Защитой от «вирусного террора» может стать «паспортизация» пользователей
На прошлой неделе огромные участки Интернета были поражены вирусом Helkern, известным также под именем Slammer («Разрушитель»). Вирус, относящийся к категории «бестелесных червей», вызвал крупнейшую в истории «эпидемию» глобальной сети, затронувшую практически все страны мира. Принцип его действия заключается в том, что зараженный компьютер начинает рассылать «червя» другим машинам, при этом вирус запускает бесконечный цикл распространения, резко увеличивая трафик внутри сетей и вызывая сбои в их работе. Ущерб от атаки, по предварительным оценкам, составил 10 млрд долларов. Однако гораздо важнее был психологический эффект – многие заговорили о «конце Интернета». Опрошенные РБК специалисты по антивирусам считают, что атака «Разрушителя» станет стимулом к разработке принципиально новой глобальной сети.
Появление вируса и его победное шествие по планете не стало откровением для российских компаний, занимающихся разработкой антивирусных программ. Характерно, что в начале января «Лаборатория Касперского» провела пресс-конференцию, где предупредила о скором «пришествии» подобных «Разрушителю» вирусов. «Разработать этот вирус было также легко, как написать небольшую программку. Еще в середине прошлого года в системе безопасности Microsoft SQL Server 2000 были обнаружены критические уязвимости. 24 июля 2002 г. корпорация Microsoft на своем сайте опубликовала информацию о том, какие вирусы могут поразить эту «брешь». Таким образом, она сама подкинула хакерам идею, которую они не замедлили воплотить в жизнь», – сказал РБК Борис Шаров, коммерческий директор компании «ДиалогНаука», занимающейся разработкой антивирусных программ. В целом же в ответ на вопрос – кому выгодно происшедшее? – эксперты либо пожимают плечами, либо списывают все на хакерское хулиганство. «По методам произошедшее можно назвать хулиганством. По последствиям – гипертерроризмом», – сказал РБК Денис Зенкин, начальник информационного отдела «Лаборатории Касперского». Таким образом, можно только догадываться, к каким последствиям может привести использование вирусного оружия против Интернета «настоящими» террористами. Сейчас же больше всего от вируса пострадали Интернет-магазины и другие фирмы, которые использовали программное обеспечение Microsoft как базу для ведения бизнеса, сообщили РБК в «ДиалогНауке».
Несмотря на сообщения западных СМИ о том, что поиском исполнителей глобального теракта в Интернете сегодня занимается Интерпол, отечественные специалисты говорят, что выявить их практически невозможно. По словам Бориса Шарова, автором вируса мог быть кто угодно. «К сожалению, того, кто разработал вирус, определить практически нереально, – сказал РБК Денис Зенкин. – Сегодня есть только два известных способа. Во-первых – по записи в копирайте программы, когда разработчик действует в открытую (чего в случае с Helkern не было). Во-вторых – по месту, где находится эпицентр вируса. По нашим данным, эпидемия Helkern началась в США. Вирус был впервые обнаружен на сайте одной американской фирмы – интернет-провайдера. Скорее всего, и корни эпидемии идут из Америки. Вместе с тем не факт, что именно люди из фирмы-провайдера – это разработчики вируса».
По словам представителей «ДиалогНауки», новый вирус является вторым «бестелесным вирусом» после победно прошествовавшего по планете в 2001 году Code Red, ущерб от которого составил 2,6 млрд долларов. Трудность при борьбе с «червями» состоит в том, что Helkern не существует в виде файла на зараженном компьютере и не распространяется в таком виде по сети. На пораженном PC червь проникает в программу Microsoft SQL Server 2000 (одна из самых популярных на сегодня в мире систем управления базами данных) и запускает в нем свой код – бесконечный цикл, генерирующий с высокой скоростью большой сетевой трафик в силу того, что червь пытается атаковать случайным образом сгенерированные IP-адреса, рассылая сетевые пакеты со своим телом. Таким образом происходит глобальное и практически мгновенное замедление работы большого количества интернет-ресурсов. Из-за специфических особенностей червя обнаружение и лечение вируса обычными методами невозможно. Антивирусные программы, проверяющие на наличие вирусов только файлы и операции с файлами, не способны его обнаружить, поскольку этот червь существует только в виде сетевых пакетов и программного кода в памяти компьютера. Вирус не создает файлов на дисках, и поэтому обычные антивирусные программы против него бесполезны. Во избежание заражения компьютера антивирусная программа должна «перелопачивать» входящий трафик.
Правда, на этой неделе эпидемия уже пошла на спад, задев Россию лишь «по касательной». По словам представителя компании «ДиалогНаука», из-за сравнительно небольшого использования уязвимого программного обеспечения Microsoft в нашей стране, а также некоторого запаса времени, предупредить воздействие Henkern в России оказалось несложно. «Борьба с вирусами – это вопрос дисциплины. Локально их действие можно предотвратить, установив и регулярно обновляя антивирусные программы», – говорит Борис Шаров. Он отметил, что компьютерная помощь в виде хорошей антивирусной программы и установки программной «заплатки», опубликованной в прошлом году на сайте Microsoft.com, смогут обеспечить необходимую защиту от Helkern.
Тем не менее, специалисты отмечают, что с вирусами, которые придут вслед за «Разрушителем», уже будет практически невозможно справиться локальными методами. Уязвимость существующего Интернета – в его анонимности, провоцирующей создателей вредоносных программ. В результате, количество глобальных эпидемий компьютерных вирусов, хакерских атак, а также появление в Интернете других вредоносных программ стремительно увеличивается. Эпидемия Helkern наглядно продемонстрировала то, что вирусная атака способна вызвать серьезные нарушения работы самой сети. Так, на пике активности червя работа Интернета была замедлена на 25%. Можно с уверенностью утверждать, что масштабные вирусные эпидемии будут повторяться и в будущем, причем частота появления новых «разрушителей» увеличится. В конечном счете, использование Интернета будет настолько затруднено (постоянные перебои работы из-за вирусных и хакерских атак), что пользователи начнут переходить на другие средства коммуникации. Решением этой проблемы, по мнению специалистов «Лаборатория Касперского», может стать создание «параллельной глобальной сети». Отличие ее от нынешнего Интернета, прежде всего, в идеологии построения. В «альтернативном Интернете» фактически предлагается ввести что-то подобное компьютерным паспортам для возможности идентификации всех Интернет-пользователей. Правда, последствия подобной «паспортизации» для Сети, чей бурный рост в последние годы был как раз во многом основан на принципе «абсолютной свободы», также могут быть крайне плачевными.
