کرم Witty فصل جدیدی در نرم‌افزارهای مخرب

اگر پوشش خبری هدایت شده بود، کرم Witty اینقدر موفق نمی‌شد. Blaster، SQL Slammer، Nimda و حتی Sasser هر روز اخبار زیادی را به خود اختصاص می‌دهند. اما Witty به تنهایی حدود ۱۲۰۰۰ ماشین را آلوده کرد، تقریبا هیچ یک از این ماشین‌های آلوده هم کاربر خانگی نبودند. به نظر نمی‌رسید که مسئله مهم باشد اما در واقع مسئله بسیار مهم و جدی است. Witty معرف نسل جدیدی از کرم‌های مخرب است. متخصصین IT می بایست Witty را بشناسند و بدانند که این کرم چگونه عمل می‌کند. Witty اولین کرمی بود که بخش خاصی از محصولات امنیتی را مورد اصابت قرار داد، در این شرایط بخش BlackICE و RealSecure مربوط به Internet Security System مورد هدف کرم قرار گرفتند. این کرم‌ها تنها کامپیوترهایی را آلوده و تخریب کردند که با مدل‌های خاصی از این نرم‌افزارها اجرا می‌شدند.
مطالب چندی در مورد این کرم می‌دانیم:
▪ Witty به شدت موفق بوده، ۱۲ هزار ماشین کلا آسیب‌دیده و آنها را در معرض دید همگان قرار داد. تمامی موارد آلوده شدند و اینکار تنها در عرض ۴۵ دقیقه صورت گرفت. این کرم اولین کرمی بود که بخش کوچکی را به سرعت آلوده کرد. کرم‌های قبلی که بخش‌های کوچک را مورد اصابت قرار می‌دادند، اساسا کند عمل می‌کنند مثل Slapper و Scaper.
▪ Witty به سرعت نوشته شده است، در هشتم ماه مارس شرکت امنیتی e-eye Digital Security در محصولات Black ICE/RealSeare ساخت ISS نقایصی گزارش کرد. ۹ مارس ISS یک Patch طراحی‍‌ کرد. e-eye یک توصیف تخصصی از ایرادات در ۱۸ مارس منتشر کرد.
بعد از ظهر ۱۹ مارس حدود ۳۶ ساعت پس از مقاله e-eye، کرم Witty به سرعت سرسام‌آوری پخش شد.
▪ Witty به خوبی نوشته شده است. کمتر از ۷۰۰ بایت است برای انتشار از ژنراتور اعداد تصادفی استفاده می‌کند و از مشکلات متداول کرم‌های سابق دوری می‌کند. با ارسال خود به یک آدرس IP که به طور تصادفی انتخاب شده است با پورتهای تصادفی مقصد منتشر می‌شود. حقه‌ای که رخنه آن را در فایروال سهولت می‌بخشد. این مسئله بسیار مهم بوده و هست. نداشتن باگ. این مسئله شدیدا حاکی از آن است که این کرم قبل از پخش شدن آزمایش شده بود.
▪ Witty با درایت منتشر شد، در یک شبکه که حدود ۱۰۰ ماشین دارای نقص مذکور وجود داشت منتشر شد. این تکنیک پیشتر نیز بحث شده بود. اما Witty برای اولین بار از این تکنیک بهره جست. این تکنیک به همراه روش انتشار هوشمندانه Witty به این کرم کمک کرد تا هر میزبان قابل انتقال را در عرض ۴۶ دقیقه آلوده کند.
▪ Witty به طرز خارق‌العاده‌ای مخرب است. این کرم اولین کرم واگیر داری بود که میزبان آلوده خود را نابود کرد. این کار را نیز با ظرافت تمام انجام می‌داد. Payload مخرب آن تمام اطلاعات موجود در درایوهایی را که تصادفا در دسترس کرم بودند در قطعه‌هایی ۶۴ کیلوبایتی از بین برد و پاک کرد و سبب شد بدون کاهش در سرعت انتشار کرم، تخریب سریع‌تر هم شود . حاصل جمع و نتیجه همه این مطالب آن است که مشخصات نویسنده کرم برنامه نویسی بسیار باهوش و باتجربه بوده است. Witty اولین کرمی بود که این سطح مهارت را با چنین سطح بدجنسی را در هم آمیخت یا در درون اطلاعات پیشرفته این نقص بوده است که بسیار بعید است. او این کرم را از روند معکوس پچ ISS ساخته، یا اینکه بسیار سریع اقدام کرده است. شاید او قبلا برنامه این کرم را نوشته داشته است و به محض دریافت اطلاعات نقص ISS دست به کار شده باشد. در هر صورت به نظر می‌رسد که نویسنده آگاهانه می‌توانست منتظر یک نقص کلی‌تر و عمومی‌تر شود، یا از مجموعه‌ای از نقایص استفاده کند. نقصی که او انتخاب کرد حداکثر خسارت را به وسیله وارد می‌آورد. آیا این حمله علیه ISS طراحی شده است یا علیه کاربر خاصی که از محصولات ISS استفاده می‌کرد؟ ما نمی‌دانیم؟
Witty فصل جدیدی در نرم‌افزارهای مخرب گشود، اگر از نقائص متداول ویندوز برای پخش شدن استفاده کرده بود، مخربترین کرمی می‌شد که تاکنون دیده بودیم. نویسندگان کرم از یکدیگر چیزهای زیادی یاد می‌گیرند و باید بدانیم که نویسندگان کرم‌ها برنامه disassemble را دیده‌اند و از آن دوباره در طراحی کرم‌های آینده بهره می‌گیرند و حتی‌ بدتر آن که نویسنده Witty هنوز شناسایی نشده است واحتمال دارد در آینده نیز دوباره دست به چنین اقداماتی بزند. جهت دریافت اطلاعات بیشتر به سایت www.icsi.berkeley.edu/~nweaver/login_witty.txt مراجعه کنید.

نویسنده: Brouce Schneier
مترجم: زهره چکنی