Архив

«Helkern»: начало конца, о котором так давно говорили эксперты

«Лаборатория Касперского» анализирует последствия последней эпидемии

Эпидемия «Helkern» стала крупнейшей не только по числу зараженных серверов (около 80.000), географии и скорости распространения, но и по последствиям для функционирования Интернет в целом. Ранее ни одна другая вредоносная программа не угрожала разорвать на составные части Всемирную сеть и нарушить коммуникации между разными регионами. «Helkern» это вполне удалось: серьезные нарушения работы и «веерные» отключения Интернет были зафиксированы в США, Южной Корее, Австралии и Новой Зеландии. По данным «Лаборатории Касперского», «Helkern» на пике эпидемии (25.01.2003) вызвал замедление работы Интернет до 25%. Это значит, что доступ к каждому 4 сайту был или невозможен, или затруднен. Схожие нарушения были выявлены и в других службах, использующих Интернет: электронной почте, FTP-сервисах, сетевых пейджерах и т.д.

Является ли «Helkern» единичным случаем непреднамеренной атаки? Или это очередной шаг кибер-террористов для выявления наиболее слабых мест сети с целью моделирования обвала Интернет? Каковы последствия этой эпидемии для будущего Всемирной сети? Сейчас эти вопросы волнуют каждого пользователя, каким-либо образом связанного с Интернет.

Прежде всего, необходимо понять реальную опасность «Helkern». С одной стороны, он атакует исключительно серверные компьютеры, так что большая часть пользователей Интернет может чувствовать себя в безопасности: если на машине не установлена система управления базами данных Microsoft SQL Server, то этот червь не может нанести никакого вреда. Однако с другой стороны, масштабы распространения «Helkern» и последствия многократного увеличения сетевого трафика могут вызвать перебои в работе всего Интернет. Таким образом, косвенно страдают все пользователи сети вне зависимости от их статуса и интересов.

Серьезную озабоченность будущим Интернет вызывает не столько сам «Helkern», сколько «обкатанная» на нем технология молниеносного замедления сети. Более чем вероятно, что уже в ближайшее время исходные тексты червя появятся на специализированных вирусных сайтах и форумах, и тогда компьютерный андерграунд вплотную займется клонированием «Helkern». Будут созданы новые модификации червя, которые, не исключено, будут отличаться еще более мощной технологией распространения и нести в себе деструктивный заряд. Последствия такого развития событий и потенциальный ущерб мировой экономике практически не поддается оценке.

Беспокоит и другая сторона вопроса, напрямую связанная с эпидемией «Helkern». Атака этого червя продемонстрировала уязвимость Интернет в целом. Она также наглядно указала на одно из слабых мест, через которое можно вообще остановить работу сети. Речь, конечно, идет об использовании брешей в системах безопасности, через которые вирусы могут беспрепятственно проникать на компьютеры. Дела в этой области обстоят далеко не лучшим образом.

Общеизвестно, что абсолютно защищенного программного обеспечения не бывает. Каждый день обнаруживается до десяти брешей в самых различных операционных системах и приложениях, авторы которых немедленно выпускают соответствующие «заплатки». Слабое звено этой системы, как это часто случается, — человеческий фактор. Многие системные администраторы крайне нерегулярно устанавливают эти «заплатки», оставляя свои сети потенциально подверженными атакам новых вредоносных программ. Опыт «Helkern» показывает, насколько продуктивно можно воспользоваться этим недостатком. Главная угроза состоит в том, что уже ничто не может остановить вирусописателей от дальнейшего создания сетевых червей, нацеленных на различные бреши. Ящик Пандоры открыт и уже ничто не может остановить его разрушительную силу. Если подойти к проблеме с другой стороны, то количества этих брешей вполне хватит, чтобы выпускать Helkern-подобных червей каждый день в течение нескольких лет. При таком развитии событий Интернет станет малопригодным как для бизнес-коммуникаций, так и для развлечений или поиска информации.

