Является ли червь Slammer предвестником гибели Интернета?

Минувшие 25-26 января выходные добавили седых волос системным администраторам по всему миру. Мерзкий и удивительно мелкий (367 байт) вирус ураганом пронёсся по всему Интернету. Главное — он очень быстро бегал, то есть распространялся с огромной скоростью. Но, кажется, отбегался...

Надо сказать, шум по поводу этого вируса поднялся неимоверный.

 

 

Компания Symantec — один из мировых лидеров производства антивирусного ПО — обнаружила резкий рост обращений к порту UDP 1434 Microsoft SQL Server, и вскоре стало ясно, что речь действительно идёт о глобальной эпидемии.

В общей сложности заражёнными оказались 80 тысяч серверов по всему миру.

По сведениям "Лаборатории Касперского", география распространения червя выглядит следующим образом:

Страна Количество заражённых серверов США 48,4% Германия 8,2% Южная Корея 4,9% Великобритания 4,9% Канада 4,9% Китай 3,3% Нидерланды 2,7% Тайвань 2,7% Греция 2,2% Швеция 2,2% Россия 1,6%

"Можно с уверенностью утверждать, что "Helkern" появился задолго до 25 января, когда об этом сообщили антивирусные компании и средства массовой информации, — заявляет пресс-служба "Лаборатории Касперского". — Первый случай обнаружения пакетов данных, похожих на копии червя был зафиксирован "Лабораторией Касперского" в 22:07 по московскому времени 20 января 2003 года.

Данные были отправлены с компьютера, принадлежащего одному американскому провайдеру. Однако, это совсем не значит, что "Helkern" был создан сотрудниками этой компании — скорее всего сервер был удаленно заражён злоумышленниками".

"Лаборатория Касперского" считает, что вся правда о происхождении вируса — в логах этого провайдера.

После этого вирус один раз заметили в запросе от сервера в Нидерландах, и ещё один раз он обнаружился в запросе от другого голландского сервера 23 января.

А вот в ночь с 24 на 25 января произошёл "взрыв активности". Всё дело в том, что, по мнению "Лаборатории Касперского", вредоносная программа успела заразить критическое количество серверов, что вызвало "цепную реакцию".

Помимо SQL Server достаточно много других "дырявых" продуктов, так что червей вроде Slammer можно плодить ежедневно.

"Бурный распад с выделением энергии" пришёлся, однако же, на выходные, так что больше всего энергии выделили средства массовой информации и поднятые по тревоге системные администраторы.

Более чем активные действия, предпринятые администраторами, поднятый прессой крик, оперативность антивирусных вендоров, выпустивших утилиты для устранения червя, а также интернет-провайдеров, немедленно поставивших фильтрацию на вредоносные пакеты, позволили остановить эпидемию за выходные.

Так что же, получается, не так страшен "Helkern", как его малюют?

"Клещ" (Klez) выглядит страшнее, на первый взгляд: его эпидемия продолжается уже значительно больше года.

Стоит кому-нибудь промахнуться по письму и открыть не то, что надо, приключение на несколько часов обеспечено: Klez.h, например, блокирует процессы антивирусных пакетов и утилит вроде Clrav.com и даже уничтожает их исполняемые файлы.

Спасает только перезагрузка Windows в Safe Mode и запуск антивирусных средств в этом режиме.

Количество вирусного мусора, сваливающегося в почтовые ящики тоже растёт по экспоненте... Ущерб от вируса Slammer оказался не столь ужасным, так почему же было так много шума?

Дело в том, что вирус не бьёт по индивидуальным пользователям, которые используют в качестве почтового клиента непропатченное штатное средство Windows 98/NT/2000 (а таковых больше, чем даже хотелось бы думать).

Slammer атакует серверы. Как выяснилось, непропатченных серверных пакетов Microsoft SQL Server в Сети полно, несмотря на то, что соответствующая дыра была обнаружена более года назад и патч к ней существует давным-давно. А главное, SQL Server — программа чрезвычайно распространённая.

Когда гром грянул, серверы службы поддержки Microsoft буквально прогнулись под наплывом охотников до старенькой заплатки.

Ну а главной причиной шума была замаячившая перспектива буквального обрушения Интернета под наплывом "мусорного" трафика. Ожидалось, что с началом рабочей недели произойдёт очередная активизация вируса, и тогда — хоть сразу святых выноси.

Однако принятые меры, судя по всему, просто не позволили вирусу продолжить "гулянку".

В разговоре с корреспондентом "Мембраны", руководитель информационной службы "Лаборатории Касперского" Денис Зенкин сказал:

"Не совсем корректно оценивать уровень освещения эпидемии в прессе с точки зрения реального ущерба, который нанёс "Helkern".

В данном случае экспертов волнует даже не сам вирус, а открытый им Ящик Пандоры. Этот червь наглядно продемонстрировал, как "положить" Интернет на несколько дней.

