БЕЗОПАСНОСТЬ
История - дама настырная и повторяет свои уроки до тех пор, пока нерадивые ученики не усвоят их. Давайте и мы, не надеясь на то, что уроки всеми усвоены, припомним самые громкие вирусные атаки прошлого, чтобы предугадать, чего стоит ожидать в будущем.
Возможно, кто-то не согласится с приведенным мною списком атак, которые громче всего обсуждались в свое время или стали определенными вехами в области Интернет-безопасности. Что ж, каждый имеет право высказывать свою точку зрения, и я приглашаю всех несогласных поспорить со мной на страницах сайта PC Week/RE (www.pcweek.ru).
Червь Морриса
В ноябре 1988 г. зафиксирован первый случай появления и "победного" шествия сетевого червя, парализовавшего работу нескольких тысяч Интернет-узлов в США. Мотивы его создания разработчиком Робертом Моррисом были благие - проверка защищенности университетских компьютеров. Однако из-за небольшой ошибки в коде программа вырвалась на свободу и натворила больших бед - ущерб от червя Морриса был оценен примерно в 100 млн. долл. И по сегодняшним меркам это немало, а уж 15 лет назад, когда число Интернет-узлов измерялось даже не сотнями тысяч, это была очень высокая цифра.
Поскольку в России того времени об Интернете знали не многие, а доступ к нему имели, можно сказать, избранные, данный червь наших границ не достиг. Начало серьезных эпидемий (да и то не червей, а традиционных файловых и бутовых вирусов) в России датируется 1989 г. (вирусы Cascade, Jerusalem и Vienna). Кстати, именно в том году Евгений Касперский начал свою профессиональную деятельность на антивирусном поприще.
Concept
Появление в августе 1995-го данного вируса стало переломным моментом в антивирусной среде. То был первый макровирус, разработанный для Microsoft Word. Учитывая распространенность этого пакета, вирус быстро распространился по планете и прочно занял первое место в хит-параде антивирусных компаний. После него были вирусы для MS Excel (Laroux), MS PowerPoint (Tristate), MS Access (AccessiV), MS Project (Corner) и других приложений, но именно Concept показал вирусописателям направление их будущей "работы".
Win95.CIH (чернобыль)
Если воспользоваться терминологией Сергея Лукьянова из его романа "Фальшивые зеркала", то это вирус второго поколения (хотя он и появился в июне 1998 г.), разрушающий не только программы, но и, так сказать, аппаратную часть компьютера. В определенные числа вирус не только уничтожал файлы на жестком диске, но стирал Flash BIOS системной платы компьютера, что в некоторых случаях приводило к необходимости ее замены. Самое интересное - несмотря на уже долгую историю существования данного вируса, до сих пор каждое 26 апреля он находит все новые и новые жертвы. Видимо, как говорится в русской пословице, "упрямого вылечит дубина, а горбатого могила".
Вирус был назван "Чернобылем". 26 апреля, ставшее днем трагедии, также оказалось и датой выхода первой версии этого вируса, но тогда он так и не преодолел пределы своей родины - Тайваня. Однако в 1999 г., 26 апреля, сработала деструктивная функция вируса, уже распространившегося по всему миру, по этой причине он и получил свое второе название - "Чернобыль".
BackOrifice
Во второй половине 1998 г., через 10 лет после эпидемии червя Морриса, хакерская группа Cult of the Dead Cow (www.cultdeadcow.com) выпустила специальную хакерскую утилиту, которую можно было установить на удаленный компьютер незаметно для его владельца и получить полный контроль над всеми его функциями.
После появления этой программы началось повальное увлечение разработкой аналогичных вредоносных программ - NetBus, Phase, SubSeven и т. д. До выхода BackOrifice использовались различные аналогичные утилиты (rootkit), но они получили распространение в основном для ОС Unix, что требовало известной квалификации и ловкости от лиц, их использующих. BackOrifice же был создан для Windows, что обусловило победное шествие этого троянца по миру. Ошеломительный успех "вдохновил" Cult of the Dead Cow на создание новой версии своего творения - BackOrifice 2000.
Надо заметить, что по идентичной технологии строятся специальные утилиты, облегчающие дистанционный контроль и управление удаленными узлами. Примером такой утилиты, например, является Remote Administrator, которым я пользуюсь в учебных целях. К сожалению, производители антивирусов не всегда имеют возможность (или желание) дифференцировать применение этих утилит. Хотя это вполне объяснимо. Обычная программа, даже имеющая эвристические механизмы работы, без участия человека не может самостоятельно сделать вывод о том, с какими намерениями запущена утилита удаленного администрирования.
