Насколько опасны современные интернет-черви
Развелось что-то в последнее время много разных червей. Интернет, вроде бы, не яблоко, чтобы быть съеденным, но все шансы на это у него есть. В этой статье мы поговорим о сетевых червях и их влиянии на самую главную сеть нашей планеты.
Червяк обыкновенный
Вирусы (а также трояны, бэкдоры и т.п.) сейчас у всех на слуху. Черви, однако, это разговор особый. В отличие от классических вирусов, средой обитания червей является Сеть. Цель вируса – заразить как можно больше файлов на компьютере, а червя – максимальное количество систем в Сети. К этому могут добавляться более прозаические задачи (потереть информацию, выкрасть и отослать данные и т.д.). Современные черви обладают функциональностью и огромного количества стандартных вирусов: они поражают файлы, оперативную память, загрузочные сектора. Именно потому, что червь - это больше, чем вирус, и его стоит серьезно опасаться.
Взглянем на проблему шире. Черви – это единственный вид вредоносного кода, который вызывает у пользователей и экспертов тревогу за будущее. Но чего все боятся? Прежде всего, того, что интернет упадет. На день или неделю. А может, насовсем. Пустые слова? Нет. Точно так же, как большому кораблю – большое плавание, так и глобальной сети – глобальный конец :). Интернет – это сложная система, которую вполне реально поставить на колени. Еще пару лет назад об этом не могло быть и речи, но сегодня случилось страшное: появились черви, эксплуатирующие ту или иную дыру в системе безопасности ПО и размножающиеся за счет этого с невероятной скоростью. То есть проблема «пользователя, которому надо что-то впаривать» уже сошла на нет.
Помнишь старого-престарого червя – LoveLetter? Этот червь буйствовал в течение лишь одного месяца, но внимания привлек к себе уйму. Автор этого творения, чтобы заставить пользователя открыть зараженный файл, писал в теме письма "I Love You!". Какой человек удержится от соблазна прочесть любовное письмо от своей (своего) коллеги? Это психология. Психология прошлого. Сегодня она никому не интересна. Этот прием можно сравнить со стрельбой из пушек ядрами. Когда кавалерия наступает, это неплохой способ покрошить вражеских всадников. Но на дворе третье тысячелетие – компьютерный мир взял на вооружение новую заразу. Теперь, чтобы остановить наступление, используется ракета с ядерным боезарядом. Она несет в себе смерть: взрывную волну, радиацию, высочайшую температуру, магнитный импульс. Смерть для всего живого и техники. Точно так же и новый червь – он сам залезет на компьютер, ему не нужен пользователь, который по своей глупости и наивности запустит инфицированный файл.
Помнишь Klez? Конечно, помнишь. Я просто не могу обойти его стороной. Этот червь-легенда заразил за свою жизнь сотни тысяч компьютеров. Что ему было нужно? Только уязвимое программное обеспечение в лице Outlook и Internet Explorer. И не стоит думать, что виноваты во всем ребята из Microsoft, напротив, они заблаговременно выпустили необходимый патч. Нельзя во всем винить и пользователей – ну, забыли некоторые установить hot-fix или сервис-пак. Ничего не поделаешь. Жизнь такая. Наметанный глаз сразу углядит – проблема в другом: сама технология «червь+дыра» позволяет таким вот монстрам безнаказанно распространяться по всему миру. Червь запускается при щелчке пользователя на самом письме в Outlook. Казалось бы, всего ничего, а компьютер уже под властью пришельца.
