компьютерная преступность

 UA  |  EN


Подписка на новости  
Rambler's Top100
компьютерная преступность
киберпреступность


Предвестники сетевого хаоса


Эпидемии компьютерных вирусов августа-сентября 2003 г. показали, что ситуация со злонамеренными кодами стала абсолютно неуправляемой. Положение с компьютерной безопасностью до неприличия напоминает трещащее по всем швам коммунальное хозяйство, в котором специалисты-спасатели мечутся от одной дыры к другой, едва успевая локализовать катастрофы. Беспорядок усиливается с такой скоростью, что Microsoft вынуждена была признать недостаточность своей политики устранения уязвимостей [1].

Для этого, впрочем, понадобилась череда чрезвычайных событий, связанных с многочисленными проблемами, которые создали черви Slammer, Blaster и его антагонист Welchia. Перечень ЧП ежедневно пополняется инцидентами, число которых затрудняются назвать самые искушенные эксперты. Ущерб от компьютерных вирусов для мировой экономики оценивается в триллионы долларов и растет как на дрожжах [2].

Эксплойты, использующие вновь открытые бреши, появляются в крайне сжатые сроки, свидетельствующие о высоком профессионализме их авторов. Дополнительным подтверждением этого является ориентация атак преимущественно на линейку Windows 2000/XP. Устаревшие системы Win 98/ME брошены на откуп script kiddies. Благодаря «титаническим» усилиям спецслужб отдельные особи из числа малолетних (по Западным меркам) особей бывают изловлены, но показательный процесс над ними может только укрепить уверенность в своей безнаказанности у настоящих авторов зловредных программ.

На таком фоне не удивительно появление гипотез о том, что либо против Microsoft действуют высококвалифицированные группы хакеров, в задачу которых входит изменить рыночное положение компании, либо вирусы стали оружием террористов, нацеленных на критические инфраструктуры [3]. Впрочем, согласно скандальному отчету CCIA «CyberInsecurity: The Cost of Monopoly», один из авторов которого быстренько отправился подыскивать себе новую работу [4], – эти цели равнозначны.

Среди экспертов нет единого мнения, поскольку правоохранительные органы не могут предоставить внятных доказательств в пользу какого-либо предположения. Итогом спецопераций, объявляемых после каждого скандала, становится поимка «шалуна», квалификации которого хватает только на безудержное бахвальство в стиле Мюнхгаузена [5]. В широко расставленные сети изредка попадаются еще любители порнографии да сетевые мошенники низкой квалификации.

К сожалению, в настоящий момент разрушительную атаку на Интернет под силу провести даже «чайнику» – всю необходимую информацию и программный инструментарий можно нагуглить (т.е. найти с помощью поисковых систем) в течении нескольких минут. Поэтому в прогнозах некоторых экспертов даже сквозит удивление, почему до сих пор нет кибератак на ключевые узлы финансовой инфраструктуры Америки: Fedwire и Fednet [6].

Уныние охватило и разработчиков антивирусов. Черви могут распространяются по всем континентам через широкополосные каналы всего за несколько минут. На опыте Sobig обкатан союз спаммеров и вирусописателей, поэтому почтовым червям для глобальной эпидемии также требуется мизерное время. За этот срок в лучшем случае удается отловить экземпляр для анализа. Стандартной функцией зловредных кодов становится отключение и блокировка или уничтожение антивирусных программ и межсетевых экранов. Таким образом, пока будет готово «противоядие» эпидемия уже выйдет на фазу насыщения (т.е. при поиске новых жертв вирусы преимущественно натыкаются на уже инфицированные машины) и, к тому же, на пораженных компьютерах защитные средства могут потерять работоспособность.

За все 20 лет войны с вирусами (работа Фреда Коэна, которая принесла ему авторство термина «вирус», опубликована в 1984 г.), единственным сколько-нибудь эффективным средством для отражения нашествия злобных кодов было сканирование файлов для поиска уникальных двоичных последовательностей, характерных для конкретного вируса. Остальные квазиинтеллектуальные методы (поведенческие блокираторы или эвристические анализаторы) на практике не используются, поскольку, чтобы там не утверждалось в их рекламе, только зря путаются под ногами, отличаясь сложностью настройки и неприемлемым уровнем ложных срабатываний. Теперь эффективность хоть как-то налаженной системы оказалась под большим вопросом [7].

Корни проблемы уходят в такую далекую эру компьютерных мастодонтов, что о первоисточниках, из которых проистекает нынешний вирусный бардак, к началу эпохи персональных компьютеров успели позабыть. Во всяком случае в первой работе Коэна [8], ставшей основой его докторской диссертации, не упоминаются самовоспроизводящиеся автоматы фон Неймана. В дальнейшем, как отметил Р. Бургер [9], дискуссии по проблемам существования вирусов, вообще свелись только к обсуждению хакеров и вреда, причиняемого злонамеренными программами. Даже предупреждения Коэна были проигнорированы при проектировании чрезмерно автоматизированных операционных систем. В частности, Коэн пишет, что для предотвращения заражения нужно исключать обмен данными между системой электронной почты и другими приложениями. Что остается подумать о разработчиках Outlook и Outlook Express, в которых почтовые вложения наперегонки торопятся выполниться, а письма в HTML-формате немедленно лезут со своими скриптами в Интернет?

