В конце января Интернет в очередной раз потрясла волна вирусной эпидемии. Буквально за сутки вирус-червь, известный как Sapphire, Helkern, или, специалистам, как W32.Slammer, поразил более 200 тыс. серверов во всем мире. Особенно пострадали страны Восточной Азии, первыми попавшие под удар вируса. В Южной Корее им оказались заражены до половины всех серверов, в тысячах компаний были парализованы внутренние сети и веб-сайты, сорваны торги на Корейской товарной бирже - брокеры просто не смогли выставить свои заявки. Вирус нанес экономике страны столь значительный ущерб (только страховые выплаты могут превысить 800 млн долларов), что в ситуацию счел необходимым вмешаться президент Южной Кореи Ким Дэ Джун, обвинивший в создании вируса китайцев. Начало и пик эпидемии пришлись на выходные дни, поэтому для других стран последствия вирусной атаки были не столь разрушительными, но тем не менее вполне ощутимыми. Некоторые американцы оказались неплатежеспособны - вырубилось около 13 тыс. банкоматов Bank of America, использующих Сеть для связи с хранилищами данных. Японцам было сложно дозвониться - для передачи голоса операторы сотовой связи используют Интернет. В Канаде, где в тот уик-энд проходили выборы, некоторые избиратели не смогли зарегистрироваться для участия в них через Интернет, и потребовалось принимать специальное решение о признании выборов легитимными.

За последние полтора года это уже третья вирусная атака, серьезно нарушившая работоспособность всей Сети (достаточно вспомнить о нападениях вирусов-червей Code Red и Nimda). Однако Sapphire/Helkern, по оценке Евгения Касперского, одного из лучших в мире специалистов по компьютерным вирусам, "оказался абсолютным призером по последствиям для нормального функционирования Интернета". Нанесенный им ущерб пока оценивается в 10 млрд долларов. Ущерб мог быть существенно выше, если бы, скажем, начало атаки пришлось на рабочие дни или сам вирус обладал бы разрушительными свойствами (см. "Как действовал Сламмер"). Но вряд ли это должно успокаивать. Как говорит Касперский, "'прикрутить' какую-нибудь деструктивную функцию, например способность удалять файлы, для вирусописателя - дело десяти минут". В общем, в этот раз всем нам очень повезло. Но как получилось, что крошечный кусок программного кода размером всего-то в 376 бит - меньше, чем букв в этом абзаце, - мог выкосить чуть ли не четверть мировой Сети, отрезать от Интернета одну страну, едва не сорвать выборы в другой и заблокировать вклады в третьей? Почему вообще эпидемии компьютерных вирусов становятся столь разрушительными?

Жертвы эффективности

Мелиссой звали балерину из штата Флорида, покорившую сердце студента местного университета. Ее именем он и назвал сочиненный им вирус. Чем закончился их роман, истории не известно, а вот вирус Melissa стал одним из самых разрушительных в истории Сети. Интересно, что затронуты Melissa оказались далеко не все компьютеры, а лишь те, что работали под управлением операционной системы Windows, где имелся текстовый редактор WinWord и использовалась электронная почта того же производителя. Пользователей же Macintosh эпидемия никак не затронула, они сохранили в неприкосновенности все свои пароли к порносайтам. А вот крупные корпорации и некоторые правительственные агентства пострадали очень серьезно, ведь в целях повышения эффективности и управляемости в них, как правило, приняты единые для всех - от секретарши до руководителя - стандарты программного обеспечения. И очень часто - именно Windows.

Если в биологических системах, а с ними Сеть часто сравнивают, развиваются организмы только одного вида, то их среда называется монокультурной. С другой стороны, понятие монокультуры есть и в сельском хозяйстве. Там монокультуры очень эффективны и выгодны, потому что позволяют получить абсолютно ожидаемый результат - все растения будут иметь одинаковый размер, цвет, плоды их созреют в один срок. Но все они обладают также и одинаковой способностью противостоять вирусам и паразитам: если любой член монокультурного сообщества будет инфицирован, заболеть могут все. Поэтому в природе монокультуры за редчайшим исключением не выживают, тогда как гетерогенные (мультикультурные) сообщества распространены повсеместно. Melissa воспользовалась однотипностью компьютерных парков корпораций: с точки зрения вируса множество связанных между собой компьютеров, управляемых одной и той же операционной системой, были, как фруктовый сад. Вот он и облетел.

