Спецпроекты

Безопасность Бизнес Техника Цифровизация Бизнес-приложения

Интернет-черви: новые цели определены

С каждым днем черви становятся все более обыденным явлением в интернете, но причиняемые ими потери измерять все труднее - со временем убытки только растут и уже исчисляются миллиардами. Более того, реальные цифры ущерба нам никогда не узнать, поскольку многие компании не сообщают о подобных инцидентах, чтобы не потерять доверие потребителей. Но пока нам везет – еще не существовало червя, который постоянно причинял бы широкомасштабный вред компьютерам по всему миру.

Пока все известные последствия «встреч» с червями1 выражались в отказе системы. К тому же, черви пока ведут себя довольно вяло. Большинство из них размножается достаточно медленно и, там самым, дает возможность системным администраторам опомниться и применить средства защиты, имеющиеся в их арсенале.

Краткая история червей

Самый «древний» червь
Впервые черви1 дали о себе знать в 1982 году в исследовательском центре компании Xerox Пало Альто (о разработках центра см., например, здесь).

Анализ вредоносной работы червей и собственно наблюдения системных администраторов показали, что очень трудно контролировать количество червей, способных существовать одновременно. Именно поэтому они стремительно распространяются и, как следствие, приводят к лавинообразному росту отказов в работе систем.

Согласно имеющимся у нас данным, первый зловредный червь был выпущен пятнадцать лет назад. Это сделал осенью 1988 года Роберт Т. Моррис из Массачусетского технологического института (MIT).

Моррис быстро понял, что его червь распространяется быстрее, чем он рассчитывал, и издал инструкции по его удалению. Но было поздно - многие потенциальные жертвы оставили его рекомендации вовсе без внимания (хотя бы потому, что большое число системных администраторов значительно «отдалилось» от интернета).

В ноябре 1988 года этот первый интернет-червь парализовал работу нескольких глобальных сетей в США. По независимым оценкам, он принес убытков на $98 млн. Тогда Моррису дали три года испытательного срока, 400 часов муниципальных работ и штраф в $10050 плюс стоимость наблюдения за самим Моррисом.

Черви: число нападений растет
Заметный рост частоты нападений червей и увеличение связанных с ними убытков началось с конца 1990 гг.

Один из наиболее известных червей - Melissa на платформе Microsoft. Она появилась в 1999 г. Впоследствии ее создатель тоже «пострадал» - он был осужден на 20 месяцев лишения свободы, несмотря на то, что ему угрожал срок до 10 лет. Мировой экономический ущерб от Melissa оценивается в $1,10 млрд.

За первым из наиболее запомнившихся червей пришли другие - Code Red и Nimda. Это случилось в 2001 г. Мировой экономический ущерб от первого из них оценивается в $2,62 млрд., от второго, менее зловредного, - $635 млн. И при этом, Code Red уже выбыл из Топ-10 самых разрушительных вирусов.

Эпидемии прошлого, 2003 года оказались также весьма разрушительными. Мировой экономический ущерб Slammer и Blaster, по оценке Computer Economics, по итогам 2003 года оценивался в $1,25 млрд. от первого, и $400 млн. от второго.

В различных платформах Linux самыми знаменитыми прослыли RAmen в 2001 г. и Simile в 2002 г. RAmen многим запомнился тем, что стал первой вредоносной программой для операционной системы Linux, обнаруженной в «диком виде».

Напомним, что также существуют черви, способные размножаться на разных платформах, - например, W32.Winux (подробнее о мировом экономическом ущербе от вирусов см. здесь).

Пути проникновения червей

По проторенной дорожке
Самые распространенные пути атак интернет-червей включают в себя модемы, е-mail, веб-браузеры, сетевые конференции, взаимодействие равноправных пользователей, макрос. Практически каждое приложение имеет изъяны и все проблемы возникают при работе в интернете (на втором месте стоит электронная почта). Червь начинает размножаться, как только находит в программе уязвимое место.

Жизнедеятельность большинства червей основывается на слабостях программ, так называемых «нулевых явлений». Это значит, что изъян в программе совершенно новый и еще не был обнаружен, и у ИТ-компаний не было времени разработать защитный патч.

