Главная страница - Публикации

Хакерюгенд



Праздное любопытство, лень и элементарное пренебрежение правилами гигиены в беспорядочных компьютерных связях -- причины распространения заразы, приносящей миллиардные убытки. В конце января Интернет в очередной раз потрясла волна вирусной эпидемии. Буквально за сутки вирус-червь, известный как Sapphire, Helkern, или, специалистам, как W32.Slammer, поразил более 200 тыс. серверов во всем мире. Особенно пострадали страны Восточной Азии, первыми попавшие под удар вируса. В Южной Корее им оказались заражены до половины всех серверов, в тысячах компаний были парализованы внутренние сети и веб-сайты, сорваны торги на Корейской товарной бирже -- брокеры просто не смогли выставить свои заявки. Вирус нанес экономике страны столь значительный ущерб (только страховые выплаты могут превысить 800 млн долларов), что в ситуацию счел необходимым вмешаться президент Южной Кореи Ким Дэ Джун, обвинивший в создании вируса китайцев. Начало и пик эпидемии пришлись на выходные дни, поэтому для других стран последствия вирусной атаки были не столь разрушительными, но тем не менее вполне ощутимыми. Некоторые американцы оказались неплатежеспособны -- вырубилось около 13 тыс. банкоматов Bank of America, использующих Сеть для связи с хранилищами данных. Японцам было сложно дозвониться -- для передачи голоса операторы сотовой связи используют Интернет. В Канаде, где в тот уик-энд проходили выборы, некоторые избиратели не смогли зарегистрироваться для участия в них через Интернет, и потребовалось принимать специальное решение о признании выборов легитимными. За последние полтора года это уже третья вирусная атака, серьезно нарушившая работоспособность всей Сети (достаточно вспомнить о нападениях вирусов-червей Code Red и Nimda). Однако Sapphire/Helkern, по оценке Евгения Касперского, одного из лучших в мире специалистов по компьютерным вирусам, "оказался абсолютным призером по последствиям для нормального функционирования Интернета". Нанесенный им ущерб пока оценивается в 10 млрд долларов. Ущерб мог быть существенно выше, если бы, скажем, начало атаки пришлось на рабочие дни или сам вирус обладал бы разрушительными свойствами (см. "Как действовал Сламмер"). Но вряд ли это должно успокаивать. Как говорит Касперский, ""прикрутить" какую-нибудь деструктивную функцию, например способность удалять файлы, для вирусописателя -- дело десяти минут". В общем, в этот раз всем нам очень повезло. Но как получилось, что крошечный кусок программного кода размером всего-то в 376 бит -- меньше, чем букв в этом абзаце, -- мог выкосить чуть ли не четверть мировой Сети, отрезать от Интернета одну страну, едва не сорвать выборы в другой и заблокировать вклады в третьей? Почему вообще эпидемии компьютерных вирусов становятся столь разрушительными? Жертвы эффективности. Мелиссой звали балерину из штата Флорида, покорившую сердце студента местного университета. Ее именем он и назвал сочиненный им вирус. Чем закончился их роман, истории не известно, а вот вирус Melissa стал одним из самых разрушительных в истории Сети. Интересно, что затронуты Melissa оказались далеко не все компьютеры, а лишь те, что работали под управлением операционной системы Windows, где имелся текстовый редактор WinWord и использовалась электронная почта того же производителя. Пользователей же Macintosh эпидемия никак не затронула, они сохранили в неприкосновенности все свои пароли к порносайтам. А вот крупные корпорации и некоторые правительственные агентства пострадали очень серьезно, ведь в целях повышения эффективности и управляемости в них, как правило, приняты единые для всех -- от секретарши до руководителя -- стандарты программного обеспечения. И очень часто -- именно Windows. Если в биологических системах, а с ними Сеть часто сравнивают, развиваются