Поштовий синдром або Епідемія відбудеться за любої погоди, Браузери та поштові програми, Security & Hack, статті

Олександр Захарченко

«Ми запитали себе:” А що якщо обчислювальна техніка стане доступна
майже всім? “Ми вірили в те, що комп’ютери проникнуть в кожен будинок –
завдяки дешевизні своєї обчислювальної потужності і новим грандіозним
програмам, здатним скористатися перевагами цієї техніки …
З самого початку ми йшли в правильному напрямку.
Білл Гейтс «Дорога в майбутнє»
«Можливість вкрасти породжує злодія.»
(Френсіс Бекон)

Некомпетентність користувачів створила благодатне середовище для хронічних троян-вірусних епідемій. У кожному інтерв’ю експертів з безпеки міститься фраза: «незважаючи на численні попередження». Правда IT-фахівці говорять, Що ефективність цих попереджень зникаюче мала. Вузьке коло зацікавлених професіоналів активно шукає інформацію, щоб своєчасно захистити свої системи від злому. Ще більш завзято прочісують Мережа любителі накапостити ближньому, але в масі своїй користувачі знаходяться в блаженному невіданні. Містер Калп (Culp), яка прославила Microsoft плачем про інформаційну анархії, констатує, що випускаються виробниками програмного забезпечення (ПО) латки та оновлення, що усувають помилки систем безпеки, не застосовуються роками.

Тільки погорільці, висловивши дуже вигадливі побажання на адресу авторів підступних програм, в міру своїх, часто, на жаль, дуже скромних знань намагаються залатати систему. Встановлюються відразу все доступні антивіруси. Деякий час з параноїдальною підозрілістю досліджуються всі об’єкти, що наближаються до комп’ютера ближче, ніж на відстань до найближчого хаба. Але незабаром пристрасті вгасають і докучливі монітори і сканери або не оновлюються, або і зовсім відключаються через різні міжпрограмних конфліктів. До наступної напасті.

Що поробиш, Білл Гейтс захотів поставити комп’ютер на стіл будь-якому охочому і домігся свого найкращим чином. Павутина всесвітньої Мережі проникла сьогодні в найнесподіваніші місця: і ось уже «нові антитерористи» на всякий випадок обривають її в Сомалі. Кожен день за клавіатурою виявляються десятки мільйонів чоловік. Навряд чи доречно очікувати, що всі вони виявляться настільки ж кваліфікованими, як творці програмного забезпечення. Якщо на робочому місці керівник ще може зажадати від співробітника якийсь мінімум кваліфікації, то для домашнього комп’ютера подібних обмежень в принципі не передбачено.

Успіх персональних комп’ютерів обумовлений інтересом з боку непрофесіоналів, які отримали можливість вирішувати складні завдання без спеціальної багаторічної підготовки. Сучасне програмне забезпечення приховує технічні подробиці, надаючи користувачам інтерфейс для конкретної галузі діяльності (офісні системи, системи автоматизованого проектування, графічні та видавничі програми, бази даних, експертні системи і т.д., ігри, в кінці кінців). Тому просвітницько-попереджувальні бюлетені, приміром, від Microsoft (Microsoft Security Bulletin), Більшості споживачів просто незрозумілі. Спробуйте «на пальцях» пояснити, як це Internet Explorer (IE) 6 можна змусити автоматично запускати виконувані файли (MS01-058, MS02-005 – мова йде не про переповнення буфера) або надавати «зловмисникові-оператору сайту» (malicious web site operator) доступ до локальних файлів. Професіоналу-то може і все зрозуміло з декількох куцих рядків в електронних дадзибао, але для масового споживача, на якого спирається піраміда добробуту Microsoft, це просто «китайська грамота».

Реальну оцінку вразливості комп’ютерної системи може виконати лише професійно підготовлений фахівець. Але, мабуть, життя в суспільстві тотальної реклами сформувала у містера Калп стійке уявлення, що масовому споживачеві усувати проломи в системі безпеки дуже просто. У всякому разі не складніше, ніж ковтати пігулки аспірину при головному болю. Прочитав рекламну листівку і вперед, за здоров’ям. Хоча давно відомо, що позбавлення від симптомів не завжди рівноцінно лікуванню. До того ж основним фактором вживання ліків має бути довіра до лікаря. А наш комп’ютерний Пілюлькін, за сумісництвом прописує вироблене самим зілля, не тільки автор хвороби, а й замість ліків частенько норовить підсунути отруту в стилі “AS IS”.

