Вирусы и другие вредоносные программы

 

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с которыми регулярно сталкиваются пользователи современных компьютерных систем. Предупреждения о новых эпидемиях компьютерных червей и "громкие" хакерские атаки уже не редкость в новостных TV и радио-программах, а использование средств защиты стало стандартом компьютерной "гигиены".

 

Фактически во многих случаях мы оказываемся "заложниками" современных технологий, зачастую не вполне понимая того, что эти технологии не являются в достаточной мере защищенными от вирусных и/или хакерских атак. Что работоспособность этих систем напрямую зависит от "эпидемиологической ситуации в компьютерном мире" в данный текущий момент времени, которая к тому же может измениться в любую минуту, как это уже происходило неоднократно.

Что именно и каким образом происходит в современных компьютерных сетях, что угрожает нам в ближайшей перспективе, и что же нам следует делать в той ситуации, в которой оказалось современное компьютерное сообщество — ответы на эти и некоторые другие вопросы приведены в данной статье.

 

основные классы угроз

 

- вредное программное обеспечение;

- спам;

- глобальные сетевые атаки.

К первой категории относятся вирусные и троянские программы (включая сетевых червей), а также сетевые пакеты, которые используются в хакерских атаках. Ущерб, который наносится вредным программным обеспечением, можно классифицировать следующим образом:

Неавторизованный доступ к персональной/корпоративной/государственной информации, т.е. ее уничтожение, изменение (включая намеренное искажение информации в злоумышленных целях), передача (отсылка, т.е. организация утечки информации, включая конфиденциальной/секретной).

Нештатное поведение программного обеспечения и железа, т.е. сбои и/или замедление работы компьютерных систем, зависания элементов систем, и т.п.

Использование вычислительных, дисковых и прочих ресурсов систем в чужих интересах и/или в ущерб интересам владельца ресурсов.

Вторая категория угроз (спам) появилась значительно позднее, чем первая (вредоносные программы), однако по своей важности уверенно приближается к ней. Назойливость спама является далеко не единственной причиной, по которой к нему следует относиться как к отдельной категории современных угроз.

 

Спам — это:

Увеличение нагрузки на почтовые серверы, что влечет за собой неоправданное увеличение средств, вкладываемых в организацию инфраструктуры сетей, а также увеличение численности персонала, эти сети обслуживающего (если 50% писем — это спам, то 50% ваших почтовых серверов работают вхолостую, а системные администраторы, соответственно, вхолостую тратят часть своего рабочего времени).

Риск потери важной информации по причине того, что она просто затерялась среди спама (если, например, 99 из 100 писем — это спам, то "заодно" уничтожится и нужное письмо). Возможно, также, что письмо потеряется провайдером по причине того, что почтовый размер ящика переполнен спамом.

Пустая трата времени: для фильтрации спама сотрудники компаний (и домашние пользователи) тратят свое рабочее (и личное) время, доля которого возрастает с возрастанием доли спама в корреспонденции. Если к тому же оплата услуг провайдера ведется по размеру трафика, то возникает и прямой материальный ущерб — оплата доставки заведомо ненужной принудительно навязываемой корреспонденции.

Риск стать жертвой мошенников (привлечение к финансовым аферам или пирамидам), появление в почте нежелательной информации (если, например, домашний компьютер и почта используется также и детьми) и прочие подобные крупные, средние и мелкие неприятности.

Последняя (третья) категория угроз — это глобальные сетевые атаки, возникающие в результате запланированных действий хакера или группы хакеров, или как результат неконтролируемого распространения сетевых вирусов-червей. Сетевые атаки в компьютерных сетях являются, к счастью, пока достаточно редким событием, на которое особого внимания не обращают ни большинство экспертов по компьютерной безопасности, ни компьютерное сообщество в целом. Однако данная угроза существует реально, она является отдельным классом сетевых угроз, и к ней следует относиться со всей серьезностью, поскольку "успешная" глобальная сетевая атака (т.е. отказ каналов и/или центральных сетевых серверов) — это наихудшее из того, что может произойти в современных компьютерных сетях, как в локальных, так и в глобальных.