организмы только одного вида, то их среда называется монокультурной. С другой стороны, понятие монокультуры есть и в сельском хозяйстве. Там монокультуры очень эффективны и выгодны, потому что позволяют получить абсолютно ожидаемый результат -все растения будут иметь одинаковый размер, цвет, плоды их созреют в один срок. Но все они обладают также и одинаковой способностью противостоять вирусам и паразитам: если любой член монокультурного сообщества будет инфицирован, заболеть могут все. Поэтому в природе монокультуры за редчайшим исключением не выживают, тогда как гетерогенные (мультикультурные) сообщества распространены повсеместно. Melissa воспользовалась однотипностью компьютерных парков корпораций: с точки зрения вируса множество связанных между собой компьютеров, управляемых одной и той же операционной системой, были, как фруктовый сад. Вот он и облетел. Идея гетерогенности в компьютерных системах не нова. Говорят даже, что раньше при создании систем управления особо важными объектами специально использовали различные программные среды, не по глупости или небрежению, а для того, чтобы в случае сбоя, не рухнула система в целом. Со временем (и для менее критичных случаев) от этой идеи отказались, потому что программные продукты одного производителя, безусловно, лучше взаимодействуют между собой. Пример -- те же офисные пакеты Microsoft. Но главное, управлять парком однотипных устройств намного удобнее и содержать его намного выгоднее, чем Ноев ковчег, в котором каждый зверь требует особого к себе внимания. Пути господни неисповедимы, но, похоже, создавая мир, он думал не только об эффективности. Потому мир и выжил. Жертвы беспечности. Самое неприятное в истории со Slammer -- об уязвимости SQL Server 2000 (которой и воспользовался вирус) известно уже очень давно. Более полугода назад компания Microsoft сообщила об этом и выложила на своем сайте патч (заплатку), которую системным администраторам рекомендовалось установить немедленно. Кстати, серверы самой компании-производителя, работающие, естественно, и под SQL Server 2000, не были затронуты атакой Slammer. Так что аналитики и специалисты не спешат обвинять Microsoft в случившейся катастрофе, признавая, впрочем, что Sapphire/Helkern -- один из многих случаев, когда вирусописатели воспользовались конструктивной недоработкой в программном продукте компании. Объясняет руководитель по компьютерной безопасности крупой веб-девелоперской компании: "Продукты Microsoft действительно чаще прочих становятся целью вирусов-червей. Во-первых, аналогичные программы под Linux, как правило, проще, не так богаты дополнительными возможностями и уже поэтому менее уязвимы. Во-вторых, исходный код Microsoft закрыт, дыру на уровне кода в ее продуктах могут обнаружить только инженеры самой компании. А исходные коды Linux открыты и, как следствие, изучены вдоль и поперек, существуют даже специальные программы для анализа кода Linux на наличие дыр и уязвимости. На Linux просто смотрит больше глаз, вот и вся разница". Того же мнения -- дыры в системах безопасности есть везде -- придерживается и Евгений Касперский: "Будь Linux на месте Windows, сейчас на месте SQL Server был бы сервер Apache. Существует показатель "багливости" ("баг" -небрежность, ошибка) среднего программиста, и, будьте уверены, этот показатель универсален и не зависит от того, для какой операционной системы пишется программа... Просто, чем более популярен продукт, тем больше хакеров и вирусописателей "стругают" для него гадость, подобную Helkern". Так что, ПО с открытым кодом вовсе не панацея от вирусных атак, тем более что вирусы, использующие бреши в защите серверов Apache, существуют, и червь Slapper в свое время тоже нанес немалый ущерб. Теперь специалисты называют несколько способов, которыми можно было защититься