Сегодня отмечают Международный день защиты информации (Computer Security Day). Утвердить этот праздник предложила Ассоциация компьютерного оборудования США в 1988 году. По замыслу он должен служить напоминанием о важности обеспечения информационной безопасности. В этот день традиционно вспоминают самые известные инциденты и обсуждают новые угрозы.
История праздника
Идея отмечать этот праздник в последний день осени возникла из-за того, что двадцать семь лет назад в ноябре случилась первая эпидемия. Появился сетевой червь, с которым долгое время не могли справиться даже совместными усилиями. Это была программа, написанная в исследовательских целях студентом Корнельского университета Робертом Тэппэном Моррисом – сыном известного криптографа АНБ. Несмотря на отсутствие деструктивных функций, червь Морриса парализовал работу значительно части сети ARPANET почти на неделю.
Основой червя был фрагмент исходного кода на языке Си длиной в 99 строк. Он использовался для компиляции «головы» червя непосредственно на заражённом компьютере. Это позволило инфицировать сразу несколько популярных платформ: DEC VAX и Sun разных поколений. Хвостами червя были два бинарных файла, скомпилированных под разные процессорные архитектуры.
Являясь кроссплатформенной программой, червь быстро проникал в большинство систем за счёт использования уязвимостей в популярных сервисах (Sendmail, fingerd). Он выполнял подбор паролей к сервису Remote exec (удаленное выполнение программ) и Remote Shell (удалённый вызов консоли). Для этого червь загружал собственный словарь (432 слова), а также использовал системный орфографический словарь, текущий логин, его обратное написание и другие мутаторы.
По замыслу червь не должен был выдавать своего присутствия. Проблема возникла из-за того, что Роберт неправильно реализовал алгоритм проверки заражения. В результате червь повторно инфицировал один и тот же узел сети до тех пор, пока удалённой машине хватало вычислительных ресурсов на обработку запросов.
Уже через несколько минут после внедрения червь слишком активно создавал и рассылал свои копии, не давая выполняться обычным процессам. На вторые сутки было заражено более четырёх тысяч компьютеров, а на пике эпидемии червь вывел из строя десятую часть всей сети ARPANET. Из-за этого автор червя даже не смог разослать описание процедуры лечения.
Роберт Моррис сдался властям, получил три года испытательного срока и выплатил штраф в размере $10K. Публичный судебный процесс стал его лучшей инвестицией в собственную карьеру. Дискета с исходным кодом червя Морриса хранится в Бостонском музее науки. Использованные в нём механизмы распространения используются создателями новых червей до сих пор, меняются лишь наборы действий и векторы атаки.
Современные угрозы
Бытует мнение, что современные черви опасны только для компьютеров с ОС Windows. Это не было правдой изначально (червь Морриса появился задолго до Windows 95) и не стало истиной сейчас. Черви существуют для всех популярных операционных систем с поддержкой сетевые функции.
В этом году исследователи из компании ESET опубликовали отчёт об исследовании червя Moose, поражающего различные устройства со встраиваемой версией Linux. Червь атакует оборудование любого назначения (от маршрутизаторов и «умных» телевизоров до систем АСУ ТП и медицинских устройств) с целью накручивания счётчиков посещаемости проплаченных страниц.
Неуязвимость творений Apple – ещё один опасный миф. В качестве демонстрации аналитик Ксено Кова (Xeno Kovah) из LegbaCore создал червя Thunderstrike 2, скрыто внедряющегося в прошивку Apple Mac по клику на ссылке. Запускаясь до операционной системы, Thunderstrike 2 перехватывает управление, распространяется на другие устройства и остаётся неуязвимым для классических антивирусов.
https://youtu.be/Jsdqom01XzY
Виртуальные системы – тоже не панацея. Как раз наиболее активно авторы сетевых червей и других вредоносных программ изучают ошибки в реализации гипервизоров. Виртуализация широко используется в дата-центрах, да и вирусные аналитики выполняют с её помощью проверку подозрительных файлов. Уязвимость эмулятора QEMU под названием VENOM (CVE-2015-3456) позволяет изолированному процессу запустить произвольный код в хост-системе. Благодаря ней червь может поразить из виртуального сервера целый ЦОД, а его отладка стандартными методами становится опасной задачей.
Специалисты Fortinet отмечают, что в этом году появилось два новых семейства сетевых червей – Ghostware и Blastware. Первые запрограммированы на удаление всех следов активности в момент своего обнаружения, а вторые запускают в этом случае деструктивные функции – уничтожают данные и/или делают невозможной работу компьютера. Такое поведение затрудняет анализ инцидентов и наносит серьёзный ущерб организациям любого масштаба.
Научно-исследовательский центр FortiGuard Labs прогнозирует, что в следующем году широкое распространение получат сетевые черви для «интернета вещей». По мнению аналитиков, особую опасность будут представлять кроссплатформенные версии, эффективно заражающие устройства разных типов. Уже сейчас компьютеры с Windows могут заражать смартфоны c Android. Из них инфекция легко распространяется на носимые гаджеты с Android Wear.
Разработчики антивирусов совершенствуют технологии противодействия, но главным методом защиты остаётся соблюдение общих правил безопасности. Использование комплексных паролей и закрытие известных уязвимостей сделало бы распространение червя Морриса невозможным. Во многом это справедливо и для его современных аналогов.