Вирусы в Микрософт

Весна - как много в этом звуке для молодого сердца русского слилось. Еще немного
страданий и другого брезжащего из-за всех сторон зимнего отчаяния, которое
яростно проявляется в тот момент, когда заметанный с ног до головы свистящим
снегом, ты мчишься по предательским делам в шесть утра к стоянке, пробираясь
среди 2-х метровых сугробов. Когда наступит наконец-то та пора солнечного счастья,
и неведомые витамины снова начнут питать нас своей полноценной энергией - жизнь
оживет, а в месте с ней и прочая зараза нашего городка. На свет, радуясь жизни и
весеннему порыву, появятся зверьки нового поколения, которые, конечно,
беспощадно начнут прогрызать со всех сторон не только ваши легкие, но и,
безусловно, ваш компьютер. Среди всего этого компьютерного хауса, наконец,
придет ОН. Под этим грозным местоимением будет скрываться берсерк от
Микрософт, способный, по прогнозам создателей, разрушить и устранить всю
плачевную ситуацию с маленькими заразными зверьками, имя которым вирусы. Да,
да вы не ошиблись, похоже, Микрософт действительно всерьез намеревается
составить конкуренцию товарищам из компании Касперского или Symantec, McAfee.
Но обо всем по порядку.
История началась в далеком ныне 2003 году, когда в июле месяце Микрософт
впервые открыла свои коварные планы по внедрению самих себя на рынок
антивирусного обеспечения, держу пари, что горячие сердца многих глав компаний,
связанных с антивирусами, ёкнули в тот момент в унисон по-настоящему стрёмно,
возгласив начало новой эры в антивирусном ПО. Впрочем, на тот момент это были
всего лишь маленькие облачка на фоне абсолютно безоблачного будущего. Облака
сгустились позже, а именно в 2004 году.
Опять же летом 2004 года, по уже устоявшейся традиции, в Микрософт заговорили
об антивирусах, а самое страшное для директоров других компаний стало то, что
Микрософт в силу своей бессовестности говорило об этом, как о свершившимся
факте:
"Our plan is to make antivirus part of our pay-for product offerings, but we don't have specific
(antivirus) product plans right now."
"Наш план это сделать антивирус платной услугой, но у нас нет специфических
планов об антивирусах прямо сейчас" - сказала с хитрой улыбкой на устах, но с
серьезным лицом Amy Carroll, директор по менеджменту по делам бизнеса
Микрософт в сфере безопасности и т.д. и т.п.(director of product management for
Microsoft's Security Business and Technology Unit)
Совсем гладкую и красивую симфонию глаза срасти и любви бедных директоров
запели в середине декабря 2004 года, когда Микрософт объявила о покупки
компании Giant Software, занимающейся на тот момент клепанием программ,
блокирующих шпионские программы. И тут же 6 января уже 2005 года Микрософт
выпускает свой, по сути, первый почти антивирусный продукт - Windows AntiSpyware.
Естественно в ранге Beta для того чтобы дать пощупать ПО будущим покупателям, то
есть начав первые шаги в рекламной компании.
Окончательной точкой в подтверждение о решения Микрософт крепко связать свою
жизни с антивирусами стала недавняя покупка еще одной фирмы - Sybari Software,
которая успешно занимается разработкой именно антивирусного ПО. Кстати, сумма
сделки оценивается экспертами примерно в 180 миллионов долларов плюс-минус 10,
что очень наглядно показывает серьезность намерений и примерную сумму, которая
планирует выкачать Микрософт с ее возможностями из этого рынка (умножьте,
например, в два-три раза сумму покупок).
А с возможностями компании по пиару своих продуктов: как-то внедрение по
дефолту в операционку с последующей оплатой при потребности пользователю
обновлений - впрочем, методы известны.
Что же это даст рядовому пользователю. Один из положительный моментов можно
назвать то, что видимо админу немножко облегчится жизнь, так как если будут
встраивать ПО в ОС по умолчанию, то соответственно юзер будет иметь
полноценный антивирус, даже не пошевелив пальцем, и который видимо так же
просто будет самостоятельно обновляться. Очевидно, это несколько увеличит
выживаемость рядового пользователя в условиях суровой локалки или Интернета.
Отрицательным же моментом можно считать то, что теперь весь рынок антивирусов
будет центрироваться (Микрософт приложит все усилия) относительно одного
программного продукта, что облегчит жизнь вирусмейкеров - в большинстве случаев
противник у них будет только один. В подтверждение этому утверждению можно
назвать тот факт, что совсем недавно появился первый вирус под названием
BankAsh-A Trojan, который первое, что делает с системе - это выносит
антишпионовый бета-комплекс от Микрософт. Кроме того, очевидно, что многие
эксперты по исследованию безопасности ПО рвануться исследовать продукт
Микрософт, что, как вы могли догадаться, приведет к внезапному появлению все
новых и новых дырок в этом ПО.
Конечно, не верно говорить о полном крахе рынка антивирусного ПО, однако верен
тот факт, что жить станет Касперскому гораздо тяжелее, по крайней мере, в
условиях иностранного рынка. Мы же с вами, господа, получим в итоге: во-первых,
качественные антивирусные продукты как зарубежного, так и отечественного
исполнения, во-вторых, с помощью трофейного (пиратского варианта) ПО от
Микрософт мы худо бедно, да и обеспечим, наконец, относительное спокойствие в
своих и не только компьютерах, что не может не радовать.

