Проводя аналогию между ExploreZip и знаменитым червем Морриса, разрушившим системы информационной безопасности в ноябре 1988 года, и анализируя сходство и различие двух этих вторжений, нельзя не отметить, что за прошедшие десять лет компьютерный мир продвинулся довольно далеко.

Код червя Морриса для того времени был написан очень элегантно. Самопроизвольно распространяющаяся программа искала в стандартных таблицах Unix-серверов ссылки на удаленные соединения, анализируя одновременно наиболее уязвимые места в таких службах, как Finger и Sendmail, и через обнаруженные бреши копировала себя на другие серверы. Данный механизм распространения оказался весьма эффективным для проникновения в относительно открытую среду Internet, какой она была в конце 80-х. Червь искусно маскировался и обнаружить его было совсем непросто. Основной отрицательный эффект заключался в многократном копировании тела червя (что, кстати, было вызвано ошибкой в исходном коде); это в конце концов приводило к полному исчерпанию системных ресурсов.

Одиннадцать лет спустя, уже после того, как защитные средства наподобие межсетевых экранов получили достаточно широкое распространение, червь ExploreZip повторил успех своего предшественника, сумев поразить массу компьютерных сетей путем простейшего тиражирования своего кода с одного узла на другой. Однако особенности технического прогресса 90-х внесли свои коррективы, и новый вирус сделал ставку на единственное слабое место в цифровой броне современных средств сетевой защиты. Этой брешью оказалась электронная почта. Проникнув в память клиентского компьютера, управляемую протоколом Messaging Access Protocol Interface (MAPI), ExploreZip рассылал свой код в ответ на входящие электронные сообщения. В основе такого подхода лежало понимание разработчиками психологии любопытных пользователей, благодаря чему червь успешно распространялся от одного компьютера к другому. Еще один механизм, способствующий дальнейшему продвижению «троянского коня» по сетевым каналам, базировался на модификации информации в системных каталогах Windows. Разрушительное воздействие ExploreZip проявлялось в обнулении длины некоторых файлов (включая .doc, .xls и .ppt) и полном удалении их (в этом заключалось основное отличие от вполне безобидного червя Морриса). ExploreZip копировал себя в стандартные каталоги и обнаруживался достаточно легко, поскольку не предпринимал практически никаких усилий для маскировки.

Конечно, после того как вирусу Морриса удалось поразить множество компьютерных систем, были приняты меры, чтобы сделать их гораздо более защищенными. Впрочем, этого нельзя сказать о пользователях, которым по-прежнему не терпится запустить совершенно незнакомый исполняемый модуль. Судя по всему, подобная беспечность будет преследовать нас еще очень долго.

Лекарство от этой болезни существует и с течением времени совершенствуется. Но, к сожалению, это происходит не столь быстрыми темпами, как хотелось бы. В ответ на попытки специалистов Калифорнийского университета в Лос-Анджелесе, Университета Беркли и Массачусетсского технологического института извлечь уроки из триумфального шествия вируса Морриса и закрыть бреши в программном обеспечении появляются алгоритмы, позволяющие изменять сигнатуру вируса, затрудняя тем самым обнаружение потенциально опасных программ с помощью антивирусных средств.

Но, может быть, антивирусы в принципе неспособны решить данную задачу? Ведь в нынешнем году это уже не первый случай, когда вирус использовал для распространения своего кода протокол MAPI. Корпорация Microsoft неоднократно предупреждала пользователей об опасности запуска присоединенных файлов, пришедших по электронной почте. (Для более подробного знакомства с позицией Microsoft относительно мер предосторожности при работе с Outlook см. информацию, представленную на узле www.microsoft.com.)

В конечном итоге решение данного вопроса находится в руках системных администраторов. Один из предлагаемых вариантов заключается в рассылке в пределах компании электронных писем, которые позволили бы выявлять инфицированных пользователей в те моменты, когда ExploreZip начнет передавать ответные послания. Впрочем, вне зависимости от эффективности выбранного способа борьбы с незваным гостем, это мероприятие в любом случае весьма чувствительно ударяет по бюджету. По данным компании Computer Economics (www.computereconomics.com), за первые два квартала 1999 года на отражение вирусных атак компаниям пришлось потратить 7,6 млрд. долл. Такова плата за возможность заниматься электронным бизнесом. Наверняка автор оригинального червя Роберт Таппан Моррис и не подозревал о том, что его авантюра будет иметь столь далеко идущие последствия.

Cомнительная слава до сих пор привлекает хакеров. Согласна ли Microsoft принять у других операционных систем неприятную эстафету, старт которой состоялся в 1988 году? Создатель ExploreZip наверняка считает, что это вполне возможно: ведь сегодня на смену rhost и Sendmail пришли средства NetBIOS и MAPI, которые в целом оставляют неприкрытыми все те же самые уязвимые места.

Если вам есть что сказать об эволюции сетевого паразитизма, сообщите, пожалуйста, свое мнение по адресу security_watch@infoworld.com.

Угроза BO2K невелика

По мнению Криса Руланда, директора исследовательского подразделения X-Force компании Internet Security Systems (ISS), ощутить реальный вред от Back Orifice 2000 (BO2K) можно будет не раньше будущего года. ВО2К, в отличие от вируса «Мелисса», не распространяется сам, хотя и в состоянии после установки на удаленный компьютер совершать действия, незаметные для пользователя.

В компании ISS успели расшифровать протоколы и алгоритмы шифрования, содержащиеся внутри вируса, буквально через сутки после его выпуска.

Руланд сообщил, что «потрошители программ», как зовут здесь сотрудников подразделения X-Force, расшифровали около 70 различных участков кода BO2K, представляющих опасность для NT.

Компания проинформировала конкурентов о своих действиях, чтобы стимулировать разработку средств противодействия, а также для пропаганды идеи «сообщества безопасности».

ВО2К — детище группы хакеров «Культ дохлой коровы». Выпуск программы, представляющей собой новую версию прошлогодней Back Orifice, был приурочен к открытию конференции DefCon в Лас-Вегасе. Руланд заявил, что новая версия — очень изощренный вариант, способный «повалить» даже такого гиганта, как NT; первоначальные версии были по зубам только Windows 95 и 98.



Незнакомец в черной шляпе

Одним из признаков того, что Microsoft научилась извлекать из поражений правильные уроки, стала финансовая поддержка корпорацией конференции хакеров Black Hat Briefings (www.blackhat.com) в Лас-Вегасе. Тем, кто всерьез относится к проблемам информационной безопасности, будет весьма полезно изучить вопросы, поднимавшиеся в ходе этой конференции, а также на встрече хакеров DefCon.

Поделитесь материалом с коллегами и друзьями