| ||||||||||||||||
![]() | ||||||||||||||||
| ||||||||||||||||
![]() | ||||||||||||||||
| ||||||||||||||||
![]() |
Почтовый синдром или Эпидемия состоится при любой погоде «Мы спросили себя: "А что если вычислительная техника станет доступна Некомпетентность пользователей создала благодатную среду для хронических трояно-вирусных эпидемий. В каждом интервью экспертов по безопасности содержится фраза: «несмотря на многочисленные предупреждения». Правда IT-специалисты Только погорельцы, высказав весьма затейливые пожелания в адрес авторов злокозненных программ, в меру своих, часто, к сожалению, очень скромных знаний пытаются залатать систему. Устанавливаются сразу все доступные антивирусы. Некоторое время с параноидальной подозрительностью исследуются все объекты, приближающиеся к компьютеру ближе, чем на расстояние до ближайшего хаба. Но вскоре страсти угасают и надоедливые мониторы и сканеры либо не обновляются, либо и вовсе отключаются из-за различных межпрограммных конфликтов. До следующей напасти. Что поделаешь, Билл Гейтс Успех персональных компьютеров обусловлен интересом со стороны непрофессионалов, получивших возможность решать сложные задачи без специальной многолетней подготовки. Современное программное обеспечение скрывает технические подробности, предоставляя пользователям интерфейс для конкретной области деятельности (офисные системы, системы автоматизированного проектирования, графические и издательские приложения, базы данных, экспертные системы и т.д., игры, в конце концов). Поэтому просветительско-предупредительные бюллетени, к примеру, от Microsoft ( Реальную оценку уязвимости компьютерной системы может выполнить лишь профессионально подготовленный специалист. Но, по-видимому, жизнь в обществе тотальной рекламы сформировала у мистера Калпа устойчивое представление, что массовому потребителю устранять бреши в системе безопасности очень просто. Во всяком случае не сложнее, чем глотать пилюли аспирина при головной боли. Прочитал рекламную листовку и вперед, за здоровьем. Хотя давно известно, что избавление от симптомов не всегда равноценно излечению. К тому же основополагающим фактором употребления лекарства должно быть доверие к врачу. А наш компьютерный Пилюлькин, по совместительству прописывающий произведенное самим снадобье, не только автор болезни, но и вместо лекарства частенько норовит подсунуть отраву в стиле "AS IS". Вот 1 ноября 2001 г. выходит бюллетень MS01-54, побуждающий пользователей установить патч для устранения угрозы атаки типа отказ от обслуживания (DoS) через сервис Universal Plug and Play (UPnP), в задачи которого входит обнаружение и распознавание сетевых устройств. 9 ноября пользователей Windows Me уведомляют, что применение этой заплаты может нарушить работу IE и перевести систему в нестабильное состояние, а из него и до системного краха рукой подать. При этом, в исходном бюллетене о причинах DoS-уязвимости говорится весьма туманно: сервис неправильно обрабатывает некоторые типы неправильных UPnP запросов. Описание же наведенной неуправляемости коротко и ясно: библиотека upnp.dll «кажется не регистрируется». Исправленный вариант исправления появился только 13 ноября. Видно не такая уж простая процедура регистрации оказалась. Аналогичный конфуз произошел с патчем для Win NT/2000 Server (MS01-052). Другой пример. Nimda, Aliz, BadtransII и К используют дыры в почтовой программе Outlook Express (OE) и IE версий 5 и 5.5, позволяющие автоматически запустить исполняемый exe-файл под видом звукового. (Для «удобства» пользователей ряд типов файлов-вложений автоматически направляются в соответствующую программу обработки уже в режиме предварительного просмотра). Этот трюк срабатывает при посещении зараженных веб-страниц и, Ненадежность нововведений в OE6 стала очевидной довольно быстро. Весьма странно выглядит попытка спрятать блокировку вложений и предупреждение о несанкционированной отправке почты в незашифрованных параметрах Реестра. Затем BadtransII проскочил сквозь антивирусный сканер на корпоративном почтовом сервере и