Сетевые атаки приводят к следующим последствиям:

Отказ клиентских и серверных компонентов сетей по причине перегрузки чрезмерным количеством запросов на обслуживание, т.е. запланированная или случайная DoS-атака (Denial of Service).

Заметное замедление работы локальных и глобальных сетей по причине перегрузки каналов, работа которых блокируется чрезмерным количеством передаваемых данных, т.е. "флудинг" (от flood) каналов передачи информации.

Заметный материальный ущерб в тех случаях, когда оплата услуг провайдера ведется по размеру передаваемого и/или принимаемого трафика.

Говоря о сетевых атаках здесь и ниже подразумевается сеть "Интернет", как самая большая, наиболее популярная и наименее безопасная сеть. Хотя, в теории, возможны сетевые атаки в любых сетях (например, автомобильная пробка — это типичная "флуд"-атака на автомобильные дороги).

 

причины возникновения угроз

 

Естественно возникают вопросы:

Почему в современных сетях возникают перечисленные выше угрозы?

Кто или что порождает вирусные эпидемии, тонны спама и сетевые атаки?

 

почему — вирусы?

 

Поскольку вирусы не возникают сами по себе в результате электромагнитных коллизий, а создаются людьми, то для ответа на этот вопрос следует разобраться в психологии тех индивидуумов, которые создают "вредное" программное обеспечение, в обиходе именуемое "вирусами". Наиболее вероятными причинами, толкающими вирусо-писателей на создание и распространение вредоносного программного обеспечения являются следующие:

Обычное юношеское хулиганство, попытки самоутверждения на основе достигнутого интеллектуального уровня. Фактически подобное компьютерное хулиганство ничем не отличается от обычного уличного хулиганства, за исключением того, что "самоутверждение" происходит на разных аренах — либо в подворотне, либо в сети. И страдают от него разные люди — либо прохожие, либо сетевые соседи. А ущерб наносится либо стенам и витринам, либо программному обеспечению на зараженном компьютере.

Мошенничество с целью присвоения ресурсов жертвы: незаметное управление пораженным компьютером, воровство паролей доступа в Интернет, средств с "кошельков" WebMoney и даже кодов доступа к персональным банковским счетам (в том случае, если жертва использует данный сервис). В случае с атакой корпоративных сетей речь идет скорее уже о шпионаже: как правило, это проникновение в сеть с целью присвоения конфиденциальной информации, представляющей финансовую ценность.

Естественная "среда обитания" хулиганов и мошенников всех мастей подразумевает под собой гарантированную анонимность, поскольку ни те, ни другие не ставят перед собой задачу отвечать в будущем за свои действия. И современная сеть как нельзя лучше для этого приспособлена, к сожалению.

 

почему — спам?

 

Ответ на этот вопрос значительно проще. Спам — это бизнес. Спаммеры занимаются массовой рассылкой электронной рекламы с единственной целью — получение прибыли, поскольку, как это не печально, услуги спаммеров востребованы. Подобный метод маркетинга товаров и услуг, как оказалось, достаточно хорошо работает — очень небольшой (но все же не нулевой) процент получателей спама воспринимает его. В результате заказчик спама получает клиента, а спаммер получает дополнительные заказы на повторную рассылку спама — и круг "заказчик-спаммер-клиент" замыкается, что доказывает непобедимость спама в современных сетях при существующих правилах работы в сети.

Помимо описанной выше основной причины бурной деятельности спаммеров следует отметить несколько дополнительных явлений, "позитивно" на нее (бурную деятельность) влияющих:

- спам в большинстве стран легален или полулегален. Т.е. даже если спаммер выявлен, то привлечь его к ответственности или просто пресечь его деятельность юридически невозможно;

- технически спаммерские рассылки очень легко организовать;

- сеть позволяет спаммеру оставаться анонимным (как и в случае с вирусописателями). "Не пойман — не вор", а поди ты его еще поймай!

 

почему глобальные сетевые атаки?

