Бой с тенью компьютерные вирусы и причины сетевого хаоса

Версия для печатиВерсия для печати

сеть вирус

«...мыслящие люди должны отчетливо сознавать сильные и слабые стороны тех средств,
которыми они располагают. Ясное понимание ограниченности (равно как и возможностей) того или иного
подхода приносит несравненно больше пользы, чем слепая вера, способная исказить наши представления
или даже привести нас к краху.»

Моррис Клайн. «Математика: Утрата определенности»

Годовщину своего двадцатилетия компьютерные вирусы встретили находясь в центре общественного внимания. Счет убытков для мировой экономики уже пошел на триллионы долларов. Лидер рынка программного обеспечения (ПО) предлагает по 250 тыс. за голову каждого вирусописателя, тем самым признавая, что вирусная проблема не имеет удовлетворительного решения (правоохранительная система за 15 лет установила личности аж семи вирусописателей).

В последние два-три года злонамеренные коды перешагнули рубеж банальной уголовщины переучившихся недорослей. Все большее количество стран классифицируют их как угрозу национальной безопасности. США сразу же после катастрофы 11-го сентября, опираясь на весьма шаткие предположения, приравняли вирусы к орудию терроризма. Однако реальность оказалась еще суровее. Warhol (или блицкриг) черви (аналогичные Slammer и Blaster) вызывают глобальные эпидемии за считанные минуты и действуют как оружие массового поражения. Вряд ли можно подобрать иное определение для крошечных программ, способных блокировать телекоммуникационные связи в целых странах.

Вирусные атаки становятся все более опасными, поскольку на наших глазах произошла тотальная компьютеризация всех системообразующих элементов современной цивилизации: энергетики, коммунальных инфраструктур, телекоммуникаций, финансовых систем, железнодорожного и авиационного транспорта и т. д. Их функционирование и согласование связей отлаживалось десятилетиями. Сегодня же они полностью отданы во власть компьютерам. Благодаря значительному усложнению функциональности ПО и взрывному развитию глобальной сети Интернет возникли новые возможности для разработки и распространения вирусов. Однородное программное обеспечение, установленное на сотнях миллионов компьютеров, стало средой обитания для червей, за считанные мгновения поражающих сети на всех континентах. Случись массовый выход из строя электронных систем, и нас накроет вал отходов собственной жизнедеятельности.

Возражения скептиков не принимаются во внимание при создании инфраструктуры «электронного правительства». Между тем, в этом случае резко обостряется проблема инсайдера. Безопасность, опирающаяся на табу, - это иллюзия. Хорошо известна история бывшего директора ЦРУ Джона Дойча, работавшего с секретными документами на домашнем компьютере, который использовался для прогулок по порносайтам. Человек же, разбирающийся в слабых местах используемого ПО, становится потенциально опасным, даже находясь на нижних ступенях бюрократической лестницы.

Анализируя уязвимость критических инфраструктур к вирусным атакам, эксперты долгое время сомневались в реальности рассматриваемых сценариев. Основное внимание уделялось инсайдерам и террористическим актам, направленным на физические объекты. Проведенные летом 2002 года в США виртуальные учения Blue Cascades предсказали эффект домино в разрушении критических инфраструктур, при этом самым слабым звеном оказалась электроэнергетика. Никто не ожидал, что модели получат столь быстрое подтверждение.

23 января 2003 года Билл Гейтс разослал эссе, повествующее о прогрессе инициативы Trustworthy Computing и дальнейших планах компании по усилению безопасности, а уже 25-го червь Slammer убедил мир, что на самом деле применяемую методику устранения уязвимостей правильнее называть Trishkin Caf taning. Но только благодаря каскадному обрушению американской энергосистемы общественность узнала, что из-за выдающегося разгильдяйства персонала этот зловредный код проник во внутреннюю сеть атомной электростанции в Огайо и вывел из строя несколько контрольных систем, а также блокировал работу диспетчерских центров. Сетевые черви вмешались в работу CSX Corp.'s, управляющей движением поездов в 23 штатах США, и блокировали ванкуверский аэропорт. На этом фоне неубедительно выглядит яростное отрицание причастности Blaster'a к энергозатмению августа 2003-го.

