АРХИВ СТАТЕЙ ЖУРНАЛА «МОЙ КОМПЬЮТЕР» ЗА 2003 ГОД

Не убивайте Интернет!

Все журналы \ Номер 7/230 `2003 от 17.02.2003 \ Не убивайте Интернет!

Роман ГОРБЕНКО, волонтер-исследователь «Центра Исследования Проблем Компьютерной Преступности» gorbenko@crime-research.org

То, что лавры Роберта Моррисона и Кевина Митника не дают покоя многим хакерам и вирмейкерам, — стало понятно уже давно. Десятки тысяч известных вирусов и тысячи хакерских атак являются ярким тому подтверждением. Но еще никогда по Интернету не наносились столь болезненные и масштабные удары.

Появление 20 января этого года первых случаев заражения вирусом SQL Slammer, или как его еще называют Hellken, было воспринято специалистами по интернет-безопасности довольно спокойно. Дело в том, что об уязвимости Microsoft SQL Server знали уже довольно-таки давно. Вот, например, ознакомьтесь с этим документом, появившемся в Сети 25 июня 2002 года (http://www.ngssoftware.com/advisories/mssql-udp.txt). Уже детально описано, какой формат должен иметь пакет данных, направляемый в порт 1434UDP и вызывающий переполнение буфера и, как следствие, зависание системы.

Компания Microsoft предприняла соответствующие меры еще в мае 2002 года, выпустив соответствующий патч (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp). Но вирмейкеры тоже не сидели сложа руки, а пребывали в трудах «праведных», создавая уже ставший печально известный вирус. Впрочем, если ознакомиться с хронологией, то можно сделать вывод, что они не очень-то спешили. Казалось бы, у администраторов было предостаточно времени, чтобы скачать и установить заплатку, но…

В ночь с 24 на 25 января началась невиданная по масштабам эпидемия. SQL Slammer с огромной скоростью начал распространяться по всему миру. Уже по состоянию на 27 января специалисты говорили о том, что была нарушена работа около 80 тыс. серверов. Одним из побочных явлений действия вируса является генерация огромного количества трафика, что повлекло за собой заметное сокращение пропускной способности каналов.

Несмотря на принятые меры предосторожности, под ударом оказались и серверы, на которых были установлены заплатки, а также те, где даже не стоял Microsoft SQL Server. Вызвано это было тем, что на серверы обрушилось огромное количество ложных пакетов от инфицированных серверов, что создавало эффект масштабной DOS-атаки.

Все это, конечно же, не могли не отразиться и на обычных пользователях, в том числе и отечественных. Так, последствия работы Slammer’a выражались в том, что невозможно было открыть некоторые инет-ресурсы, а также заметно снижалась скорость загрузки страниц. И это, несмотря на то, что Украина достаточно удалена от центра эпидемии, который, как теперь уже известно, находился в Южной Корее. Из-за действия вируса Корея вообще «вывалилась» из Сети на два часа. Корейские сайты перестали быть видимыми, а миллионы корейцев не могли получить доступ в Интернет. Также зафиксированы многочисленные случаи инфицирования Slammer’ом в США, Великобритании, Германии, Швеции и Греции.

В общем, воскресенье (26 января) многие администраторы встретили на своем рабочем месте, устраняя последствия вирусной эпидемии.

ФБР и другие правоохранительные органы взялись искать злоумышленников, однако пока безрезультатно. Не удается даже установить их приблизительное местоположение. Так, по одной версии (http://www.crime-research.org/news/2003/01/2902.htm) данную кибератаку инсценировали китайские хакеры, якобы у корейских полицейских даже есть какие-то доказательства на сей счет.

Издание The Sydney Morning Herald (http://www.smh.com.au) выдвинуло другую гипотезу. Исполнительный директор компании Next Generation Security Software Дэвид Личфилд, исследуя SQL-Slammer, обнаружил, что код последнего основан на коде, показанном самим Личфилдом на состоявшейся в августе 2002 г. конференции BlackHat (http://www.blackhat.com). Этот код был использован Личфилдом для демонстрации уязвимость Microsoft SQL Server 2000. В этой же публикации Дэвид утверждает, что эксперты в области компьютерной безопасности, приписывающие найденную в коде подпись китайскому хакеру по прозвищу NOP, ошибаются. Слово NOP применялось самим Личфилдом, а значит, нет никаких оснований считать, что вирус распространялся человеком по прозвищу NOP либо какой-то другой хакерской группой из Китая.