от Slammer, включая настройки самого сервера, установку файрволла или маршрутизатора. Как же оказалось, что около 40% серверов в Южной Корее, одной из самых компьютеризированных стран мира, ничем не были защищены? Но если бы так плохо обстояли дела только в Корее. В прошлом году "Эксперт" писал о двух исследованиях отношения компаний к компьютерной безопасности. Одно из них (глобальное) было проведено KPMG при участии CheckPoint, Symantec и RSA, а другое, в России, -- Ernst & Young. Их результаты поразительны. Более чем в половине случаев опрошенные компании не имели систем обнаружения вторжений в свои внутренние сети, да что там -- даже антивирусные программы использовали далеко не все из опрошенных. Защита информации и каналов ее распространения сейчас имеет принципиально иное значение для экономики и общества, чем двадцать или даже десять лет назад, но отношение к ней не изменилось. Данные, содержащиеся в корпоративных сетях, системах банков, брокерских компаний, в системах госорганов, критически важны и для самих компаний и организаций, и для их клиентов (зависимость и тех и других от устойчивости работы компьютерных сетей со временем будет только увеличиваться). Никого не удивляют усиленные меры безопасности, принимаемые в отношении, например, ядерных электростанций. Но из сотни компаний лишь одна-две проводят аудит собственных систем безопасности. Жертвы любопытства. Тесная корреляция роста Сети и числа компьютерных атак (см. график 1) выглядит естественной. Однако статистика атак учитывает только глобальные инциденты, а на деле системные администраторы сталкиваются с попытками незаконного проникновения в свои сети иногда по нескольку раз в день, не говоря уже о вирусах и троянах, пачками поступающих вместе с электронной почтой. Компьютерные системы подвергаются сейчас намного большей опасности, чем это кажется на первый взгляд, но вовсе не по причине роста мастерства хакеров и вирусописателей. Дело в том, что само хакерское искусство меняется -- в нем появляется разделение труда, взлом все чаще становится результатом не мастерского применения глубоких технических знаний, а элементом психологической игры, эксплуатирующей не столько уязвимость программного обеспечения, сколько пороки, любопытство и наивность пользователей, от которых стало требоваться все меньше профессионализма. В хакерском деле программирование всегда было и остается уделом немногих избранных профессионалов. А вот исполнение и распространение вредоносных программ, как показывают исследования CERT/Karnegie Mellon, в последнее время все чаще сводится к простому маркетингу. Пример: вирус Kournikova, продукт, созданный при помощи программы VBS Worm Generator. Делать почтовые "черви" можно, оказывается, не зная даже азов программирования. Достаточно сочинить завлекательный текст и вписать его в нужное окошко. Программа сама выдаст вредоносный vbs-файл, остается разослать его первым жертвам. Наивные, глупые и любопытные, они ждали обещанного фото голой топ-модели и получали вирус Kournikova. Им нужен был зачем-то скринсэйвер, и они заражались вирусом Goner. Уму непостижимо, но многие даже запускали случайный файл, свалившийся им в почту от имени неизвестного лица, -- так рассылал себя вирус Sircam. Если эти вирусы порождали масштабные эпидемии, что говорить о посланьицах под заголовком "love-letter-for-you". О том, что они содержат очередного зверька, производители антивирусных программ сообщили спустя всего несколько часов после начала эпидемии. Но любопытство победило -- зараза распространилась на сотни тысяч компьютеров по всему миру. Вот уж впрямь "на одном конце червяк, на другом конце дурак". DOS-атаки, подобные той, что была устроена вирусом Sapphire/Helkern, теперь тоже можно устраивать, не зная архитектуры Интернета, не зная вообще