Зал 4.  Интернет-кризис и угрозы глобальной Сети

Экспозиция 3.  Вирусы (компьютерная чума 20 века)

Говоря о кризисе в интернет как о кризисе технологии, нельзя обойти вниманием тему компьютерных вирусов. Вирусные атаки приобретают форму целых сетевых эпидемий. Убытки, нанесенные Сети, от подобных эпидемий исчисляются уже миллиардами долларов, а количество пострадавших машин в каждой из них - миллионами. Феномен компьютерных вирусов уникален, фактически, это первая успешная попытка создать искусственную жизнь. Жизнь, поскольку компьютерным вирусам присущи все атрибуты живого - способность к размножению, приспособляемости к среде, движение и т.д. (естественно, только в пределах компьютеров - так же как все вышесказанное верно для биологических вирусов в пределах клеток организма). Более того, существуют "двуполые" вирусы (вирус RMNS), а примером "многоклеточности" могут служить, например, макро-вирусы, состоящие из нескольких независимых макросов. А с учетом того, что большинство вирусов сейчас распространяется именно через интернет, можно говорить о том, что мы имеем дело со своеобразными "жителями" Сети, которые паразитируют на ее ресурсах и поражают ее составляющие компоненты.

Краткая история вирусов в Сети

Первые исследования саморазмножающихся искусственных конструкций проводились в середине двадцатого столетия. В работах фон Неймана, Винера и других авторов дано определение и проведен математический анализ конечных автоматов, в том числе и самовоспроизводящихся. Термин "компьютерный вирус" появился позднее - официально считается, что его впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США.

В конце 60-х, начале 70-х на мейнфреймах того времени появились первые предки современных вирусов - программы, называвшиеся "кроликами" (rabbit), которые клонировали сами себя и тем самым занимали системные ресурсы. Их написанием, скорее всего, занимались системные администраторы "шутки ради", а сами "кролики" не выходили за пределы своего мейнфрейма. Спустя несколько лет, в середине 70-х появляется на свет первый вирус, использующий для своего распространения глобальные компьютерные сети. Этим вирусом был "The Creeper" созданный под операционную систему Tenex. Однако вплоть до 80-х сетевые вирусы не имели широкого распространения, ввиду отсутствия массовых пользователей глобальных сетей. Во второй половине 80-х, а точнее в 1986 году происходит первая массовая пандемия IBM-PC вируса "Brain". Этот вирус хоть и не распространялся по сети, а заражал 360 Kб дискеты, практически мгновенно разошелся по всему миру, что выявило неготовность компьютерного сообщества к встрече с таким явлением, как компьютерный вирус и стало показательным примером того, насколько серьезной может стать проблема. А всего год спустя, в 1987 году на арену снова выходят сетевые вирусы. В декабре 1987 произошла первая известная повальная эпидемия сетевого вируса "Cristmas Tree", написанного на языке REXX и распространявшего себя в операционной среде VM/CMS. 9-го декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN) и затем - в сеть IBM VNet. Через четыре дня (13 декабря) вирус парализовал сеть - она была забита его копиями. При запуске вирус выводил на экран изображение рождественской елочки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в соответствующих системных файлах NAMES и NETLOG. Эстафету "Cristmas Tree" в ноябре 1988 года подхватил вирус Морриса (другое название - Internet Worm). Используя ряд ошибок и уязвимостей в операционной системе Unix для VAX и Sun Microsystems, вирус заразил более 6000 компьютерных систем в США (включая NASA Research Institute) и практически парализовал их работу. По причине ошибки в коде вируса он, как и вирус-червь "Cristmas Tree", неограниченно рассылал свои копии по другим компьютьерам сети и, таким образом, полностью забрал под себя ее ресурсы. Общие убытки от вируса Морриса были оценены в 96 миллионов долларов. Не прошло и месяца, как новый вирус-червь HI.COM поразил сеть DECNet. Так началась эра сетевых вирусов.

