Вредоносные программы для альтернативных ОС

Хотя Windows распространена повсеместно, существует множество альтернативных операционных систем для корпоративных и домашних пользователей, и их популярность набирает обороты. Однако на поверку оказывается, что альтернативные ОС не настолько безопасны, как многие считают.

Читатели специализированных интернет-изданий и посетители IT-форумов знают: как только появляется сообщение о новом троянце, сразу раздаются голоса: «Linux такое не грозит»! Следует признать, что в 99% случаев это справедливо: подавляющее большинство вредоносных программ, обнаруженных на сегодняшний день (более 2 млн), рассчитаны на ОС Windows. На этом фоне Linux, для которой пока обнаружено всего 1898 вредоносных программ, выглядит относительно безопасной средой. Что касается OS X (операционной системы Apple) — для нее на сегодняшний день обнаружено всего 48 зловредов.

Как все начиналось

В начале 1970-х годов — задолго до появления компании Microsoft — был создан вирус Creeper, который заражал компьютеры, работавшие под управлением ОС TENEX. Можно сказать, что этот вирус опередил свое время, поскольку он распространялся через ARPANET — предшественник сегодняшнего интернета. В 1975 году на смену Creeper пришел вирус Pervade, написанный для UNIVAC-систем и предназначенный для распространения игры Animal. Наконец, в 1982 году настал черед Apple, чьи пользователи столкнулись с вирусом Elk Cloner, написанным Ричем Скрента (Rich Skrenta). Этот вирус распространялся с помощью дискет и вызывал отказ системы. Через четыре года пострадали пользователи C64: вирус под названием BHP (как полагают, созданный немецкой группой хакеров Bayerische Hacker Post) вызывал мерцание экрана, на котором при этом появлялось следующее сообщение: «HALLO DICKERCHEN, DIES IST EIN ECHTER VIRUS!» («Привет, толстяк, это настоящий вирус!»). За текстовым приветствием следовал серийный номер, который увеличивался на единицу с каждым новым зараженным компьютером. Вирус также перехватывал прерывания, что позволяло ему пережить перезагрузку системы.

Рис.1. Старые добрые времена… сообщение от вируса BHP

Первая вредоносная программа для MS-DOS появились в 1986 году. К счастью, код загрузочного вируса Brain содержал имена, адреса и телефоны его авторов. Вначале братья Амжад и Басит Фарук Алви (Amjad and Basit Farooq Alvi) утверждали, что создали вирус с целью оценить уровень компьютерного пиратства в Индии. Однако впоследствии вирусописателям пришлось признать, что они утратили контроль над своим экспериментом.

Рис. 2. Шелл-код в Backdoor.UNIX.Galore.11

В последующие годы было написано множество вирусов, и вскоре оказалось, что они существуют практически для всех операционных систем. Так, для Commodore Amiga было создано более 190 вредоносных программ. Для Atari ST было написано два десятка зловредов, в том числе вирус C’t (http://www.stcarchiv.de/am88/06_viren.php), который был опубликован в журнале C’t в виде текста на ассемблере, так что читатели могли самостоятельно его воспроизвести. Этот пример хорошо иллюстрирует спокойное отношение к компьютерным вирусам, характерное для того времени.

Зловредная монополия

Эпоха расцвета вирусов, червей и прочих зловредов наступила, когда личные компьютеры пользователей получили доступ ко всемирной паутине. До этого вредоносный код мог распространяться только через дискеты; с появлением интернета вредоносные программы — такие как Melissa и ILOVEYOU — получили возможность за считанные минуты обогнуть весь земной шар. Другим важным фактором стала унификация платформ: вредоносные программы, распространяемые через электронную почту, смогли полностью реализовать свой потенциал (и стать значительной угрозой для интернет-пользователей) только после того, как Windows и Outlook заняли ведущие позиции на рынке программного обеспечения. Широкий набор ОС, типичный для сектора домашних пользователей в 1980-е годы, сменился преобладанием MS-DOS и Windows. Кроме того, появление интернета привело к тому, что вредоносные программы получили возможность поддерживать связь со своими создателями.

Раньше распространение вирусов и червей было делом случая, и их создатели не могли управлять этим процессом. Благодаря интернету появилась возможность красть данные с компьютера-жертвы или передавать команды вредоносной программе, находящейся на удаленном жестком диске. Это создало идеальные условия для организации DDoS-атак и массовых спам-рассылок, а также подарило киберпреступникам отличную возможность зарабатывать деньги, распространяя вредоносные программы. Естественно, злоумышленники заинтересованы в том, чтобы созданное ими вредоносное ПО заразило как можно большее число компьютеров. Именно поэтому миллионы троянцев, ежедневно рассылаемых по электронной почте, рассчитаны на пользователей Windows — вредоносный код для BeOS или Plan 9 не позволил бы киберпреступникам добиться желаемого эффекта. Таким образом, являются ли альтернативные операционные системы более безопасными, чем Windows XP — вопрос спорный. Даже если предположить существование операционной системы, которую абсолютно невозможно взломать, на жестком диске пользователя всегда найдется более чем достаточно приложений, уязвимости в которых могут быть использованы для атаки.

