Безопасность в Интернет

Ну вот мы и добрались до юбилейного 50-го выпуска. И в этом, конечно же, в очень большой степени ваша заслуга, потому что если бы никто не подписывался на эту рассылку и не присылал мне вопросы, письма со словами благодарности и критические замечания, одним словом, реагировал на нее, то рассылки конечно не было бы.
Огромное спасибо всем вам, за то, что вы есть, надеюсь мы вместе доберемся и до выпуска под номером 100!
Как я и обещал вам в прошлый раз, сегодня мы продолжаем тему вирусов. Вашему вниманию предлагается статья Дмитрия Королькова.

Компьютерный мир против вирусов нового поколения

Дмитрий Корольков

В чем причина всех человеческих бед? В слабости? В недостатке воли? В лени, которая мешает дисциплинированности, умеренности и предусмотрительности? Похоже, что так. В настоящее время мы можем убедиться, что слабые (как, в прочем, и сильные) стороны человеческой природы находят свое отражение также и в мире информационных технологий.

С тех пор, как компьютерные вирусы впервые серьезно заявили о себе в середине 80-х годов, тысячи их разновидностей появлялись и исчезали, в основном, так и не успев причинить значительного вреда.

Но времена меняются, и события последнего года все чаще заставляют экспертов склоняться к мысли о том, что эпоха медлительных и низкоуровневых инфекций завершена. В течение нескольких прошедших месяцев вычислительные системы во всем мире стали объектами нападений принципиально нового типа - атак скоростных и самораспространяющихся вирусов.

Обратимся ненадолго к истории. В начале 1999-го первым в новой волне появился Happy 99 из Франции, заразивший совершенно невероятное число домашних ПК. В марте мир ИТ потрясла настоящая эпидемия вируса Melissa, который проникал быстрее и шире, чем любой из его <коллег> когда-либо ранее. Менее чем через 3 месяца инфекция, известная под именем ExploreZip с огромной скоростью распространилась по Сети. В сентябре это были Cholera и Suppl, с которыми и пришлось сражаться пользователям и, соответственно, антивирусным центрам. На настоящий момент, благодаря BubbleBoy и его клонам для того, чтобы заразить свой ПК вам уже даже не обязательно открывать подозрительные аттачменты - нужно лишь подсветить пиктограмку файла в окне почтовой программы.

Каждая из инфекций использовала различные методы, но связывало их между собой свойство не только воспроизводить себя (традиционное для компьютерных вирусов), но и способность распространяться самостоятельно - что позволяет им охватить планету (посредством Интернета) в течение буквально нескольких дней.

В одном из своих интервью в конце минувшего года Стив Р. Уайт (Steve R. White), глава антивирусной команды исследовательского Центра имени Томаса Дж. Ватсона (Thomas J. Watson Research Center) компании IBM, сказал: <Мы стоим на поворотном пункте в истории вирусов. Они автоматизировали процесс распространения таким образом, что последнее более не зависит от вас или меня. Теперь все старые методы борьбы с вирусами просто не действуют>.

До сих пор антивирусные программы должны были содержать код новых инфекций. Специалисты IBM и Symantec в настоящее время работают над новым поколением противовирусных мер, включающих в себя борьбу с автоматизированными вирусами при помощи автоматизированных же средств защиты, которые будут способны находить <вакцину> и делать <прививки> компьютерам в масштабе всего нескольких часов.

Неожиданный успех самораспространяющихся вирусов только лишний раз показал возросшую ранимость взаимосвязанного цифрового мира. Многие антивирусные компании вынуждены признать, что нередко уступают инфекциям в борьбе за здоровье компьютерного мира. Вот лишь пару фактов: по данным Sophos Inc., на 1999 год в мире было зафиксировано уже около 44,6 млн. различных вирусов (против 250 тыс. всего 10 лет назад); в минувшем году каждый месяц 88 компьютеров из тысячи заражались электронными <болезнями>. Пожалуй, есть над чем подумать!..

Пока же борьба с напастями сводится к довольно простой формуле. По словам Кэри Нахенберг (Carey Nachenberg) из Symantec AntiVirus Research Center, цель состоит в том, чтобы <предложить исправление прежде, чем вирус размножится. Сейчас мы не быстрее, чем Melissa - но через два года будем>.

Скорость распространения Мелиссы была действительно впечатляющей: одна из американских организаций сообщила, что вирус сгенерировал около полумиллиона (!) сообщений электронной почты в течение всего трех часов. Относясь к особой категории компьютерных вирусов (это так называемые или <черви>), Melissa действительно может рассматриваться как опасность принципиально нового типа.

Напомним, компьютерные <черви> были впервые созданы в начале 80-х в исследовательском центре Palo Alto компании Xerox. По сути, это программы, которые способны самостоятельно воспроизводить и выполнять инструкции. Xerox создала <червей> для помощи в поддержании крупных компьютерных сетей - например, для нахождения простаивающих компьютеров, которые могут быть использованы для решения проблем, нуждающихся в данный момент в большей компьютерной мощности. Но даже в те <старые добрые> времена разрушительная способность <червей> стала очевидной. В результате сбоя один из служебных <червей> вырвался из-под контроля и вывел из строя все 100 компьютеров, которые были объединены в локальную сеть.

Дальше - больше. В 1988 году написанный Робертом Моррисом (Robert Morris) <червь> просочился сквозь несколько <дыр> безопасности в сети под управлением Unix-систем и, попав внутрь, отыскивал адреса других компьютеров, распространяя затем по ним свои копии. Эффект был ошеломляющим. По данным CERT Coordination Center, "Morris Worm" привел к остановке работы около 10% (!) всех компьютеров, подключенных на тот момент к Интернету.

Возвращение же <червей> год назад в новом обличии Happy 99 - событие, <зревшее> уже очень давно.