Melissa и BubbleBoy
Melissa - первая (март 1999 г.) комбинация макровируса и почтового червя, распространяемая через электронную почту. Этот макрочервь заражал файлы MS Word через почтовый клиент MS Outlook или MS Outlook Express. Сам по себе данный вирус не мог нанести никакого ущерба, так как для его активизации требовалось выполнение пользователем определенных действий. Заражение происходило после открытия файла Word, прикрепленного к письму. О Melissa можно было бы и не писать, если бы не скорость и масштаб его распространения, превысившие в несколько раз масштаб эпидемии червя Морриса. И опять это оказалось возможным благодаря компании Microsoft, выпускающей "дырявое" ПО.
Новая концепция, существенно осложнившая жизнь рядовым пользователям, была реализована в черве BubbleBoy. Теперь для активизации вируса достаточно было простого открытия письма в почтовом клиенте - прикреплять файлы с вирусом уже не требовалось. По этому принципу стали строиться многие вирусы, распространяемые по электронной почте, например VBS/Kakworm, Cuerpo и др.
DDoS-атаки
В начале февраля 2000 г. впервые была зафиксирована целенаправленная атака на ряд серверов электронной коммерции (Amazon.com, ebay.com, buy.com, etrade. com и т. д.), нанесшая колоссальный ущерб - по разным источникам, от 500 млн. до 6 млрд. долл. Особенность ее в том, что она осуществлялась параллельно с десяти тысяч узлов, на которые хакер предварительно установил соответствующие программные агенты. В результате одновременного обращения к атакуемым узлам достигается эффект лавины - тысячи небольших пакетов забивают канал и блокируют доступ пользователей к серверам.
И хотя данный случай - не первый пример распределенной атаки (за два года до этого были зафиксированы распределенные атаки на компьютеры Министерства обороны США), именно февраль 2000-го показал всю опасность таких атак для Интернета. Было продемонстрировано, что для выведения из строя любого узла необязательно иметь "толстый" канал выхода в Сеть - достаточно множества маленьких "ручейков", действующих одновременно. Другой урок 7-9 февраля - огромное количество уязвимых узлов, к которым злоумышленник смог получить доступ. На самом деле таких узлов на несколько порядков больше - нынешние эпидемии червей лишний раз демонстрируют это.
Червь I LOVE YOU
Этот червь активизировался в мае 2000 г. и очень быстро распространился по миру за счет механизма рассылки своих копий по всем адресам в адресной книге MS Outlook. Помимо почтового способа распространения червь "любви" мог рассылать себя и через каналы IRC.
Появление этого вируса на высших местах рейтингов зловредных программ обусловлено использованием хакерами методов социального инжиниринга (social engineering). Каждое инфицированное письмо было озаглавлено "I LOVE YOU", и мало кто смог противостоять желанию узнать о своих воздыхателях. Я уже писал о знании хакерами психологии (см. "Психология на службе хакеров", PC Week-Online, 21 января 2003 г.) и повторюсь вновь: злоумышленники очень часто используют азы психологии для реализации своих действий. В вирусах это нашло отражение в виде заголовков писем, которые манили и призывали их открыть, чтобы выпустить на свободу "джинна из бутылки". Например, у чрезвычайно опасного и нашумевшего червя Klez было в запасе несколько привлекательных заголовков - "your password", "darling", "congratulations", "look, my beautiful girl friend", "Japanese lass’ sexy pictures" и т. д.
Черви CodeRed, SirCam и Nimda
В июле 2001 г. был обнаружен абсолютно новый червь CodeRed. Это был первый бестелесный червь, появившийся в мире, - он не создавал и не использовал в зараженной системе никаких временных или постоянных файлов; присутствовал он только в памяти зараженного компьютера или в виде TCP/IP-пакета, пересылаемого на удаленные машины. Данный пакет давал уязвимому компьютеру команду на загрузку основной программы червя, которая распространялась через другие уязвимые узлы, и так далее до бесконечности. Еще одна особенность червя CodeRed, подхваченная затем вирусописателями, - реализация в определенное время DDoS-атаки на указанные серверы (в случае с CodeRed это был сервер Белого дома США).