Ось 1 листопада 2001 виходить бюлетень MS01-54, що спонукає користувачів встановити патч для усунення загрози атаки типу відмова від обслуговування (DoS) через сервіс Universal Plug and Play (UPnP), в завдання якого входить виявлення і розпізнавання мережних пристроїв. 9 листопада користувачів Windows Me повідомляють, що застосування цієї латки може порушити роботу IE і перевести систему в нестабільний стан, а з нього і до системного краху рукою подати. При цьому, у вихідному бюлетені про причини DoS-уразливості говориться досить туманно: сервіс неправильно обробляє деякі типи неправильних UPnP запитів. Опис ж наведеної некерованості коротко і ясно: бібліотека upnp.dll «здається не реєструється». Виправлений варіант виправлення з’явився тільки 13 листопада. Видно не така вже проста процедура реєстрації опинилася.

Аналогічний конфуз стався з патчем для Win NT/2000 Server (MS01-052).

Інший приклад. Nimda, Aliz, BadtransII і К використовують діри в поштовій програмі Outlook Express (OE) і IE версій 5 і 5.5, що дозволяють автоматично запустити виконуваний exe-файл під видом звукового. (Для «Зручності» користувачів ряд типів файлів-вкладень автоматично направляються в відповідну програму обробки вже в режимі попереднього перегляду). Цей трюк спрацьовує при відвідуванні заражених веб-сторінок і, можливо (Особисто пробувати не став), в режимі подання папок «Як веб-сторінка» (автоматично виконується попередній перегляд файлу при виділенні). Такий список жахів природно підштовхує до переходу на 6-ю версією Outlook і IExplorer’а, тим більше, що в них начебто з’явилися нові захисні властивості.

Ненадійність нововведень в OE6 стала очевидною досить швидко. Дуже дивно виглядає спроба заховати блокування вкладень і попередження про несанкціоновану відправку пошти в незашифрованих параметрах Реєстру. Потім BadtransII проскочив крізь антивірусний сканер на корпоративному поштовому сервері і Outlook послужливо запитав: «Чи не бажаєте запустити?». Втім, це вже величезний прогрес, оскільки OE5 навіть після установки латок чомусь лихо продовжує «завантаження файлу» із заражених листів. Нарешті прийшов вищезгаданий бюлетень MS01-58 від 13 грудня 2001 р., який повідомив, що в IE6 існує інший механізм автоматичного запуску exe-файлів під личиною безпечних. Домогтися цього, як і з більш ранніми версіями, зловмисник може за допомогою спеціально сформованої веб-сторінки або листи в форматі HTML.

Ну, так у чому ж результат латання? Симптом прибрали (Nimda в оригінальному вигляді не запуститься) – хвороба залишилася (змінити формат листа і код вірусу придатний для подальших боїв), а за допомогою одного з останніх патчів знову браузер «упустили». Гасло «Доктор, зцілися сам!» Актуальний як ніколи.

В минулому році Microsoft випустила 60 бюлетенів з безпеки. Вони нерідко були подвійними або потрійними, коли початкове повідомлення уточнювалося та / або виправлялася латка. Додайте сюди попередження від різних організацій (навіть від ФБР), Антивірусних компаній і мисливців за помилками. Чи зможе кожен власник персонального комп’ютера самостійно вибрати всю потрібну інформацію і вчасно усунути недоліки ПО? А ще ж треба вміти реанімувати систему після помилок в латках. Не можна ж після кожного кривого патча перевстановлювати систему на чистий диск і штопати заново.

Помиляється електроніка, помиляються програмісти, Помиляються системні адміністратори, помиляються просунуті і не дуже просунуті користувачі. Пара натискань клавіш, «брязкіт» миші в невідповідний момент – і множення помилок геть вбиває результати багаторічної праці.

Минулий рік показав, що з валом проблем не змогли впоратися навіть лідери IT-світу. Компанія Samsung Electronics забезпечила своїх покупців моніторів хробаком Nimda. Cisco Systems розіслала передплатникам (системним адміністраторам!) Goner. Іграшка для приставки Sega виявилася заражена вірусом Kriz. Сайти Microsoft і Dell вражені Nimda. Він же на час застопорив роботу British Telecom і Deutsche Bank. (На цьому тлі аналогічне падіння «Укртелекому» враження вже не виробляє.) поштова служба Hotmail постраждала від CodeRed. Warner Brothers продавали мультиплікаційний DVD-диск з Funlove, помітивши раніше драйвери від Hewlett-Packard. Сайт комп’ютерних новин SiliconValley.com вже цього року розсилав передплатникам вкрай небезпечний (бачили в дії, результат знаємо) Magistr, якому на момент інциденту було 8 місяців від народження.