Зомби и другое прелестное общество

В дни моего раннего детства в кинематографе была очень популярна тема зомби и
иных вмешательств нечистой, порочной силы в дома обычных пользователей IBM PC
и иных нынче уже допотопных компьютеров. По изъезженному сюжету голливудских
сценаристов получалось, что в один прекрасный день в округе любимого многими
среднестатистического американского городка объявлялась некая страшная
причина возбуждения сией черной, черной заразы - это могла быть, например,
старая, скрюченная носом и не только бабка, прибывшая из жарких и знойных
островов Карибского архипелага, умевшая бодро заговаривать на симпатичных
куклах умерших от разных благ и преувеличений аборигенов США. Но то была сказка
и не более, а теперь на секундочку представим, что сия ужасная старушенция
заявилась к нам на порог, требуя … нет, не крови новорожденных младенцев или чего
похуже. А тут же прямо с порога начала располагать весь дом в своем
распоряжении, есть вашу еду, пользовать вашу ванну, отвечать на звонки от вашего
имени, словом, все то, что вы привыкли с благородством и удовольствием
выполнять каждый день самостоятельно. Если вы вдруг вспомнили свою тещу, то
вы почти на правильном пути к истине. Теперь переместимся в мир компьютерных
технологий и попробуем придумать ситуацию похожую на вышеизложенную, но в
нашем понятным порой только нам самим мире. Тогда очевидно теще или
скрюченной ведьме (по вкусу) можно сопоставить какого-нибудь злобного зверька
Аля Троян, ну а те вредные функции, которая она выполняет в вашем компьютере -
рассылка, например, спама. Кто же в этом случае Зомби? Хм, наверно, будет
очевидным предположить, что мы с вами, то есть по аналогии наш компьютер.
Нынче спам активно развивается во всех направлениях. Например, новейшая
Приблуда этого порочного общества стала путем хирургического вмешательства в
вашу операционку через популярные уязвимости проникать в ваши компьютеры,
ставить на них самопальные почтовые серверы и без вашего разрешения рассылать
спамовые сообщения. На лицо слияния двух преступных сцен современного, если
хотите, кибертерроризма, как привыкли это щас называть. Теперь, вирусмейкеры в
скором времени будет активно приравниваться к спамерам и наоборот - этого,
видимо, и следовало ожидать.
Дела на столько плохи, что компания SpamHaus Project, которая активно борется в
первых рядах со спамом путем составления черных списков и блокировки
сообщений, объявила о том, что, проанализировав результаты своего исследования,
к 2006 году объем спама возрастет до 95% от общего количества всех сообщений и
что пора, господа, готовиться к полному коллапсу всего e-mail сервиса, то есть
доставка сообщения будет, для примера, составлять несколько часов, как это было
в 92 году на скорости 2400 бод. Иные эксперты говорят, что не все так плохо, но
глядя во что превращается только что зарегистрированный ящик через несколько
дней в это не очень вериться. В любом случае на лицо кризис e-mail сервиса,
решением же может быть, например, вмешательство на протокольный уровень или
более строгая проверка отсылающего сообщение пользователя. Примером,
действительно удачной борьбы со спамом можно считать провайдера Earthlink:
"В целом путем маршрутизации потоков и установки ограничителей нам удалось
постепенно уменьшить количество спама, исходящего из нашей сети", - говорит с
гордым выражением глаз главный технолог Earthlink Трип Кокс.
Эти ребята уменьшили поток своего собственного спама с 30% до 2% за небольшой
период времени, правда, громко не разглашая применяемые методы.
Приятной или совсем противной нотой Беной к этой заметки станет упоминание о
том, что, сперев основную идею у соседей, Российские спамеры первые быстро
разработали подобные зомбирующие программы и начали распространять их в те же
соседние страны, судя по заявлениям зарубежной прессы - мы снова впереди
планеты всей.

