"Helkern": начало конца о котором так давно говорили эксперты
"Лаборатория Касперского" анализирует последствия последней эпидемии
Эпидемия "Helkern" стала крупнейшей не только по числу зараженных
серверов (около 80.000), географии и скорости распространения, но и по
последствиям для функционирования Интернет в целом. Ранее ни одна другая
вредоносная программа не угрожала разорвать на составные части Всемирную
сеть и нарушить коммуникации между разными регионами. "Helkern"
(
http://www.viruslist.com/viruslist.html?id=1701882) это вполне удалось:
серьезные нарушения работы и "веерные" отключения Интернет были
зафиксированы в США, Южной Корее, Австралии и Новой Зеландии. По данным
"Лаборатории Касперского", "Helkern" на пике эпидемии (25.01.2003)
вызвал замедление работы Интернет до 25%. Это значит, что доступ к
каждому 4 сайту был или невозможен, или затруднен. Схожие нарушения были
выявлены и в других службах, использующих Интернет: электронной почте,
FTP-сервисах, сетевых пейджерах и т.д.
Является ли "Helkern" единичным случаем непреднамеренной атаки? Или
это очередной шаг кибер-террористов для выявления наиболее слабых мест
сети с целью моделирования обвала Интернет? Каковы последствия этой
эпидемии для будущего Всемирной сети? Сейчас эти вопросы волнуют каждого
пользователя, каким-либо образом связанного с Интернет.
Прежде всего, необходимо понять реальную опасность "Helkern". С
одной стороны, он атакует исключительно серверные компьютеры, так что
большая часть пользователей Интернет может чувствовать себя в
безопасности: если на машине не установлена система управления базами
данных Microsoft SQL Server, то этот червь не может нанести никакого
вреда. Однако с другой стороны, масштабы распространения "Helkern" и
последствия многократного увеличения сетевого трафика могут вызвать
перебои в работе всего Интернет. Таким образом, косвенно страдают все
пользователи сети вне зависимости от их статуса и интересов.
Серьезную озабоченность будущим Интернет вызывает не столько сам
"Helkern", сколько "обкатанная" на нем технология молниеносного
замедления сети. Более чем вероятно, что уже в ближайшее время исходные
тексты червя появятся на специализированных вирусных сайтах и форумах, и
тогда компьютерный андерграунд вплотную займется клонированием
"Helkern". Будут созданы новые модификации червя, которые, не исключено,
будут отличаться еще более мощной технологией распространения и нести в
себе деструктивный заряд. Последствия такого развития событий и
потенциальный ущерб мировой экономике практически не поддается оценке.
Беспокоит и другая сторона вопроса, напрямую связанная с эпидемией
"Helkern". Атака этого червя продемонстрировала уязвимость Интернет в
целом. Она также наглядно указала на одно из слабых мест, через которое
можно вообще остановить работу сети. Речь, конечно, идет об
использовании брешей в системах безопасности, через которые вирусы могут
беспрепятственно проникать на компьютеры. Дела в этой области обстоят
далеко не лучшим образом.
Общеизвестно, что абсолютно защищенного программного обеспечения не
бывает. Каждый день обнаруживается до десяти брешей в самых различных
операционных системах и приложениях, авторы которых немедленно выпускают
соответствующие "заплатки". Слабое звено этой системы, как это часто
случается, - человеческий фактор. Многие системные администраторы крайне
нерегулярно устанавливают эти "заплатки", оставляя свои сети
потенциально подверженными атакам новых вредоносных программ. Опыт
"Helkern" показывает, насколько продуктивно можно воспользоваться этим
недостатком. Главная угроза состоит в том, что уже ничто не может
остановить вирусописателей от дальнейшего создания сетевых червей,
нацеленных на различные бреши. Ящик Пандоры открыт и уже ничто не может
остановить его разрушительную силу. Если подойти к проблеме с другой
стороны, то количества этих брешей вполне хватит, чтобы выпускать
Helkern-подобных червей каждый день в течение нескольких лет. При таком
развитии событий Интернет станет малопригодным как для
бизнес-коммуникаций, так и для развлечений или поиска информации.
Опасность такого развития событий антивирусные эксперты "Лаборатории
Касперского" предвидели уже несколько лет назад, когда появились первые
образцы червей-невидимок ("BubbleBoy" и "KakWorm"), проникавших на
компьютеры через бреши в системах безопасности. До недавнего времени эта
информация оставалась в узком кругу специалистов, которые намеренно не
давали утечки в вирусописательские круги, дабы не стать инициаторами
катастрофы. Однако в августе 2001 г. Николас Уивер (Nicholas Weaver) из
университета Беркли (США) опубликовал исследование о технологии создания
червя "Warhol" (также известен как "Флэш-червь"), который в течение 15
минут способен распространиться по всему миру. Именно поэтому червь был
назван в честь Энди Уорхола (Andy Warhol), автора фразы "в будущем у
каждого появится возможность испытать 15 минут славы". Таким образом,
теперь идея является открытой, и мы имеем честь наблюдать, как
вирусописатели активно берут ее на вооружение.
В этой связи встает вопрос: является ли "Helkern" очередным шагом в
плане зондирования Интернет с целью определения слабых сторон и
проведения последующей крупномасштабной атаки на Интернет? Мы далеки от
мыслио заговоре некой подпольной террористической организации. Более
вероятно, что имеет место быть самое обыкновенное кибер-хулиганство.
Хулиганство - по подходу и реализации, но терроризм - по результатам.
Эти два понятия принято различать по масштабам вызываемых последствий. В
данном случае, когда речь идет об умышленном нарушении работы главного
глобального средства коммуникаций, несомненно, эти действия можно и
необходимо классифицировать как кибер-терроризм. На наш взгляд, без
принятия адекватных мер по пресечению и профилактике этого явления уже в
самом ближайшем будущем ситуация может выйти из-под контроля и поставить
под сомнение существование Интернет.
