Поштова синдром або Епідемія відбудеться за любої погоди

Олександр Захарченко

«Ми запитали себе:” А що якщо обчислювальна техніка стане доступна
майже всім? “Ми вірили в те, що комп’ютери проникнуть в кожен будинок –
завдяки дешевизні своєї обчислювальної потужності і новим грандіозним
програмам, здатним скористатися перевагами цієї техніки …
З самого початку ми йшли в правильному напрямку.
Білл Гейтс «Дорога в майбутнє»
«Можливість вкрасти породжує злодія.»
(Френсіс Бекон)

Некомпетентність користувачів створила благодатне середовище для хронічних Троя-вірусних епідемій. У кожному інтерв’ю експертів з безпеки міститься фраза: «незважаючи на численні попередження». Правда IT-фахівці говорять, Що ефективність цих попереджень зникаюче мала. Вузьке коло зацікавлених професіоналів активно шукає інформацію, щоб своєчасно захистити свої системи від злому. Ще більш завзято прочісують Мережа любителі напакостити ближнього, але в масі своїй користувачі знаходяться в блаженному невіданні. Містер Калп (Culp), яка прославила Microsoft плачем про інформаційну анархії, констатує, що випускаються виробниками програмного забезпечення (ПО) латки і оновлення, що усувають помилки систем безпеки, не застосовуються роками.

Тільки погорільці, висловивши вельми вигадливі побажання на адресу авторів підступних програм, в міру своїх, часто, на жаль, дуже скромних знань намагаються залатати систему. Встановлюються відразу всі доступні антивіруси. Деякий час з параноїдальною підозрілістю досліджуються всі об’єкти, що наближаються до комп’ютера ближче, ніж на відстань до найближчого хаба. Але незабаром пристрасті вгасають і докучливі монітори і сканери або не оновлюються, або і зовсім відключаються через різних міжпрограмних конфліктів. До наступної напасті.

Що поробиш, Білл Гейтс захотів поставити комп’ютер на стіл будь-якому охочому і домігся свого найкращим чином. Павутина всесвітньої Мережі проникла сьогодні в найнесподіваніші місця: і ось уже «нові антитерористи» на всяк випадок обривають її в Сомалі. Кожен день за клавіатурою виявляються десятки мільйонів чоловік. Навряд чи доречно очікувати, що всі вони виявляться настільки ж кваліфікованими, як творці програмного забезпечення. Якщо на робочому місці керівник ще може зажадати від співробітника якийсь мінімум кваліфікації, то для домашнього комп’ютера подібних обмежень в принципі не передбачено.

Успіх персональних комп’ютерів обумовлений інтересом з боку непрофесіоналів, які отримали можливість вирішувати складні завдання без спеціальної багаторічної підготовки. Сучасне програмне забезпечення приховує технічні подробиці, надаючи користувачам інтерфейс для конкретної галузі діяльності (офісні системи, системи автоматизованого проектування, графічні та видавничі програми, бази даних, експертні системи і т.д., ігри, в кінці кінців). Тому просвітницько-попереджувальні бюлетені, наприклад, від Microsoft (Microsoft Security Bulletin), Більшості споживачів просто незрозумілі. Спробуйте «на пальцях» пояснити, як це Internet Explorer (IE) 6 можна змусити автоматично запускати виконувані файли (MS01-058, MS02-005 – мова йде не про переповнення буфера) або надавати «зловмисникові-оператору сайту» (malicious web site operator) доступ до локальних файлів. Професіоналу-то може і все зрозуміло з декількох куцих строчок в електронних дадзибао, але для масового споживача, на якого спирається піраміда добробуту Microsoft, се просто «китайська грамота».

Реальну оцінку вразливості комп’ютерної системи може виконати лише професійно підготовлений фахівець. Але, мабуть, життя в суспільстві тотальної реклами сформувала у містера Калп стійке уявлення, що масовому споживачеві усувати проломи в системі безпеки дуже просто. У всякому разі не складніше, ніж ковтати пігулки аспірину при головному болю. Прочитав рекламну листівку і вперед, за здоров’ям. Хоча давно відомо, що позбавлення від симптомів не завжди рівноцінно лікуванню. До того ж основоположним чинником вживання ліків повинна бути довіра до лікаря. А наш комп’ютерний Пілюлькін за сумісництвом прописує вироблене самим зілля, не тільки автор хвороби, але і замість ліків частенько норовить підсунути отруту в стилі “AS IS”.