Но смерть интернета путем заражения всех или подавляющего большинства компьютеров – это не единственное, чего все боятся. Помимо таких общих вопросов, как «интернет упадет», есть более насущные проблемы бизнеса. Бизнес сейчас контралируют страны, прессу, образование и т.д. Интересы бизнеса – это то, что заботит сильных мира сего куда больше мировых проблем. Поверь, никто и не заметил бы, как разбомбили Ирак, если бы не арабская нефть. Своя рубашка ближе к телу. Казалось бы, как это все связано с червями? Компании терпят огромные убытки из-за простоя ПК, потери нужной информации и необходимости восстановления множества машин. Не стоит забывать, что подавляющее большинство офисных сотрудников не сильно разбираются в вирусах, червях и прочей заразе. Их стоит защищать даже от обычных червяков с надписью «Запусти меня!» А тут еще и самозапускающийся гад появился... Еще раз напомню о LoveLetter, который за месяц своей жизни в 2000 году нанес мировой экономике урон в 8,75 млрд. долларов (по данным «Лаборатории Касперского»). Нам, правда, в России особого вреда он не причинил. Во-первых, у нас было не очень много компаний с большим количеством компьютеров. Их и сейчас немного, но 3 года назад было еще меньше. Во-вторых, большинство российских компаний используют Антивирус Касперского, который изначально давал иммунитет к LoveLetter. Интересно, что ребята из «Лаборатории Касперского» предсказали появление LoveLetter еще за год или два до реальных событий. Конечно, они не знали, что тело вируса будет любовным письмом, но предугадали технологию, которую вирус использовал для заражения компьютера. Как часто бывает, никто им не поверил. Но наши парни реализовали эвристическую защиту от гадов такого типа в модуле под названием ScriptChecker (он входит в состав любого дистрибутива Антивируса Касперского). В результате, когда LoveLetter добрался до нас, ни один клиент «Лаборатории» так с этим червем и не познакомился.
Это хороший эпизод из истории борьбы с червями. Но плохих эпизодов больше. Во сколько обходится простой серверов, на которых размещается сетевой магазин, или простой компьютеров в банке? Это астрономические суммы. И никому не хочется их терять только потому, что какой-то шалун написал маленькую программку, которая ставит на колени целые сети.
Мы разобрались в мотивах, заставляющих людей бояться «конца виртуального света». Посмотрим, насколько реально создание червя, которому это под силу. Прежде всего, червь должен уметь быстро размножаться. Но речь пойдет не о банальном поиске адресов в адресной книге пользователя. Нет, разговор будет о спаме. С недавнего времени вирусописатели стали использовать спам-технологии, чтобы повысить скорость распространения вирусов в сотни и даже тысячи раз. Ведь огромная база e-mail адресов – это то, чего так долго не хватало червям! Почтовый адрес - это та маленькая дырочка в большом яблоке, через которую можно влезть внутрь. Результатом такого подхода является чрезвычайно быстрый старт эпидемии, когда миллионы пользователей по всему миру получают инфицированные письма.
Далее, червь должен уметь заражать компьютер пользователя без вмешательства человека. Для этого и служат дыры в ПО. Уже сегодня существует много дыр в самых разных программах. Многие из этих дыр уже давно пропатчены и забыты. Но ведь есть бреши, которые еще никто не нашел! А найти их вполне реально, достаточно посмотреть ежедневные сводки: что-нибудь да найдут. Итак, и это не проблема для червя. А больше ему ничего и не надо.
Можно вкратце резюмировать: создание червя, эксплуатирующего новую брешь в системе безопасности и распространяющегося очень быстро, вполне реально. Здесь мы рассмотрели лишь стандартную составляющую сущности червя, а ведь можно добавить и обычные вирусные свойства. За последние три года мы увидели такие технологии, о которых раньше не могли и помыслить. Сегодня есть вирусы, необычайно маленькие, модульные (скачивающие свои апдейты из интернета), шифрующие себя мощными криптографическими средствами, чрезвычайно деструктивные (портящие все тот же CMOS) и т.п. Более того, все эти функции уже так или иначе реализованы в разных червях. Так что мешает соединить их в одном?
Итак, теоретически появление суперчервя вполне возможно. Почему же он до сих пор не создан? Разработать все модули такого гада одному человеку сложно. Ему нужно быть и очень хорошим программистом, и уметь отыскивать свежие баги в популярном софте, нужно знать ассемблер и иметь богатый опыт работы с дизассемблером. Так что же, таких людей нет? Дело, видимо, в том, что людям, способным создать такого червя (а такие люди, разумеется, есть), к счастью, хватает ума заниматься более конструктивными вещами. По большей части распространением вирусов занимаются закомплексованные подростки, мечтающие доказать всему миру свою крутость. Но, помимо немереных амбиций, нужны ведь еще и знания…
Червяк необыкновенный
Теперь мы поговорим о продвинутых червях. Червях, у которых нет тела. Правда, это куда более интересно? Эти паразиты существуют в виде пакетов, передаваемых по Сети. При попадании на компьютер такой гад находится лишь в его оперативной памяти! На мой взгляд, это венец эволюции сетевых червей.