Outlook услужливо спросил: «Не желаете ли запустить?». Впрочем, это уже огромный прогресс, поскольку OE5 даже после установки заплат почему-то лихо продолжает «загрузку файла» из зараженных писем. Наконец пришел вышеупомянутый бюллетень MS01-58 от 13 декабря 2001 г., сообщивший, что в IE6 существует другой механизм автоматического запуска exe-файлов под личиной безопасных. Добиться этого, как и с более ранними версиями, злоумышленник может с помощью специально сформированной веб-страницы или письма в формате HTML. Ну, так в чем же результат латания? Симптом убрали (Nimda в оригинальном виде не запустится) — болезнь осталась (изменить формат письма и код вируса пригоден для дальнейших боев), а с помощью одного из последних патчей опять В прошлом году Microsoft выпустила 60 бюллетеней по безопасности. Они нередко были двойными или тройными, когда первоначальное сообщение уточнялось и/или исправлялась заплата. Добавьте сюда предупреждения от различных организаций (даже от Ошибается электроника, ошибаются Прошедший год показал, что с валом проблем не смогли управиться даже лидеры IT-мира. Компания Samsung Electronics Исследования Можно, конечно, позубоскалить над « Чего же тогда требовать от виндузятников, приобретающих компьютеры не для программирования? И уж, тем более, не для изучения заумных ошибок в системе безопасности. Современное программное обеспечение действительно очень сложное. Получение безупречного кода не прогнозируется даже в обозримом будущем. Неужели продвигая свой товар для массового потребления, лидер мирового бизнеса задумал всех пользователей сделать «компьютерно грамотными»? Так ведь сегодня даже не все президенты справляются с обычной грамматикой, куда уж там широким массам до компьютерной. MS DOS имела репутацию вирусного заповедника при том, что реальных механизмов заражения компьютера существовало-то всего два: инфицированный исполняемый файл (EXE или COM) или загрузка с дискеты, в boot-секторе которой размещен злонамеренный код. DOS в общем-то ни в чем не ограничивала изобретательность вирусописателей. Только и того, что требовалось кодирование на ассемблере, влекущее за собой необходимость знания архитектуры микропроцессора, внутреннего устройства DOS, манипуляций с прерываниями и прочих тонкостей. В результате сразу отсекались малообразованные «шалунишки». Интернет и электронная почта в эпоху DOS были еще дорогими игрушками военных и ученых. В совокупности с частыми ошибками программирования это ограничивало интенсивность распространения вирусов. Шедевр Морриса рассматривался как забава гения. Windows 9x усложнила заражение исполняемых файлов. Из громких случаев на память приходит разве что Win95.CIH («Чернобыль»). Большинство знают о нем по оригинальному проявлению: уничтожению содержимого flash BIOS и технических цилиндров винчестеров. Нашедшие в Сети код вируса могут убедиться, что он не менее интересен, особенно в методическом плане. Ну, а для NT задача манипуляций с двоичными модулями вообще малопривлекательна. Поэтому чаще всего просто используется троянский код, маскирующийся под полезную программу или безопасное почтовое вложение (рисунок, например). Глобальность электронной почты, наличие анонимных сервисов и Неверующие критики могут Пакость подстерегает в гипертекстовом файле (HTML, XML), где могут разместится недружественные скрипты Visual Basic Scripting Edition (VBS) или JavaScript (JS). Они же могут быть интерпретированы специально разработанной на основе VB системой администрирования — Чтобы заразить компьютер в вышеперечисленных случаях необходимо убедить пользователя запустить инфицированную программу или открыть файл «с секретом». Но есть и более изощренные способы. Механизм динамически связываемых библиотек (DLL) позволяет разным приложениям использовать один и тот же код без включения его в основную программу. Экономится место на диске, уменьшается время разработки и упрощается процедура отладки и внесения изменений. Для поиска требующейся DLL-библиотеки функция Механизм связывания и внедрения объектов (OLE) позволяет