Ось 1 листопада 2001 виходить бюлетень MS01-54, що спонукає користувачів встановити патч для усунення загрози атаки типу відмова від обслуговування (DoS) через сервіс Universal Plug and Play (UPnP), в завдання якого входить виявлення і розпізнавання мережних пристроїв. 9 листопада користувачів Windows Me повідомляють, що застосування цієї латки може порушити роботу IE і перевести систему в нестабільний стан, а з нього і до системного краху рукою подати. При цьому, у вихідному бюлетені про причини DoS-уразливості говориться вельми туманно: сервіс неправильно обробляє деякі типи неправильних UPnP запитів. Опис ж наведеної некерованості коротко і ясно: бібліотека upnp.dll «здається не реєструється». Виправлений варіант виправлення з’явився тільки 13 листопада. Видно не така вже проста процедура реєстрації виявилася.

Аналогічний конфуз стався з патчем для Win NT/2000 Server (MS01-052).

Інший приклад. Nimda, Aliz, BadtransII і К використовують діри в поштовій програмі Outlook Express (OE) і IE версій 5 і 5.5, що дозволяють автоматично запустити виконуваний exe-файл під виглядом звукового. (Для «Зручності» користувачів ряд типів файлів-вкладень автоматично направляються у відповідну програму обробки вже в режимі попереднього перегляду). Цей трюк спрацьовує при відвідуванні заражених веб-сторінок і, можливо (Особисто пробувати не став), в режимі подання папок «Як веб-сторінка» (автоматично виконується попередній перегляд файлу при виділенні). Такий список жахів природно підштовхує до переходу на 6-ту версії Outlook і IExplorer’а, тим більше, що в них начебто з’явилися нові захисні властивості.

Ненадійність нововведень в OE6 стала очевидною досить швидко. Дуже дивно виглядає спроба заховати блокування вкладень і попередження про несанкціоновану відправку пошти в незашифрованих параметрах Реєстру. Потім BadtransII проскочив крізь антивірусний сканер на корпоративному поштовому сервері і Outlook послужливо запитав: «Чи не бажаєте запустити?». Втім, це вже величезний прогрес, оскільки OE5 навіть після установки латок чомусь хвацько продовжує «завантаження файлу» із заражених листів. Нарешті прийшов вищезгаданий бюлетень MS01-58 від 13 грудня 2001 р., який повідомив, що в IE6 існує інший механізм автоматичного запуску exe-файлів під личиною безпечних. Домогтися цього, як і з більш ранніми версіями, зловмисник може за допомогою спеціально сформованої веб-сторінки або листи у форматі HTML.

Ну, так у чому ж результат латання? Симптом прибрали (Nimda в оригінальному вигляді не запуститься) – хвороба залишилася (змінити формат листа і код вірусу придатний для подальших боїв), а за допомогою одного з останніх патчів знову браузер «упустили». Гасло «Доктор, зцілити сам!» Актуальний як ніколи.

У минулому році Microsoft випустила 60 бюлетенів з безпеки. Вони нерідко були подвійними або потрійними, коли початкове повідомлення уточнювалося і / або виправлялася латка. Додайте сюди попередження від різних організацій (навіть від ФБР), Антивірусних компаній і мисливців за помилками. Чи зможе кожен власник персонального комп’ютера самостійно вибрати всю потрібну інформацію і вчасно усунути недоліки ПО? Адже ще потрібно вміти реанімувати систему після помилок в латках. Не можна ж після кожного кривого патча заново систему на чистий диск і штопати заново.

Помиляється електроніка, помиляються програмісти, Помиляються системні адміністратори, помиляються просунуті і не дуже просунуті користувачі. Пара натиснень клавіш, «брязкіт» миші в невідповідний момент – і множення помилок геть вбиває результати багаторічної праці.

Минулий рік показав, що з валом проблем не змогли впоратися навіть лідери IT-світу. Компанія Samsung Electronics постачила своїх покупців моніторів хробаком Nimda. Cisco Systems розіслала передплатникам (системним адміністраторам!) Goner. Іграшка для приставки Sega виявилася заражена вірусом Kriz. Сайти Microsoft і Dell вражені Nimda. Він же на час застопорив роботу British Telecom і Deutsche Bank. (На цьому тлі аналогічне падіння «Укртелекому» враження вже не справляє.) поштова служба Hotmail постраждала від CodeRed. Warner Brothers продавали мультиплікаційний DVD-диск з Funlove, послід раніше драйвери від Hewlett-Packard. Сайт комп’ютерних новин SiliconValley.com вже в цьому році розсилав передплатникам вкрай небезпечний (бачили в дії, результат знаємо) Magistr, якому на момент інциденту було 8 місяців зроду.