В последующие несколько лет компьютерные вирусы продолжают эволюционировать, обрастая все новыми и новыми возможностями. В 1990 году появляются первые полиморфик-вирусы "Chameleon" (другое название - "V2P1", "V2P2" и "V2P6"). До этого момента антивирусные программы для поиска вирусов пользовались так называемыми "масками" - кусками вирусного кода, что теперь стало невозможным. Во второй половине 1990-го появились два стелс-монстра - "Frodo" и "Whale". Оба вируса использовали крайне сложные стелс-алгоритмы, а девятикилобайтный "Whale" к тому же применял несколько уровней шифровки и анти-отладочных приемов. Одним из поворотных моментов в истории вирусов стало обнаружение первых макро-вирусов в августе 1995 и июле 1996 года. Тогда на свет появились соответственно "Concept" - первый вирус для Microsoft Word и "Laroux" - первый вирус для Microsoft Excel. Оба вируса в считанные месяцы облетели весь земной шар и заполонили компьютеры пользователей, ведь большинство почтовой переписки (e-mail) велось именно с использованием этих двух популярных форматов (MS-Word и Excel). А через год после "Laroux" появилась новая форма компьютерного вируса - черви mIRC, распространявшие себя по IRC-каналам, используя утилиту Windows IRC (Internet Relay Chat). Интернет-экспансия компьютерных паразитов продолжилась в 1998 году тремя вирусами "VBScript.Rabbit", заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написании Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса ("HTML.Internal"). К этому моменту становится достаточно очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, Web-сервера и/или активно распростряняющегося по электронной почте.

Начало нового тысячелетия принесло с собой новые глобальные эпидемии сетевых вирусов. Так в 2001 году было зафиксировано свыше 37000 хакерских атак (для сравнения в 2000 - около 22000) и несколько крупных сетевых эпидемий. Особо крупные эпидемии спровоцировали вирусы "AnnaKournikova", "SirCam", "Code Red" и "Nimda", ущерб от них перевалил за отметку в 13 миллиардов долларов. В 2002 году эта цифра удвоилась и составила по некоторым оценкам от 20 до 30 миллиардов. В этом году было зафиксировано 12 крупных и 34 менее значительных вирусных эпидемии. В абсолютном большинстве из них были виноваты "почтовые черви" (96,4% всех зарегистрированных инцидентов) - вредоносные программы, способные самостоятельно распространяться в компьютерных сетях при помощи электронной почты. По данным аналитической компании Message Labs, в 2002 году количество вирусов, пересылаемых по электронной почте, удвоилось и вирус содержался в каждом 200-м письме. Глядя на такие темпы развития событий, некоторые специалисты в сфере компьютерной безопасности, в частности руководитель антивирусных исследований " Лаборатории Касперского" Евгений Касперский, предсказывали в 2003 году конец интернета: "Современный Интернет находится на завершающей стадии своего жизненного цикла, еще немного - и он просто умрет", - говорил Евгений Касперский. Такие слова известного компьютерного вирусолога были подкреплены не только статистикой динамики сетевых эпидемий, но и появлением в этом году алгоритмов, позволяющих создавать сетевых червей с очень высокой скоростью распространения (flash-червей) - настолько высокой, что порог эпидемии мог достигаться за несколько секунд. И все же интернет выжил, хотя и пережил в 2003 году 9 крупных вирусных эпидемий и 26 менее значительных. Именно в этом году произошли 2 крупнейшие эпидемии в истории тогдашнего интернета. Первая - атака червя Slammer (Helkern), который 25 января 2003 года в течение нескольких минут заразил сотни тысяч компьютеров по всему миру и вывел из строя несколько отдельных национальных сегментов интернета. Этот призрачный вирус не создавал тела на диске, а лишь присутствовал в памяти машины. Финансовый ущерб от Slammer составил 1,25 миллиарда долларов. Другой нашумевший червь - Lovesan (Blaster) - появился в сети 12 августа. Он проникал через брешь в системе безопасности Windows, а это говорит о том, что в те дни практически каждый пользователь интернета подвергался атаке со стороны Lovesan. Эта эпидемия обошлась миру в 400 миллионов долларов. Но Helkern и Lovesan не долго носили корону лидерства среди сетевых вирусов. В 2004 году произошли две эпидемии, которые смело можно назвать крупнейшими за всю историю сети интернет - распространение почтового червя MyDoom.a (январь-февраль 2004 г.) и сетевого червя Sasser.a (май 2004 г.). Причем, доля сетевых вирусов к этому году составляла уже порядка 87 % от общего количества, а на долю традиционных и макро-вирусов приходилось соответственно всего 1% и 4%, оставшиеся 8% занимали различные троянские программы.