О других версиях пока ничего не слышно, однако очевидно то, что необходимо предпринимать какие-то ответные шаги. У всех в памяти еще свежи воспоминания о DoS-атаке на корневые DNS-серверы компании VeriSign. Тогда, не справившись с миллионами ложных запросов, упали пять из тринадцати мировых DNS-серверов. Хакеры чуть-чуть не дотянули: если бы удалось вывести из строя еще 2–3 сервера, то оставшиеся просто бы выдержали всей нагрузки и также перестали бы функционировать, оставив весь мир без DNS-маршрутизации. Да, сайты оставались бы доступны по своему IP-адресу, но задайте себе вопрос, много ли IP-адресов я знаю, и Вы поймете, какими неприятностями грозила эта атака.

Всех пользователей заверили, что будут приложены все усилия, чтобы подобного не повторилось. VeriSign заявила о намерении разделить серверы, до атаки находившиеся в одном помещении, но как эти меры смогут обезопасить в случае очередной DoS-атаки, непонятно. Попытки ФБР-овцев найти организаторов и исполнителей этой хакерской атаки также не увенчались успехом. Единственное, что удалось установить, так это то, что хакеры находились в США и Южной Корее, и их действия были хорошо скоординированы.

Реальность показывает, что нынешний Интернет далек от той созданной американскими военными Сети, которая славилась своей надежностью и предполагаемой способностью нормально функционировать даже в условиях ведения ядерной войны.

Главная причина ослабления надежности заключается в коммерциализации Интернета и в значительном уменьшении децентрализации. Последние события очень хорошо показали справедливость такого суждения. Когда мы говорим о том, что нормальное функционирование Интернета напрямую зависит всего лишь от 13 серверов, расположенных в одном помещении (по крайней мере, до недавнего времени) и принадлежащих одной частной компании, мы говорим об уменьшении децентрализации.

Точно такая же ситуация сложилась и вокруг вируса SQL-Slammer. Когда корейские пользователи остались без Инета, вызвано это было не тем, что их компьютеры оказались поражены компьютерным вирусом. Отнюдь, вирус лишь вывел из строя серверы национального провайдера — и вот каков результат.

Довольно интересная публикация на эту тему появилась на сайте BBC (http://news.bbc.co.uk/2/hi/technology/2514651.stm). В ней Тони Губезик делится с журналистами результатами исследований, проходивших в университете штата Огайо. В ходе этих экспериментов моделировались хакерские атаки на ключевые узлы Глобальной Сети — результаты, увы, не обнадеживают.

Всем известный Евгений Касперский тоже приходит к неутешительным выводам. Название статьи «Интернет может умереть уже в этом году», с подзаголовком «Смерть Всемирная Паутина примет от рук хакеров и вирусописателей» (http://vip.lenta.ru/bgcolor/2003/01/18/muerte) говорит сама за себя.

Нам остается только одно, быть оптимистами и провозгласить девиз — пусть живет Интернет!

Рекомендуем ещё прочитать:

Работник-заочник. (№7/230 `2003) Сергей Болашов
Береги кошелек от е-мошенников. (№8/231 `2003) Роман Горбенко, Никита Сенченко
WWWcе коту Масленица. (№9/232 `2003) Марина Двораковская
Я спросил у Яндекса…. (№15/238 `2003) Дмитрий Кошевой
Счет, пожалуйста! (№17/240 `2003) Дмитрий Свирепчук
WWW отпуск с картой. (№28/251 `2003) Марина Двораковская
Новые страшилки про бунт машин. (№41/264 `2003) Вячеслав Белов
Мяукающий Интернет. (№44/267 `2003) Наталья Литвиненко
ИнтерактиWWWное обучение. (№51/274 `2003) Марина Двораковская
Не вебом единым…. (№51/274 `2003) Александр Воловод

Предыдущая статья Назад К списку журналов Следующая статья