Идея гетерогенности в компьютерных системах не нова. Говорят даже, что раньше при создании систем управления особо важными объектами специально использовали различные программные среды, не по глупости или небрежению, а для того, чтобы в случае сбоя, не рухнула система в целом. Со временем (и для менее критичных случаев) от этой идеи отказались, потому что программные продукты одного производителя, безусловно, лучше взаимодействуют между собой. Пример - те же офисные пакеты Microsoft. Но главное, управлять парком однотипных устройств намного удобнее и содержать его намного выгоднее, чем Ноев ковчег, в котором каждый зверь требует особого к себе внимания. Пути господни неисповедимы, но, похоже, создавая мир, он думал не только об эффективности. Потому мир и выжил.

Жертвы беспечности

Самое неприятное в истории со Slammer - об уязвимости SQL Server 2000 (которой и воспользовался вирус) известно уже очень давно. Более полугода назад компания Microsoft сообщила об этом и выложила на своем сайте патч (заплатку), которую системным администраторам рекомендовалось установить немедленно. Кстати, серверы самой компании-производителя, работающие, естественно, и под SQL Server 2000, не были затронуты атакой Slammer. Так что аналитики и специалисты не спешат обвинять Microsoft в случившейся катастрофе, признавая, впрочем, что Sapphire/Helkern - один из многих случаев, когда вирусописатели воспользовались конструктивной недоработкой в программном продукте компании. Объясняет руководитель по компьютерной безопасности крупой веб-девелоперской компании: "Продукты Microsoft действительно чаще прочих становятся целью вирусов-червей. Во-первых, аналогичные программы под Linux, как правило, проще, не так богаты дополнительными возможностями и уже поэтому менее уязвимы. Во-вторых, исходный код Microsoft закрыт, дыру на уровне кода в ее продуктах могут обнаружить только инженеры самой компании. А исходные коды Linux открыты и, как следствие, изучены вдоль и поперек, существуют даже специальные программы для анализа кода Linux на наличие дыр и уязвимости. На Linux просто смотрит больше глаз, вот и вся разница". Того же мнения - дыры в системах безопасности есть везде - придерживается и Евгений Касперский: "Будь Linux на месте Windows, сейчас на месте SQL Server был бы сервер Apache. Существует показатель 'багливости' ('баг' - небрежность, ошибка) среднего программиста, и, будьте уверены, этот показатель универсален и не зависит от того, для какой операционной системы пишется программа... Просто, чем более популярен продукт, тем больше хакеров и вирусописателей 'стругают' для него гадость, подобную Helkern".

Так что, ПО с открытым кодом вовсе не панацея от вирусных атак, тем более что вирусы, использующие бреши в защите серверов Apache, существуют, и червь Slapper в свое время тоже нанес немалый ущерб. Теперь специалисты называют несколько способов, которыми можно было защититься от Slammer, включая настройки самого сервера, установку файрволла или маршрутизатора. Как же оказалось, что около 40% серверов в Южной Корее, одной из самых компьютеризированных стран мира, ничем не были защищены? Но если бы так плохо обстояли дела только в Корее.

В прошлом году "Эксперт" писал о двух исследованиях отношения компаний к компьютерной безопасности. Одно из них (глобальное) было проведено KPMG при участии CheckPoint, Symantec и RSA, а другое, в России, - Ernst & Young. Их результаты поразительны. Более чем в половине случаев опрошенные компании не имели систем обнаружения вторжений в свои внутренние сети, да что там - даже антивирусные программы использовали далеко не все из опрошенных.

Защита информации и каналов ее распространения сейчас имеет принципиально иное значение для экономики и общества, чем двадцать или даже десять лет назад, но отношение к ней не изменилось. Данные, содержащиеся в корпоративных сетях, системах банков, брокерских компаний, в системах госорганов, критически важны и для самих компаний и организаций, и для их клиентов (зависимость и тех и других от устойчивости работы компьютерных сетей со временем будет только увеличиваться). Никого не удивляют усиленные меры безопасности, принимаемые в отношении, например, ядерных электростанций. Но из сотни компаний лишь одна-две проводят аудит собственных систем безопасности.