Дослідження показують катастрофічне зростання вірусних заражень, практично всі вони відбуваються за допомогою електронної пошти. Регулярні зломи урядових сайтів, мереж великих корпорацій і банків вже нікого не дивують. При цьому більшість випадків зараження і злому ретельно приховуються. Адже на кону стоїть репутація постраждалих, а в умовах кризи не всі можуть піти традиційним шляхом і перекласти додаткові витрати по забезпеченню безпеки на споживачів.

Можна, звичайно, позубоскалити над «високою кваліфікацією і злагодженими діями персоналу»При ліквідації цих пригод. Але ж і вірус Морріса використовував відому дірку, яку міг (і за посадою був зобов’язаний) закрити будь-який адміністратор. Проте не закрили навіть у стінах Берклі, де створювалася вражається версія UNIX. Гаразд, в 1988 р. мережеві черв’яки були чимось неймовірним навіть для мережевих гуру. Але тринадцять років потому Ramen, Lion і Adore довели, Що положення істотно не змінилося. Віруси піднесли сюрприз амбітним творцям Lindows. Виявилося, що деякі поштові черв’яки без проблем можуть переїхати на цю платформу разом з Outlook, тоді як антивіруси працювати не хочуть. Але ж проблема емулятора WINE теж була відома.

Чого ж тоді вимагати від віндузятніков, які купують комп’ютери не для програмування? І вже, тим більше, не для вивчення незрозумілих помилок у системі безпеки. Сучасне програмне забезпечення дійсно дуже складне. Отримання бездоганного коду не прогнозується навіть в осяжному майбутньому. Невже просуваючи свій товар для масового споживання, лідер світового бізнесу задумав всіх користувачів зробити «Комп’ютерно грамотними»? Так адже сьогодні навіть не всі президенти справляються зі звичайною граматикою, куди вже там широким масам до комп’ютерної.

MS DOS мала репутацію вірусного заповідника при тому, що реальних механізмів зараження комп’ютера існувало-то всього два: інфікований виконуваний файл (EXE або COM) або завантаження з дискети, в boot-секторі якій розміщений зловмисний код. DOS в общем-то ні в чому не обмежувала винахідливість вірусотворців. Тільки й того, що вимагалося кодування на асемблері, яке тягне за собою необхідність знання архітектури мікропроцесора, внутрішнього устрою DOS, маніпуляцій з перериваннями і інших тонкощів. У результаті відразу відсікалися малоосвічені «Шалунішка». Інтернет і електронна пошта в епоху DOS були ще дорогими іграшками військових і вчених. У сукупності з частими помилками програмування це обмежувало інтенсивність поширення вірусів. Шедевр Морріса розглядався як забава генія.

Windows 9x ускладнила зараження виконуваних файлів. З гучних випадків на пам’ять приходить хіба що Win95.CIH («Чорнобиль»). Більшість знають про нього за оригінальним прояву: знищення вмісту flash BIOS і технічних циліндрів вінчестерів. Що знайшли в Мережі код вірусу можуть переконатися, що він не менш цікавий, особливо в методичному плані. Ну, а для NT завдання маніпуляцій з двійковими модулями взагалі малоприваблива.

Тому найчастіше просто використовується троянський код, що маскується під корисну програму або безпечне поштове вкладення (малюнок, наприклад). Глобальність електронної пошти, наявність анонімних сервісів і темних зон Інтернет надали зловмисникам необмежені можливості для поки що безкарного поширення своїх творінь.

Скринькою Пандори для Windows стали макромови. Зловмисний код міцно влаштувався в файлах, які у масового споживача ніяк не асоціюються з небезпекою: документи, таблиці, презентації, креслення, бухгалтерські звіти і т.д. Хоча найбільшого поширення набули макровіруси для MS Word, але за схожими рецептами заразу можна виготовити для будь-якої програми, що підтримує Visual Basic for Application (VBA) [1].

Невіруючі критики можуть підрахувати співвідношення вірусів для Windows на модифікаціях VB і асемблері і «власним розумом” переконатися, що в королівстві Visual Basic щось таки негаразд, якщо недоуки можуть масово скоювати злочини без особливої ​​напруги «сірої речовини».

Капость підстерігає в гіпертекстовому файлі (HTML, XML), де можуть розміститься недружні скрипти Visual Basic Scripting Edition (VBS) або JavaScript (JS). Вони ж можуть бути інтерпретовані спеціально розробленої на основі VB системою адміністрування –Windows Scripting Host (WSH).

Щоб заразити комп’ютера в перерахованих вище випадках необхідно переконати користувачів запустити інфіковану програми або відкриття файлу «із секретом». Але є й більш витончені способи.

Механізм динамічно зв’язується, (DLL) дозволяє різним додаткам використовувати один і той же код без включення його в основну програму. Економиться місце на диску, зменшується час розробки і спрощується процедура налагодження та внесення змін. Для пошуку вимагаєтьсядля DLL-бібліотеки функція LoadLibrary спочатку переглядає каталог, з якого запущено програму, потім поточну папку і тільки після цього звертається до системній папці Windows (SYSTEM або SYSTEM32). Nimda в каталогах з документами Word (DOC, RTF), в тому числі і всіх доступних по мережі, розміщує файл riched20.dll, що містить вірусну копію. При відкритті з такої папки довільного документа (зауважте, незараженої) Замість справжнього riched20.dll (WINDOWS \ SYSTEM) автоматично запускається вірус. Якщо вибрати DLL, гарантовано необхідну для всіх популярних компонентів Office (Word, Excel, Access, PowerPoint, FrontPage), то зараження відбудеться при зверненні до будь невластивому файлу. Цей метод природно поширюється на всі Windows-додатки, що використовують загальні DLL [2].

Механізм зв’язування та впровадження об’єктів (OLE) дозволяє розмістити заражений файл всередині іншого. Наприклад, документ Word включається в таблицю Excel або малюнок Corel Draw. Існує безліч психологічних трюків, що підштовхують недосвідчених користувачів пощелкать мишкою всередині нібито безпечного об’єкта. Рано чи пізно пастка спрацює.

А кому в голову прийде шукати EXE-шник в RTF-файлі? Наскільки швидко користувачі звикнуть до потенційної небезпеки PDF-документів (Adobe Acrobat) або мультиків Macromedia Flash? Чим взагалі треба було думати, щоб допустити існування шкідливих скриптів в аудіофайли? У цей список «високих технологій» залишається тільки додати стільникові телефони.

Виправити концептуальні прорахунки за допомогою латок найчастіше неможливо. Наприклад, автоматизація на основі моделі компонентних об’єктів (COM) забезпечує платформу численним поштовим черв’якам з кількох причин. В операційній системі (ОС) відсутня обов’язкова перевірка «доброчесності» виконуваного коду. Запущена програма може виконати будь-яку дію на рівні привілеїв користувача. В систему введені загальнодоступні мережеві та поштові інтерфейси, тому навіть за відсутності поштових програм вірусного коду не потрібно тягнути за собою підтримку протоколів. Ну і, нарешті, непомірне розширення макромов. Всі разом фактично перетворює Windows в «виконавець бажань».

В якості виправдувального аргументу і Microsoft, і помітне число читачів-критиків до появи відомого листа Білла Гейтса говорили, що основна проблема в людях. Одні створюють зловмисні коди – інші запускають казна-що, не спромігшись перевірити. Ну, а система просто замислювалася так, що будь код може зробити все з дозволеного користувачеві. Виправляти нічого.

«На попередньому слідстві в поліцейській дільниці на всі питання він волав одну і ту ж стереотипну фразу:
-У мене пісчебумажной магазин!
На що отримував такий же стереотипну відповідь:
-Це для вас не виправдання. »

Це з Швейковського пригод. А в нашому випадку немає виправдання тому, що маючи справу тільки з інтерфейсом, користувачі нічого не знають про внутрішнє життя ОС. Їм, «чайникам», простимо. Але ж про все багатстві цього внутрішнього життя не знають і системні адміністратори, і експерти-консультанти з безпеки, і, як випливає з вищенаведених прикладів, «гуру»-розробники [3]. Поки на комп’ютер не пробереться черговий злобливий код, поразка користувача в правах спрацьовує. Але одного разу виявляється, що заборони обходяться за допомогою якогось ActiveX або загальнодоступна DLL містить необхідні функції. З клавіатури все одно нічого не зробиш, а з приблудної програмки – будь ласка. Грунт для нової епідемії готова.

Хоча відомо, що розум розподілений серед людей найбільш справедливим чином (оскільки ще ніхто не скаржився на його брак), але однією раціональністю захиститися таки не вдасться.

Якщо на комп’ютері немає антивіруса або він застарів, значить заразі відкрита «зелена вулиця». До речі, хочу нагадати, що віруси містяться не тільки в поштових посланнях. По колишньому ще живі файлові віруси, які переїжджають з двійковими модулями на дискетах, компакт-дисках або разом з програмами, викачаними по Мережі. При цьому авторитет джерела значення не має (див. вище), хоча, звичайно, з більшою ймовірністю може «повезти» на комп’ютерах для лабораторних робіт або ігор.

Відсутність міжмережевого екрану (firewall) і візуалізатора трафіку гарантує безперешкодне розмноження всім поштовим черв’якам, роздолля для троянів і рекламних «вантажив», а також різноманітні мережеві атаки. Якщо черв’як використовує власний SMTP-модуль, то його прояви взагалі можна буде помітити тільки по уповільненню комп’ютера (на Pentium III і IV йому потрібно для цього особливо постаратися). Про трояни в кращому випадку повідомить безрозмірний рахунок провайдера, а в гіршому – банкрутство контори, дискредитація людини, підроблені докази і т.д. За допомогою менеджера завдань визначаються тільки примітивні особини, що живуть в вигляді самостійних процесів. Якщо зловмисний код оформлений у вигляді pug-in’а або системної бібліотеки, то протікають і «вогненні стіни». Щоб вчасно відстежити підміну знадобиться монітор вмісту диска. А це тягне за собою необхідність вивчати призначення тисяч бібліотек, драйверів, утиліт і т.д.

І тепер, на додаток до стандартного латання ОС потрібно ще відстеження повідомлень про помилки в застосовуваних антивірусах, міжмережевих екранах, моніторах файлів і регулярне їх виправлення. А після всього цього будь-яка встановлювана програма може внести незначні зміни в систему, миттєво знецінивши копітко збудовану глибоко ешелоновану оборону. Якщо великі софтверні компанії сповіщають своїх споживачів про знайдені проблеми, то інформацію про безліч пропонованих (умовно) безкоштовних утиліт доведеться вишукувати самому. Непогано також аналізувати щоденну зведення новин з комп’ютерного фронту, щоб завжди бути в курсі останніх «досягнень».

Хіба до гейтсовского призову було незрозуміло, що один тільки відбір інформацію, що стосується конкретної системи, – вже робота? Дорога, що вимагає спеціальної кваліфікації та віднімає масу часу. У повному обсязі її не зможуть виконати споживачі, що плутають Windows і Lindows, за яких зараз бореться найбільша у світі корпорація. При існуючому стані речей користувачі незабаром змушені будуть займатися тільки зміцненням бастіонів. Навіть на ігри часу не залишиться! Епізодичне латання абсолютно даремно – простіше купити другий комп’ютер спеціально для Інтернет і не зберігати на ньому нічого вартого.

Але архітектурні переробки ОС потягнуть за собою суттєві зміни в кодах всіх додатків. Принаймні їх потрібно буде перевіряти на сумісність з нно архітектурні переробки ОС потягнуть за собою суттєві зміни в кодах всіх додатків. Принаймні їх потрібно буде перевіряти на сумісність з новими вимогами. Тому до цих пір структурні зміни вносилися тільки в абсолютно волаючі випадках і то після декількох років дебатів. Так сталося з Outlook із Office XP і OE6. Варіант XP я не розбирав, але для подолання захисних механізмів Express потрібно десяток рядків, щоб змінити незашифровані параметри в Реєстрі. У своїй програмі Білл Гейтс призводить Outlook, як «хороший приклад» щодо поліпшення якості і підвищення безпеки продуктів Microsoft. «Блажен, хто вірує».

Тому висококваліфіковані та високооплачувані фахівці з пошуку й усунення помилок ще довго будуть необхідні на будь-якому сучасному підприємстві. Не охочі цього визнавати керівники перетворюють свої комп’ютерні системи в розсадники зарази, що загрожують існуванню Інтернет [4]. Що стосується домашніх комп’ютерів, то тут залишається тільки сподіватися, що Microsoft встигне виконати наказ свого керівника до повсюдного поширення широкосмугового доступу і впровадження IPv6. Дуже вже хочеться вірити, що в результаті «кардинальної зміни життя під впливом інструментів інформаційного століття», ми не будемо стурбовані тим, куди дзвонить наш I-телефон, не перетворився Чи наш I-холодильник в I-жаровню, що зібралася готувати наша марна I-СВЧ-піч, де шукати наш запропастився I-автомобіль і взагалі, на біса нам потрібна була така «дорога в майбутнє »?


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*