Другой легкий путь для проникновения червей – е-mail. Обычно «почтовые» черви пытаются воспользоваться слабостями определенных почтовых же клиентов, таких, как Microsoft Outlook. Эти черви приходят с инфицированными файлами или текстами и рассылаются аналогичным способом по всем контактам, имеющимся в адресной книге. Также черви пользуются социотехникой и отвечают на вполне законные е-mail, находящиеся в почтовом ящике. Пользователь считает, что получил е-mail от какого-то знакомого, и открывает сообщение – и тогда «инфекция» активизируется.

«Жесткие» носители инфекции
Одним из простых и все еще весьма распространенных способов занести червя или вирус была и остается самая обычная дискета. При чтении информации с такой «зараженной» дискеты компьютер поражается вирусом, так как ее загрузочная запись уже была инфицирована. В то же время сегодня наблюдается рост применения различных устройств для чтения и записи, таких, как CD-ROM и ключи USB. Но, как считают эксперты, подобные способы перемещения информации в будущем широко применяться уже не будут и уйдут в прошлое вместе с дискетами.

Стандартный путь через стандартные сервисы
Самый обычный путь для размножения червей – это нападения на сервисы. Такое происходит, потому что обычные программы работают на известных портах и пользователям не нужна дополнительная (и отчасти секретная) информация об услуге. Было бы весьма трудно получить доступ к корпоративному веб-сайту, если бы он был установлен не на стандартном порте 80.

Общие характеристики всех сервисов, работающих на стандартных платформах, позволяют червям легко проникать в систему. Вспомним атаки на «информационный сервис интернета» (Microsoft IIS на порте 80), «удаленный вызов процедуры» (RPC на порте 135), сервер Microsoft SQL (сервер базы данных на порте 1434) и «протокол передачи файлов» (FTP на порте 21). Когда находится слабое место, нетрудно воспользоваться хорошо известным номером порта для поиска легкоуязвимых серверов.

Сетевые конференции и приложения для равноправных пользователей – распространенный способ работать с общедоступными файлами. Именно эта характеристика делает данные технологии уязвимыми для червей и вирусов. Вышеупомянутый червь Морриса впервые был распространен именно через сетевую конференцию. Сегодня эти технологии применяются миллионами пользователей и надо постоянно помнить, что они потенциально опасны. Поэтому было бы неплохо удостовериться, что порты приложений для равноправных пользователей заблокированы на брандмауэре.

Новые направления атак
Нам еще предстоит увидеть масштабные нападения червей в таких направлениях, как КПК, мобильные телефоны, беспроводные технологии типа 802.11 и Bluetooth.

Приспособления для мобильных телефонов и КПК только начинают становиться сложными технологиями. Это делает их легкой добычей вирусов и червей. Чем сложнее код, тем легче обнаружить в нем слабые места и немедленно атаковать – это только вопрос времени.

Все больше и больше нападений наблюдается на беспроводные технологии как средство проникновения в Сеть. Стандартный беспроводный протокол 802.11 уже доказал свою ненадежность. Закодированые алгоритмы небезупречны и могут быть взломаны в считанные минуты – путь для размножения червей в Сети открыт.

Несмотря на активные маркетинговые усилия, Bluеtooth все еще не так активно применяется, как этого можно было ожидать. Но если и он приобретет такую же популярность, как 802.11, то, наверняка, быстро проявятся все слабости этого протокола.

Только представьте себе червя, способного распространяться из компьютера в клавиатуру, затем в наручные часы, телефон и на другой компьютер. По мере становления приспособлений более дружественными для пользователей необходимо все более серьезно задумываться об их безопасности.

Следующий материал SAFE.CNews.ru посвящен будущему червей, наиболее вероятным задачам, которые будут ставить перед ними «писатели» вредоносных программ.

SAFE.CNews.ru


  1. Одно из определений интернет-червя (Internet Worm) – «Программа или алгоритм, самостоятельно копирующийся в сети и выполняющий злонамеренные действия, выраженные в расходовании компьютерных ресурсов и приводящие к отказу системы».

    Основное отличие червя от вируса заключается в том, что червь намеренно самокопируется до тех пор, пока у хоста не заканчивается место, а типичный вирус заражает один хост и передвигается на другой. Черви достаточно быстро распространяются по интернету и частным сетям, но довольно медленно «размножаются».

Короткая ссылка