Жертвы любопытства

Тесная корреляция роста Сети и числа компьютерных атак (см. график 1 ) выглядит естественной. Однако статистика атак учитывает только глобальные инциденты, а на деле системные администраторы сталкиваются с попытками незаконного проникновения в свои сети иногда по нескольку раз в день, не говоря уже о вирусах и троянах, пачками поступающих вместе с электронной почтой. Компьютерные системы подвергаются сейчас намного большей опасности, чем это кажется на первый взгляд, но вовсе не по причине роста мастерства хакеров и вирусописателей. Дело в том, что само хакерское искусство меняется - в нем появляется разделение труда, взлом все чаще становится результатом не мастерского применения глубоких технических знаний, а элементом психологической игры, эксплуатирующей не столько уязвимость программного обеспечения, сколько пороки, любопытство и наивность пользователей, от которых стало требоваться все меньше профессионализма. В хакерском деле программирование всегда было и остается уделом немногих избранных профессионалов. А вот исполнение и распространение вредоносных программ, как показывают исследования CERT/Karnegie Mellon, в последнее время все чаще сводится к простому маркетингу. Пример: вирус Kournikova, продукт, созданный при помощи программы VBS Worm Generator. Делать почтовые "черви" можно, оказывается, не зная даже азов программирования. Достаточно сочинить завлекательный текст и вписать его в нужное окошко. Программа сама выдаст вредоносный vbs-файл, остается разослать его первым жертвам.

Наивные, глупые и любопытные, они ждали обещанного фото голой топ-модели и получали вирус Kournikova. Им нужен был зачем-то скринсэйвер, и они заражались вирусом Goner. Уму непостижимо, но многие даже запускали случайный файл, свалившийся им в почту от имени неизвестного лица, - так рассылал себя вирус Sircam. Если эти вирусы порождали масштабные эпидемии, что говорить о посланьицах под заголовком "love-letter-for-you". О том, что они содержат очередного зверька, производители антивирусных программ сообщили спустя всего несколько часов после начала эпидемии. Но любопытство победило - зараза распространилась на сотни тысяч компьютеров по всему миру. Вот уж впрямь "на одном конце червяк, на другом конце дурак".

DOS-атаки, подобные той, что была устроена вирусом Sapphire/Helkern, теперь тоже можно устраивать, не зная архитектуры Интернета, не зная вообще ничего, кроме имени сайта, имея лишь специальную программку, "мышку" и много свободного времени. Хакеры-чайники, инфантильные социопаты, скучающие недоросли составляют заговоры в университетских чатах, где их потом вычисляют спецслужбы (именно так поймали того филиппинского студента, который сочинил love-letter). А коммерция обеспечивает их профессионально разработанными компакт-дисками с коллекциями инструментов для деструктивной деятельности. Немного стараний, и несколько миллиардов долларов вылетают в трубу.

Мама, я не умру?

Вандализм новых хакеров сродни граффити, которыми покрывают заборы иногда из любви к искусству, но чаще со скуки - "сделать гадость всегда радость". В отличие от стариков-профессионалов, у которых были хоть и своеобразные, но все же четкие понятия о смысле их деятельности, теперешние не замышляют изменить мир, они просто ловят адреналин или дают выход фрустрациям и ехидству. Это, конечно, не радует, но каковы могли быть последствия целенаправленной вирусной активности? Впрочем, именно в силу низкого профессионализма новой поросли идею тотальной кибервойны мирового терроризма против мирового глобализма (по крайней мере сейчас) не стоит воспринимать серьезнее, чем страшную сказку. Как говорит Евгений Касперский, убить Интернет, запуская в него вирус, можно, только если этот вирус одновременно изведет под корень не только все компьютеры со множеством операционных систем, но и все человечество: "Теоретически, наверное, возможно создать вирус, с помощью которого можно взорвать ядерную станцию и запустить ракету. Но практически - нет." Добавим к этому, что хакерские сообщества без Интернета также прекратят свое существование.

Единственным надежным средством борьбы с хакерами может стать бдительность, и именно в этом главный урок эпидемии Sapphire/Helkern. Отношение к защите информации меняется - сектор программного обеспечения в области безопасности быстро растет даже сейчас, когда отрасль в целом находится в глубоком кризисе, растут и цены акций компаний-производителей антивирусного ПО (см.график 2). Но в конечном счете все упирается не в технологии, а в людей. Как говорит Игорь Василиадис, президент интернет-трейдинговой компании Level 2 Consulting: "Всего предусмотреть невозможно. Лишь грамотно управляя рисками, можно снизить их до приемлемого уровня". Так что неустойчивое равновесие игры в казаки-разбойники, скорее всего, продлится и дальше.