Это не может не внушать опасений за будущее и поэтому я абсолютно согласен с тем вниманием, которое было уделено эпидемии".

На вопрос, каков мог быть ущерб, произойди активизация в рабочий день, Зенкин ответил следующее:

"Для оценки этого ущерба давайте проведём небольшой эксперимент. Наложим все катаклизмы, произошедшие в субботу и воскресенье на будничный день.

	Любителей подпортить людям жизнь везде хватает. И не только в Интернете.

От Интернета отключаются целые регионы, следовательно, большинство компаний оказывается без главного средства коммуникаций на несколько часов. Думаю, каждый час работы мировой экономики стоит не один миллиард долларов..."

Представим, что Интернет и впрямь "падает" на несколько дней... Кратковременный апокалипсис сегодня. Однако его, к счастью, не произошло.

"Люди успели поставить нужные заплатки на свои серверы, — говорит Зенкин. — Только и других брешей в SQL Server и прочих продуктах такого рода столько, что хватит, чтобы несколько лет подряд выпускать Slammer-образных червяков каждый день".

Так что же это было? Неудачная целенаправленная акция по выведению Интернета из строя? Зондирование с целью организации последующей крупномасштабной атаки?

По мнению "Лаборатории", распространение Slammer/Helkern стало результатом но всего лишь чьего-то хулиганства.

"Хулиганство — по подходу и реализации, но терроризм — по результатам. Эти два понятия принято различать по масштабам вызываемых последствий.

В данном случае, когда речь идёт об умышленном нарушении работы главного глобального средства коммуникаций, несомненно, эти действия можно и необходимо классифицировать как кибертерроризм", — говорится в заявлении "Лаборатории Касперского".

"На наш взгляд, без принятия адекватных мер по пресечению и профилактике этого явления уже в самом ближайшем будущем ситуация может выйти из-под контроля и поставить под сомнение существование Интернета.

Однако, в современных условиях это практически нереализуемо. Эффективная система предупреждения, выявления и предотвращения вирусных эпидемий принципиально не может базироваться на сегодняшних стандартах идентификации пользователей Интернета.

Эту систему иначе как анархической назвать нельзя. При возникновении эпидемии почти невозможно найти её настоящий эпицентр. Исключение составляют случаи, когда вирусописатель самостоятельно, как правило, неумышленно, выдаёт себя.

В случае широкого распространения вредоносной программы приходится отключать целые регионы для предотвращения дальнейшего распространения вирусной опасности.

Гримировать боксёров бесполезно.

В целом, этот комплекс мер можно сравнить с нанесением макияжа на боксёра перед боем: можно сколько угодно "латать" многочисленные бреши в системах безопасности, однако, это не спасёт от дальнейших атак.

По сути дела, сегодня мы пытаемся разобраться с последствиями, нежели с причинами создавшегося положения вещей. Вместе с тем, объём последствий уже достиг того уровня, когда дешевле, быстрее и, в конечном счёте, эффективнее, устранить причину".

Но как, спрашивается, эту причину вообще можно устранить? Тем более, что "Лаборатория Касперского" считает таковой "анархию, творящуюся в Интернете", которая предоставляет больше соблазнов ко всяческим злоупотреблениям.

Формирование системы персональных идентификаторов, как справедливо замечается в пресс-релизе "Лаборатории", невозможно по целому ряду политических и экономических проблем межгосударственного уровня, "которые в современном мире неразрешимы".

Посему корпорациям-"локомотивам" современной экономики предлагается сформировать "свою", параллельную сеть, оснащённую всеми мыслимыми и немыслимыми системами безопасности и идентификации — где все пользователи будут обладать порядковыми номерами и прочими персональными метками.

Рецепт состоит в том, что все бизнес-коммуникации переводятся в эту новую сеть, а связь с Интернетом по возможности ограничивается... А в идеале — отсутствует полностью.

	От Интернета надо изолироваться, считают специалисты по компьютерной безопасности.

Вот так, ни больше ни меньше. Естественно, правительствам различных государств наверняка захочется создать аналогичную сеть и для гражданских нужд (кстати, в США для нужд государственных изолированная сеть Govnet уже, как известно, создаётся).

А нынешний Интернет? Специалисты по компьютерной безопасности рисуют крайне плачевную картину его будущего.

Либо он обрушивается под наплывом вирусов вроде Slammer, которые за считанные часы, если не минуты, способны распространиться по всему миру, либо корпорации и государственные структуры создают изолированные параллельные сети.

И в том, и в другом случае Интернет погибает — либо от вирусов, либо в связи с отсутствием необходимости в его существовании.

Да, ещё к слову: поскольку Slammer существует только в оперативной памяти, изничтожается он элементарной перезагрузкой заражённого компьютера.

Статья получена: Membrana.ru