|
Viry vs. administrátoři: co je horší?(23/01/2004, David Baierle) Že nás přibližně každé dva až tři měsíce prostřednictvím elektronické pošty zasáhne virová epidemie, na to jsme si už snad zvykli. Většina uživatelů se snaží chránit, k dispozici je velké množství spolehlivých antivirových programů, informace o virové problematice se dostávají do podvědomí stále více lidí. Objevuje se však jiný problém, který začíná být stále více aktuální. Tímto problémem jsou kupodivu samotní správci některých e-mailových serverů. Ti se (především ve vlastním zájmu) snaží filtrovat zavirovanou poštu hned na mailserveru, aby se viry nedostaly až k uživatelům. To je pochopitelné a chvályhodné - ušetří si tak nejen mnoho starostí s nezodpovědnými uživateli a s jejich zavirovanými počítači, ale navíc tato ochrana obvykle funguje i na opačnou stranu a tak se daří zadržet zavirované zprávy odesílané z jejich sítí jiným uživatelům Internetu. Až potud by bylo vše v naprostém pořádku, kdyby ...
Není žádným tajemstvím, že při odesílání e-mailu do kolonky Odesílatel lze napsat prakticky cokoliv - vlastní adresu nebo cizí, skutečně existující adresu nebo třeba i naprostý výmysl. Automatické ověření pravosti zadané adresy je totiž nemožné. Některé servery kontrolují existenci a případně správnost nastavení domény (existenci platného MX záznamu). Pokud je uvedena adresa s neplatnou doménou, je přijetí zprávy odmítnuto. Bohužel, nic více se dělat nedá. Není tedy problém odesílat e-maily jako jendabenda123@shareware.cz, protože test existence domény projde s pozitivním výsledkem a jméno jendabenda123 spolehlivě automaticky ověřit nelze. Mnoho serverů platnost domény ani ověřit neumí nebo je z různých důvodu tato funkce vypnuta. Jak to souvisí s viry?
Pro ty neznalé si dovolím stručně a zjednodušeně uvést mechanismus, jakým se vir (e-mailový červ) šíří: po napadení počítače prohledá databázi kontaktů, ve které většina uživatelů má uloženy často užívané e-mailové adresy. Dále obvykle prohledá složku s přijatou a odeslanou poštou a některé viry prohledávají i obsah složky s dočasnými soubory, do které se ukládá obsah již navštívených HTML stránek. Na všech těchto místech vir vyhledává e-mailové adresy a na ně pak (obvykle bez vědomí uživatele) odesílá infikované zprávy. Díky tomuto jednoduchému mechanismu se vir šíří a napadá další počítače. Nejdůležitější je skutečnost, že prakticky všechny viry, šířící se e-mailem, skrývají svůj zdroj, falšují tedy adresu odesílatele a obvykle použijí některou z těch nalezených. V důsledku toho pak adresát obdrží e-mail s virem a jako odesílatel je uveden někdo, kdo s timto nemá vůbec nic společného.
Ale zpět k administrátorům. Někteří jsou bohužel příliš horliví a odesílateli zavirovaného e-mailu pošlou upozornění, že odeslal zprávu, obsahující vir. Teroreticky lze toto považovat za velmi pozitivní: odesílatel vůbec nemusí vědět, že jeho počítač je infikován. Díky této informaci se to dozví a může podniknout kroky, aby dalšímu šíření viru zamezil (např. odpojit počítač od Internetu a požádat svého administrátora o pomoc). Jenže kdo je vlastně skutečný odesílatel? To bohužel z takového e-mailu nelze zjistit, protože jak jsem již uvedl, uvedená adresa patří někomu uplně jinému. Dotyční administrátoři tuto skutečnost zcela ignorují a tak jejich server rozesílá upozornění kdekomu, jen ne skutečným odesílatelům. Že se tato původně dobře myšlená funkce zcela míjí účinkem, snad ani není třeba zdůrazňovat. Stejně tak ani skutečnost, že se tímto výrazně zhoršuje kalamitní situace. Mnoho serverů je v době vrcholu epidemie přetížených, mnoho z nich neobvyklý nápor e-mailů nezvládá vůbec a zkolabuje. Další rozesílání naprosto zbytečných zpráv situaci jen ještě více zhoršuje.
Momentálně nás již třetí týden trápí vir MyDoom. Naštěstí se situace začíná pomalu zklidňovat, ale ukazuje se, že problém s nezodpovědnými administrátory je horší, než se zdálo a je potřeba ho nějak řešit. Pokud mohu bilancovat, já osobně jsem na každý 1 zavirovaný e-mail obdržel další 4 zprávy o tom, že jsem komusi odeslal vir. Mohu teď zcela jednoznačně odpovědět na otázku, co je horší? Viry nebo administrátoři? Ano, odpovídám, že administrátoři. A je mi úplně jedno, jestli tak činí z nedbalosti, neznalosti nebo snad dokonce z lhostejnosti - podstatný je výsledek, tj. záplava nesmyslných zpráv v mé poště.
Mě osobně viry příliš nevadí. Náš mailserver je odfiltruje a pokud by náhodou něco prolezlo až ke mě, mám antivirový program. Neotevírám bezhlavě každou ptákovinu, kterou mi někdo pošle a už vůbec ne od někoho, koho neznám. Myslím, že dokážu celkem bezpečně rozeznat, jestli je mail podezřelý či nikoliv (což je důležité v případě, že vir je rychlejší než aktualizace antiviru). Nepoužívám poštovní software, který aktivně pomůže viru se v počítači usadit a ještě mu poskytne adresy pro další šíření. Myslím, že jsem toho udělal a dělám proti virům dost. Podotýkám, že jsem nucen z pracovních důvodů sledovat chybové hlášky, které mi chodí mailem. Bohužel právě z těchto důvodů se nemohu proti blbosti druhých chránit (pokud to vůbec jde) a tak jsem nucen neustále mazat poštu, která by se v mém boxu neměla vůbec objevit. Pokud by byl vir MyDoom stvořen i za účelem otestování kvality a inteligence administrátorů, pak by nad nimi vyhrál na celé čáře. Bohužel.
Prosím administrátory mailserverů:pokud používáte na svém mailserveru antivir, zkontrolujte, zda na adresu odesílatele nerozesílá hlášky o detekci virupokud ano, zajistěte, aby zasílal varování pouze při detekci viru, který se nešíří e-mailem a nefalšuje při tom adresu odesílatele (MyDoom mezi ně rozhodně nepatří)pokud nelze rozesílání takto omezit, nezbývá než vás požádat o jediné:
VYPNĚTE TO!Vyhnete se tak tomu, že vás mnoho lidí bude považovat za pitomce. Děkuji za pochopení!
|