Дослідження показують катастрофічне зростання вірусних заражень, практично всі вони відбуваються за допомогою електронної пошти. Регулярні зломи урядових сайтів, мереж великих корпорацій і банків вже нікого не дивують. При цьому більшість випадків зараження і злому ретельно приховуються. Адже на кону стоїть репутація потерпілих, а в умовах кризи не всі можуть піти традиційним шляхом і перекласти додаткові витрати по забезпеченню безпеки на споживачів.

Можна, звичайно, позубоскалити над «високою кваліфікацією і злагодженими діями персоналу»При ліквідації цих подій. Але ж і вірус Морріса використав відому дірку, яку міг (і за посадою був зобов’язаний) закрити будь адміністратор. Проте не закрили навіть в стінах Берклі, де створювалася обстріляна версія UNIX. Гаразд, в 1988 р. мережеві черв’яки були чимось неймовірним навіть для мережевих гуру. Але тринадцять років потому Ramen, Lion і Adore довели, Що положення істотно не змінилося. Віруси піднесли сюрприз амбіційним творцям Lindows. Виявилося, що деякі поштові черв’яки без проблем можуть переїхати на цю платформу разом з Outlook, тоді як антивіруси працювати не хочуть. Але ж проблема емулятора WINE теж була відома.

Чого ж тоді вимагати від віндузятніков, які купують комп’ютери не для програмування? І вже, тим більше, не для вивчення незрозумілих помилок в системі безпеки. Сучасне програмне забезпечення дійсно дуже складне. Отримання бездоганного коду не прогнозується навіть в осяжному майбутньому. Невже просуваючи свій товар для масового споживання, лідер світового бізнесу задумав всіх користувачів зробити «Комп’ютерно грамотними»? Так адже сьогодні навіть не всі президенти справляються зі звичайною граматикою, куди вже там широким масам до комп’ютерної.

MS DOS мала репутацію вірусного заповідника при тому, що реальних механізмів зараження комп’ютера існувало-то всього два: інфікований виконуваний файл (EXE або COM) або завантаження з дискети, в boot-секторі якої розміщений зловмисний код. DOS в загальному-то ні в чому не обмежувала винахідливість вірусописьменників. Тільки й того, що було потрібно кодування на асемблері, яке тягне за собою необхідність знання архітектури мікропроцесора, внутрішнього устрою DOS, маніпуляцій з перериваннями і інших тонкощів. У результаті відразу відсікалися малоосвічені «пустунчика». Інтернет і електронна пошта в епоху DOS були ще дорогими іграшками військових і вчених. В сукупності з частими помилками програмування це обмежувало інтенсивність поширення вірусів. Шедевр Морріса розглядався як забава генія.

Windows 9x ускладнила зараження виконуваних файлів. З гучних випадків на пам’ять спадає хіба що Win95.CIH («Чорнобиль»). Більшість знають про нього за оригінальним прояву: знищення вмісту flash BIOS і технічних циліндрів вінчестерів. Знайшли в Мережі код вірусу можуть переконатися, що він не менш цікавий, особливо в методичному плані. Ну, а для NT завдання маніпуляцій з двійковими модулями взагалі малоприваблива.

Тому найчастіше просто використовується троянський код, що маскується під корисну програму або безпечне поштове вкладення (малюнок, наприклад). Глобальність електронної пошти, наявність анонімних сервісів і темних зон Інтернет надали зловмисникам необмежені можливості для поки що безкарного розповсюдження своїх творінь.

Ящиком Пандори для Windows стали макромови. Зловмисний код міцно влаштувався в файлах, які у масового споживача ніяк не асоціюються з небезпекою: документи, таблиці, презентації, креслення, бухгалтерські звіти і т.д. Хоча найбільше поширення отримали макровіруси для MS Word, але за схожими рецептами заразу можна виготовити для будь-якої програми, що підтримує Visual Basic for Application (VBA) [1].

Невіруючі критики можуть підрахувати співвідношення вірусів для Windows на модифікаціях VB і асемблері і «власним розумом” переконатися, що в королівстві Visual Basic щось таки негаразд, якщо недоростки можуть масово чинити злочини без особливої ​​напруги «сірої речовини».

