiniems IP adresams. Kirminas buvo užprogramuotas pradėti SYN flood (siūsti daugybe SYN užklausų, nesiunčiant atsakymų) 2003-iųjų rugpjūčio 15-ą prieš windowsupdate.com 80-ą prievadą, taip sukurdamas DDoS ataką. Žala Microsoft kompanijai buvo minimali, nes taikinys buvo windowsupdate.com vietoje windowsupdate.microsoft.com į kurį jis buvo nukreipiamas. Kirminas talpino dvi žinutes savo kode: I just want to say LOVE YOU SAN!! Todėl šis virusas kartais vadinamas Lovesan, ir: billy gates why do you make this possible ? Stop making money and fix your software!! Tai žinutė Bilui Geitsui.
StuxNet
Stuxnet yra 2010 m. atrastas labai didelės (pusės megabaito) apimties, neįprastai sudėtingas Interneto kirminas, kurio tikslas, tikėtina, buvo sukelti nežinomos pramoninės mašinos avariją ar katastrofą. Dvi iš trijų kirmino pakopų daugumoje kompiuterių buvo iš esmės neaktyvus krovinys (angl. payload) kurį pirmoji pakopa platino kol jis patekdavo į tinkamą taikinį. Neįprastai tokiems kirminams, bent dalis kodo buvo parašyta C bei C++.[1]
Pirmoji pakopa Pirmojo lygio pakopos kodas platino jį tarp Windows kompiuterių (panašiai kaip ir kitus kirminus). Šioje pakopoje kirminas buvo labai nuosaikus ir atsargus: jo plitimas buvo ribojamas, ir jis turėjo visiškai ištrinti save 2012 m. birželio 24 d. Kirminas iš pradžių plito per nešiojamuosius atminties diskus, paskui persimesdavo iš vienos mašinos į kitą per jas jungiantį kompiuterinį tinklą, naudodamas įvairias šios operacinės sistemos saugumo spragas. Naudojamų spragų skaičius buvo neįprastai didelis. Interneto saugumui skirtose svetainėse pasirodžius pirmiesiems straipsniams apie naują kirminą, iš taip ir nenustatyto šaltinio prieš šiuos serverius buvo surengta masinė DDoS ataka. Ši ataka buvo sėkminga, dalinai blokuodama saugumo ekspertams reikalingą informaciją ir taip laimėdama daugiau laiko kirminui išplisti. Kirminą palaikė du serveriai, su kuriais jis reguliariai susisiekdavo ir per juos prireikus galėjo būti atnaujintas. Kirminas naudojo padirbtus JMicron ir Realtek skaitmeninius parašus.[5].
Antroji pakopa Įsimetus į puolamą kompiuterį, pradėdavo veikti antroji kirmino pakopa. Ši pakopa specifiškai ieškodavo kompiuteryje galbūt esančios Siemens WinCC/PCS 7 SCADA programinės įrangos, kuria gali būti valdomi įvairūs su kompiuteriu sujungti pramonės įrenginiai. Kirminas perimdavo šios programos valdymą pasinaudodamas joje esančia programavimo klaida, fiksuotu programoje esančiu duomenų bazės slaptažodžiu. Perėmęs valdymą, kirminas pirmiausia patikrindavo kokie išoriniai įrenginiai prijungti prie puolamos mašinos. Stuxnet ieškojo prie kompiuterio prijungtų galingų valdomo sukimosi greičio elektros variklių. Jam tiko dviejų tipų variklių kontroleriai: Suomijoje gaminami Vacon ir Irane gaminami Fararo Paya. Toliau, tie varikliai turėjo suktis nuo 807 iki 1210 aps/min. Tokių variklių pramonėje gana daug, daugelis jų varo įvairus siurblius bei centrifugas.
Trečioji pakopa Aptikus ieškomo tipo, ieškomu greičiu besisukančius variklius, imdavo veikti trečiosios kirmino pakopos kodas, vykdomas tiesiogiai variklio kontroleryje. Šis kodas pirmiausia pasirūpindavo, jog į centrinį kompiuterį būtų siunčiami (ir jo monitoriuose rodomi) įprastiniai sukimosi greičiai, nesvarbu, kokiu iš tiesų greičiu sukosi varikliai. Kirminui įsitvirtinus kontrolerio atmintyje, kenkiančios programos pašalinimas iš pagrindinio kompiuterio jau nebebūdavo efektyvus. Įsitvirtinęs bei užsimaskavęs, trečios pakopos kodas pasiųsdavo varikliui tokias komandas: • Nustatyti sukimosi dažnį 1410 aps/min. • Po kurio laiko nustatyti sukimosi dažnį tik 2 aps/min. • Po kurio laiko pakeisti dažnį į 1064 aps/min. Iki šiol nėra vienareikšmiškai žinoma, kam ir kokios turėjo būti šių komandų pasekmės ir kodėl parinkti būtent tokie sukimosi greičiai. Gali būti, jog sukantis šiuo greičiu pasireiškia sistemą sugadinti galintis rezonansas.
Spėjamas taikinys bei kilmė Kadangi kirminui sukurti buvo skirta daug resursų, o atakuojama sistema tarp įprastinių vartotojų nepaplitusi, manoma, jog kirminą parašė vienos valstybės kariškiai ar specialiųjų tarnybų atstovai, atakuoti kokį nors svarbų objektą kitos valstybės karo, galbūt atominėje pramonėje. Tokiais kompiuteriais valdomos, panašių charakteristikų centrifugos naudojamos radioaktyvių medžiagų išskyrimui. Iš tiesų, 2010 m. Irane nepataisomai sugedo daug tokių centrifugų, jo vadovybei prasitariant, jog yra su kompiuterių virusais susijusių problemų. Gali būti, jog tokiu atveju kirminą parašė JAV arba Izraelio kariniai programuotojai. Specialistų nuomone, toks sudėtingas kirminas galėjo būti parašytas tik valstybinės tarnybos.
Šiuolaikiniai kirminai
2012 metais buvo aptiktas kirminas Irano naftos terminalų kompiuteriuose, kuris laikomas pačiu sudėtingiausiu kada nors sukurtu kirminu, specialistai teigia, kad kirminas veikė neaptiktas bent du metus, jis ieškodavo specifinės informacijos ir galėjo išsiųsti laibai didelius jos kiekius. Taip pat Irane pranešta apie kirminą, kuris kelių atominių jėgainių kompiuteriuose paleisdavo AC/DC – Thunderstruck.