Текущая ситуация

Из-за своей лидирующей позиции на рынке платформа Windows стала стандартной мишенью для вредоносного ПО. Для Windows пишется на порядок больше зловредов, чем для других ОС. Типы вредоносных программ, создаваемых для Windows и для других платформ, также сильно отличаются друг от друга. Фактически, можно сказать, что вредоносное ПО разделилось на две части: программы для Windows — и для прочих ОС.

Рис. 3. В то время как пользователей Windows атакуют троянцы, другие
операционные системы подвергаются нападениям червей и руткитов.

Вредоносные программы, разрабатываемые для Windows, чаще всего рассчитаны на то, чтобы захватить контроль над компьютером-жертвой, а затем использовать последний для проведения DDoS-атак и рассылки спама. Кроме того, злоумышленники стараются по возможности задействовать сетевого червя, чтобы заразить как можно больше компьютеров. Даже если пользователь узнает о том, что его компьютер заражен, для киберпреступников это не станет катастрофой: современные ботнеты настолько велики (например, согласно оценкам специалистов, в состав ботнета Kido/Conficker входит несколько миллионов компьютеров), что потеря одной зомби-машины не сказывается на их эффективности.

Вредоносные программы для Unix-подобных систем имеют совсем другие цели. Они остаются незамеченными и крадут данные о кредитных картах из интернет-магазинов или пароли пользователей. Чаще всего для атаки используются не троянцы, а известные уязвимости серверных сервисов.

Новые «друзья» OS X

До октября 2007 года вредоносных программ для OS X, операционной системы Apple, было очень мало. Два эксплойта, четыре червя, один вирус и один руткит — все они были созданы скорее «в научных целях» и не принесли авторам значительной прибыли. Однако эта ситуация в одночасье изменилась с появлением OSX.RSPluga.A — первого троянца для OS X. Как уже отмечалось выше, спам-рассылка троянцев пользователям ОС, отличных от Windows, не имеет большого смысла. Судя по всему, создатели OSX.RSPluga.A это хорошо понимали, и поэтому пошли другим путем: они разрекламировали на форумах пользователей Mac некий «порносайт», на котором при попытке просмотреть видеоролики появлялось сообщение с требованием установить кодек и, естественно, предложение немедленно его загрузить. В процессе установки «кодека» пользователи Mac, оказавшиеся не менее доверчивыми, чем пользователи Windows, опрометчиво вводили пароль администратора. OSX.RSPluga.A затем манипулировал DNS-записями на их компьютерах таким образом, что многие веб-адреса, включая адреса нескольких банков, а также платежных систем eBay and PayPal, обрабатывались неверно, и жертвы троянца попадали на фишинговые сайты.

В середине января 2008 года финская антивирусная компания F-Secure сообщила о первом фальшивом антивирусе для Mac. Эта бесплатная программа сообщала об обнаружении нескольких вредоносных программ на компьютерах, которые на самом деле не были заражены. Чтобы удалить «обнаруженные» зловреды, пользователям предлагалось приобрести полную версию продукта. Для Windows такой вид мошенничества далеко не нов — теперь киберпреступники решили проверить, насколько доверчивы пользователи Mac.

Нет повода для паники

Читатель может спросить: а стоит ли вообще волноваться? Как показывают цифры, по сравнению с Windows-системами любая альтернативная ОС — это тихая гавань. Однако не следует обольщаться: троянцам не нужны права администратора, чтобы красть данные или соединяться со своим сервером через 80-й порт. Linux-подобные системы становятся все более популярными, и их пользователям следует быть готовыми к новым угрозам.

В конечном итоге, самую серьезную угрозу безопасности системы представляет вера в то, что она является неуязвимой. В наши дни даже продающиеся в дисконтных магазинах компьютеры имеют предустановленную антивирусную защиту. Однако многие пользователи Linux отказываются устанавливать даже бесплатные антивирусные анализаторы вроде ClamAV, утверждая, что они им просто не нужны. Кроме того, имеются высокопроизводительные решения с открытым исходным кодом, в которых использованы такие технологии, как SELinux и AppArmor, а также системы обнаружения вторжений. Те, кто не используют эти решения (считая, что они не нужны, или не желая тратить силы и ресурсы на их установку), вероятно, останутся в неведении, когда их компьютер будет захвачен преступником, движимым жаждой наживы.

