Вирус Nimda нанес неисчислимый ущерб множеству компаний по всему миру. На «дезинфекцию» и восстановление зараженных систем, а также на запоздалую установку обновлений ПО Internet Information Server (IIS) корпорации Microsoft у системных администраторов ушел не один день. Nimda «потрудился на славу»: находил системы, работающие под управлением данного ПО, даже если они не выполняли функции Web-серверов.

Это происшествие в сетевом мире научило нас прежде всего тому, что необходимо отслеживать и устанавливать последние обновления системы безопасности, невзирая на размещение по периметру корпоративной сети межсетевых экранов (брандмауэров). Nimda нанес ущерб десяткам тысяч систем именно потому, что их администраторы считали наличие брандмауэров гарантией защиты.

Вирус распространялся множеством способов, однако наиболее ощутимый «вклад» внесли письма электронной почты с «троянскими конями». Администраторы пытались убедить пользователей не запускать программы неизвестного происхождения, но убеждались в том, что их предостережения не всегда достигают цели. Если вариант с вложенным в письмо «трояном» не срабатывал, Nimda тут же начинал искать (причем небезуспешно) незащищенные системы на основе IIS. Как выяснилось впоследствии, данное ПО использовалось не только в традиционных Web-серверах, но и во множестве других корпоративных систем.

Назвать брандмауэр «стеной» (от англ. — firewall) было бы преувеличением. На деле это не более чем фильтры данных, способные предотвратить множество атак (но не все) при условии правильного администрирования. Как показывает опыт, тщательно спланированная атака позволяет преодолеть брандмауэр. Ясно одно — «зараженная» электронная почта и опасные Web-данные могут проникать внутрь защищаемого сетевого периметра. Если системы, оснащенные межсетевыми экранами, не охраняются так же тщательно, как системы без оных, то ничего не подозревающий пользователь способен инициировать вирусную атаку.

Распространение Nimda привело к непредвиденным последствиям, что заставило усилить внимание к безопасности всех информационных систем, в том числе защищенных брандмауэрами. Инфицированными оказались не только системы на основе IIS, но и ряд продуктов с интерфейсами, использующими HTTP-порты. Интерфейсы администрирования многих устройств, таких как принт-серверы и VPN-маршрутизаторы, также основаны на Web, поэтому некоторые из них попросту остановились, подвергшись вирусной атаке со стороны зараженных серверов.

Существует множество причин не доверять брандмауэрам как универсальному средству защиты всех узлов сети. Во-первых, умелые хакеры осведомлены о широком распространении брандмауэров и целенаправленно ищут методы их преодоления. Во-вторых, хотя «скоротечность» многих атак позволяет предотвращать повторные попытки проникновения за счет изменения политики безопасности, такие изменения возможны лишь по прошествии значительного времени. Как показал случай с Nimda, у вируса, скорее всего, будет достаточно времени, чтобы нанести системе сильный ущерб. Наконец, в-третьих, было бы ошибкой считать, что системный администратор полностью представляет себе интерфейс межсетевого экрана, используемого в вашей компании, или что его настройки соответствуют принятой политике безопасности.

Поделитесь материалом с коллегами и друзьями