В этот день ничто не предвещало беды. Это не была пятница и не было тринадцатое число. Тем не менее ранним утром 12 августа 2003 года мой компьютер трижды самопроизвольно перезагрузился, каждый раз давая минуту на выход с вещами. Если первый инцидент еще можно было списать на эксцентричную натуру операционной системы, то последующие вызвали рой самых разнообразных предположений, наиболее оформившиееся из которых было довольно диким: "Дожили, уже веерные DOS-атаки с удаленной перезагрузкой устраивают". О целенаправленной атаке речи быть не могло - у меня нет ни сервера, ни постоянного IP-адреса.
Постепенно в памяти всплыли прочитанные пару недель назад и благополучно забытые сообщения о критической уязвимости в Windows NT, 2000 и XP. Запретив системе перезагружаться, я решительно отправился на поиски дополнительной информации о происшествии. Действительность превзошла все ожидания: в моем Windowssystem32 обнаружилась неприметная букашка по имени msblast.exe.
Мне и сотням тысяч других пострадавших крупно повезло, что первая массовая инфекция, эксплуатирующая дыру в службе удаленного вызова процедур (Remote Procedure Call -RPC), оказалась чисто пропагандистской - она не форматирует винчестер и не рассылает интимные файлы с зараженного компьютера. Более того, она даже не прячется, нагло показываясь в списке процессов, и позволяет удалять себя голыми руками, не говоря уже об оперативно разработанных лечилках.
Тем не менее на месте сравнительно безобидного демонстранта легко мог оказаться настоящий диверсант. Была ли возможность не стать жертвой эпидемии? Разумеется. Речь не идет о таких действенных средствах, как воздвижение Берлинского файрвола с виртуальными сторожевыми вышками и Мухтарами - все же не каждый домашний пользователь на это пойдет. Достаточно было всего-навсего сделать ОС невосприимчивой к возможной атаке.
Уже 16 июля - буквально в тот же день, когда было опубликована информация об уязвимости - на сайте Microsoft появился патч (вернее несколько разных патчей для разных версий Windows), ее устраняющий. Тем не менее червь Lovesan показал исключительно высокую способность к распространению, что может свидетельствовать только о том, что многие пользователи предупреждение об опасности проигнорировали. Почему проигнорировали? Причин тому несть числа.
Например, я - с крайней неохотой скачиваю патчи. Это неудивительно для счастливого пользователя Dial-Up на антикварной советской АТС, которая позволяет достичь заветных 33600 только глубокой ночью - желательно в полнолуние и при показаниях барометра "великая сушь". Но медленно ползающий индикатор загрузки - не единственная причина: многие пользователи и даже сисадмины, имеющие доступ к "толстым" каналам, предпочитают скорее тянуть через них голливудские трейлеры, нежели заботиться о стойкости своих ОС.
Какие психологические механизмы ответственны за такую беспечность, и что бы это значило по Фрейду - мы разбирать не будем. Отметим только, что во всех операционных системах есть определенные уязвимости. Этого не избежать никому. Поэтому задача разработчиков - быстро выпустить патчи, которые устраняют проблему, а задача пользователей - этот патч скачать и установить на свой компьютер.
Чтобы установка патчей и апдейтов доставляла минимальное беспокойство пользователям, в Microsoft была создана служба автоматического обновления Windows Update (на сервер которой, кстати, и собирался устроить DOS-атаку червь Lovesan). Воспользоваться возможностями этой службы можно двумя способами: непосредственно из интерфейса Windows и с помощью специального раздела сайта Microsoft. Чтобы включить возможность автоматического обновления в самой Windows, необходимо открыть "Контрольную панель" и сделать дабл-клик на значке "Система". Выбрав в появившемся диалоговом окне вкладку "Автоматическое обновление" - можно увидеть возможные варианты его работы. Автообновление умеет работать в двух режимах. Периодически связываясь с сервером, система проверяет, есть ли еще не установленные пакеты обновлений. Если таковые есть, то, в зависимости от выбранного режима система либо сначала спрашивает пользователя, можно ли их загрузить, либо загружает сама. Однако, вне зависимости от вопроса о необходимости загрузки, непосредственно перед установкой обновлений система обязательно спросит, нужно ли это делать.
Настройка автоматического обновления
Если автоматический режим отключен, обновление можно осуществить и через веб-интерфейс. В этом случае точно также будет автоматически установлено, в каких именно пакетах нуждается данная конкретная машина (с учетом версии ОС и ранее установленных пакетов). В автоматическом онлайновом обновлении есть неприятный для части пользователей нюанс: с целью определения необходимого перечня устанавливаемых пакетов система собирает информацию о конфигурации машины, а также проверяет Windows на предмет лицензионности.
Если для кого-то прохождение такой проверки проблематично, можно воспользоваться "офлайновым", если так можно выразиться, способом пропатчивания. То же самое верно и для любителей конфиденциальности и просто консерваторов. Microsoft Download Center, не задавая лишних вопросов, позволяет скачивать сервис-паки, заплатки безопасности и прочие полезности. В частности, патч, закрывающий уязвимость в службе RPC, был скачан мной именно оттуда.
Найти нужный файл позволяет система поиска, которая позволяет задавать раздел/технологию и строку из названия патча. В ссылках, которые она возвращает, указывается тип проблемы, решаемой конкретным патчем, а также версия ОС, для которой он выпущен. Так что в нашем случае достаточно было просто ввести комбинацию "RPC" в строке поиска - и список доступных патчей тут же был найден. Сами патчи реализованы в виде CAB-файлов с самоизвлечением, поэтому после загрузки их достаточно просто запустить.
Так или иначе, но "латать" дыры в защите системы нужно обязательно. Разумеется, это не отменяет других правил сетевой "гигиены" (или "техники безопасности" - кому как больше нравится). Например, прилагаемые к письмам от неизвестных адресатов файлы не стоит открывать, даже если у них самые безобидные на вид расширения, вроде jpg. В выпрыгивающих из сетевых подворотен окошках "Да" нельзя нажимать ни в коем случае, как и устанавливать неподписанные или подписанные неизвестными разработчиками компоненты. Разумеется, нежелательно запускать подозрительные приложения. Неплохо бы запретить в настройках IE запуск потенциальной платформы для диверсий по имени ActiveX - но зачастую это приводит к неправильному отображению некоторых страниц.
Безусловно, нельзя забывать и о таких действенных средствах, как файрволы и антивирусные мониторы. Первые могут отсекать нежелательные сетевые пакеты и защищают таким образом компьютер на уровне IP-соединения. Вторые знают инфекцию, что называется, "в лицо" и умеют обнаружить ее, где бы она ни пряталась. Конечно, против совсем новых вирусов и червей антивирусы часто бороться не могут. Однако компьютерные вирусы (как и их биологические собратья), обычно имеют некоторый инкубационный период - для того чтобы иметь возможность заразить как можно больше систем. За этот короткий срок (который несколько увеличивается за счет дополнительного времени, прошедшего с начала эпидемии до заражения конкретной машины) разработчики антивирусных программ вполне могут успеть создать соответствующую "вакцину" с тем, чтобы включить ее в очередное обновление антивируса. Тем не менее случай с Lovesan показал, что антивирусные средства безопасности и традиционные меры предосторожности срабатывают не всегда.
К сожалению, приходится выбирать одно из двух: или вообще запретить у себя на компьютере запуск DCOM и ActiveX, лишившись таким образом многих удобств, либо разрешить эти потенциально небезопасные технологии, однако при этом тщательно соблюдать все правила сетевой гигиены, важнейшее из которых - скачивание и установка свежих обновлений безопасности.