Защита бизнеса

Коммерческие предприятия не могут позволить себе такую роскошь, как миф о собственной безопасности. Любой сервер требует антивирусной защиты — хотя бы для того, чтобы обеспечить безопасность многочисленных Windows-пользователей сети.

Чтобы остановить атаку на уровне шлюза, следует побеспокоиться о сетевых экранах, системах обнаружения и предотвращения вторжений. Вне зависимости от того, установлены ли серверные системы или выделенные серверы, при атаке на шлюз Linux/Unix-подобные системы часто выступают в качестве первой линии защиты для внутренней сети. Правильно настроенный сетевой экран, в дополнение к определению доступных сервисов и обеспечению первой линии защиты от хакерских атак, может также предотвращать распространение саморазмножающихся вредоносных программ (червей) через сетевые соединения. Например, чтобы защитить сеть от червя Lovesan.a, достаточно заблокировать TCP-порты 135 и 4444.

Сетевой экран также может быть использован для минимизации нанесенного ущерба. Если в сети есть зараженные компьютеры, блокирование портов предотвращает установление зараженными машинами соединений с другими компьютерами, и таким образом защищает систему от зловреда. Чтобы свести к минимуму общий риск заражения, при настройке сетевого экрана следует предусмотреть разнообразные пути заражения и способы атак и четко определить, какие сервисы и порты будут считаться доверенными.

Однако находчивые программисты нашли способы обойти подобную простую защиту. Например, можно обмениваться пакетами, используя туннелирование и доверенные сервисы, такие как DNS и HTTP. По этой причине добавочные интеллектуальные модули вроде систем обнаружения и предупреждения вторжений, а также сетевые экраны уровня приложений служат полезным дополнением к классическим сетевым экранам.

Прокси-защитник

Еще одним способом защиты является установка прокси-сервера, что лишает пользователей сети прямого доступа в интернет. Наличие прокси-сервера не только сокращает объем трафика, но и повышает уровень безопасности предприятия, поскольку значительная часть вредоносного ПО распространяется через зараженные веб-сайты. Чаще всего в Linux/Unix-сетях используется прокси-сервер Squid, который предлагает собственный выделенный интерфейс ICAP (Internet Content Adaption Protocol, RFC 3507). При этом запросы пользователей обрабатываются с использованием технологии RESPMOD (анализирует объекты, запрашиваемые веб-серверами) и REQMOD (сканирует объекты, отправляемые на веб-серверы). Часто для сканирования HTTP- и FTP-трафика устанавливаются вышестоящие («родительские») прокси-серверы, такие как HAVP (http://www.server-side.de). Также популярны так называемые «прозрачные» прокси-серверы, которые легко интегрируются в сеть. Они устанавливаются перед шлюзом (сетевым экраном) и не требуют настройки клиента (браузера). Технически такое решение можно реализовать, например, подключением сервера по типу «мост», с которого прокси-сервер передает запросы на контент-фильтр. Или прокси-сервер может получать HTTP-запросы, перенаправляемые с сетевого экрана, установленного на выделенном сервере; в небольших сетях прокси-сервер может быть встроен непосредственно в сетевой экран (TransProxy http://transproxy.sourceforge.net ). Обе возможности достаточно легко осуществить с помощью стандартных инструментов Linux/Unix.

Конечно, прокси-серверы не в состоянии гарантировать абсолютную защиту. Даже самый лучший антивирус не может открыть файлы, защищенные паролем. Возможности прокси-технологий также ограничены, когда дело касается зашифрованных VPN-соединений.

Защита почтового трафика

Почтовые сообщения остаются одним из основных путей распространения вредоносных программ. В крупных сетях с большим количеством пользователей выделенный почтовый шлюз размещается перед почтовым сервером (Exchange, Lotus Domino и др.). Также используются Linux, Unix (Solaris) или производные (*BSD) системы с MTA (Mail Transfer Agents — почтовыми транспортными агентами), такими как postfix, exim, qmail или sendmail. Они имеют собственные интерфейсы фильтрации для вирусных сканеров и спам-фильтров. Наиболее распространен так называемый «двойной MTA», когда каждое письмо приходит на MTA дважды: сначала с удаленного компьютера, затем письмо отправляется на контент-фильтр для обработки, после чего опять возвращается на MTA.