разместить зараженный файл внутри другого. Например, документ Word включается в таблицу Excel или рисунок Corel Draw. Существует множество психологических трюков, подталкивающих неискушенных пользователей пощелкать мышкой внутри якобы безопасного объекта. Рано или поздно ловушка сработает. А кому в голову придет искать Исправить концептуальные просчеты с помощью заплат чаще всего невозможно. К примеру, автоматизация на основе модели компонентных объектов (COM) В качестве оправдательного аргумента и Microsoft, и заметное число читателей-критиков до появления «На предварительном следствии в полицейском участке на все вопросы он вопил одну и ту же стереотипную фразу: Это из Швейковских похождений. А в нашем случае нет оправдания потому, что имея дело только с интерфейсом, пользователи ничего не знают о внутренней жизни ОС. Им, «чайникам», простительно. Но ведь обо всем богатстве этой внутренней жизни не знают и системные администраторы, и эксперты-консультанты по безопасности, и, как следует из вышеприведенных примеров, «гуру»-разработчики [3]. Пока на компьютер не проберется очередной зловредный код, поражение пользователя в правах срабатывает. Но однажды обнаруживается, что запреты обходятся с помощью какого-то ActiveX или общедоступная DLL содержит необходимые функции. С клавиатуры все равно ничего не сделаешь, а из приблудной программки — пожалуйста. Почва для новой эпидемии готова. Хотя известно, что ум распределен среди людей наиболее справедливым образом (поскольку еще никто не жаловался на его нехватку), но одной рациональностью защититься все-таки не удастся. Если на компьютере нет антивируса или он устарел, значит заразе открыта «зеленая улица». Кстати, хочу напомнить, что вирусы содержатся не только в почтовых посланиях. По прежнему еще живы файловые вирусы, которые переезжают с двоичными модулями на дискетах, компакт-дисках или вместе с программами, скачанными по Сети. При этом авторитет источника значения не имеет (см. выше), хотя, конечно, с большей вероятностью может «повезти» на компьютерах для лабораторных работ или игр. Отсутствие межсетевого экрана (firewall) и визуализатора трафика гарантирует беспрепятственное размножение всем почтовым червям, раздолье для троянов и рекламных «грузил», а также разнообразные сетевые атаки. Если червь использует собственный SMTP-модуль, то его проявления вообще можно будет заметить только по замедлению компьютера (на Pentium III и IV ему нужно для этого особенно постараться). О трояне в лучшем случае сообщит безразмерный счет провайдера, а в худшем — банкротство конторы, дискредитация человека, поддельные улики и т.д. С помощью менеджера задач определяются только примитивные особи, живущие в виде самостоятельных процессов. Если злонамеренный код И теперь, в дополнение к стандартному латанию ОС требуется еще отслеживание сообщений об ошибках в применяемых антивирусах, межсетевых экранах, мониторах файлов и регулярное их исправление. А после всего этого любая устанавливаемая программа может внести незначительные изменения в систему, мгновенно Разве до Но архитектурные переделки ОС потянут за собой существенные изменения в кодах всех приложений. По крайней мере их нужно будет проверять на совместимость с нНо архитектурные переделки ОС потянут за собой существенные изменения в кодах всех приложений. По крайней мере их нужно будет проверять на совместимость с новыми требованиями. Поэтому до сих пор структурные изменения вносились только в совершенно вопиющих случаях и то после нескольких лет дебатов. Так произошло с Поэтому высококвалифицированные и высокооплачиваемые специалисты по поиску и устранению ошибок еще долго будут необходимы на любом современном предприятии. Не желающие этого признавать руководители превращают свои компьютерные системы в рассадники заразы, угрожающие существованию Интернет [4]. Что касается домашних компьютеров, то здесь остается только надеяться, что Microsoft успеет выполнить наказ своего руководителя до |
|
![]() | ||||||||||||||||
| ||||||||||||||||
![]() | ||||||||||||||||
|