Так почему такие черви столь опасны? А потому, что антивирус против них бессилен. Дело в том, что любой антивирус может проверять лишь файлы. Если вредоносный код не заражает файлы, то сканер, монитор, ревизор изменений и поведенческий блокиратор отдыхают. Это все равно, что в Нео из пистолета палить.
Ну хорошо, если антивирус не берет, то должен брать пакетный фильтр. Ведь бестелесный код представляет собой набор пакетов, значит, и фильтроваться должен брандмауэром или сетевым экраном. Мы пришли к хорошо известной «борьбе снаряда и брони». После появления первого бестелесного червя – CodeRed – разработчики, да и все остальные, предпочли просто заделать дыру в уязвимом ПО. А вот после недавнего зимнего нашествия Slammer специалисты задумались не на шутку. Сегодня в большинство корпоративных брандмауэров встроены специальные средства, которые фильтруют трафик на уровне пакетов и следят за «вредоносностью» кода. Как происходит анализ – тема отдельного разговора, более близкая к проблемам брандмауэров, а не антивирусов. Могу лишь сказать, что у нового бестелесного червя шансы проскочить такой фильтр незамеченным очень высоки.
Что меня так привлекло в этих бестелесных червях? Во-первых, их необычайная скорость распространения. Ты, наверное, и сам понимаешь, что передать небольшой объем пакетов проще, чем 130 килобайт (примерный размер Klez). К тому же, как только червь типа Slammer попадет на компьютер-жертву, он сразу начнет генерировать непрерывный поток трафика, направленный именно на заражение других ПК. То есть такому червю вовсе не нужно, чтобы его кто-то запускал и открывал – он распространяется без помощи людей и делает это намного быстрее любого другого червя, даже если тот использует спам-технологии. Идем дальше. Последний бестелесный червь показал потрясающие результаты – он заразил примерно четверть интернета всего за пару дней. Это значит, что каждый четвертый сайт был недоступен. Интересна сама сущность Slammer: он поражал лишь сервера, использующие MS SQL Server. То есть домашним пользователям он никакого вреда причинить бы не смог. Но направленность на серверный сегмент Сети свидетельствует о том, что автор ставил перед собой задачи, вполне достойные злого гения (или просто не нашел другую дыру в ПО, которую можно эксплуатировать для распространения червя - прим. ред.). Он мечтал положить интернет на лопатки. Это у него почти получилось. На одну четверть. Slammer показал всему миру, как должен себя вести настоящий червяк.
Теперь поставим следующий вопрос. Может ли бестелесный червь поставить на колени всю Сеть? Может, но лишь теоретически. Правда, если мощный бестелесный червь все-таки будет создан, угроза «обглоданного интернета» станет более чем реальной.
Потенциал бестелесного червя намного выше, чем обычного файлового. Но создать червя-призрака еще сложнее, чем мощного экземпляра, типа Klez. Так что черви – не угроза будущему.
Ящик Пандоры
Проблема интернета не только в червях. Черви – лишь вершина айсберга. Под водой же скрывается огромная часть под названием спам. Следует отметить, что за последний месяц всемирно известная аналитическая компания MessageLabs зафиксировала объем спама, больший, чем за весь 2002 год. Неплохие темпы, да?
Ключей к интернету два: серверы и трафик. Уничтожить интернет можно двумя способами: повредить/заразить серверы или создать повсеместный избыточный трафик. Первое довольно проблематично, а второе вполне реально. Slammer, благодаря генерируемому трафику, вывел из строя четверть Глобальной Сети. А спам и файловые черви создают дополнительный избыточный трафик плюс финансовые потери для бизнеса и домашних пользователей. Вот где корень зла.
Но можно взглянуть на проблему шире. Чем крупнее система, тем сложнее ее проблемы. Вот три слабых места интернета: безнаказанность, полное отсутствие контроля и отсутствие международных законов и международных органов надзора. Если обобщить, то получится такая картина: любой человек может делать в Сети все, что захочет (законное и незаконное), и его будет очень сложно отыскать, а даже если это удастся, то наказать его будет нелегко (не везде есть подходящая правовая и исполнительная базы).
Что же делать? Многие антивирусные эксперты во главе с Евгением Касперским предлагают ввести систему уникальных идентификационных номеров и создать правовую и исполнительную базы. Вторая часть этого предложения нас не касается – мы не юристы. А вот уникальные ID – это тема для разговора.
