Эпидемия, которой могло не быть

		Масалович Андрей Игоревич К.Ф. - М.Н., руководитель направления Конкурентной разведки в Интернете НОУ «АИС», президент Консорциума Инфорус. Руководитель ряда успешных проектов по аналитическому оснащению банков, ФПГ, крупных торговых сетей, государственных организаций. В прошлом – подполковник ФАПСИ, лауреат стипендии РАН «Выдающийся ученый России» (1993). Автор многочисленных публикаций и ведущий семинаров по проблемам поиска и анализа данных в ряде университетов России и США. Подробнее об авторе >
		Курсы автора
		Конкурентная разведка в Интернете, приемы эффективного Интернет-поиска
		Цель тренинга: На практических примерах обучить слушателей использованию современных поисковых технологий в реальных задачах маркетинга и управления компанией. Подробнее >

30 апреля 2004 года информационный портал SNP возвестил о появлении нового сетевого червя, проникающего в компьютеры, используя уязвимость в системном процессе LSASS операционных систем Microsoft Windows 2000 и Windows XP.

Ситуация могла бы выглядеть курьезной – профессионалы знают, что процесс LSASS.exe (Local Security Autority Service) как раз и управляет механизмами обеспечения безопасности Windows, запуская процесс аутентификации пользователей для сервиса Winlogon. Кстати, в Интернете можно заказать книгу WinTasks 4 Professional стоимостью $39.95, где написано, что утилита LSASS не содержит рисков безопасности (Security Risks), т.е. не может открыть окно в Ваш компьютер для вирусов, троянов, червей и всякого spyware.

Да и имя нового червя было подобрано изящно-несерьезным – SASSER (одни увидят в этом производную от LSASS, другие вспомнят звезду бейсбола Маккея Сассера - Mackey Sasser по прозвищу Hacker). 

Однако уже на следующий день системным администраторам стало не до курьезов. Новый червь начал распространяться с чудовищной скоростью и за вторые сутки поразил несколько сотен тысяч компьютеров, обогнав по масштабам разрушений недоброй памяти Blaster, эпидемия которого прокатилась по Интернету в августе 2003 года. Положение усугублялось тем, что Sasser оказался способен поражать компьютеры напрямую из Интернета, не используя e-mail. Внимательный пользователь мог заметить лишь мелькнувшее окошко предупреждения, после чего компьютер перезагружался, превращаясь в «оружие массового заражения». Принеся изрядное потомство, червь зачастую выводил зараженный компьютер из строя (но не нарочно, а вследствие ошибки в коде).

Третьего мая начали множиться сообщения о реальном ущербе, нанесенном червем. На Тайване вышли из строя 1600 рабочих станций почтовой службы, парализовав работу почти трети почтовых отделений страны.

Четвертого мая были задержаны двадцать рейсов British Airways, пока персонал всех 19 станций береговой охраны Великобритании вспоминал навыки времен The Battle of Britain и прокладывал курсы карандашом на планшетах. Не устояли компьютеры Еврокомиссии, Французской фондовой биржи, агентства Frans Press, одного из крупнейших банков Германии, большинства правительственных департаментов Южной Африки (где Агентству по информационным технологиям CITA пришлось отключить от правительственной сети 25 зараженных министерств).

Ведущие производители антивирусов оперативно выпустили многочисленные вакцины, однако к выходным появились новые клоны вируса (Sasser.B и Sasser.C), скорость размножения которых существенно возросла.

А 7 мая немецкая полиция объявила об аресте предполагаемого автора Sasser – 18-летнего Свена Яшана и внимание СМИ переключилось на юного правонарушителя, а также на его земляка, предположительно «настучавшего» на соседа за обещанную Microsoft награду в 250000 зеленых серебренников, и его коллег по хакерской группе Netsky, арест которых не за горами.

Вирусная эпидемия ушла с первых страниц электронных изданий, оставив миллион зараженных компьютеров, новую версию червя Sasser.D, которая продолжает интенсивно размножаться, и 300 миллионов потенциальных жертв, не удосужившихся скачать патч от Microsoft.

А можно ли было избежать эпидемии Sasser? И можно ли избегать подобных эпидемий в дальнейшем? В мировом масштабе, это, конечно, затруднительно, ибо как говаривал Владимир Ильич, «самая страшная сила – сила привычки миллионов», и никто эти миллионы не убедит в необходимости периодически подгружать обновления и проверять компьютеры на наличие всяческой заразы.

Однако в рамках отдельной компании, государственной структуры и даже транснациональной сети задача вполне подъемна.

Надо лишь сменить парадигму – не бороться с эпидемией, а противодействовать хакеру на ранних стадиях, для чего взглянуть на ситуацию его, хакера, глазами. И действительно, давайте посмотрим.

Итак, 13 апреля Microsoft объявляет о только что обнаруженной бреши (критической бреши!) в LSASS, публикует обновление - и считает свою задачу выполненной.

Хакер получает в руки потрясающую подсказку – одного лишь указания на возможность переполнения буфера в LSASS достаточно для того, чтобы за какие-нибудь две недели детально изучить уязвимость и написать боевую программу для ее противоправного использования.

Проходит две недели – и никто не бьет тревогу и не пытается предсказать, КАК может выглядеть и ЧТО может сотворить вирус, использующий столь мощную уязвимость.

30 апреля новостные сайты по безопасности фиксируют появление нового вируса (первоначально оцененного как «средне-опасного») - и  вновь считают свою задачу выполненной. Никто не оценивает потенциального размера угрозы и не призывает к неотложному тестированию компьютеров на предмет наличия бреши.

Создается впечатление, что каждый специалист по информационной безопасности создал себе образ идеального сисадмина, который регулярно загружает обновления, всегда в курсе последних новостей из мира информ.защиты, и с закрытыми глазами может настроить любой farewall и IDS. Но если бы такие сисадмины водились в природе, специалисты по безопасности уже давно сидели бы без работы. А пока большинство пользователей ленивы и безалаберны, хакеры будут на коне.

Результатом подобных размышлений стала концепция «активной защиты», частично реализованная в проекте BearGuard (этот проект в 2002 году получил грант SAP AG). Инструментарий BearGuard предусматривает постоянное исследование действий хакеров, раннее оповещение о подготовке атаки, анализ намерений нападающего, скрытое наблюдение и введение нападающего в заблуждение (т.н. honeypots – ловушки для хакеров) и т.д. В рамках этого проекта был начат выпуск специализированного электронного еженедельника Anti-Hacker, который призван оповещать о возможных новых угрозах еще до наступления вселенских эпидемий.

Кстати, если бы один из последних подписчиков Anti-Hacker – Агентство информационной безопасности Тайваня – принял решение о подписке неделей раньше (не 10, а, скажем, 2 мая), вполне вероятно последствия  эпидемии Sasser для Тайваня были бы не столь плачевны– эта угроза была предсказана и проанализирована еще в первомайском выпуске еженедельника.

Концепция активной защиты предусматривает и следующий шаг - можно  создать семейство «антивирусов» - программных роботов, которые бы обходили Интернет, обнаруживали уязвимые компьютеры быстрее вирусов и оповещали их о необходимости усиления защиты, либо принудительно запускали необходимые обновления. Впрочем, это тема для отдельной статьи.