ничего, кроме имени сайта, имея лишь специальную программку, "мышку" и много свободного времени. Хакеры-чайники, инфантильные социопаты, скучающие недоросли составляют заговоры в университетских чатах, где их потом вычисляют спецслужбы (именно так поймали того филиппинского студента, который сочинил love-letter). А коммерция обеспечивает их профессионально разработанными компакт-дисками с коллекциями инструментов для деструктивной деятельности. Немного стараний, и несколько миллиардов долларов вылетают в трубу. Мама, я не умру? Вандализм новых хакеров сродни граффити, которыми покрывают заборы иногда из любви к искусству, но чаще со скуки -- "сделать гадость всегда радость". В отличие от стариков-профессионалов, у которых были хоть и своеобразные, но все же четкие понятия о смысле их деятельности, теперешние не замышляют изменить мир, они просто ловят адреналин или дают выход фрустрациям и ехидству. Это, конечно, не радует, но каковы могли быть последствия целенаправленной вирусной активности? Впрочем, именно в силу низкого профессионализма новой поросли идею тотальной кибервойны мирового терроризма против мирового глобализма (по крайней мере сейчас) не стоит воспринимать серьезнее, чем страшную сказку. Как говорит Евгений Касперский, убить Интернет, запуская в него вирус, можно, только если этот вирус одновременно изведет под корень не только все компьютеры со множеством операционных систем, но и все человечество: "Теоретически, наверное, возможно создать вирус, с помощью которого можно взорвать ядерную станцию и запустить ракету. Но практически -- нет." Добавим к этому, что хакерские сообщества без Интернета также прекратят свое существование. Единственным надежным средством борьбы с хакерами может стать бдительность, и именно в этом главный урок эпидемии Sapphire/Helkern. Отношение к защите информации меняется -сектор программного обеспечения в области безопасности быстро растет даже сейчас, когда отрасль в целом находится в глубоком кризисе, растут и цены акций компаний-производителей антивирусного ПО (см. график 2). Но в конечном счете все упирается не в технологии, а в людей. Как говорит Игорь Василиадис, президент интернет-трейдинговой компании Level 2 Consulting: "Всего предусмотреть невозможно. Лишь грамотно управляя рисками, можно снизить их до приемлемого уровня". Так что неустойчивое равновесие игры в казаки-разбойники, скорее всего, продлится и дальше. Как действовал Slammer. Механизм действия этого интернет-червя еще не изучен окончательно. Известно следующее. Он относится к классу "бестелесных" вирусов, которые существуют исключительно в системной памяти компьютера, и использует две особенности популярного программного обеспечения Мicrosoft SQL Server 2000, а точнее одного из его приложений -- SQL Server Resolution Service (SSRS). SSRS принимает запросы, поступающие на один из портов сервера, 1434-й, и возвращает адрес и номер того порта, который обеспечивает доступ к требуемой базе данных (это было сделано для того, чтобы ускорить выполнение сервером однотипных запросов). В дополнение к этому SSRS может отвечать на запросы (ping) других серверов, находящихся под управлением SQL, подтверждая тем самым присутствие сервера в сети. Обычно серверы просто периодически обмениваются очень мелкими пакетами данных, не выполняя при этом никаких действий. Но Slammer подделывал этот запрос таким образом, что зараженный сервер отвечал на него обращением к своей базе данных IP-адресов, рассылая вирус новым потенциальным жертвам. Как только таковые находились, вирус, используя функцию ping, организовывал непрерывный обмен информаций между зараженными серверами -- жертва А посылала запрос на Б, а Б в ответ посылал новый запрос на А, А отвечал очередным запросом. Таких циклов на каждом из зараженных серверов одновременно