«В посылке бомба. Разумеется, ее там нет, но вести себя следует так, как будто в посылке бомба. Он делает так всегда, именно поэтому прекрасно себя чувствует, не страдает отсутствием аппетита, а вот многие отправились на небеса, в тамошнюю биржу безработных...»
Стивен Кинг. Поле боя
Передо мной свежий полугодовой отчет компании Symantec, посвященный проблемам информационной безопасности — анализу и обсуждению атак, ведущихся из Интернета, уязвимых мест компьютерных систем, вредоносных программ и других угроз. Огромный pdf-файл («весом» более мегабайта), 96 страниц, заполненных цифрами, фактами, диаграммами и графиками, иллюстрирующими все связанное с грозящими нам неприятностями. Я могу распечатать этот документ и внимательно проанализировать его, но скорее всего пока этого не сделаю: чем больше погружаешься в данные, тем страшнее становится, а некоторое время все же хочется побыть в иллюзии, что твой работающий ПК надежно защищен от вторжений извне. Итак, что же представляет собой этот отчет? Компания Symantec располагает всеми средствами для получения, пожалуй, всеобъемлющих данных об угрозах. Свыше 20 тыс. сенсоров отслеживают сетевую активность в 180 с лишним странах мира (сеть сервисов DeepSight Threat Management System и Managed Security Services). Более 120 млн. клиентов, серверов и шлюзов с установленными антивирусными средствами отправляют в компанию отчеты о вредоносных кодах, шпионских и рекламных модулях. Внушительная база данных содержит сведения более чем об 11 тыс. уязвимых мест, обнаруженных в 20 с лишним тысячах программных продуктов и, к сожалению, непрерывно пополняется. Лист BugTraq — один из самых популярных интернет-форумов, посвященных выявлению «дыр», также ведется специалистами Symantec. А тестовая сеть Symantec Probe Network, состоящая более чем из 2 млн. учетных записей-ловушек, в которую попадают почтовые сообщения из 20 различных стран мира, позволяет экспертам следить за активностью спаммеров и финансовых мошенников. Располагая таким арсеналом, компания может достаточно точно оценить тенденции в сфере создания вирусов, «червей», «троянцев» и всего того, что еще способен изобрести изощренный ум человека.
Когда читаешь отчет, невольно берет оторопь. В DOS, считавшейся чемпионкой по уязвимости, в период с 1986 по 1996 г. было зафиксировано порядка 10 тыс. вирусов. «Много!» — скажете вы. Да, немало. Но в течение прошлого года экспертами Symantec было зарегистрировано 11 800 разновидностей угроз для Win32-систем. Выявленных в течение одного только октября их оказалось лишь немногим меньше, чем за все последние шесть месяцев 2003 г. А с 1 июля по 31 декабря 2004 г. специалисты Symantec описали 7360 новых вариантов вирусов и «червей» для этого семейства ОС — на 64% больше, чем в предыдущем полугодии. Когда-то 32-разрядные операционные системы считались панацеей от вирусов. Увы, это далеко не так.
Вы — адепт программ с открытыми исходными текстами? Полагаете, что за ними будущее и они-то уж наверняка будут свободны от ошибок и уязвимых мест? Вероятно, в этом есть доля истины. Но теперь и в мире «открытого софта» появился серьезный «червь». Перед новогодними праздниками Santy был впервые обнаружен в диком виде. Нет, он не подвергал прямой атаке веб-серверы — не бросался на защитные порядки системы, не лез в лоб. Вместо этого «червь» использовал уязвимость отдельно взятого приложения. Помимо сомнительной славы «первопроходца», Santy интересен своей универсальностью: он способен поражать как Linux-, так и Windows-системы. Он использовал механизмы популярной поисковой системы Google для отыскания потенциальной жертвы (впрочем, этот путь вскоре был перекрыт) и первым стал паразитировать не на собственно операционной системе или веб-сервере, а на работающем приложении.
Сотовые телефоны, становясь все более умными, уже очень скоро могут стать носителями и распространителями вирусов. В середине 2004 г. было известно о четырех «зверях», готовых поселиться в мобильниках: «червь» Cabir, вирус и два «троянца». К декабрю их поголовье приросло еще двенадцатью «червями» (в основном побочными детьми Cabir) и пятью «троянцами». Впрочем, пока это лишь «пробные камни», но что будет, когда на тропу войны выйдут «матерые волки»? В ближайшее время ожидается появление куда более опасных вредоносных программ для мобильных устройств.