На защиту компьютерных сетей сегодня тратятся колоссальные средства. Аналитики прогнозируют безоблачное будущее для рынка услуг информационной безопасности. Тем не менее достигнутые результаты оказались более чем скромными: ни одну из концептуальных эпидемий предотвратить не удалось. Почтовые (Melissa в 1999 и I Love You в 2000), бестелесные (Code Red в 2001) и Warhol (Slammer и Blaster в 2003) черви оказались неприятным сюрпризом. При этом последняя парочка явно стала ответом на теоретические изыскания по динамике распространения червей с различными алгоритмами размножения.

Лидеры антивирусного фронта убеждают потребителей, что проблема совершенной защиты от злонамеренных кодов может быть решена при вливании в отрасль денежных потоков, адекватных сложности и трудоемкости задачи, намекая при этом на то, что объем мирового рынка антивирусных средств на порядок меньше потерь крупного бизнеса от компьютерных вирусов. Важность финансирования трудно переоценить, как, впрочем, и важность понимания того, что вирусы — это всего лишь небольшая образующая сетевого хаоса, фундамент которого был заложен при проектировании первых компьютеров и сетей. Корпорации с помощью СМИ намеренно сводят дискуссии по проблемам существования вирусов к обсуждению хакеров и вреда, причиняемого злонамеренными программами, что равносильно «внесению духа бесконечно малых в государственные дела».

Истоки

Архитектура с «подвохом». Классические работы Джона фон Неймана о самовоспроизводящихся автоматах на протяжении десятилетий оставались достоянием крайне узкого круга математиков, знакомых с непростыми для восприятия идеями, которые к тому же он так и не успел окончательно оформить. Забвение достигло такой степени, что Фред Коэн (Fred Cohen), имя которого чаще всего упоминается в связи с авторством термина «вирус», в своей основополагающей работе, ставшей основой докторской диссертации, обошелся без упоминания работ фон Неймана.

Принципы фон Неймана, до сих пор используемые в современных ЭВМ, позволили решить проблему построения надежных систем из ненадежных элементов. Но на это же были направлены исследования самовоспроизводящихся автоматов, которые по замыслу фон Неймана должны были решить проблему надежности сложных систем и снять предел сложности и возможностей искусственных автоматов.

Фон-неймановская архитектура буквально подталкивает к написанию самовоспроизводящихся кодов. Они долгое время рассматривались в качестве академической диковинки, не имеющей практических приложений. Когда же наступило прозрение, то оказалось, что точка возврата уже давно пройдена - архитектура фон Неймана стала коммерческим стандартом, поскольку ее автора не слишком занимали проблемы патентования (невероятный факт для наших дней). Для него это был всего лишь полигон для дальнейших исследований.

Коммерциализация военных разработок. Безопасность в военных сетях обеспечивалась ограниченным допуском персонала к оборудованию, отсутствием анонимности и объединением в сети только доверенных компьютеров. Исходя из этого сетевые протоколы разрабатывались таким образом, чтобы гарантировать доставку информации к узлу назначения без затрат на проверку личности отправителя и достоверности передаваемых данных. Сети публичного доступа строились на готовых военных разработках, но при этом оказались анонимными по своей природе. Добавленные механизмы авторизации и защиты позволяют с невысокой надежностью определить компьютер, но никак не идентифицируют человека. В результате даже в тех редких случаях, когда удается обнаружить злоумышленника, у него оказываются неплохие шансы избежать наказания.

Гражданин Великобритании, подозреваемый в хакерской атаке на компьютерную сеть порта Хьюстон, был оправдан судом присяжных в октябре 2003 года. Это показывает, что обвинение более не может опираться только на жонглирование техническими терминами, уповая на неосведомленность присяжных и судей. Эксперт вынужден был признать, что «зомбирование» компьютеров троянскими программами с целью маскировки истинного злоумышленника стало обычной практикой, что и предрешило появление оправдательного прецедента.

Болезни роста

Стремительная миниатюризация электронных компонентов позволила осуществить всеобъемлющую компьютеризацию среды обитания человека (по крайней мере в технологически продвинутых странах). Однако, поскольку увеличение общего количества представителей любой профессии неуклонно сближает средний уровень их квалификации с минимальным, то основные усилия создателей ПО оказались направлены на повышение «дружественности» их разработок. Часто в ущерб безопасности.

