Текст книги "Компьютерные террористы"
Автор книги: Татьяна Ревяко
сообщить о нарушении
Текущая страница: 18 (всего у книги 34 страниц)
Скандальная программа с нехорошим названием SATAN (что расшифровывается как Security Administrator Tool for Analyzing Networks) показала, что в Интернете существует еще очень много проблем с безопасностью.
Программа была создана исследователем Дэном Фармером для того, чтобы администраторы могли обнаружить и заткнуть «дыры» в защите своих сетей, прежде чем ими воспользуются хакеры. У медали есть, однако, и обратная сторона. Программа представляет собой мощное оружие для атаки на компьютерные сети в руках даже полных «чайников».
Утилиту с адским названием напустили более чем на 2200 WWW-сайтов. Результаты тестирования оказались весьма неутешительными. «Красную карточку», которая означает сильную уязвимость, получил 31 процент узлов. 34 процента были оценены как относительно уязвимые. С особым пристрастием исследовались сайты, где нарушение безопасности может иметь серьезные последствия. К ним относятся сайты банков, кредитных союзов, правительственных, учреждений и информационных компаний.
Выяснилось, что почти 36 процентов банковских Web-сайтов имеет «прорехи» в безопасности, хорошо известные хакерам, которые могут внедриться в систему и поменять Web-страницы.
За последнее время было совершено несколько «громких» взломов узлов World Wide Web. В августе был атакован сайт Департамента юстиции СШД: на его страницах появились свастики и неприличные картинки. Месяцем позже нападению подвергся сайт ЦРУ (CIA – Central Intelligence Agency). Оно было переименовано хакерами в «Центральное агентство глупости» (Central Stupidity Agency). Оба случая вызвали много шума, и их расследование продолжается до сих пор.
Фармер по понятным причинам не опубликовал как имена сайтов с нарушениями безопасности, так и хорошо защищенных. Копию данных получил лишь соавтор программы SATAN, который в настоящее время сотрудничает с IBM. После опубликования результатов статистического анализа развернулась дискуссия о том, насколько законным было исследование Фармера, не заручившегося разрешением администраторов проверяемых узлов.
Опасен даже вирус, которого нетКогда один неопытный пользователь получил по e-mail письмо с предупреждением об ужасном вирусе Penpal, он сделал самую правильную, на его взгляд, вещь – переслал это сообщение всем своим знакомым, у которых были электронные адреса.
Его легко понять. Письмо, предупреждающее о вирусе Penpal, создает впечатление, что весь Интернет в опасности. В нем говорится, что вирус, воспроизводя сам себя, заражает не только компьютер пользователя, но и компьютеры всех, кому он когда-либо отправлял e-mail.
Конечно, специалисты-вирусологи и люди, просто знакомые с поведением компьютерных вирусов, сразу поймут, что это очередная шутка, пугающая осторожных новичков. Однако тысячи человек уподобились неопытному пользователю из приведенного выше примера и переслали e-mail всюду, куда, только могли: в телеконференции, списки рассылки и просто своим знакомым.
Для Сети подобные шутки уже давно не новость. Иногда они даже имеют обратный эффект. Слухи о распространяющемся через e-mail вирусе Good Times зародились более двух лет назад и до сих пор циркулируют в Интернете. В данном случае, видимо, частое повторение возымело действие – вирус с таким названием действительно появился. Он, естественно, не имеет ничего общего с тем, легендарным и несуществующим, Good Times. Передается тезка с «добавками» к обычному тексту электронного письма и опасен для клиентов e-mail, понимающих HTML.
Шутки о несуществующих вирусах падают на благодатную почву – люди опасаются компьютерной заразы и читают о новых путях ее распространения. Кроме того, рассылка писем с предупреждениями занимает считанные секунды и дает человеку уверенность, что он сделал доброе дело и уберег кого-то от надвигающейся опасности.
Компьютерные вирусы популярнее Майкла Джексона25 ноября 1996 г. на Филиппинах состоялась, встреча восемнадцати членов группы APEC (Asia-Pacific Economic Cooperation). Во время заседания один из компьютеров, обслуживавших мероприятие, стал вести себя подозрительно. По предположениям, с дискеты одного из дипломатов в него попал вирус. Атаке вируса подверглись документы Microsoft Word.
Специалисты, обслуживающие АРЕС, обратились за помощью в компьютерные компании Австралии и Океании. Быстрее всех отреагировала австралийская SAS International, довольно известная в этом регионе софтверная фирма. Специалисты SAS быстро идентифицировали вирус и уничтожили его. Как нам стало известно, для борьбы с вирусом использовалась программа, созданная в антивирусном центре Евгения Касперского – AVP MacroKiller. Дальнейшие заседания АРЕС прошли без сучка и задоринки.
Примечательно, что этому событию уделило внимание австралийское телевидение. На следующее утро национальный канал австралийского телевидения первым сюжетом показал пятиминутное интервью президента компании SAS International г-на Рода Фьюстера (Rod Fewster). Что же касается Майкла Джексона, сенсационный репортаж о его скандальном разводе шел в новостях вторым номером.
Провайдеры против вирусовМного хлопот доставляет провайдерам Internet почтовый хлам (spam), в огромных количествах пересылаемый по Сети. Но существует проблема и посерьезнее – это вирусописатели, анонимно рассылающие вирусы в e-mail и сеющие свои ядовитые семена в телеконференциях.
Как показал опыт EarthLink, крупного провайдера Internet, бороться с вредителями очень сложно.
Участники телеконференций alt.cracks и alt.crackers предупреждали друг друга об опасности, исходящей от пользователя под псевдонимом «Slasher». Он (или она) внедрял вирусы в свои программы и рассылал их по Сети. Предполагается, что злоумышленник пользовался услугами именно EarthLink. Компания уже получила несколько жалоб с требованием отключить «Slasher». На практике, однако, все не так просто. Для отключения пользователя его нужно буквально схватить за руку в момент преступления.
Не только EarthLink боится спасовать перед возрастающей угрозой. Специалисты National Computer Security Association с уверенностью предсказывают увеличение количества вирусов в Сети, где зараженные программы могут распространяться широко и анонимно. Если бы вирус Hare не был так безграмотно написан, то принес бы намного больше вреда. Пользователи же столь охочи до бесплатного софта, что готовы скачивать и запускать что угодно.
Подпольный интернационал хакеров в действииПервый компьютерный вирус для Windows 95, получивший имя Boza, всего через неделю после обнаружения в США и Западной Европе появился и в российских компьютерах. Впрочем, против новой напасти уже создано противоядие.
Мир стал меньше. Десять лет назад эпидемия гриппа могла добраться из Америки в Советский Союз лишь за несколько месяцев. Сегодня – за неделю. В эпоху глобальных компьютерных сетей быстрее перемещаться между континентами стали не только обычные инфекции, но и компьютерные. В конце 80-х, когда информацию переносили с компьютера на компьютер на дискетах, стандартный ассортимент компьютерных вирусов в СССР достаточно сильно отличался от «джентльменского набора» на Западе. А сейчас созданные безвестными российскими умельцами вирусы быстро попадают в США и Западную Европу, а вредоносные новинки тамошних хакеров буквально через неделю обнаруживаются в России.
8 февраля «Ъ» сообщил о появлении в США первого вируса, предназначенного для новой операционной системы фирмы Microsoft – Windows 95. Несколько дней назад вирус Boza обнаружен в России и, судя по всему, уже не является редкостью в московском компьютерном мире.
По данным фирм-производителей антивирусных средств, распространению Boza в Москве активно способствовали местные авторы вирусов. Получив по международным компьютерным сетям очередной выпуск бюллетеня австралийской группы кибертеррористов VLAD – авторов Boza, московские единомышленники этой группы якобы воспользовались содержащимся в нем текстом вируса.
Впрочем, противоядие от Boza уже существует. Американская компания Symantec несколько дней назад объявила, что каждый пользователь сети Internet может бесплатно получить доступ к «лечащей» программе Norton AntiVirus Update, находящейся на Internet-cepвepe этой компании. Адрес этого сервера – www.symantec.com.
Полиморфный вирус Satan Bug атакует компьютеры правительственных органов СШАПоставщики антивирусного ПО торопятся обновить свои продукты, чтобы бороться с зашифрованным полиморфным вирусом Satan Bug, который атакует правительственные компьютерные системы в США.
Вирус Satan Bug, ставший предметом сообщения группы наблюдения за вирусами (CIAC) из Министерства энергетики (DOE), охарактеризован как «трудноизлечимый» из-за примененного алгоритма шифрования. Satan Bug способен повреждать файлы, изменять даты их создания и отключать пользователей от ЛС путем повреждения сетевых драйверов.
Консультативная служба CIAC заявила, что вирус был обнаружен во многих местах. Источники из Министерства энергетики сообщили, что несколько подразделений пытаются бороться с ним при помощи программ детектирования вирусов.
CIAC как один из членов правительственной комиссии Forum of Incident Response and Security Teams выпускает информационные бюллетени в тех случаях, когда в DOE поступают сообщения о серьезных проблемах, связанных с вирусами.
Бюллетень CIAC извещает о том, что зашифрованные вирусы, подобные вирусу Satan Bug, особенно трудно удалить из инфицированных файлов, поскольку они присоединяются к компьютерной программе, вырезая из нее небольшой кусок и замещая его собственным кодом. После этого вирус зашифровывает и себя и «откушенный» кусок программы.
«Для восстановления инфицированной программы антивирусное ПО должно уметь расшифровывать закодированный вирус, чтобы обнаружить исчезнувшую часть файла и вернуть ее на место, – констатирует бюллетень. – Satan Bug имеет до девяти уровней шифрования, причем в каждом случае этот уровень непредсказуем».
Шифрование делает вирус невидимым для антивирусных программ-сканеров, датированных ранее августа 1993 года «Эти программы должны открыть файл для сканирования, а если вирус находится в памяти, то сам акт открытия файла будет приводить к инфицированию, – предупреждает бюллетень. – Если вы запускаете инфицированный антивирусный сканер, то почти каждый исполняемый файл на диске окажется зараженным».
Как рассказал Дэвид Стэнг (David Stang), президент компании-разработчика Norman Data Defense Systems (ФоллЧерч, штат Виргиния), вирус Satan Bug был впервые выявлен в феврале прошлого года, когда его обнаружили размещенным на нескольких электронных досках объявлений пользователем по имени Hacker 4Life.
Стэнг предположил, основываясь на степени сложности вируса и своем опыте работы с программами этого класса, что Satan Bug – это плод деятельности двадцатилетнего американского парня, а не злонамеренного четырнадцатилетнего подростка.
Компания Norman Data Defense Systems изготовила антивирусное ПО, которое удаляет вирус, оставляя файлы неповрежденными. Стэнг сообщил, что эта программа, названная Armour, к тому же предотвращает заражение.
Роджер Томпсон (Roger Thompson), президент компании Leprechan Software (Мариетта, штат Джорджия), рассказал, что его сотрудники провели весь уик-энд за обновлением своего антивирусного пакета для борьбы с вирусом Satan Bug после звонка из правительственного агентства.
«Satan Bug – это сложный вирус, и его трудно обнаружить, – пояснил он. – Он содержит цикл шифрования/дешифрования, причем расшифровывает себя с помощью ключа длиной от 40 до 2000 бит. Новейшие тенденции в вирусном сообществе делают эти программы труднообнаружимыми».
Другой поставщик, фирма McAfee Associates, также объявила о создании ПО для борьбы с Satan Bug.
Satan Bug является полиморфным или кодируемым вирусом, что делает его изменчивость практически неограниченной.
Вирусы отстают, хакеры активизируютсяЧто касается вторжений хакеров – случаев несанкционированного доступа к настольным компьютерным системам, – то их число значительно возросло: с 339 тыс. (1989 г.) до 684 тыс. (1991 г.). В отчете по проведенному исследованию отмечается «значительный рост числа попыток пиратского доступа к персональным компьютерам, работающим под DOS», небольшое увеличение числа таких случаев для мини-компьютеров, снижение активности пиратов в отношении Macintosh и примерно прежний ее уровень на больших ЭВМ и рабочих станциях.
Фирма USA Research включила в отчет и данные по федеральным ведомствам, объединив их с данными по учреждениям местной власти. По словам Синтии Е. Карлсон, вице-президента фирмы USA Research, государственные учреждения США в целом не столь уязвимы по отношению к вирусам, как, например, учебные заведения. «Государственные служащие подходят к делу весьма серьезно и принимают массу мер предосторожности», – отметила она.
Эту точку зрения разделяет и Деннис Стайнауэр, специалист по компьютерной безопасности Национального института по стандартам и технологиям (NIST). Он отмечает, что интенсивность заражений компьютеров вирусом действительно немного снизилась. По его мнению, гораздо большую опасность сейчас представляют хакеры. «Эта проблема стоит перед многими федеральными ведомствами, включая даже ФБР», – уверенно заявил он.
Организациям, локальные компьютерные сети которых имеют выход в другие сети, в том числе в Internet, «требуются поистине огнеупорные стены для защиты от компьютерных пиратов. Попытки взлома компьютерных систем по-прежнему многочисленны», – заметил Деннис Стайнауэр.
По данным исследования, основными средствами защиты компьютеров в учреждениях являются антивирусные программы и контроль доступа к компьютерам. Применяются и другие меры, такие, как изоляция компьютеров, загрузка только защищенных от записи гибких дисков, использование различных вспомогательных программ, а также шифрование файлов. Исследование показало, что главный источник бедствия – дискеты, приносимые в организации извне. По. этой причине происходит более 60 процентов случаев заражения компьютеров вирусом.
Продолжение бактериологической войны«Столетняя война» между авторами компьютерных вирусов и разработчиками антивирусных программ то стихает, то разгорается с новой силой. Сейчас конфликт обострился в связи с выходом на сцену, с одной стороны, двух новых опасных вирусов, а с другой – нескольких обновленных программных продуктов, нацеленных на их поиск и ликвидацию.
Первый вирус, известный под именем Hare (Харе Кришна), выводит на экран сообщение «HDEuthanasia» (в медицине эйтаназия означает легкую, безболезненную смерть), а затем приступает к уничтожению всех файлов, расположенных на жестком диске компьютера. По словам редактора Virus Bulletin Ина Волли, выявить Hare необычайно трудно. К тому же он очень быстро распространяется, очевидно, по Internet. Версии нового вируса, правда, пока неактивные, уже обнаружены в ряде стран, в том числе в США.
Второй вирус, который получил название ExcelMacro.Laroux, влился в появившееся год назад семейство макровирусов, став родоначальником новой ветви – он поражает электронные таблицы Microsoft Excel. Laroux ведет себя так же, как теперь уже общеизвестный вирус Wold.concept. Последний передается с документами, созданными в Microsoft Wold. Laroux же «путешествует» вместе с электронными таблицами, которыми пользователи обмениваются по e-mail или с помощью других средств. National Computer Security Association (Национальная ассоциация компьютерной безопасности – NCSA) считает Laroux вирусом относительно безопасным, хотя и способным вызвать «аномалии в приложениях» некоторых систем. По всей видимости, распространяться Laroux будет медленнее, чем Wold.concept, ведь Excel используется не столь широко, как Wold, а пользователи пересылают электронные таблицы гораздо реже, чем текстовые документы.
По данным IBM, каждый день в среднем появляется 6 вирусов. Цифра весьма впечатляющая, и ситуация могла бы выйти из-под контроля, но, к счастью, большинство из написанных вирусов в свет так и не выходят. По словам президента NCSA Питера Типпета, на среднестатистический ПК заносится примерно два неизвестных вируса в месяц.
«Мне наплевать, кому я наврежу…»«Мне плевать на то, кому я наврежу. Мне плевать на величину ущерба. Неважно, сколько будет потеряно заданий и сколько народу понесет убытки, когда я активизируюсь. Да и с какой стати мне волноваться. Я всего лишь программа, меня зарядили и нацелили и заставили меня спустить курок».
Мы уделили большое внимание вирусам и правонарушителям. Нужно, однако, узнать мнение и другой стороны. Приводимый материал взят из отчетов, распространявшихся общедоступными BBS по поводу вирусов Lehigh и ООП. Эти фрагменты подробных отчетов не подвергались никакой правке; ошибки в грамматике и пунктуации только подчеркивают чувство беспомощности и паники, охватившее авторов этих заметок. (Перевод следующих заметок сделан по публикации в газете «Маарив» – одной из наиболее популярных ежедневных газет в Израиле – от 8 января 1988 года. Примечания переводчика приводятся в тексте в квадратных скобках «[]».).
ПРЕДУПРЕЖДЕНИЕ О ВИРУСЕ MS/DJS
«На прошлой неделе несколько наших преподавателей-консультантов обнаружило вирусную программу, чрезвычайно быстро распространявшуюся по всему Лехайскому университету. Я подумал, что было бы полезно потратить несколько минут и предупредить как можно больше народу об этой программе, поскольку она вполне может распространиться далеко за пределами нашего университета. Мы не имеем понятия, откуда распространился вирус, но некоторые пользователи говорили мне, что и в других университетах недавно были похожие трудности…
Я настоятельно рекомендую всем, кто работает с сидками, находящимися в общественном доступе, периодически просматривать их собственные. Кроме того, работайте с максимальной осторожностью – всегда пользуйтесь защищенными дискетами.
Это не шутки. Значительная часть наших общедоступных дисков было наводнена этим вирусом за пару дней.»
Коннет Р., ван Вик, старший консультант по работе с пользователями, компьютерный центр Лехайского университета.
Компьютерный вирус, получивший название «Израели» продолжает свободно распространиться. Еврейский университет в Иерусалиме опубликовал вчера предупреждение: Не работайте на компьютере в пятницу 13 мая с. г.! В этот день вирус должен пробудиться от спячки и уничтожить всю информацию, которую он сумеет найти в памяти компьютера или на дисках. По этой причине его еще называют миной замедленного действия. Более того, каждое тринадцатое число любого месяца будет вызывать существенное замедление работы компьютера.
Вчера «Маарив» получила свидетельства, что вирус появился и в других местах, кроме Еврейского университета в Иерусалиме. Было также отмечено наличие вируса в одном из подразделений I. D.F. [Израильских Сил Самообороны], использующем персональные компьютеры.
В настоящее время Еврейский университет распространяет вакцины, позволяющие выявить вирус в памяти компьютера и уничтожать его. Однако возникла новая проблема: может появиться мутированная форма вируса, в несколько раз более вирулентная. Все зависит от источника вируса и от того, является ли его изобретатель компьютерным маньяком, занимающимся этим из спортивного интереса, или психопатом, совершенно не контролирующим свои поступки.
Сообщество пользователей радуется прекращению процесса нелегального копирования программ, достигшего в последнее время невообразимых масштабов. В точности как СПИД, обусловивший распространение безопасного секса, компьютеризованный вирус может обусловить переход к практике использования только легальных копий программного обеспечения.
(Тал Шахаф)
После того как он нанес значительный ущерб, вирус «Израели» был обнаружен в учебном центре Ротенберга министерства образования в кармеле [гора в Хайфе]. В этом центре разрабатывается компьютерный проект, в котором принимают участие десятки студентов. Заведующий центром Гидеон Гольдстейн и разработчики проекта Майкл Хазан и Гади Кац шесть недель назад заявили, что обнаружили вирус, безвозвратно испортивший на 15 000 долларов программ и два диска, содержавших результаты 7000 человеко-часов работы. (Реувен Бен-Цви)
Паника по поводу вируса «Израели» переметнулась из университетского городка к владельцам компьютеров во всем Иерусалиме. Во многих магазинах покупатели сообщали о появлении симптомов заболевания на их домашних компьютерах, совпадавших с теми, которые появились на компьютерных системах в университете. «Сегодня утром мы столкнулись с несколькими случаями и услышали еще о нескольких», – сказал Эмануэль Марински, заведующий компьютерной лабораторией, – «Это вызывает панику».
(Арье Бендер)