DES - азбука защиты

Признайтесь честно - когда вы последний раз заглядывали в Bugtraq? Если вы
делаете это так же часто, как моете свои руки, тогда возможно, вы заметили, что
большинство уязвимостей тут и там пускающие корни, как две капли воды похожи по
сути, отличаются только название функций, в которых новорожденный "жук"
проделывает своими маленькими, но очень острыми зубами бреши. Я говорю об
уязвимостях типа переполнения буфера - огромный дамоклов меч, висящий даже не
на уровни операцинок, а над всей архитектурой поколения x86. По скромным
наблюдениям было выявлено, что примерно 80% от общего количества уязвимостей
являются страшными порождениями этого типа уязвимости. На лицо огромная
проблема, которую необходимо решать - спустя десяток лет после первой подобной
уязвимости мировое сообщество в лице небезызвестной Микрософт, Интел и AMD
начали творить и в этой области, исправляя погрешности архитектуры. Таким
образом, на сегодняшний момент мы имеем несколько процессоров последнего
поколения от фирм Интел и AMD, в которых реализованы первые технологии на
аппаратном уровне, позволяющие неплохо защитить нас от переполнения буфера. У
AMD такая технология называется - Enhanced Virus Protection и реализована во всех
новых процессорах Athlon 64 и Opteron, у Интел точно такая технология называется
Execute Disable Bit и поддерживается, например, в только что выплывшим наружу из
закромов разработчиков - Pentium 4 570J. Подобная технология основана на
внедрении еще одного управляемого бита под названием NX, который при его
использовании, позволит на аппаратном уровне запретить выполнение
произвольного кода в определенных страницах памяти. То есть, очевидно, что
основная идея атаки (выполнение кода из памяти при подделки возвращающих
адресов) типа переполнение буфера идет псу на корм. Но данная технология не
позволяет полностью защитить само приложение, так как сама атака на приложение
и вывод его из строя по-прежнему возможна, а вот исполнение произвольного кода
на машине не возможно. Так что функциональность и надежность приложения
по-прежнему остается на плечах разработчиков, коим не позволено расслабляться
ни при каких обстоятельствах. На программном же уровне сию новую возможность
реализовала компания Микрософт во всех последних своих операционках: winXP sp2,
winXP 64-bit edition sp1 и Windows Server 2003 (32-bit и 64-bit) с Service Pack 1. Только в
терминологии Микрософт это технология называется DES (Data Execution Prevention).
Кроме аппаратного уровня у Микрософт предусмотрено эмуляция такого бита
средствами существующего механизма обработки исключений. Технология
достаточна молода и, будем надеется, это не единственная идея плавающая в
головах разработчиков Интел и AMD, так как защита несколько примитивна даже на
первый взгляд, однако в этом будущее.
Из-за сырости реализации в Микрософт в ней практически тут же была обнаружена
уязвимость, позволяющая обходить все ограничения и все-таки выполнять
злонамеренный код. Приятно то, что она была обнаружена нашими
соотечественниками - фирмой Positive Technologies, а конкретно ее сотрудником
Александром Анисимовым. Компания же эта должна быть известна вам по продукту
X-spider, который является, по моему и не только мнению, лучшим сканером
уязвимостей в России и Европе. Подробный и жутко интересный по содержанию
отчет об уязвимости можно посмотреть тут:
www.securitylab.ru
Подробное описание процессора Pentium 4 570J с поддержкой NX-бита:
www.fcenter.ru