 

Поскольку за всю историю компьютерных сетей было зафиксировано всего несколько глобальных сетевых атак, то говорить о каких-либо статистических исследованиях причин возникновения таких атак пока рано.

Итак, некоторые известные на сегодняшний день сетевые атаки:

4 ноября 1988. Сеть "Arpanet". Червь Морриса. Из примерно 60.000 компьютеров в сети было заражено около 10% (примерно 6.000). Неконтролируемый процесс распространения вируса привел к ступору сети.

21 октября 2002. Сеть "Internet". Запланированная DoS-атака на бэкбон. В момент атаки нагрузка на Европейский сегмент Интернета возросла на 6%.

25 января 2003. Сеть "Internet". Червь "SQL.Slammer". Неконтролируемый процесс распространения вируса привел к перегрузке каналов передачи данных в Ю.Корее. Нагрузка на Европейский сегмент Интернета возросла примерно на 25%.

12 августа 2003. Сеть "Internet". Червь "Lovesan". На этот раз Интернет спасла запрограммированная в "Lovesan" 1,8-секундная задержка между попытками заражения других компьютеров.

Основываясь на уже известных событиях, на знаниях о структуре современных сетей и на психологии хакеров и вирусописателей можно сделать вывод о том, что успешные глобальные сетевые атаки, безусловно, являются самым разрушительным явлением, которое может произойти в современных сетях.

И это, в свою очередь, привлечет внимание компьютерного общества и прессы. Таким образом, реализация "успешной" глобальной атаки является самым эффектным способом самоутверждения для кибер-хулиганов, не понимающих, что последствия их действия иначе как электронным терроризмом назвать нельзя.

С другой стороны, архитектура современных сетей и используемое программное обеспечение слишком уязвимы с точки зрения устойчивости против неконтролируемого размножения так называемых "флеш-вирусов" (сетевых червей, которые заражают компьютеры в сети и автоматически себя запускают на "свежезараженном" компьютере). Теоретически подобный червь за считанные минуты может вызвать глобальную эпидемию и заразить сотни тысяч компьютеров по всему миру (пример червя "SQL.Slammer" подтверждает эту теорию). В результате каналы передачи данных оказываются забитыми копиями червя и не в состоянии передавать любую другую информацию.

Все это позволяет нам предположить наличие как минимум двух причин для возникновения глобальных сетевых атак:

- подобные атаки являются самым эффектным способом самоутверждения для электронных хулиганов;

- современные сети никак не защищены от "сетевых пробок", вызванных неконтролируемым размножением особо плодовитых сетевых червей.

 

разнообразие поведений (типов)

 

На текущий момент вредные программы по поведению делятся на следующие типы:

Однозначно "вредные" программы, само существование которых представляет реальную угрозу для функционирования компьютерных систем и данных, которые хранятся и обрабатываются на зараженном компьютере. К таким программам относятся:

- "настоящие" вирусы, заражающие исполняемые файлы различных операционных систем;

- вирусы-черви, распространяющие себя по сети от одного компьютера к другому;

деструктивные троянские программы, целенаправленно уничтожающие или изменяющие содержимое различных файлов;

-троянцы-бекдоры (хакерские системы администрирования), предоставляющие хакеру практически полный контроль над компьютером-жертвой;

-троянцы-шпионы, следящие за действиями пользователя на компьютере (какие приложения запускаются, какой текст вводится при различных запросах этих приложений, и т.п.);

-троянцы-воры, отсылающие с зараженного компьютера различную информацию;

-пакеты, предназначенные для "взлома" атакуемых систем.

Нежелательные программы, которые непосредственной угрозы для компьютера не несут, однако либо использующие ресурсы компьютера в чужих интересах, либо раздражающие пользователя невостребованным "сервисом", либо совершающие подобные (достаточно безвредные, но нежелательные) действия:

-"порно-диалеры" (porno dialers), программы, настойчиво предлагающие пользователю посетить какой-либо платный порно-ресурс или автоматически соединяющие с ним;

-"кликеры" (clicker), накручивающие счетчики на различных веб-ресурсах;

-"адвертайзеры" (advertizer), прямо или косвенно рекламирующие различные товары или услуги;

-"злые шутки", сообщающие о каких-либо нежелательных для пользователя действиях (например, об успешном завершении форматирования диска).