Действительно, условия для их активизации за последние несколько лет стали практически идеальными:

• миллионы ПК во всем мире имеют сходную архитектуру и используют однотипные операционные системы;
• программное обеспечение в значительной мере стало стандартизированным и содержит массу программируемых компонентов;
• огромное количество компьютеров во всем мире тесно связаны друг с другом при помощи сетей.

По мнению К. Нахенберг, <Однородность, взаимосвязанность, программируемость - все готово для атак! Им препятствуют лишь давление закона и какая-то этика, которая еще осталась в мире>.

К счастью, большинство современных <червей> не так самостоятельны, как вирус Морриса. Они все еще зависят от человека, который запускает их действие: нужно открыть инфицированные файлы, полученные по почте. Однако, как полагают эксперты, автономные <черви> еще могут вернуться.

Специалисты IBM считают, что единственным путем борьбы с такими инфекциями является полная автоматизация борьбы с вирусами. С начала 90-х годов компания разрабатывает виртуальную иммунную систему, которая предназначена для автоматического определения вирусов, их анализа и создания соответствующей вакцины, которая затем может быть разослана пользователям. И все это в течение нескольких часов!

Когда система IBM выявляет новый вирус, он пересылается через Интернет в закодированной форме на центральный компьютер, где <распаковывается> и помещается на своеобразный <операционный стол>. <Стол> является полной симуляцией работающего компьютера, которая происходит внутри более мощной станции. Сейчас IBM работает над моделированием уже не отдельного компьютера, но целых сетей ПК, что позволит анализировать более сложные вирусы не в течение дней или часов, а, возможно, в течение минут. Основная часть новой системы должна быть испытана уже в текущем году. Элементы аналогичного подхода уже используются компанией Symantec для борьбы с макро-вирусами, действующими в офисных документах.

Тут хотелось бы отметить, что в поведении и развитии компьютерных вирусов в последнее время стала ярко заметна одна интересная особенность - их похожесть на своих собратьев из физического, т.е. некомпьютерного мира (напомним для всех граждан Сети, что есть и такой!). С точностью до поколений. Вирусы постоянно мутируют, почти само-совершенствуются, становятся все разнообразнее и опаснее, переходят в ранее неведомые сферы. Все большим становится и число напастей - как в виртуальной, так и в <реальной> жизни. Эпидемии выходят из-под контроля и приносят катастрофические последствия.

Да, когда-то люди умирали от чумы и оспы - по незнанию. Позже были изобретены вакцины. Но потом вновь вмешался человек - он изобрел биологическое оружие, стал сам создавать ужасные яды и намеренно культивировать самые страшные заболевания - для применения против себе же подобных. А в последние годы даже обычный грипп изменился до неузнаваемости и стал серьезно опасен. Но ведь есть еще СПИД и рак, которые побеждают лишь единицы! А где гарантия, что завтра не появится новая болезнь, с которой медицина уже будет совсем не в состоянии справиться?

К чему это я?

Нельзя сравнивать силу и <цели> вируса, вызывающего ОРЗ и военного биологического препарата, специально созданного для уничтожения сотен и тысяч людей. Так и в мире компьютеров есть вирусы <дикорастущие>, создаваемые <любителями> в свободное от основной работы время; но, вероятно, можно предположить существование и промышленных или боевых компьютерных вирусов, разработкой которых занимаются спецслужбы и военные ведомства многих стран, а также особые лаборатории крупных корпораций.

Таким образом, профессионально и преднамеренно сделанные вирусы (а не любительские и несерьезные <бытовые поделки>) являются одним из видов информационного оружия.

В деловой же сфере вирусы могут быть использованы для:

• демонстрации несовершенства и уязвимости конкурента (показательные и заказные взломы сайтов, информационных систем - я не удивлюсь, если за спиной попыток <хакнуть> веб-сайт Майкрософт стоят интересы и финансовая мощь Sun, RedHat или других <доброжелателей>);
• парализации функционирования систем обслуживания клиентов или осуществления критичных операций;
• промышленного шпионажа;
• установки <логических бомб>;
• и, наконец, банальных краж и махинаций.

Поэтому:

• регулярно обновляйте свое <противожучковое> ПО;
• критически оцениваете источники получаемых вами дискет и файлов. Спросите себя: <Действительно ли это важно и необходимо мне?>. Ведь именно отсутствие контроля и внимания приводит к потере чувства меры, а следовательно (рано или поздно) - к катастрофам;
• периодически проводите <генеральную ревизию> (т.е. комплексную проверку компьютера всеми доступными средствами), а при возникновении каких-либо серьезных подозрений позаботьтесь о подключении следящих программ-мониторов, которые, постоянно находясь в оперативной памяти ПК, будут фиксировать всю потенциально опасную активность на вашей системе, и, что немаловажно, запрашивать разрешение на определенные операции, которые могут быть вызваны вирусами, а также указывать на источники этих <инициатив>;
• кроме того, (хотя бы изредка) можно интересоваться новостями в различных средствах всеобщего оповещения и консультироваться с собратьями по оружию. Это позволит быть в курсе современных возможностей инфекций и средств борьбы с ними, а также найти выход из сложной ситуации. Не стесняйтесь спросить совета или обратиться за помощью! Ведь каждый из компьютерщиков когда-то и сам попадал в беду - а потому степень взаимопонимания и взаимовыручки в этих кругах несколько <выше среднего>.

И в завершение - несколько полезных ссылок для вас:

Антивирусная Лаборатория Касперского

АО <Диалог Наука>

<Лаборатория Данилова>

McAfee Anti-Virus Center

Symantec Anti-Virus Research Center

CERT Coordination Center Security Alerts

IBM Antivirus Online Homepage

Sophos Inc.