Разрушения, вызванные SirCam, появившимся также в июле 2001 г. и использовавшим методы распространения, известные по I LOVE YOU и Melissa, превзошли по своим масштабам последствия эпидемий, спровоцированных всеми вышеназванными вирусами вместе взятыми. Поэтому я и включил его в данный обзор. Однако ничего нового в нем не было, и лишь нерасторопность пользователей, забывших установить соответствующие заплатки, и уязвимость ПО всем известной компании опять привели к печальным последствиям.
Сентябрь 2001 г. ознаменовался появлением червя Nimda, который использовал множество различных способов для своего распространения. На компьютеры доверчивых пользователей он проникал через электронную почту, уязвимые Web-сайты и "расшаренные" каталоги в локальной сети. Nimda был первым, кто начал сканировать сеть в поисках уязвимых машин.
Червь Slammer
Небольшой код, размером всего 376 байт, стал очередной причиной эпидемии, разразившейся в январе 2003 г. Этот "проказник" (он же Helkern, он же Sapphire), заражающий серверы баз данных MS SQL, как и CodeRed, не имел тела и присутствовал только в памяти зараженных компьютеров. Более того, активность червя никак не проявлялась (кроме возросшего объема сетевого трафика), так как он не создавал никаких файлов на зараженном компьютере. Именно данный червь называется в качестве одной из возможных причин неполадок на атомной электростанции в Огайо ("Хакеры щелкают рубильником", PC Week/RE, N 33/2003, с. 43).
Интересен тот факт, что компания Microsoft, чье ПО опять стало мишенью для хакеров, за полгода до эпидемии выпустила заплатку, закрывающую брешь, использованную Slammer’ом. Но этого оказалось мало - огромное количество пользователей не учло уроков I LOVE YOU, Klez, Melissa и других вредоносных программ, что и привело к распространению Slammer’а.
Червь MyDoom
27 января текущего года началась крупномасштабная эпидемия червя MyDoom (Novarg), который по нанесенному ущербу превзошел предыдущего лидера - червя SoBig. По текущим оценкам (а червь и его модификации до сих пор продолжают свое победное шествие), потери компаний во всем мире уже составили 39 млрд. долл.
Как и в случае с CodeRed, данный червь реализовывал распределенную атаку, которой (за счет огромного числа инфицированных узлов) был подвластен абсолютно любой узел в Интернете. Однако MyDoom выбрал компанию SCO, возможно, потому, что она подала в суд на IBM за нарушение прав на код, используемый в Linux. Многие эксперты считают, что именно это и послужило причиной ненависти автора MyDoom к SCO. Однако через небольшой промежуток времени появилась новая разновидность червя, направленная уже против Microsoft. Награда, обещанная за поимку автора творения, не заставила себя долго ждать - в сети появился новый вариант MyDoom, который копировал на уязвимые узлы исходный код этого червя, что, по задумке автора, должно было помешать отследить истинного создателя (по некоторым данным, его след ведет в Россию).
Заключение
В статью можно было включить и ряд других инцидентов, нашумевших в свое время. Например, эпидемию вируса OneHalf в июне 1994 г. или атаку на тринадцать Интернет-образующих корневых маршрутизаторов. Однако OneHalf, хоть и натворил немало бед, но затронул в основном Россию. Второй же инцидент активно муссировался в прессе, и многие журналисты поспешили заявить о скорой кончине Интернета; однако на практике ничего серьезного не произошло и большое число пользователей просто не заметило нарушения работоспособности этих "ключевых" узлов. Аналогичные ситуации складывались и с другими громкими делами, при ближайшем рассмотрении оказавшимися мыльными пузырями.
В заключение хочу заметить, что, анализируя статистику самых разрушительных атак мира, можно проследить пугающую тенденцию - ущерб от новых атак растет небывалыми темпами. Если SirCam обошелся налогоплательщикам "всего" в 3 млрд. долл., а I LOVE YOU в 8,8 млрд., то уже Klez поднял эту планку почти до 20 млрд., а MyDoom прочно занял место лидера, нанеся урон на 39 млрд. долл. И эта тенденция, по-видимому, сохранится и в будущем.
Потери от вирусов уже сопоставимы с бюджетом некоторых государств. И это несмотря на то, что сам по себе вирус создается программистом-одиночкой. К сожалению, ни одна антивирусная компания не способна справиться с этой угрозой, а поддержки от государства пока не видно (если не брать в расчет несколько популистских заявлений и мероприятий). Существующие государственные подходы к обеспечению информационной безопасности становятся малоэффективными, так как они рассчитаны на борьбу с известным противником, чего нельзя сказать о современных вирусмейкерах, как правило, остающихся инкогнито.
С автором можно связаться по адресу: luka@infosec.ru.