Сеть и Безопасность: Вялотекущие битвы с вирусами
Ефим ОсиповNet Security News
Прошедшие недели для Рунета были, несомненно, праздничными, конечно же, в плане отдыха, а не тех или иных успехов. Ну, если только успехи личного характера не в счет. В Сети в целом прошедший период можно назвать скорее рутинными, нежели революционным: все те же беды как и до сих пор, если мы говорим о безопасности - вирусы, взломы, ответная реакция. Однако говорить, что все это обыденно, можно, рассматривая события лишь отстраненно. Когда же дело доходит до собственного опыта - многое меняется, и можно предположить, что, столкнувшись с проблемой персонально, каждый из нас становится немного другим, заодно меняется отношение к проблемам. Лично мне предпраздничную атмосферу немного подпортил Klez - светило массовых вирусов за последние полтора или даже два месяца (всего 94,5% заражений в апреле по данным Лаборатории Касперского). Конечно, как и у многих (не утверждаю, что у большинства), знание, что среда клиента OE дырява и Klez запускается даже без ведома пользователя перевешивалось дурной привычкой. Хотя против этого выступало даже то, что часть корреспонденции приходит через публичный сервис веб-почты. А что там за фильтры стоят, это, как говорится, "другой уровень ответственности".
Но это уже детали. Как всегда, если огрехи случаются, то по закону МNрфи, известному у нас как "закон подлости", они происходят одновременно. Так было и на этот раз - в антивирусе, который, кстати, обновлялся, не было установок по умолчанию ни лечить, ни стирать зараженные файлы. Поэтому, заподозрив, что запустилось то самое "оно", ждать долго не пришлось - в скором времени пришло уведомление, что с адресов клиента рассылается он, родимый - Klez.h. К этому времени он убивает антивирус и не дает ни установить его, ни сделать update. Почистить его "ручками" не удавалось: в эмуляции MS-Dos его было не видно. Форматировать жесткий диск не хотелось, поэтому firewall был поставлен на блокировку всего, а машина была отключеначерез время от Сети физически. После праздников на другой машине была найдена в Сети "лечащая" программа и с дискетки машина была благополучно излечена. Одиссея закончилась? Нет, только началась: был заново переустановлен антивирус, установлен The Bat! и сделаны "орг.выводы". Не удалось, например, отследить количественно, как активно рассылался червь, хотя его активность была очевидна простому глазу через firewall, и какие документы прикреплялись к письмам. Главное, что все цело, а вот, например, если бы он после 10 "отработок" контактного email листа форматировал бы жесткие диски, эффект был более "впечатляющий".
В любом случае ответственность за такой ущерб, видимо, была бы выше, хотя вопрос заключается в том, насколько выше. Например, создатель вируса Melissa был осужден на 20 месяцев лишения свободы, хотя ему угрожал срок до 10 лет, впрочем, до конца непонятно, адекватный ли это ответ за нанесенный ущерб в размере 80 миллионов долларов. Скорее всего, да - более жесткие наказания, как показывает практика, лишь больше мотивирует на совершение преступление. На этом экскурс в прошлое не закончен: "иногда они возвращаются" - на неделе появилась информация о том, что Code Red жив и "живее живых" - за апрель было зафиксировано 18 тысяч заражений по сравнению с 14-ю в декабре. Более того, зараженные сервера позволяют организовать DDoS атаку, при этом даже в новой версии Code Red исполнилось уже 9 месяцев. Несомненно, 18 тысяч это не 350 тысяч за 24 часа, но угрозы в Сети более устойчивы в силу живучести вредоносных программ, как показывает практика того же Klez.h, что опасно, т.к. составляет плацдарм для нового размножения и модификации того или иного вируса. Не меньшую живучесть проявляет Nimda, трюки которой во многом совпадают с Code Red. И первый, и второй могут нанести не только ущерб через заражение, но и вред незараженным машинам. Поэтому закономерно встает вопрос о том, насколько безответственны владельцы зараженных серверов, ведь скоро вирусам исполнится год, их известность глобальна, а патчи легкодоступны.
Однако упрекать в том владельцев серверов также легко, как простого пользователя, который обновляет антивирусное ПО в положенное ему время, а иногда это бывает слишком поздно. В конечном итоге, заражение - это результат целой цепи причин, и рассуждать кто виноват, просто бессмысленно. Каждый должен позаботится о своей безопасности, способствуя этим и непосредственно оказывая помощь другому. Чем не сетевая солидарность?! Тем более в Сети мы не менее зависимы от сообщества, чем в "реальной" жизни. Осталось дело за немногим - поддерживать свою "гигиену" на уровне. Начало мая тем временем можно охарактеризовать достаточно неожиданным всплеском подделок и мистификаций на вирусы. Впрочем, рассылающиеся сообщения могут быть как дезинформирующими, так и содержащими вирус. Другой тенденцией начало мая явилось увеличение троянских программ и веб-вирусов, устанавливающих, например, на зараженных машинах домашней страницей порноресурс и распространяющийся через контакт лист электронной почты. Другой пример веб-вируса - установка при заходе на ресурс, который распространял якобы компьютерную версию игровой приставки Xbox, и скачивании файла троянской программы, которая должна была бы генерировать "рекламные" хиты и клики. По наименованию процесса исполнение программы было похоже Netbeui - на обычный протокол для подсети машин с Windows, что такжемаскировало троянскую программу.