Капость підстерігає в гіпертекстовому файлі (HTML, XML), де можуть розміститься недружні скрипти Visual Basic Scripting Edition (VBS) або JavaScript (JS). Вони ж можуть бути інтерпретовані спеціально розробленої на основі VB системою адміністрування –Windows Scripting Host (WSH).

Щоб заразити комп’ютер в перерахованих вище випадках необхідно переконати користувача запустити інфіковану програму або відкрити файл «з секретом». Але є й більш витончені способи.

Механізм динамічно пов’язуються бібліотек (DLL) дозволяє різним додаткам використовувати один і той же код без включення його в основну програму. Економиться місце на диску, зменшується час розробки і спрощується процедура налагодження та внесення змін. Для пошуку вимагається DLL-бібліотеки функція LoadLibrary спочатку переглядає каталог, з якого запущено програму, потім поточну папку і тільки після цього звертається до системної папки Windows (SYSTEM або SYSTEM32). Nimda в каталогах з документами Word (DOC, RTF), в тому числі і всіх доступних по мережі, розміщує файл riched20.dll, що містить вірусну копію. При відкритті з такої папки довільного документа (зауважте, незараженої) Замість справжнього riched20.dll (WINDOWS \ SYSTEM) автоматично запускається вірус. Якщо вибрати DLL, гарантовано необхідну для всіх популярних компонентів Office (Word, Excel, Access, PowerPoint, FrontPage), то зараження відбудеться при зверненні до будь-якого невластивому файлу. Цей метод природно поширюється на всі Windows-програми, що використовують загальні DLL [2].

Механізм зв’язування та впровадження об’єктів (OLE) дозволяє розмістити заражений файл всередині іншого. Наприклад, документ Word включається в таблицю Excel або малюнок Corel Draw. Існує безліч психологічних трюків, що підштовхують недосвідчених користувачів поклацати мишкою усередині нібито безпечного об’єкта. Рано чи пізно пастка спрацює.

А кому в голову прийде шукати EXE-шник в RTF-файлі? Наскільки швидко користувачі звикнуть до потенційної небезпеки PDF-документів (Adobe Acrobat) або мультиків Macromedia Flash? Чим взагалі потрібно було думати, щоб допустити існування шкідливих скриптів в аудіофайл? У цей список «високих технологій» залишається тільки додати стільникові телефони.

Виправити концептуальні прорахунки за допомогою латок найчастіше неможливо. Наприклад, автоматизація на основі моделі компонентних об’єктів (COM) забезпечує платформу численним поштовим черв’якам з кількох причин. В операційній системі (ОС) відсутня обов’язкова перевірка «доброчесності» виконуваного коду. Запущена програма може виконати будь-яку дію на рівні привілеїв користувача. В систему введено загальнодоступні мережеві та поштові інтерфейси, тому навіть при відсутності поштових програм вірусного коду не потрібно тягнути за собою підтримку протоколів. Ну і, нарешті, непомірне розширення макромов. Всі разом фактично перетворює Windows в «виконавець бажань».

Як виправдувального аргументу і Microsoft, і помітне число читачів-критиків до появи відомого листа Білла Гейтса говорили, що основна проблема в людях. Одні створюють зловмисні коди – інші запускають казна-що, не спромігшись перевірити. Ну, а система просто замислювалася так, що будь-який код може зробити все з дозволеного користувачеві. Виправляти нічого.

«На попередньому слідстві в поліцейській ділянці на всі питання він волав одну і ту ж стереотипну фразу:
-У мене папером магазин!
На що отримував такий же стереотипний відповідь:
-Це для вас не виправдання. »

Це з Швейковський пригод. А в нашому випадку немає виправдання тому, що маючи справу тільки з інтерфейсом, користувачі нічого не знають про внутрішнє життя ОС. Їм, «чайникам», можна пробачити. Але ж про все багатстві цього внутрішнього життя не знають і системні адміністратори, і експерти-консультанти з безпеки, і, як випливає з наведених вище прикладів, «гуру»-розробники [3]. Поки на комп’ютер не пробереться черговий шкідливий код, поразка користувача в правах спрацьовує. Але одного разу виявляється, що заборони обходяться за допомогою якогось ActiveX або загальнодоступна DLL містить необхідні функції. З клавіатури все одно нічого не зробиш, а з приблудної програмки – будь ласка. Грунт для нової епідемії готова.

Хоча відомо, що розум розподілений серед людей найбільш справедливим чином (оскільки ще ніхто не скаржився на його брак), але однією раціональністю захиститися таки не вдасться.

