Касперски Крис
Шрифт:
В 1992 году, если верить «Вирусной Энциклопедии» Евгения Касперского:
…вирусы для не-IBM-PC и не-MS-DOS практически забыты: «дыры» в глобальных сетях закрыты, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения.
Утверждение насчет отсутствия дыр – это сильно, но слишком уж неубедительно. Многие из дыр, обнаруженных еще до червя Морриса, остаются не заткнутыми до сих пор, не говоря уже о том, что буквально каждый день обнаруживаются все новые. Короче, «дальше так жить нельзя». Анекдот.
Конец затишья перед бурей?
Информационные бюллетени, выходящие в последнее время, все больше и больше напоминают боевые сводки с полей сражений (табл. 3.1). Только за первые три года нового тысячелетия произошло более десятка разрушительных вирусных атак, в общей сложности поразивших несколько миллионов компьютеров. Более точную цифру привести затруднительно, поскольку всякое информационное агентство склонно оценивать размах эпидемии по-своему, и различия на пару порядков – вполне обычное явление. Но как бы там ни было, затишье, длившееся еще со времен Морриса, закончилось, и вирусописатели, словно проснувшиеся после долгой спячки, перешли в наступление. Давайте вспомним, как все это начиналось.
Первой ласточкой, стремительно вылетевшей из гнезда, стала Melissa, представляющая собой обычный макровирус, распространяющийся через электронную почту. Способностью к самостоятельному размножению она не обладала и сетевым червем в строгом смысле этого слова, очевидно, не являлась. Для поддержания жизнедеятельности вируса требовалось наличие большого количества неквалифицированных пользователей, которые:
– имеют установленный MS Word;
– игнорируют предупреждения системы о наличии макросов в документе или же пользуются системой, в которой обработка макросов по умолчанию разрешена;
– пользуются адресной книгой почтового клиента Outlook Express;
– все приходящие вложения открывают не глядя.
И эти пользователи нашлись! По различным оценкам, Meliss'e удалось заразить от нескольких сотен тысяч до полутора миллионов машин, затронув все развитые страны мира.
Величайшая ошибка информационных агентств и антивирусных компаний состоит в том, что они в погоне за сенсацией сделали из Meliss'bi событие номер один, чем раззадорили огромное количество программистов всех мастей, вручив им образец для подражания. Как это обычно и случается, на первых порах подражатели дальше тупого копирования не шли. Сеть наводнили полчища вирусов-вложений, скрывающих свое тело под маской тех или иных форматов. Верхом наглости стало появление вирусов, распространяющихся через исполняемые файлы. И ведь находились такие пользователи, что их запускали… Разнообразные методы маскировки (вроде внедрения в исполняемый файл пиктограммы графического) появились значительно позже. Нашумевший Love Letter, прославившийся своим романтическим признанием в любви, технической новизной не отличался и, так же как и его коллеги, распространялся через почтовые вложения, в которых на этот раз содержался Visual Basic Script. Три миллиона зараженных машин – рекорд, который не смог побить даже сам Love San, – лишний раз свидетельствует о том, что рядовой американский мужик не крестится даже после того, как гром трижды вдарит и охрипший от свиста рак с горы гикнется.
Более или менее квалифицированных пользователей (и уж тем более профессионалов!) существование почтовых червей совершенно не волновало, и они полагали, что находятся в абсолютной безопасности. Переломным моментом стало появление червя Kilez, использующего для своего распространения ошибку реализации плавающих фреймов в Internet Explorer'e. Заражение происходило в момент просмотра инфицированного письма, и сетевое сообщество немедленно забило тревогу.
Однако еще за год до этого было отмечено появление первого червя, самостоятельно путешествующего по сети и проникающего на заражаемые серверы через дыру в Microsoft Internet Information Server и Sun Solaris Admin Suite. По некоторым данным, червю удалось поразить до нескольких тысяч машин (на две тысячи больше, чем червю Морриса). Для современных масштабов Сети это пустяк, не стоящий даже упоминания. Короче говоря, вирус остался незамеченным, а программное обеспечение – необновленным.
Расплата за халатное отношение к безопасности не заставила себя ждать, и буквально через пару месяцев появился новый вирус, носящий название Code Red, который вкупе со своей более поздней модификацией Code RedII уложил более миллиона узлов за короткое время. Джинн был выпущен из бутылки, и тысячи хакеров, вдохновленных успехом своих коллег, оторвали мышам хвост и засели за клавиатуру.
За два последующих года были найдены критические уязвимости в Apache-и SQL-серверах и выращены специальные породы червей для их освоения. Результат, как водится, превзошел все ожидания. Сеть легла, и некоторые даже стали поговаривать о скором конце Интернета и необходимости полной реструктуризации сети (хотя всего-то и требовалось уволить администраторов, не установивших вовремя заплатки).
Вершиной всему стала грандиозная дыра, найденная в системе управления DCOM и распространяющаяся на весь модельный ряд NT-подобных систем (в первую очередь это сама NT, а также W2K, ХР и даже Windows 2003). Тот факт, что данная уязвимость затрагивает не только серверы, но и рабочие станции (включая домашние компьютеры), обеспечил червю Love San плодотворное поле для существования. А все потому, что подавляющее большинство домашних компьютеров и рабочих станций управляется неквалифицированным персоналом, не собирающимся в ближайшее время ни обновлять операционную систему, ни устанавливать брандмауэер, ни накладывать заплатку на дыру в системе безопасности, ни даже отключать этот никому не нужный DCOM. Для отключения DCOM можно воспользоваться утилитой DCOMbobulator, доступной по адресу http://grc.com/freepopular.htm, она же проверит вашу машину на уязвимость и даст несколько полезных рекомендаций по защите системы.
Что ждет нас завтра – неизвестно. В любой момент может открыться новая критическая уязвимость, поражающая целое семейство операционных систем, и, прежде чем соответствующие заплатки будут установлены, деструктивные компоненты червя (если таковые там будут) могут нанести такой урон, который повергнет весь цивилизованный мир во мрак и хаос…
Таблица 3.1. Тор10 – парад сетевых вирусов – от червя Морриса до наших дней