Microsoft ориентируется на наименее подготовленных потребителей, что принесло компании феноменальный коммерческий успех. В этой связи претензии экспертов по безопасности, что, дескать, пользователи сами виноваты в разгуле эпидемий, поскольку не следят за обновлениями и исправлениями, выглядят попыткой переложить вину с больной головы на здоровую. Если столпы вирусной защиты не желают вникать в работы классиков-основателей, то как можно на пальцах объяснить неискушенной публике причины вирусной угрозы и методы защиты?

Потребитель приобрел компьютер и программное обеспечение для решения своих задач. Его не интересуют премудрости архитектуры ЭВМ, тонкости программирования и ошибок в кодах. Если бы на коробке с ПО было написано, что оно допускает утечку конфиденциальной информации, может шпионить за хозяином, уязвимо для удаленного (remote) злого умысла и т.п., то много бы нашлось желающих его использовать? Очевидно, что в этом случае эра персональных компьютеров не наступила бы никогда, а многие «гуру» до сих пор так и сидели бы по углам вычислительных центров НИИ да университетов.

Но поскольку бизнес строится на некомпетентности покупателей, то извольте господа брать ответственность на себя [10]. Потребители оплатили благополучие корпораций, а взамен получили продукты не просто с многочисленными изъянами, но способные нанести значительный ущерб владельцу. Лицензионная практика более не отвечает потребностям общества, а в части безответственности производителей ПО представляет угрозу общественной безопасности.

Дальнейшие перспективы надежно спрогнозировать невозможно. Стандарт «Основы безопасности операционных систем» только начал разрабатываться. Практика показывает, что на согласование таких фундаментальных стандартов уходят годы. Ван Тассел некогда предупреждал: «Большие программы подобны спагетти на тарелке - тянешь с одной стороны, шевелиться где-то с другой». Сегодня ОС распухли в десятки миллионов строк кода, к тому же автоматизация теснейшим образом переплела между собой различные подсистемы, о чем свидетельствуют регулярные переделки патчей, в итоге так и не устраняющие полностью уязвимости. Может оказаться, что систему, отвечающую стандарту, придется разрабатывать «с нуля».

А пока что многочисленные дефекты программного обеспечения и недостатки защитных систем открывают злонамеренным кодам дорогу в компьютер. Они становятся все более изощренными, интеллектуальными и живучими, постоянно развиваясь и усложняясь по мере прогресса программных технологий. В то же время операционные системы практически не содержат средств, позволяющих надежно определить, чем собственно занят компьютер. Если же потребитель под давлением обстоятельств возьмется за анализ самостоятельно, то немедленно упрется в запреты на дизассемблирование для коммерческих ОС.

Прикрываясь фиговым листком авторских прав и заботой о безопасности (на деле только собственного кошелька), корпорации ограничивают анализ эффективности своих продуктов и распространение информации об ошибках и уязвимостях. Дело иногда доходит до платных услуг за обеспечение «дополнительной безопасности». Эдак по аналогии изготовители колбас начнут требовать денег за отсутствие в фарше мышьяка или цианида. Прискорбно осознавать, но еще неопределенное время нам все в большей степени придется полагаться на системы, для которых понятия контроля и доверия неуклонно превращаются в мираж.

[1] Айна Фрид, Роберт Лемос «Microsoft: одних патчей мало» (http://zdnet.ru/?ID=307413)
[2] http://www.securitylab.ru/40564
[3] http://www.bizreport.com/article.php?art_id=5117 PHPSESSID=e74afcd0d0bdf0693aa8b69de79f3608
[4] http://www.securitylab.ru/40739.html
[5] John Lettice «Warning: virus terrorism stories may contain nuts» (http://www.theregister.co.uk/content/55/33297.html)
[6] George Butters «Expect terrorist attacks on Global Financial System» (http://www.theregister.co.uk/content/55/33269.html)
[7] http://www.newscientist.com/news/news.jsp?id=ns99994119
[8] Fred Cohen «Computer Viruses – Theory and Experiments» (http://www.all.net/books/virus/index.html)
[9] Ральф Бургер. «Большой справочник по компьютерным вирусам», 1987 (http://vx.netlux.org/lib/arb00_ru.html)
[10] А. Захарченко «Почтовый синдром или Эпидемия состоится при любой погоде» (http://az13.mail333.com/2/ar/sindr1.htm)



Copyright © 2001-2003
Computer Crime Research Center. All rights reserved.