"Рискованное" ПО, т.е. легальное программное обеспечение, разработанное в благих целях, но используемое хакерами в троянском режиме. Например, вполне легальная утилита удаленного администрирования становится полноценным бекдор-троянцем в том случае, если она визуально незаметна, снабжена инсталлятором, который прячет эту утилиту в каталогах Windows и скрывает ее в списке активных приложений — примерно как совершенно легальный кухонный нож для резки хлеба может оказаться инструментом совершения какого-либо злодеяния.

К данной категории "рискованного" ПО относятся:

- утилиты удаленного сетевого администрирования;

- различные серверы (FTP, proxy, и т.д.);

- IRC-клиенты и другое клиентское ПО;

- утилиты работы с сетевыми ресурсами.

 

разнообразие "мест обитания"

 

Все вышеперечисленное разнообразие современного вредного ПО существует в совершенно разнообразных операционных средах — т.е. в операционных системах и программных комплексах и утилитах. «Места обитания» делятся на следующие категории:

Операционные системы в их современном понимании.

Программные среды, функционально допускающие запуск сервисных приложений (скрипт-программ, макросов) в целях автоматизации обработки информации или организации различных процессов: различные "офисы" (например, MS Office) и системы хранения и обработки информации (SQL, 1C-Бухгалтерия, и т.д.), использующие встроенные скрипт-языки (макросы); независимые скрипт-языки, такие как VBS, JS, Perl, и т.п.

Различные сетевые приложения, достаточно сложные для того, чтобы располагать функциональными возможностями, необходимыми для размножения вируса или существования троянских программ:

- почтовые системы и браузеры, использующие встроенные скрипт-языки;

- сетевые игры, сетевые пейджеры и т.п. (вредного программного обеспечения, предназначенного для подобного ПО, пока не обнаружено, но теоретически оно возможно).

Несетевые приложения, которые возможно использовать для распространения вируса, троянской программы или для реализации хакерской атаки:

- вспомогательные утилиты операционных систем (например, скрипты в Help-файлах MS Windows);

- независимые утилиты, имеющие достаточную сложность (такие как архиваторы, медиа-программы, и т.д.).

 

разнообразие методов проникновения

 

Методы проникновения "вредных" программ делятся на три типа:

Ошибки (дыры) в системах безопасности различного программного обеспечения (от операционных систем до медиа-плейеров). В результате данных ошибок существует возможность либо заставить программу выполнять действия, для которых она не предназначена, либо внедрить в нее вредный код и активизировать его. К таким ошибкам относятся:

-переполнение буфера, который активно используется так называемыми "бестелесными" червями и некоторыми троянскими программами (код червя или троянца попадает непосредственно в активный процесс атакуемого приложения и немедленно активизируется);

-некорректная обработка файлов и файловых ассоциаций (например, возможность автоматического запуска вложения из зараженного письма или веб-страницы);

-некорректная обработка запросов "логин-пароль" для открытия полного доступа к сетевому ресурсу, в результате которой подключение к ресурсу происходит в результате перебора ограниченного количества вариантов запроса;

-некорректная обработка многократных запросов на запуск "подозрительных" программ (с какого-то момента система защиты не может выделить дополнительную память для вывода запроса и пропускает команду запуска файла-вложения, очевидно, "вредного" толка) и т.д. и т.п.

Документированные "особенности" программных комплексов и утилит достаточной сложности. Известны случаи, когда для автоматического запуска "вредного" кода без какой-либо реакции встроенных систем защиты использовались методы, документированные в руководстве пользователя данного программного продукта. Например:

-функция "CALL" в MS Excel (до MS Office 97), позволявшая выполнять любые функции Windows API без какого-либо предупреждения, при этом вызов шел напрямую из ячейки (не из макро-процедуры);

-распаковка файлов из архива не в текущий каталог, а в каталог, указанный в самом архиве (например, в каталог авто-старта Windows) и т.п.