Якщо на комп’ютері немає антивірусу або він застарів, значить зарази відкрита «зелена вулиця». До речі, хочу нагадати, що віруси містяться не тільки в поштових посланнях. Як і раніше ще живі файлові віруси, які переїжджають з двійковими модулями на дискетах, компакт-дисках або разом з програмами, викачаними по Мережі. При цьому авторитет джерела значення не має (див. вище), хоча, звичайно, з більшою ймовірністю може «повезти» на комп’ютерах для лабораторних робіт або ігор.

Відсутність міжмережевого екрану (firewall) і візуалізатора трафіку гарантує безперешкодне розмноження всім поштовим черв’якам, роздолля для троянів і рекламних «вантажив», а також різноманітні мережеві атаки. Якщо черв’як використовує власний SMTP-модуль, то його прояви взагалі можна буде помітити тільки з уповільнення комп’ютера (на Pentium III і IV йому потрібно для цього особливо постаратися). Про трояни в кращому випадку повідомить безрозмірний рахунок провайдера, а в гіршому – банкрутство контори, дискредитація людини, підроблені докази і т.д. За допомогою менеджера завдань визначаються тільки примітивні особини, що живуть у вигляді самостійних процесів. Якщо зловмисний код оформлений у вигляді pug-in’а або системної бібліотеки, то протікають і «вогненні стіни». Щоб вчасно відстежити підміну знадобиться монітор вмісту диска. А це тягне за собою необхідність вивчати призначення тисяч бібліотек, драйверів, утиліт і т.д.

І тепер, на додаток до стандартного латання ОС потрібно ще відстеження повідомлень про помилки в застосовуваних антивірусах, міжмережевих екранах, моніторах файлів і регулярне їх виправлення. А після всього цього будь-яка встановлювана програма може внести незначні зміни в систему, миттєво знецінивши копітко збудовану глибоко ешелоновану оборону. Якщо великі софтверні компанії сповіщають своїх споживачів про знайдені проблеми, то інформацію про безліч пропонованих (умовно) безкоштовних утиліт доведеться вишукувати самому. Непогано також аналізувати щоденну зведення новин з комп’ютерного фронту, щоб завжди бути в курсі останніх «досягнень».

Хіба до гейтсовского призову було незрозуміло, що один тільки відбір інформацію, що стосується конкретної системи, – вже робота? Дорога, що вимагає спеціальної кваліфікації та віднімає масу часу. У повному обсязі її не зможуть виконати споживачі, які плутають Windows і Lindows, за яких зараз бореться найбільша в світі корпорація. При існуючому стані речей користувачі незабаром змушені будуть займатися тільки зміцненням бастіонів. Навіть на ігри часу не залишиться! Епізодичне латання абсолютно марно – простіше купити другий комп’ютер спеціально для Інтернет і не зберігати на ньому нічого путнього.

Але архітектурні переробки ОС потягнуть за собою суттєві зміни в кодах усіх додатків. Принаймні їх потрібно буде перевіряти на сумісність з нно архітектурні переробки ОС потягнуть за собою суттєві зміни в кодах усіх додатків. Принаймні їх потрібно буде перевіряти на сумісність з новими вимогами. Тому до цих пір структурні зміни вносилися тільки в зовсім кричущих випадках і то після кількох років дебатів. Так сталося з Outlook з Office XP і OE6. Варіант XP я не розбирав, але для подолання захисних механізмів Express буде потрібно десяток рядків, щоб змінити незашифровані параметри в Реєстрі. У своїй програмі Білл Гейтс призводить Outlook, як «хороший приклад» щодо поліпшення якості і підвищення безпеки продуктів Microsoft. «Блажен, хто вірує».

Тому висококваліфіковані та високооплачувані фахівці з пошуку та усунення помилок ще довго будуть необхідні на будь-якому сучасному підприємстві. Не бажають цього визнавати керівники перетворюють свої комп’ютерні системи в розсадники зарази, що загрожують існуванню Інтернет [4]. Що стосується домашніх комп’ютерів, то тут залишається тільки сподіватися, що Microsoft встигне виконати наказ свого керівника до повсюдного розповсюдження широкосмугового доступу та впровадження IPv6. Дуже вже хочеться вірити, що в результаті «кардинальної зміни життя під впливом інструментів інформаційного століття», ми не будемо стурбовані тим, куди дзвонить наш I-телефон, не перетворився чи наш I-холодильник в I-жаровню, що зібралася готувати наша порожня I-СВЧ-піч, де шукати наш запропастився I-автомобіль і взагалі, на біса нам потрібна була така «дорога в майбутнє »?

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*