Ну, допустим, мобильники как средство распространения заразы сегодня еще экзотика. Что ж, у вирусов есть и другие пути: переносные компьютеры. Пока они находятся за прокси-серверами и брандмауэрами и охраняются бдительным и грамотным системным администратором, что-то еще можно гарантировать. Но стоит вынести ноутбук или КПК за пределы «линии обороны», как он оказывается гораздо более беззащитным. И даже внутри «крепости» можно ожидать атак через VPN-каналы или беспроводную сеть (конечно, она отключается, но и включить ее можно случайно или из любопытства).
Про «дыры» в IE не говорил разве что ленивый. Да, их немало. Но другие браузеры тоже не без греха. Бреши обнаружены в каждом мало-мальски популярном обозревателе: FireFox, Opera, Mozilla и даже в «яблочном» Safari. Например, за последние шесть месяцев в Mozilla был найден 21 дефект, в обозревателе Opera — шесть.
Страшное дело — с 1 июля по 31 декабря специалисты Symantec ежедневно выявляли примерно по восемь новых уязвимых мест в ПО! Причем, заметьте, среди них около 97% были признаны серьезными и очень серьезными — т.е. способными в случае успешного использования вызывать частичный или полный паралич атакованной системы. Наиболее распространенной названа атака Microsoft SQL Server Resolution Service Stack Overflow; второй по степени распространенности идет TCP SYN Flood Denial of Service.
Кроме проблем с ПО существует еще одна опасность: люди. Да-да, мы с вами — простые пользователи, работающие за ПК. Социальная инженерия правит бал. Фишинг-атаки, целью которых является хищение финансовой информации, на сегодняшний день входят в число самых распространенных во Всемирной сети.
Слово «бот» пришло к нам из мира компьютерных игр. Но там это всего лишь компьютерный соперник, зачастую «глупый». А вот в мире вирусов — огромная армия вредных программ, способная сделать из ПК своего рода «зомби», который не только выдаст конфиденциальную информацию, но и по приказу свыше станет участвовать в организованных атаках на другие компьютеры. Symantec обнаружила 4,3 тыс. различных новых вариантов Spybot — чуть ли не в 2 раза больше, чем в первой половине прошлого года. Кстати, боты в вирусах Moonlit и Zincite общались через свою собственную Р2Р-сеть: трафик в ней шифровался, а для связи использовался случайный номер порта. А вот, скажем, Sonato посылает команды через РОР3-сети. Spammerbot содержит SMTP-proxy и способен рассылать спам по удаленной команде. Специалисты прогнозируют рост использования ботов и бот-сетей для получения финансовой выгоды.
Заметно повысили активность различные рекламные (adware) и шпионские (spyware) модули. Наиболее распространенными среди них являются Iefeats и Webhancer. Ожидается, что угрозы нарушения безопасности, связанные с рекламными и шпионскими программами, будут расти и дальше.
И тем не менее компьютеры (пока?) умудряются работать. Хотя при чтении отчета невольно вспоминается история об одном профессиональном испытателе компьютерных игр, протестировавшем для известного журнала вертолетный имитатор. В своей статье он указал, что имитатор очень хороший, реально отражает физику полета и поведение вертолета в воздухе, но по-прежнему остается нерешенным вопрос: как же все-таки вертолеты могут летать?
Отчет содержит еще множество поразительных сведений. Например, о том, что только благодаря росту количества ПК на душу населения среднее число атак на отдельно взятый компьютер остается неизменным. Потрясает и тот факт, что во второй половине 2004 г. получаемый нами по e-mail спам составлял 60% всего почтового трафика. Прошлым летом его количество колебалось около цифры в 800 млн. сообщений в неделю, а к концу года выросло до 1,2 млрд.!
Кроме того, нас ожидают атаки со стороны вредных программ, скрывающихся в содержимом аудио- и видеофайлов. Это особенно настораживает, поскольку файлы изображений широко распространены, мы к ним привыкли и активно используем.
Вы можете самостоятельно изучить этот интересный документ — полный текст отчета выложен на «Мир ПК-диске». Но впадать в панику вовсе не ст?оит. Уместно тут вспомнить строки А. Галича: «Земля — зола, и вода — смола, и некуда вроде податься. Неисповедимы дороги зла, но не надо, люди, бояться!» Зная, что нам угрожает, можно в любых условиях обеспечить свою защиту.