По мнению Евгения Касперского, корень зла - царящая анархия и безнаказанность. В интернете нет никаких законов. Если бы то же самое было в реале, то любой даун мог бы разбить витрину или помять крыло машины соседа. И никто бы его за это не наказал. В интернете сейчас именно такая ситуация – пользователь не несет никакой ответственности за свое хулиганство (вирусописательство, рассылку спама). Сегодня количество вредоносной информации стремительно приближается к количеству полезной. Если эта тенденция сохранится, то однажды в интернете просто нечего будет делать – открываешь почтовый ящик, а там на 1 полезное письмо 99 вирусов и спама. Именно для предотвращения этого предлагается ввести правила, регламентирующие работу с Сетью. Прежде всего, персональный идентификационный код. Его суть примерно следующая: заходишь в Сеть, будь добр предъявить «права» и соблюдать «правила движения». Так можно без труда вычислить, кто и когда запустил очередной вирус или разослал тонны спама. Естественно, полностью искоренить киберпреступность не удастся никогда, но этот шаг даст возможность значительно ее сократить.
Теперь любопытно обсудить проблему приватности: ведь не все мы преступники. В идеале, идентификационный код – это универсальный сетевой паспорт, который принимается по всему миру, всеми провайдерами (как, например, кредитная карточка Master Card или Visa). При работе с интернетом пользователь предъявляет его, и с этого момента провайдер начинает вести отчет о действиях. Вот тут-то и загвоздка – можно смело привести контрдовод - попытка нарушить священную privacy при работе с Сетью. Если снова обратиться к реальной жизни, то на автодорогах есть правила движения, права, технические паспорта, проверки, а при пересечении границы есть таможенный и паспортный контроль. Можно привести еще кучу аналогичных примеров. Люди согласились на компромисс между бардаком, анархией и упорядоченностью, процессуальностью. Чем сложнее объект, тем большую угрозу его размер представляет для него самого. Чтобы этого не произошло с интернетом, нужно вводить правила игры. Это единственный выход. Так рассуждает Касперский.
Однако, все эти доводы можно оспорить. Сейчас у каждого гражданина РФ есть паспорт и, более того, прописка или регистрация. Но снижения роста преступности нет и не предвидится. Дополнительные заморочки вроде московской регистрации, являясь по сути абсолютно безполезными, превратились в средства получения взяток чиновниками и левых доходов мелкими мошенниками. А нас как взрывали - так и продолжают взрывать.
Тут дело не в законах а в состоянии общества, в том, что у нас в головах творится. Ведь если бы большинство не хотело сделовать букве закона - никто бы их не выполнял (за примерами долго ходить на надо). Поэтому думать надо не о тотальной слежке и идентификации всх граждан и пользователей Сети. А о повышении их культуры, образования и нравственых ценностей. Если каждый будет действовать по принципу "поступай по одношению к другому так, как бы ты хотел, чтобы он поступал по отношению к тебе", мы будем жить в мире и согласии.
Буду рад обсудить эту тему в форуме на www.xakep.ru!
Но чего все боятся? Прежде всего, того, что интернет упадет. На день или неделю. А может, насовсем. Думаешь, враки? Нет. Точно так же, как большому кораблю – большое плавание, так и глобальной сети – глобальный конец :).
Какой человек удержится от соблазна прочесть любовное письмо от своего коллеги? Это психология. Психология прошлого. Сегодня она никому не нужна.
В том-то и дело, что проблема «пользователя, которому надо что-то впаривать» уже сошла на нет.
Проблема интернета не только в червях. Черви – лишь вершина айсберга. Под водой же скрывается огромная часть под названием спам. Следует отметить, что за последний месяц всемирно известная аналитическая компания MessageLabs зафиксировала объем спама, больший, чем за весь 2002 год. Неплохие темпы, да?
Так почему такие черви столь опасны? А потому, что антивирус против них бессилен. Дело в том, что любой антивирус может проверять лишь файлы. Если вредоносный код не заражает файлы, то сканер, монитор, ревизор изменений и поведенческий блокиратор отдыхают. Это все равно, что в Нео из пистолета палить.
Теперь поставим следующий вопрос. Может ли бестелесный червь поставить на колени всю Сеть? Может, но лишь теоретически.
С недавнего времени вирусописатели стали использовать спам-технологии, чтобы повысить скорость распространения вирусов в сотни и даже тысячи раз. Ведь огромная база e-mail адресов – это то, чего так долго не хватало червям!