В погоне за Бластером

Жарко, как же жарко в сезон знойных девиц на пляже и холодных коктейлей под
легкую музыку в Хопкинсе, штат Миннесота. Среди потных домов и пересохших от
излишней жажды людей, шагающих туда сюда по делам или просто так в поисках
спасительного оазиса, выделялось здание местного самоуправления, под
названием Полиция. В горячем офисе с таким же кофе сидел, изливаясь от
изнеможения, молодой человек, рядом с ним в двух с половиной шагах стоял его
коллега и с непонятно откуда взявшейся бодростью говорил своему напарнику по
отделу киберпреступлений ФБР, какого черта они вообще притащились в этот богом
забытый уголок Миннесоты. Сегодня 29 августа 2003 года молодым людям
предстояло прогуляться в сторону спального района, где они должны были посетить
некоего подростка под именем Jeffrey Lee Parson, 18 летнего преступника,
подозреваемого в создании вируса Blaster поколения B. Прояснив и отгромыхав
последние детали, напарник отправился заводить тот коричневый драндулет, что
выделило им местная администрация в целях передвижения по городу. Как назло,
запорожец марки Форд ну никак не хотел заводить свои ресурсы, что не мало
удивило молодого агента. Но делать нечего, поехали своими ногами. Пункт
назначения представлял собой миловидный средненький райончик, каких тысячи,
если не миллионы по всей Америки и что так подло всегда напоминают о детстве и
материнской любви, и не только из-за вида, но и благодаря особому запаху горячего
асфальта, смешанного с пирогами из яблок. Из нужного молодым людям дома
доносился из всех мест тот самый запах, а приправой к нему служила музыка,
напоминающая кавалькаду диких кенгуру, несущихся по степным просторам
Австралии и орущих свою брачную заунывную песню, как заметил один из двух
молодых людей, это было что-то из репертуара Megadeth.
Постучав в дверь перед ними предстала видимо один из родителей подростка,
предложив войти в дом и поговорить о делах насущных, конечно, дав чаю с пирогом.
Таким образом, напарник остался разговаривать на кухне, питав особую сладкую
слабость к домашней кухне. Другой же агент направился наверх, где по-видимому
находилось убежище этого зверя вирусмейкера, убившем собственноручно около
50,000 компьютеров. Открыв дверь в его нос ворвалась целая плеяда мощных
запахов, среди них четко выделялись запах пиццы и видимо запах не свежих носков,
впрочем, в последнем агент был не уверен. В пяти метрах прямо от него находился
тот, за кем он прибыл. Надо сказать, картина открылась замечательная, так как она
напоминала сразу натюрморт Аля "волк и заяц" и в то же самое время Вини-пух с
братом меньшим пятачком. Агент был крепкий мужчина небольшого роста, но с
блеском в глазах истинного хищника, сидящее же перед ним чудо было на вскидку
2-х метрового роста весом эдак фунтов в 320, но с глазами, похожими на милую
любящую собачку породы колли. Однако задержание проблем не вызвало и
предполагаемый преступник прибыл в St. Paul, где в суде его тут же опознали по
майке с надписью "Big Daddy". Несмотря на заявления прокуратуры о том, что таких
опасных преступников следует держать за семью замками, судья приговорил его к
домашнему аресту до выяснений всех обстоятельств, естественно, запретив для
порядку пользоваться ЭВМ.
Прошло два года и снова Парсон стоит на скамье подсудимых 30 января 2005 года,
готовый принять удар судьбы на всю катушку. Судья, затягивая решение, объявляет
приговор - 1,5 года лишения свободы плюс огромный штраф - это самый легкий
приговор, который мог получить Джефри, судья сделал скидку на возраст: ходь
подсудимому и было 18 лет в момент совершения преступления, но, по мнению
судьи, он явно не дотягивал до этого возраста умственным развитием.
На чем же сгорел Парсон? Во-первых, его вариант вируса все время пытался
обратиться на сайт, который был зарегистрирован на имя горе-вирусмейкера,
во-вторых имя файла, который прописывался в системе был teekids.exe, что четко
соответствовало его нику.
Отметим, что арест Парсона был далеко не случаен и стал один из вехов плана
Микрософт по поимке известных вирусмейкеров. 21 августа 2003 года Микрософт
раскрыла карты, сказав, что намерена сотрудничать с ФСБ, 29 августа мы имеем
первый арест - единственный результат по большому счеты вылившийся из всей
кампании. Истинная же цель стала ясна в ноябре 2003, когда софтверный гигант
объявил охоту на автора Бластера, пообещав за его голову 250,000 долларов. Но и
это не принесло результатов, так как он до сих пор не пойман - не столь наивный
попался автор, как в случаи с бедным Джефри.

Внимание:

Проект всегда готов к сотруничеству, если вам есть, что рассказать,
то мы всегда опубликуем ваши новости и аналитику, связанную с
миром безопасности - давайте работать вместе!
Вам лишь надо написать об этом на почтовый ящик networkscafee@tut.by

Проекты в Сети

"Создание сайта"
Проект рассказывает о подноготной рынка, где днями и ночами
работники подпольного фронта трудятся над созданием
очередного шедевра в виде веб-сайта. Рассказывает
человек непосредственно являющийся членом этого, безусловно
нужного многим общества. А главное в этой рассылке то, что
она действительно переполнена мыслями, а главное новыми
идеями и личностью. Очень интересно почитать.
inet.webbuild.developweb