Изъян

• Василий Сычев

Двадцатого августа в Интернете разразилась эпидемия. Виновником ее стал червь SoBig.F, который распространяется путем массовой рассылки почты. По скорости распространения он стал рекордсменом - на пике активности этот вирус содержало каждое 17-е письмо, то есть значительно улучшил прошлогодний рекорд вируса Klez - тот заражал каждое 169-е письмо. К концу августа распространение вируса несколько замедлилось, но полностью оно прекратится лишь 10 сентября (именно эта дата указана в программном коде как финальная).

Впрочем, и после этого ставить точку в истории SoBig.F будет рано. Ряд специалистов считает, что SoBig, скачав на компьютер-жертву необходимые ему файлы, полностью берет машины под свой контроль, никак при этом себя не проявляя. В принципе это позволяет его создателям в нужный момент объединить зараженные компьютеры в сеть и инициировать атаки на ключевые узлы Интернета. Более того, есть основания считать, что эпидемия этого вируса - лишь этап в продолжительной массированной атаке на Сеть.

Угроза

В пользу того, что речь идет именно о хорошо продуманной многоходовой акции, говорит следующий факт. Распространение вируса SoBig - это уже четвертая за последний месяц эпидемия. Незадолго до этого Интернет подвергся атаке почтовых червей Nachi и LoveSan. Их целью была DOS-атака на сайт компании Microsoft. Достаточно быстро эпидемия Nachi была приостановлена. С вирусом же LoveSan приключилась и вовсе забавная история. Не успели пользователи Интернета отделаться от LoveSan, как в Сети был замечен новый вирус - Welchia, которому западные СМИ быстро дали имя "Добрый самаритянин". Главной задачей нового червя был поиск в Сети машин, зараженных вирусом LoveSan. При обнаружении искомого вируса Welchia удалял его с зараженного компьютера, а затем устанавливал необходимые патчи (заплатки) на компьютер пользователя, чтобы предотвратить повторное заражение вирусом LoveSan. Теперь, когда SoBig бьет все рекорды по скорости и масштабам заражения, специалисты склонны считать, что Welchia всего лишь расчищал ему дорогу, чтобы предотвратить его возможные конфликты с LoveSan.

Еще в конце июля ФБР США сделало официальное заявление, в котором отметило возросшую активность хакеров в незащищенных фрагментах Сети и предупредило о возможных в скором будущем атаках. Тогда же ФБР сообщило, что в программе DirectX, установленной на большинстве компьютеров, есть бреши, стало быть, это дает возможность нелегально проникать в систему (именно через указанные ФБР бреши почтовые черви и получали контроль над компьютерами). Затем в начале августа ФБР выступило с очередным предупреждением, в нем ни много ни мало говорилось о возможном скором крахе Интернета. Спустя несколько дней в Сети началась "эпидемия червей", продолжается она и поныне.

Но даже тогда, когда SoBig перестанет распространяться по Сети, нельзя будет считать, что опасность миновала. Многие тайны этого вируса до сих пор не раскрыты. Так, при заражении компьютера SoBig начинает закачивать на захваченный компьютер файлы, и специалистам еще не совсем ясно, что это за файлы и для чего они нужны. Кроме того, компьютер-жертва периодически начинает производить обмен информацией через Интернет (с кем и какой информацией - тоже еще не понятно). Главная же опасность SoBig в том, что в его программном коде специалисты обнаружили задачу ожидания команды (тогда как у его предшественников Nachi и LoveSan в коде были указаны конкретная дата атаки и атакуемый интернет-узел компании Microsoft). То есть создатели SoBig в любой момент могут дать ему команду, и тогда вирус полностью возьмет под свой контроль зараженную (и невылеченную) машину и попытается объединить ее с другими захваченными компьютерами в большую сеть, а контроль над этой сетью предоставит своему хозяину. И чем больше компьютеров объединено в сеть, тем больше шансов на удачное проведение атаки: у систем защиты атакуемых интернет-узлов возможности хоть и велики, но все же ограничены, поэтому у одного из компьютеров появляется шанс прорваться через защиту. А потому не исключено, что пик атаки еще впереди.

Дискуссия

Начавшаяся эпидемия всколыхнула дискуссии о безопасности в Интернете. Как один из способов борьбы с вирусами вновь стали обсуждать идею расширить число пользователей сети нового поколения - Интернет-2, которая чиста от вирусов и относительно подконтрольна. Однако большинство специалистов такой способ не приемлет. "Интернет-2 - идея изолированной от масс сети для крупных компаний, исследовательских центров, лабораторий, - говорит ведущий специалист по вирусам компании Proantivirus Lab Андрей Каримов. - Эта сеть разработана не для простого пользователя и, к слову сказать, не является самой дешевой".

Другое часто встречающееся предложение - создать в Сети систему строгого, авторизованного доступа, нечто подобное водительским правам. Именно такой вариант предлагало ФБР, предупреждая в конце июля о вероятной угрозе. По мнению сторонников системы доступа, она позволит быстро идентифицировать пользователей, находить виновников эпидемий и т. д. Впрочем, и противников у подобной системы - масса. "Проблема в том, кто и как будет искать. Интернет - штука международная, законов под него как таковых нет. Если не изменятся подходы к вопросам безопасности, бреши в программах, которые позволяют устраивать подобные эпидемии, останутся. Останутся бреши - останутся вирусы и черви. Если компании - производители операционных систем, сетевых решений и проч. будут и впредь наплевательски относиться к безопасности, то скоро им просто некому будет продавать свои продукты", - говорит Андрей Каримов.

Кроме того, существует опасность, что под предлогом создания более безопасной сети Интернет будет полностью коммерциализирован. "Очень часто подобные заявления - давайте создадим защищенный Интернет, где все будут идентифицированы и где не будет такого широкого распространения вредоносных программ - несут в себе вполне конкретный коммерческий смысл. При этом всегда делается важнейшая оговорка: невозможно-де гарантировать стопроцентную безопасность, - рассказывает коммерческий директор ЗАО "ДиалогНаука" Борис Шаров. - Интернет же самоценен тем, что это открытая сеть общего пользования".

Главный ресурс для увеличения безопасности в Интернете - это, безусловно, усовершенствование существующего программного обеспечения. "Как специалисты в области антивирусной защиты, мы пока не можем игнорировать тот факт, что большинство сетевых атак, включая вирусы, стало возможно благодаря просчетам создателей самой распространенной операционной системы. Причем в основной своей массе это просчеты одного плана", - говорит Борис Шаров. Вряд ли стоит пояснять, что речь идет о компании Microsoft.