Вспышка инфекции Zotob указывает на проблемы безопасности
В 2003 г. Червь Blaster инфицировал около 10 млн. компьютеров всего через три недели после выпуска корпорацией Microsoft обновления для дыры, которую использовал этот вид червей. Но сегодня ИТ-администраторы должны быть рады даже недельному окну на срочное лечение систем до вторжения червя через новую уязвимость.
В августе на сети многих организаций США обрушилась стая вредоносных программ, дистанционно и эффективно использовавших уязвимость Windows-сервиса Plug and Play и созданных практически через сутки после выпуска исправления Microsoft от 9 августа. Быстро захлопывающееся окно приема обновлений повсеместно обязывает ИТ-отделы находить оптимальные способы для оперативного распространения патчей. Однако, предупреждает ряд экспертов, выбросы червей и ботов отвлекают внимание профессионалов от более глубокой и скрытой проблемы - неисследованных или нераскрытых уязвимостей ПО, работающего на критических системах.
К 20 августа, по данным специализирующейся на безопасности компании Sophos, было обнаружено 19 червей, эксплуатирующих дефекты Plug and Play и классифицируемых как новые семейства червей Zotob и Dogbot и варианты троянов Rbot. Массовый наплыв зловредных программ сразу после выхода патча Microsoft помешал многим компаниям своевременно исправить уязвимые системы.
По словам пресс-секретаря компании DaimlerChrysler Дейва Элшофа, во вторник 16 августа эти черви всего за 50 минут парализовали сети ее 13 предприятий на территории США, заставив простаивать без дела 50 тыс. работников.
Атаки Zotob и Rbot на той же неделе расстроили деятельность сервисных служб фирмы SBC Communications; как сообщил ее представитель Уэс Уарник, действия червей вызывали перезагрузку систем Windows 2000 и нарушали контакты с обратившимися в службы клиентами. В момент заражения в SBC еще только знакомились с исправлением Microsoft.
"Таким крупным корпорациям, как SBC, приходится заниматься тестированием патчей на совместимость с имеющимися системами", - пояснил Уарник.
По словам Стивена Тулуза, управляющего программой безопасности в Microsoft Security Response Center (Редмонд, шт. Вашингтон), Microsoft и другие компании рекомендуют пользователям придерживаться принципа "глубокой обороны" (defense in depth), включающего наличие настольных брандмауэров, антивирусного ПО, технологии обнаружения вторжений и средств управления установкой патчей.
Именно комбинация этих технологий спасла системы Windows 2000 компании Principal Financial Group от удара Zotob и его родственников, сказал Кори Налл, работающий в ее информационных службах. ИТ-руководство этой компании обычно требует доскональной проверки новых патчей, но делает исключение для таких опасных угроз, как дефект в Plug and Play.
Эксперты тем не менее предупреждают, что вспышки инфекций червей и другого зловредного кода могут быть своего рода дымовой завесой.
"То, о чем говорит Microsoft, - только вершина айсберга, - считает Нанд Мулчандани, вице-президент по развитию бизнеса и основатель фирмы Determina, занимающейся безопасностью. - Если кто-то находит уязвимость, то в обычаях хакерского андеграунда ее использовать, а не писать под нее черви".