Опасность такого развития событий антивирусные эксперты «Лаборатории Касперского» предвидели уже несколько лет назад, когда появились первые образцы червей-невидимок («BubbleBoy» и «KakWorm»), проникавших на компьютеры через бреши в системах безопасности. До недавнего времени эта информация оставалась в узком кругу специалистов, которые намеренно не давали утечки в вирусописательские круги, дабы не стать инициаторами катастрофы. Однако в августе 2001 г. Николас Уивер (Nicholas Weaver) из университета Беркли (США) опубликовал исследование о технологии создания червя «Warhol» (также известен как «Флэш-червь»), который в течение 15 минут способен распространиться по всему миру. Именно поэтому червь был назван в честь Энди Уорхола (Andy Warhol), автора фразы «в будущем у каждого появится возможность испытать 15 минут славы». Таким образом, теперь идея является открытой, и мы имеем честь наблюдать, как вирусописатели активно берут ее на вооружение.

В этой связи встает вопрос: является ли «Helkern» очередным шагом в плане зондирования Интернет с целью определения слабых сторон и проведения последующей крупномасштабной атаки на Интернет? Мы далеки от мыслио заговоре некой подпольной террористической организации. Более вероятно, что имеет место быть самое обыкновенное кибер-хулиганство. Хулиганство — по подходу и реализации, но терроризм — по результатам. Эти два понятия принято различать по масштабам вызываемых последствий. В данном случае, когда речь идет об умышленном нарушении работы главного глобального средства коммуникаций, несомненно, эти действия можно и необходимо классифицировать как кибер-терроризм. На наш взгляд, без принятия адекватных мер по пресечению и профилактике этого явления уже в самом ближайшем будущем ситуация может выйти из-под контроля и поставить под сомнение существование Интернет.

Однако, в современных условиях это практически нереализуемо. Эффективная система предупреждения, выявления и предотвращения вирусных эпидемий принципиально не может базироваться на сегодняшних стандартах идентификации пользователей Интернет. Эту систему иначе как анархической назвать нельзя. При возникновении эпидемии почти невозможно найти ее настоящий эпицентр. Исключение составляют случаи, когда вирусописатель самостоятельно, как правило неумышленно, выдает себя. В случае широкого распространения вредоносной программы приходится отключать целые регионы для предотвращения дальнейшего распространения вирусной опасности. В целом, этот комплекс мер можно сравнить с нанесением макияжа на боксера перед боем: можно сколько угодно «латать» многочисленные бреши в системах безопасности, однако, это не спасет от дальнейших атак. По сути дела, сегодня мы пытаемся разобраться с последствиями, нежели с причинами создавшегося положения вещей. Вместе с тем, объем последствий уже достиг того уровня, когда дешевле, быстрее и, в конечном счете, эффективнее, устранить причину.

Как уже упоминалось, причина невозможности эффективно противостоять вирусным атакам заключается в анархии, творящейся в Интернет. Естественно если человек уверен, что его не смогут локализовать, то у него появляется больше соблазнов злоупотребить сетью. С другой стороны, реформирование Интернет для исправления этой ситуации (введение персональных идентификаторов) представляется практически невозможным: этот процесс затрагивает исключительно сложные политические и экономические проблемы межгосударственного уровня, которые в современном мире неразрешимы. В этой связи наиболее реальным представляется развитие событий, при котором крупнейшие транснациональные корпорации-«локомотивы» современной экономики разрабатывают параллельную сеть и переводят в нее все бизнес-коммуникации, одновременно ограничивая связь с Интернет. В этом случае процесс разработки нового стандарта пройдет быстро и безболезненно.

Резюмируя вышесказанное, отметим, что масштабные вирусные эпидемии, подобные «Helkern» будут повторяться и в будущем. Не исключено, что их частота будет только увеличиваться. В конечном счете, использование Интернет будет настолько затруднено (постоянные перебои работы из-за вирусных и хакерских атак), что пользователи будут вынуждены переходить на другие средства коммуникации. Естественно, что обычная почта и телефонная связь не смогут предложить такого же удобства коммуникаций как Интернет. Таким образом, тема разработки альтернативной сети, главным отличием которой станет высокая надежность и безопасность, представляется сегодня более чем актуальной.

«Helkern»: начало конца, о котором так давно говорили эксперты

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике