Вредоносное программное обеспечение
ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ. Часть 2.
Вредоносное программное обеспечение — это любая программа, написанная с целью нанесения ущерба или использования ресурсов атакуемого компьютера. Вредоносное программное обеспечение часто скрыто внутри обычных программ или замаскировано под них. В некоторых случаях оно само тиражируется на другие компьютеры по электронной почте или через инфицированные дискеты и CD. Одними из основных характеристик современных вирусных атак являются высокая скорость их распространения и частота появления новых атак.
О вредоносном программном обеспечении, подстерегающем доверчивых пользователей, широкая публика наслышана больше, чем о каких-либо других опасностях и повреждениях компьютерной техники. Это вирусы, черви, троянские кони, логические бомбы, зомби, программные закладки, модули считывания паролей—список можно продолжить. Вредоносное программное обеспечение различных типов использует весьма разнообразные методы воздействия на информацию, степень опасности такого рода программ тоже различна.
Бурное развитие информационных технологий привело к налаживанию международных связей, в том числе и межконтинентальных, к становлению внутри- и межгосударственных потоков информации, измеряемыми многими десятками терабайт в секунду.
Анализ развития компьютеризации на мировом уровне показывает, что число пользователей достигло 350 млн., начав свой отсчет практически от нулевой отметки в 1981 году.
В период с 1998 по 1999 год произошло резкое увеличение числа компьютерных атак, хотя около 98% всех пользователей применяли доступные средства защиты. Объяснить эту тенденцию можно тем, что Internet превратился в хорошо организованную систему с унифицированным программным обеспечением. Тем самым пользователи сети стали во многом зависеть от качества программного обеспечения, которое они используют для работы.
Рост числа несанкционированных проникновении в информационные ресурсы лучше всего прослеживается путем анализа взаимосвязи частоты инцидентов, с одной стороны, и уязвимостью программного обеспечения — с другой.
Инцидент — это группа атак, объединенных по таким характерным признакам, как время проведения атаки, средства атакующих, цель нападения и т. д.
Под термином уязвимость имеется в виду слабое место в программном обеспечении, которое может быть использовано злоумышленником в своих целях. Уязвимость программного обеспечения, как правило, обусловлена следующими ошибками:
– в программном обеспечении (уязвимость реализации);
– в конфигурации программного обеспечения (уязвимость конфигурации);
– не связанными напрямую с конкретным программным обеспечением (уязвимость проектирования).
Количество уязвимых мест в программном обеспечении во многом определяется степенью популярности продукта. В принципе, чем популярнее система и чем больше пользователей отдают ей предпочтение, тем сильнее стремление злоумышленников организовать атаку именно на эту систему.
Другой фактор, способствующий увеличению количества атак за последние годы, — резкое понижение требований к квалификации атакующего. Это объясняется тем, что большинство современных программ, реализующих ту или иную атаку, доступны в настоящий момент в Internet и, как правило, имеют простой и дружелюбный пользовательский интерфейс. Атакующему необходимо ввести лишь DNS-имя или IP-адрес компьютера-жертвы и нажать кнопку. При этом не требуется, чтобы злоумышленник имел представление о принципах работы механизмов, с помощью которых осуществляется атака.
Если во второй половине 80-х годов к наиболее популярным средствам атакующих относилось использование известных паролей и уже раскрытых уязвимых мест в системе безопасности, то сегодня к этому добавились средства, использующие недостатки в протоколах, средства анализа исходных текстов программ для выявления новых уязвимых мест, установка программ-анализаторов сетевого трафика, подмена IP-адреса источника нападения, атаки типа «отказ в обслуживании», средства автоматизированного сканирования сети, распределенные атаки и многие другие.
Суммарный ущерб от компьютерных атак в период с 1997 по 2000 год только в США составил 626 млн. долларов. Эти цифры позволяют говорить о том, что криминальная прослойка в «информационном обществе» состоялась и что обществу противостоит организованная преступность.
Миллионы людей путешествуют по сети, «перехватывая» то тут, то там разнообразные программы и другую полезную информацию. После чего они немедленно «опробуются в деле», ну а дальше… кому как повезет. В сети находятся гигабайты информации и неизвестно, сколько в ней вирусов (случайно попавших или намеренно «подсаженных»). И при этом приходится только удивляться беспечности тех, кто тщательно проверяет все «внешние» дискеты и диски, но даже и не задумывается, что вирусы могут присутствовать в программе и в документе, полученных из сети.
Еще не так давно вирусы распространялись только через дискеты. Они назывались вирусами загрузочного сектора, потому что попадали в компьютер с дисковода для гибких дисков. Тогда вирусная инфекция распространялась достаточно ограниченно и требовала намного больше времени, чем сейчас. Затем появились приложения типа Microsoft Outlook или Word, использующие макросы, что привело к возникновению множества макровирусов. Были созданы вирусы Мелисса, Чернобыль, программа Worm.Explore.Zip и другие вирусы массовой рассылки, распространявшиеся по электронной почте. Эти программы нанесли серьезный ущерб персональным компьютерам во всех странах мира.
На пользователей обрушился вирус, получивший название BubleBoy, которым можно заразить компьютер, всего лишь открыв свою электронную почту, поскольку он использовал язык описания сценариев Visual Basic. Вирусы по-прежнему остаются самой серьезной проблемой компьютерной защиты.
К середине 2001 года ущерб, нанесенный компьютерными вирусами, измеряется в 10,7 млрд долларов против 17,1 млрд в 2000 году и 12,1 млрд в 1999 году. По данным аналитиков, ущерб, нанесенный вирусом Code Red, оценивается в 2,6 млрд долларов, причем на работы по восстановлению компьютеров потрачено 1,1 млрд долларов, а на компенсацию производственных потерь — 1,5 млрд долларов. Вирус Sircam нанес ущерб в размере 1,035 млрд долларов, а вирус Love Bug — 8,7 млрд долларов. И потери от них продолжают расти, а ведь здесь перечислены лишь некоторые из распространенных вирусов.
Атаки на отказ от обслуживания обрушиваются на крупнейшие Web-узлы электронной коммерции. Они тоже инициированы вредоносным программным обеспечением, проникшим в сотни компьютеров, подключенных к Internet, причем владельцы этих систем о том и не подозревали.
Небольшие организации, специалисты и добровольцы предпринимают активные действия, чтобы каталогизировать вредоносное программное обеспечение, рассылают предупреждения и предлагают программное обеспечение, способное выявлять такие программы, определять их местонахождение и уничтожать. Новые вредоносные программы появляются каждый месяц, они создаются подпольными группами программистов, стремящихся испортить или украсть информацию, а иногда просто продемонстрировать свое техническое мастерство.
Рассмотрим более подробно, что же собой представляет вредоносное программное обеспечение и как оно себя проявляет.