запускалось все больше и больше, они сжирали ресурсы серверов, пока те не "зависали", не выдержав нагрузки. Сам по себе неугомонный "червяк" не причинял никакого вреда ни рядовым пользователям, ни даже зараженным серверам -- в постоянную память сервера он не записывался, данные не уничтожал и после перезагрузки сервера исчезал бесследно. Самой вредоносной особенностью Slammer была именно скорость, с которой он мог размножаться: всего за три часа, прошедшие с начала атаки, заразилось около 2,5 млн серверов по всему миру. Это вызвало взрывообразный рост сетевого трафика, и каналы связи просто перестали справляться с нагрузкой. Потери пакетов при передаче данных в среднем по Сети достигали 30%, так что оказался затруднен обмен информацией и между здоровыми серверами, а в некоторых странах, например в Южной Корее, Сеть была почти полностью парализована. Из-за перегрузки каналов связи прекратили работу пять из тринадцати корневых DNS-серверов, отвечающих за адресное пространство Сети (то есть соответствие имени www.server.com определенному набору цифр, которые на самом деле и являются сетевым адресом сервера). В результате примерно четверть ресурсов Интернета оказалась недоступной обычным пользователям. Моугт ли вирусы убить Сеть? Чем быстрее растет Сеть, тем больше регистрируется инцидентов, связанных с вирусами. год Вирусные атаки Серверы в сети 1990 252 313 1991 406 376 1992 773 727 1993 1 334 1313 1994 2 340 2217 1995 2 412 5846 1996 2 573 14352 1997 2 134 21819 1998 3 734 29670 1999 9 859 43230 2000 21 756 72398 2001 52 658 109575 2002 82 094 147345 Акции производителей антивирусных средств пользуются повышенным спросом Динамика индексов и акций компаний с учетом произведенных сплитов, янв 1999=1. DJIA NSADAQ Check Point Software Symantec Technologies Corporation Jan 03 0,85 0,58 2,27 9,67 Dec 02 0,90 0,58 2,03 8,62 Nov 02 0,96 0,64 2,67 11,33 Oct 02 0,90 0,58 2,16 9,16 Sep 02 0,82 0,51 2,15 9,13 Aug 02 0,93 0,57 2,62 11,13 Jul 02 0,94 0,58 2,62 11,15 Jun 02 0,99 0,64 2,12 9,01 May 02 1,07 0,70 2,54 10,80 Apr 02 1,07 0,74 2,84 12,06 Mar 02 1,12 0,81 4,75 20,20 Feb 02 1,09 0,76 4,36 2,00 Jan 02 1,07 0,84 5,71 4,36 Dec 01 1,08 0,85 6,24 3,67 Nov 01 1,06 0,84 6,00 3,60 Oct 01 0,98 0,74 4,61 3,04 Sep 01 0,95 0,65 3,44 1,92 Aug 01 1,07 0,79 5,00 2,38 Jul 01 1,13 0,89 6,92 2,67 Jun 01 1,13 0,95 7,91 2,42 May 01 1,17 0,92 8,42 3,91 Apr 01 1,15 0,93 9,81 3,59 Mar 01 1,06 0,80 7,43 2,32 Feb 01 1,13 0,94 6,68 2,52 Jan 01 1,17 1,21 15,89 2,84 Dec 00 1,16 1,08 13,92 1,85 Nov 00 1,12 1,14 10,70 1,99 Oct 00 1,18 1,48 16,51 2,16 Sep 00 1,14 1,61 16,41 2,44 Aug 00 1,21 1,84 15,20 2,70 Jul 00 1,13 1,65 6,04 2,84 Jun 00 1,12 1,74 11,03 2,99 May 00 1,13 1,49 9,79 3,64 Apr 00 1,15 1,69 9,02 3,46 Mar 00 1,17 2,00 8,91 4,16 Feb 00 1,09 2,05 5,31 3,96 Jan 00 1,18 1,72 2,87 2,77 Dec 99 1,24 1,78 5,18 3,25 Nov 99 1,17 1,46 3,69 2,59 Oct 99 1,15 1,30 3,01 2,64 Sep 99 1,11 1,20 2,20 1,99 Aug 99 1,16 1,20 2,01 1,66 Jul 99 1,14 1,15 1,78 1,67 Jun 99 1,18 1,17 1,40 1,41 May 99 1,13 1,08 1,15 1,36 Apr 99 1,16 1,11 0,92 1,10 Mar 99 1,05 1,08 1,12 0,94 Feb 99 1,00 1,00 1,00 1,00

Юрий Аммосов, Марина Шпагина. "Эксперт", 3.02.03




Похожие по содержанию материалы раздела: "СОТА" на страже интересов москвичей Специальный проект Любители чужих паролей "Русич" теряет кадры Служба начинается с анкеты ЧИСТИЛЬЩИКИ Первый хакер на деревне Защитит и ВАЗ, и вас В "Новые Известия" пришли люди в черном РАБОТОДАТЕЛЕЙ ОБЯЖУТ ХОДИТЬ ПО КВАРТИРАМ Билл Гейтс почти раскрыл свои коды ИСПЫТАНИЕ ДЕТЕКТОРОМ ЛЖИ Что было, что будет, чем дело кончится Греф требует от Касьянова гласности Запомни, каждый гражданин - номер 01 Послали на три цифры Бывшие наемники против бандитов Тамбовская шутка Хотели как лучше...

(c) 2008
Видеонаблюдение,
охранная и
пожарная сигнализация