Человеческий фактор. Как известно, человек является самым уязвимым звеном в цепочке любой безопасности. По этой причине человеческий фактор эксплуатируется различными червями, вирусами и троянскими программами чаще, чем перечисленные выше ошибки и "особенности" программного обеспечения, например:

-различные почтовые черви используют разнообразные приемы для того, чтобы подтолкнуть пользователя к запуску (открытию) вложения (завлекательный или неожиданный текст письма, маскировка под официальную рассылку, подстановка расширения вложенного файла на "безопасное" и т.п.);

-ошибки администраторов сетей также часто приводят к распространению вирусных эпидемий и хакерских атак в пределах сети организации;

-невнимательность пользователей, которая становится первопричиной для вирусных эпидемий в сети организации (при условии нерадивого администратора сети) и т.д.

 

возрастающее количество вредного ПО

 

Безусловно, следует обратить внимание также на все возрастающее количество вредного программного обеспечения. Вирусы и троянские программы считают уже на десятки тысяч, а базы данных антивирусных программ "пухнут" месяц за месяцем — несмотря на постоянно внедряемые методы "универсального" детектирования (т.е. детектирования не конкретных вариантов отдельно взятого вируса/ троянца, а всего "семейства" или даже целого класса вредоносных программ).

Как видится, причина роста популяции компьютерных угроз кроется в том, что доступ к компьютерам получают все большее и большее количество кибер-хулиганов (по мере компьютеризации стран и регионов). Какое-то число из них начинает самоутверждаться описанным выше способом — и в результате растет количество запросов от пострадавших пользователей. К сожалению, бороться с этим в условиях современных компьютерных сетей практически невозможно.

 

различная скорость распространения

 

Скорость распространения является также важной характеристикой данного класса сетевых угроз. Естественно, что данная характеристика больше относится к вирусам и червям, чем к троянским и прочим вредным программам, поскольку последние не обладают возможностями "самоходности", хотя периодически происходят случаи массовой рассылки троянских программ.

Итак, вредоносные программы по скорости их распространения делятся на три категории:

"Традиционные" вирусы, которые заражают обнаруженные в системе файлы и распространяются вместе с ними на различных носителях (дискеты, CD-диски), или если пользователь случайно отослал письмо с зараженным вложением или поместил зараженный файл на сетевой ресурс. Скорость распространения данных вирусов в масштабах глобальных сетей крайне мала, поскольку они никак не используют возможности сетевой инфраструктуры для своего размножения. Данные вирусы чаще всего вызывают локальные эпидемии в пределах локальной сети организации. Случались также и глобальные эпидемии вирусов данного типа, однако время от начала распространения вируса до глобальной эпидемии измерялось несколькими днями, неделями или даже месяцами. При современном развитии антивирусных сервисов повторение глобальных эпидемий "традиционных" вирусов маловероятно — в подавляющем большинстве случаев вирус будет натыкаться на антивирусную защиту, которая уже давно подготовлена против данного вируса.

Почтовые и сетевые вирусы-черви, т.е. рассылающие себя вложениями в зараженные письма электронной почты или копирующие себя на доступные сетевые ресурсы. Активизируются на компьютере жертвы также с участием человека: только в том случае, если пользователь открыл вложение в зараженном письме или даже если он просто открыл письмо, если вирус использует приемы авто-запуска (для почтовых вирусов) или если пользователь перезагрузил компьютер (сетевые черви). Скорость распространения таких вирусов-червей значительно выше, поскольку первая половина процедуры распространения (отсылка с зараженного компьютера) выполняется самим вирусом без участия человека. На человека возлагается только вторая половина "работы" — прием и активизация копии червя. В результате для возникновения глобальной эпидемии таким вирусам требуется от одного до нескольких дней. Часто происходят эпидемии, которые распространяются в соответствии с часовыми поясами — с начала рабочего дня в данном часовом поясе.