Сложность программного обеспечения. Для реализации на первый взгляд простой «дружественной» функции могут потребоваться десятки, а то и сотни тысяч строк программного кода. В какой-то момент с ПО произошло то же, что и с электронными схемами первых ЭВМ: конструкция стала содержать чрезмерное количество ненадежных элементов. По своим последствиям случайная ошибка переполнения буфера сравнима со специально внедренным «черным ходом». Тестирование и отладка программ становятся все более трудоемкими и менее качественными, в результате чего аналогичных уязвимостей в уже созданном ПО хватит вирусописателям на многие годы. При этом концептуальные промахи, которые можно исправить только кардинальной переделкой кода, не являются прерогативой одной компании.

Игнорирование академических исследований. Рыночная гонка долгое время отодвигала исследования безопасности создаваемых систем на задний план. Не говоря уже о классических работах, на которые «все ссылаются, но редко кто их действительно читает», втуне пропадают и менее фундаментальные результаты. В частности, Ф. Коэн предупреждал, что для предотвращения заражения нужно исключать обмен данными между электронной почтой и другими приложениями, но из-за пренебрежения этим правилом появилась целая вирусная платформа, которая так и называется вирусы для Outlook (Express).

СОМ-интерфейс и его аналоги связывают все программы воедино, благодаря чему одна программа может использовать функциональные возможности другой и не всегда с добрыми намерениями. В современных ОС существует парадокс: проникший в компьютер зловредный код нередко имеет больше прав и возможностей, чем администратор.

Кен Томпсон (Ken Thompson) в Тьюринговской лекции 1983 г. рассмотрел проблему доверия к ПО. Его вывод - никакой объем верификации и исследований исходного текста не защитит от использования ненадежного кода. Чем больше кода «со стороны», тем выше ненадежность. Сегодня аутсорсинг - обычная практика при разработке ПО. Заказы нередко проходят через нескольких подрядчиков и временных коллективов. В результате, когда в процессе эксплуатации ПО всплывают ошибки, отвечать за них просто некому.

Непонимание пользователями природы виртуальных угроз. Если человек не понимает смысла налагаемых запретов и ограничений, он их просто игнорирует. До недавнего времени считалось само собой разумеющимся, что вирусные эпидемии проистекают из небрежности пользователей. Хотя элементарный анализ показывал, что такой подход - это просто форма ухода корпораций от ответственности за собственные просчеты, только череда чрезвычайных событий 2003 года заставила признать абсолютную непригодность существующей политики латания «дыр».

Проигранная кампания

За два десятилетия противостояния единственным более-менее эффективным антивирусным средством до недавнего времени было сканирование файлов в поиске уникальных последовательностей кодов, характерных для конкретной разновидности вирусов. Однако ничто не мешает злоумышленникам модифицировать исходный текст до тех пор, пока сканер не перестанет его узнавать.

Эвристические анализаторы до сих пор бесполезны в реальной работе. Поведенческие блокираторы также эффективны только в связке со специалистом надлежащей квалификации. Злонамеренная функциональность программы - это вторичная качественная характеристика, и вирусы не содержат в себе никаких маркеров, позволяющих априори сделать однозначное заключение. Поэтому псевдоинтеллектуальные программы защиты отличаются сложностью настройки и чрезмерным уровнем ложных тревог.

Устоявшая в какой-то степени концепция антивирусной обороны рухнула с появлением класса Warhol червей-вирусов. Тут не то что пользователи не успевают обновлять катастрофически разрастающиеся антивирусные базы, но и самим экспертам не хватает времени для анализа злонамеренного кода. Стандартной функцией вирусов становится отключение и уничтожение антивирусных мониторов и межсетевых экранов, в результате чего на зараженный компьютер не могут попасть обновления антивирусных баз. Неудивительно, что противовирусная оборона скатилась до уровня «охотников за вознаграждениями».

Суммируя вышесказанное, можно утверждать, что современные компьютеризированные инфраструктуры базируются на экспериментальных и до конца не изученных технологиях. В этих системах существование самовоспроизводящихся кодов заложено в первых принципах, а сложность ПО - основная причина многочисленных повторяющихся ошибок, которые становятся источником вдохновения для вирусописателей. Реальность такова, что проблема защиты от зловредных кодов может быть решена только после создания распознавателя алгоритмов. Однако такая задача напрямую связана с искусственным интеллектом, дальнейшие перспективы которого вызывают глубокий скепсис даже у основателей этого научного направления.
А. Захарченко Защита информации.Конфидент № 6, 2003