Sendmail также предлагает API-интерфейс (Milter API), предполагающий установку фильтра, состоящего из нескольких вирусных сканеров и спам-фильтров (обычно двух-трех вирусных сканеров и двух спам-фильтров), проверяющих почтовый трафик. Преимущество такой конфигурации состоит в том, что вирусный сканер может быть установлен на выделенной машине, что снижает нагрузку на почтовый шлюз. В такую систему легко интегрируются отказоустойчивые решения — например, кластерный MTA и кластерный контент-фильтр. Также довольно часто используются полностью интегрированные кластерные и отказоустойчивые решения, представляющие собой MTA и контент-фильтр, реализованные в одной системе. Внутренние почтовые серверы выигрывают от присутствия фильтр-систем, установленных перед ними, поскольку это позволяет экономить ресурсы, затрачиваемые на сканирование почты и хранение писем со зловредами и спамом, а также на обработку почтового трафика при большом объеме последнего. По этой причине небольшим компаниям также стоит задуматься об установке подобных систем. Некоторые производители предлагают готовые решения, которые отличаются простотой управления.

Защита файловых серверов

Данные, хранящиеся в электронном виде, зачастую представляют большую ценность для компании, будь то производственные планы, складские реестры и т.д. Личные данные или информация, требующая особой защиты (списки сотрудников, резюме соискателей, финансовые документы и т.п.) часто хранятся на файловых серверах, которые должны быть надежно защищены в целях предотвращения кражи данных, их изменения или шпионажа.

Во многих сетях наряду с Windows-серверами используются альтернативные системы с Samba-сервисами. В таких случаях интеграция осуществляется с помощью модуля VFS (virtual file system), который перенаправляет поток данных на вирусный сканер. В этом случае данные сканируются «на лету», т.е. при чтении или записи.

Для некоторых альтернативных систем также существуют модули ядра (Linux, FreeBSD), которые защищают не только сам Samba-сервис, но и все объекты в системе. Такие модули существуют для NFS, а также для FTP- и веб-серверов. Недостаток подобных решений состоит в том, что необходимо заранее убедиться в поддержке нового ядра модулями, а после обновления ядра модули приходится перекомпилировать.

Серверы под управлением альтернативных ОС весьма популярны. Поставки AS/400, Solaris, HP-US, IRIX и AIX и др. включают в себя все, начиная от файловых систем и систем баз данных до специальных отраслевых приложений и программ для управления финансами. Трудности в поиске подходящего защитного решения обусловлены не только выбором платформы операционной системы, но и разнообразием процессорных архитектур (SPARC, PPC, Itanium, Alpha, MIPS, PA-RISC — в дополнение к Intel). Если защитное решение для конкретной системы не найдено, ее следует изолировать от остальной сети, чтобы свести к минимуму риск заражения. Для этого можно использовать разделенные сети с выделенными сетевыми экранами, ограничение доступа или системы обнаружения и предотвращения вторжений (IPS и IDC).

Изменчивый сетевой ландшафт

99% всех клиентских сетей состоят из компьютеров, работающих под управлением Windows. Тем не менее, рабочие станции под управлением Linux, BSD и Mac OS X также нуждаются в защите, так как возможность атаки на них полностью исключить нельзя. Для распространения вредоносных программ используются такие носители, как CD и DVD, дискеты и zip-диски. Флэшки и внешние USB/FireWire-диски также циркулируют между системами, что дает вредоносному ПО еще одну возможность для распространения.

Еще одна проблема заключается в том, что наряду с рабочими станциями и ноутбуками, сегодня все шире используются смартфоны и карманные компьютеры, которые также необходимо защищать. В сетях стандартных конфигураций источник угрозы очевиден — это интернет. Но сегодня системным администраторам и специалистам по компьютерной безопасности приходится также заниматься защитой внутренних узлов сети. И то, что разнообразие платформ с каждым днем растет, только усложняет эту задачу. В дополнение к различным версиям Windows Mobile, существуют Symbian и Linux, а также проприетарные системы, разрабатываемые различными компаниями для своих целей. Подобрать защитное ПО для таких систем является трудновыполнимой, а подчас и просто невыполнимой задачей.

Заключение

Использование нетрадиционных технологий действительно предоставляет некоторые преимущества с точки зрения безопасности, однако не дает никаких гарантий. Например, «настольную» ОС Solaris можно считать нетрадиционной, но ее серверная версия достаточно стандартна, и поэтому точно так же подвержена воздействию вредоносных программ, как и любой другой сервер. Те, кто заботится о сохранности своих данных, должны обеспечить надежную защиту своих компьютеров вне зависимости от используемой операционной системы. В идеальном случае защиту должны обеспечивать несколько взаимодополняющих технологий. Но даже тогда следует сохранять осторожность, поскольку сейчас все чаще используются веб-приложения, а не программы, установленные на локальном компьютере. В качестве примера можно привести форумы и доски объявлений с плохо организованной защитой: в них легко вписывается вредоносный HTML-код, позволяющий осуществлять XSS-атаки независимо от операционной системы, установленной на компьютере пользователя. Подводя итог, остается только еще раз повторить: пользователи Linux, будьте бдительны!