Сетевые вирусы-черви, автоматически стартующие на заражаемом компьютере, т.е. компьютер-жертва заражается в момент приема копии червя. Поскольку человеческий фактор полностью исключен из цикла размножения, то скорость распространения подобных сетевых червей крайне велика и зависит только от скорости воспроизводства конкретного червя (как часто он отсылает себя на другие компьютеры) и от популярности атакуемого программного обеспечения, установленного на компьютере-жертве.

 

тенденции и неутешительные выводы

 

Тенденции развития вредного ПО неутешительны. Количество различных стратегий поведения вредоносных программ будет расти в соответствии с ростом числа различных сервисов, предоставляемых современными глобальными сетями и приложениями; появление новых недостаточно безопасных операционных систем и достаточно сложных приложений (включая КПК, мобильные телефоны и компьютеризируемую бытовую технику) неизбежно повлечет за собой увеличение "мест обитания"; хакеры и вирусо-писатели безусловно будут разрабатывать и реализовывать новые "методы проникновения".

Особо следует отметить возможность самых различных комбинаций "поведений", "мест обитания" и "методов проникновения" в отдельно взятом экземпляре вредного ПО — например, червь, использующий несколько методов проникновения (рассылающий себя по почте, копирующийся на сетевые ресурсы, атакующий какое-либо серверное ПО — как "Nimda"), или вирус, заражающий файлы разных операционных систем (например, "Pelf", заражающий выполняемые файлы Windows и Linux). При этом отдельные "вирусные" ветки в конкретном экземпляре могут иметь разные скорости распространения.

Таким образом, антивирусные компании и эксперты сталкиваются со следующими проблемами:

Непредсказуемость появления комбинаций известных "Поведений, Мест, Методов" и появления совершенно новых, поскольку количество теоретически возможных подобных вариаций просто превышает ресурсы антивирусных компаний, причем превышает значительно. Невозможно закрыть все уязвимые места, которые могут использоваться вирусами и троянскими программами в современных компьютерных системах. Таким образом, производители антивирусного ПО:

- должны иметь специалистов, которые разбираются во всех тонкостях всего существующего ПО или готовы быстро разобраться в требуемом;

- в связи с множественностью вероятных вариантов не могут предсказать конкретное место, время и характеристики следующего "вирусного удара".

Возможность появления новых "мгновенных" вирусов, заражающих глобальные сети за считанные минуты. В результате антивирусные компании оказываются просто не в состоянии обеспечить своевременную защиту от подобных вирусов, поскольку анализом новых вирусов и разработкой антивирусных процедур занимаются антивирусные эксперты (люди), а вирус распространяется со скоростью современных компьютерных сетей (машин).

 

основные характеристики глобальных сетевых атак

 

Исследования уже произошедших и анализ возможных глобальных сетевых Интернет-атак ставят два главных вопроса, на которые следует дать ответы:

- каким образом может произойти очередная атака, т.е. ее реализация;

- каковы последствия от успешной атаки, т.е. предполагаемый ущерб.

 

разнообразие реализаций

 

Основываясь на опыте уже случившихся глобальных атак, можно выделить следующие их возможные реализации:

Массированная спланированная DoS-атака с множества зараженных компьютеров. При реализации такой атаки происходит множественное количество запросов на обслуживание, направленное на какой-либо корневой сервер (сервера) сети, что приводит к отказам сервера. В результате какой-либо основной сервер в сети (или несколько серверов) фактически выходят их строя.

Массированная спланированная флуд-атака с множества зараженных компьютеров. При этом происходит "забивание" каналов многочисленными запросами на прием/передачу файлов (или просто сетевых пакетов). В результате происходит отказ каналов передачи данных.

Массированная рассылка вируса с множества зараженных компьютеров. Практически полностью совпадает с приведенным выше методом, однако в данном случае "флудинг" каналов является не запланированной акцией, а "побочным" эффектом неконтролируемого распространения вируса.

Причиной глобальной атаки может также стать нештатное поведение множества зараженных систем, при котором они начинают неконтролируемое потребление сетевых ресурсов, как локальных, так и глобальных.

Первые три атаки могут быть произведены только при наличии большого числа зараженных компьютеров, которые одновременно активизируются в заданный момент времени. Каким образом большое число компьютеров может оказаться заражено конкретным вирусом или троянской программой — это описано выше в методах проникновения вредного ПО. Инициатором подобной атаки может стать любой червь, вызвавший глобальную вирусную эпидемию (если в код червя его автором будет заложена соответствующая процедура).

Сколько по времени может продолжаться успешная атака — это зависит только от ее конкретной реализации. Администраторы сетей (а именно от их работы и скорости реакции будет зависеть успешное и своевременное отражение атаки) обычно действуют достаточно оперативно, однако при разных реализациях атак их усилия могут и не привести к своевременной остановке атаки и возвращению работоспособности сети.

 

разнообразие последствий и ущерба от успешных глобальных атак

 

Как уже указывалось выше, результатом успешной глобальной Интернет-атаки становится отказ глобальных компьютерных сетей, выраженный в:

- снижении пропускной способности или полный отказ (паралич) каналов в глобальных, региональных и/или локальных сетях;

- сбоях в работе ПО (серверного, клиентского, управляющего).

Последствия от отказа сетей для каждой конкретной "бизнес-единицы" могут быть самыми разнообразными и зависят от того, насколько функционирование этой "бизнес-единицы" зависит от сети.

Рассмотрим два крайних случая:

Домашние пользователи, использующие домашние компьютеры и сеть Интернет как основной рабочий инструмент (например, журналист, обрабатывающий информацию дома и отсылающий ее в редакцию). В результате глобальной атаки такая "бизнес-единица" оказывается полностью отрезанной от необходимого сервиса, что означает ее полную остановку (т.е. 100%-ый ущерб от атаки).

Правительственные/военные центры не используют Интернет совсем или используют его как побочный источник неактуальной информации. У них есть собственные каналы передачи информации, совершенно не зависящие от Интернет. Они просто не заметят Интернет-атаки, какой бы глобальной она не была. Таким образом, нанесенный им ущерб от глобальной атаки оценивается в 0%.

Все остальные "бизнес-единицы" находятся где-то между описанными выше "крайними случаями". Они в большей или меньшей степени используют сервисы Интернет в повседневной работе. И в какой мере будет нанесен им ущерб по причине глобальной атаки — зависит только от того, насколько критичны бизнес-процедуры, которые полностью зависят от работоспособности сети.

Через какую сеть ведутся транзакции данным конкретным банком? Через какие сети идет заказ на дополнительную продукцию с бензозаправок и супермаркетов? Через какие сети контролируется заказ железнодорожных и авиа-билетов? Если только через Интернет, и при этом нет запасных (дублирующих) каналов связи, то последствия атак приведут не только к отказу интернет-сетей, но и к отказу самих "бизнес-единиц".

 

неутешительные выводы: возможность новых атак

 

При рассмотрении разнообразия современного программного обеспечения, включая и достаточно популярное, и сравнении этого калейдоскопа со списками обнаруженных в нем уязвимых мест (дыр), очевидно следующее — возможность глобальной атаки более чем реальна. Пример с червями SQL.Slammer и Lovesan — очевидное доказательство этому. Несколько десятков подобных дыр в современном ПО все еще ждут "своего часа" (надеюсь, что так и не дождутся, но это все зависит только от желания и активности хакеров и вирусописателей).

Более того, в ресурсах Интернет имеется достаточно описаний и примеров того, как следует пользоваться этими дырами в различных программах. В этом можно убедиться на примере того же червя SQL.Slammer — данная дыра в SQL-сервере была известна более чем за полгода до сетевой атаки, а за несколько месяцев до атаки в различных ресурсах Интернет были опубликованы несколько примеров ее использования.

Таким образом, процесс изготовления червей для реализации глобальных сетевых атак не требует от вирусописателей досконального знания "предметной области" и кропотливых исследований. Кто-то обнаруживает очередную уязвимость, кто-то другой публикует эту информацию в ресурсах Интернет, кто-то третий создает программу-пример использования данной дыры, демонстрирующую это в исключительно "исследовательских" целях. Дело остается только за кибер-хулиганом, который возьмет из примера код проникновения в дыру и добавит процедуру рассылки копий червя в поисках других компьютеров в сети с аналогичной незакрытой дырой. И примеров тому достаточно — от IIS-червя CodeRed (MS Windows) до SSL-червя Slapper (Linux).

 

неутешительные выводы: невозможность противодействия

 

Из самой природы глобальных атак следует невозможность защиты от них, поскольку атака никак не контролируется каждой конкретной единицей сети (провайдером, компанией, домашним пользователем).

Даже если домашний компьютер или корпоративная сеть защищены от проникновения любого известного вируса, т.е. инфраструктура сети абсолютно надежна, все используемое ПО не содержит [известных] дыр, а антивирусная защита самой последней свежести — даже при этих условиях полностью не исключен риск стать жертвой атаки, приходящей извне.

Даже если все барьеры на пути вирусов и червей 100%-но надежны — мы все равно под ударом, поскольку на время атаки внешние сети либо блокированы, либо крайне медленны. Даже если регион сети надежно защищен — атака придет из незащищенных сегментов сети, из других стран и континентов.

 

способы защиты

 

При возникновении различных угроз, от них приходится защищаться. Каким образом? Существуют два вида возможной защиты: активная и пассивная.

К активным средствам защиты относятся меры противодействия "агрессивной среде", т.е. программные и программно-аппаратные средства защиты, а также административные методы повышения устойчивости сети, это:

- различные фильтры, не пропускающие нежелательное содержимое внутрь защищаемой зоны (домашний компьютер, сеть). Это антивирус, межсетевой экран, антиспам, предназначенные как для домашних компьютеров, так и для корпоративных сетей;

- большее административное внимание к безопасности инфраструктуры корпоративных сетей. Это избавление от ненужных "дверей во внешний мир" (например, рабочие станции без флоппи- и CD-дисков) и постоянный контроль актуальности безопасности установленного ПО (с естественным увеличением бюджета отделов IT-безопасности).

Помня, что стопроцентной активной защиты от любого типа вредоносного ПО просто не существует, так как для любого самого сложного комплекса противодействия внешним угрозам всегда найдется "лазейка" в защите или принципиально новый метод проникновения, необходимо поддержание активной защиты в постоянном "боеспособном" состоянии, а это, в свою очередь, требует постоянной ее модернизации (использоваться должны самые новые версии анти-вируса/спама/хакера с постоянными апдейтами их баз) и постоянного контроля вышеперечисленного.

Таким образом, активные средства защиты требуют от пользователя достаточно высоких затрат, причем чем сложнее защищаемый объект (например, корпоративная сеть) и чем выше требования к защите — тем большие затраты требуются для поддержания актуальности этой защиты. В результате по мере нарастания активности "агрессивной среды" активные меры по защите от нее оказываются нерентабельными, и пользователям компьютерных сетей приходится задумываться о других способах защиты — пассивных.

К пассивным защитам относятся меры по удалению атакуемых объектов от "агрессивной среды", т.е. миграция программного обеспечения и инфраструктуры корпоративной сети в более безопасные "зоны":

- переход на менее популярные и менее атакуемые системы (операционные системы — например, Linux, клиентские приложения — например, почтовый клиент "The Bat!");

- частичное отключение корпоративных сетей от сети общего доступа Интернет, а при необходимости создание отдельных корпоративных и государственных сетей, не имеющих точек связи с сетями общего пользования.

- сокрытие информации об установленном у вас железе и ПО.

Однако и здесь, также как и при применении методов активной защиты, стопроцентная защита не гарантируется по довольно банальным причинам.

Во-первых, миграция пользователей на менее популярные операционные системы и приложения вызовет естественный рост популярности этих приложений, что неизбежно привлечет внимание вирусописателей и хакеров и, как результат, неизбежность роста количества соответствующих угроз. Если предположить, что через некоторое время рынок настольных операционных систем будет поровну поделен между Windows и Linux, то соответствующим образом будут распределены и угрозы: 40% вирусов будут работоспособны в среде Windows, 40% — под Linux, а 20% — в обеих операци