Современные тенденции вирусописания

В последние годы антивирусные аналитики "Лаборатории Касперского" отмечают интенсивную криминализацию интернета. Преступники-одиночки объединяются в международные преступные группировки, влияние которых на рынке вредоносных программ уже стало столь велико, что это привело к изменению, "ломке" устоявшихся тенденций развития многих классов вредоносных программ (TrojWare, VirWare, AdWare). Начавшееся в самом конце 2003 года зарождение "профессионального" рынка вредоносных программ молниеносно перешло в становление (2004 год), которое практически закончилось к началу 2005 года. Таким образом, 2004 год можно смело называть годом тотальной криминализации мирового интернет-сообщества вирусописателей.

По мнению сотрудников лаборатории, преступники окончательно отказываются от методики массированных атак при помощи сетевых червей и рассылок троянских программ и все чаще предпочитают атаковать конкретные, наиболее крупные цели, такие, например, как банки. Причин этому несколько. Во-первых, антивирусная индустрия, основываясь на почти десятилетнем опыте борьбы с глобальными эпидемиями червей, создала внушительную инфраструктуру противодействия, начиная с самого первого уровня защиты - обнаружения в почтовом трафике множества копий одного и того же файла, что является первичным признаком массовой рассылки - и до сложных уровней защиты, включающих в себя IDS и аппаратные межсетевые экраны. Во-вторых, даже если червю удается прорваться через множество уровней защиты и заразить несколько тысяч пользователей, перед ним встают задачи дальнейшего размножения и, что наиболее важно с точки зрения преступников, сбора и пересылки украденной информации. Анализ вредоносных программ, проводимый антивирусными экспертами, позволяет быстро установить сервера, на которые отправляется собранная информация, а также каналы и способы управления зараженными машинами. Это дает возможность если не задержать злоумышленников, то хотя бы лишить их плодов деятельности созданных ими вирусов - путем закрытия подобных серверов. В-третьих, даже если украденные данные все-таки попадут в руки преступников, то перед ними встанет проблема использования их с целью получения прибыли. Здесь тоже не все просто, и риск ареста на данной стадии за последние годы многократно возрос. Вышеописанные проблемы заставляют киберпреступников искать другие цели и способы получения денег и кражи интересующей их информации, такие, где риск был бы оправдан в случае успеха (банковская и персональная информация, номера кредитных карт, номера карт социального страхования и т.д.).

Криминализация интернета - одна из наиболее острых проблем новой информационной среды на сегодня. Возможность загребать большие деньги привлекла в интернет профессиональных киберпреступников, которые сменили хакеров-любителей. Но интернет-общественность все более активно борется с преступлениями в Сети. Из своего $5-миллиардного бюджета на 2005 финансовый год на борьбу с киберпреступлениями ФБР выделит $150 млн. (без учета расходов на личный состав). Прокуроры начинают решительно применять к киберпреступникам Computer Fraud & Abuse Act, предусматривающий наказание до 20 лет тюремного заключения. Ужесточение мер в отношении киберпреступлений и объединение усилий многих государств по созданию системы международного регулирования Интернет могут помочь избежать серьезных кризисов в развитии Сети.