Также появилась информация о троянском вирусе Cute, который упрашивает пользователя нажать на прикрепленный файл, тем самым запуская файл с расширением exe. Особенностью этого червя является то, что он пытается нанести вред антивирусному ПО и межсетевому экрану, установленному на машине пользователя. Новым видом саботажа стала рассылка писем с предложением пользователю стереть якобы опасный файл - а файл этот, например, jdbgmgr.exe нужен для реализации процессов для Java. Однако такие шутки небезосновательны, ведь известно, что Magistr-A рассылал такие зараженные файлы более года назад. Многие охотно следуют такому "совету".
Тем временем, несмотря на то, что дыры находят в разном программном обеспечении, досталось на прошедшей недели в первую очередь системам мгновенного обмена сообщениями. Сначала оказалось, что дыра в AIM, найденная и якобы зафиксированная пару месяцев назад, может быть использована слегка видоизмененном образом. Той же "болезнью", а именно, ошибкой переполнения буфера, страдает и MSN Messenger. Запутанность с патчами, необходимость их устанавливать для нескольких программ сразу, чтобы надежно защитить свою машину, затрудняет решение данной задачи. Кстати, недавно использование систем IM было запрещено в одном специализированных компьютерных ведомств Великобритании и, в первую очередь, в силу причин безопасности, а не управленческого контроля. Еще дыры были найдены в Macromedia Flash, а также в операционной системе Solaris. Не обошлось и без критики нового детища Microsoft - платформы .Net.
Первомайскими взломами хакеры, как ни странно, не отличились: кроме дефейса Ferrari-group.com в связи с необъективным решением в ходе гонки, трудно что-то отметить. Если, конечно, не учитывать взлом одного из сайтов Gartner в самом начале мая. Дефейс на свой счет записали хакеры из группы Deceptive Duo, группы, которая занималась патриотичными взломами с педагогическими целями. Недавно представители ФБР заявили, что задержали несколько человек, якобы причастных к недавним взломам американских правительственных сайтов. Кстати, многие эксперты утверждают, что в США средой или лучше сказать ореолом обитания для хакеров являются университеты и колледжи с их свободной политикой в области компьютерной безопасности и отсутствием контроля.
Невиданным всплеском партнерских разработок отличилась отрасль компьютерной и информационной безопасности: Network Associates (NAI) и Internet Security Systems (ISS) объявили о сотрудничестве в области защиты от гибридных атак, совмещающих массовое размножение и взлом, в свою очередь, VeriSign и AOL заключили соглашение, по которому VeriSign будет разрабатывать шифрование для AIM.
Тем временем давление на privacy продолжается: в США противостояние между организациями по защите privacy с системой принимает вполне конкретные формы. Слежение компаний за своими потребителями вызвало резонанс у защитников права на частную жизнь. Также появляются новые технологии слежения за интерактивностью пользователей, субсидируемымые правительствами разных стран, что не может не беспокоить. Разработки нового законодательства в области privacy и информационной безопасности федеральных правительственных сетей также продолжаются: недавно были представлены законопроекты и поправки соответственно. В деле privacy основными вопросами является возможность выплат по искам в случае нарушений, возможность пользователя платно или бесплатно просмотреть его персональную информацию, информацию, подлежащую сбору по пожеланию пользователя или в обязательном порядке. Критики отмечают, что во многом законопроекты носят про-корпоративный характер и имеют целью защитит не потребителя от недобросовестных действий корпораций, а компании от наиболее решительных и последовательных граждан. Поэтому слова о необходимости "сбалансированного" решения не более чем риторика, оформляющая жесткие реалии законотворческого процесса. Впрочем, принятие закона может затянуться еще на год, что говорит о том, что как таковых твердых позиций ни у правительства США, ни у компаний и настоящий статус кво их вполне устраивает. Со стороны это выглядит далеко не увлекательно, но то, что происходит вполне интересно, ведь те же самые проблемы через некоторое время появятся и у нас. Вопрос в том, через какое.
Еженедельные обозрения на CNews.ru Редакция готова рассмотреть к публикации материалы (статьи, описания систем/продуктов/услуг), подготовленные специалистами вашей компании, для публикациив следующих обозрениях:
Ждем Ваши предложения и заявки по этому адресу. |