Архивы: по дате | по разделам | по авторам

В зависимости от

АрхивКомментарий дня
автор : Евгений Золотов   24.05.2002

Взаимодействие пользователей в Сети, пусть и анонимное, помогает облегчить борьбу с вирусными эпидемиями.

За долгие годы своей эволюции глобальная сеть повидала множество вирусных эпидемий. Но лишь с недавних пор их стало возможным обнаруживать заблаговременно, до того, как вирус сумеет проявить себя. Для этого используются инструменты, сопоставляющие происходящее в один и тот же момент на различных участках сетевого фронта. И сегодня есть возможность на живом примере показать, как действует один из таких инструментов.

В понедельник некоторыми системными администраторами была отмечена необычная активность на сетевом порту 1433 вверенной им техники. Порт этот известен тем, что используется базой данных Microsoft SQL 7.0 - и потому сканировать его могли как просто группа хакеров, занятая изыскательскими работами, так и вирус. Впрочем, ясность была внесена быстро: почти одновременно с первыми сигналами об обнаружении странной сетевой активности, специалистам по компьютерной безопасности SANS Institute прислали образец кода сетевого вируса, использующего для репликации ресурсы MS SQL - и достающей до них через тот самый порт 1433. Присланный экспертам образец получил название SQLsnake и оказался принадлежащим к редкому нынче классу сетевых "червей". Как показал поверхностный анализ кода, задача его - в удалённом получении прав администратора над сервером базы данных. Для этого SQLsnake пытается залогиниться на сервер через стандартный аккаунт администратора, пароль к которому сисадмины частенько оставляют пустым. Получив требуемое, вирус перетаскивает на машину несколько вспомогательных файлов, извлекает пароли и отсылает их через e-mail на некий почтовый адрес, после чего начинает сканирование сетевого пространства в поисках новых жертв. Пик распространения SQLsnake (известного также под названиями Spida, DoubleTap) пришёлся на 22-е мая, когда заражёнными оказались свыше 8 тысяч машин. В настоящее время активность вируса снизилась почти втрое, но говорить об излечении пока рано: никаких особенных уязвимостей он не использует, для заражения достаточно халатности администратора. К счастью, SQLsnake не уничтожает информацию. Опасность его заключается в передаче паролей посторонним лицам и генерации массивного траффика - одна копия вируса одновременно способна сканировать до ста целей.

Самое главное в этой истории - то, что опасность происходящего была оценена ещё до того, как вирус смог проявить себя в полной мере (а предупреждён - значит вооружён). Для этого было использовано простое эмпирическое правило: один раз - случайность, два - совпадение, три - тенденция. Оно справедливо не всегда, но для выявления опасных трендов в Сети подходит как нельзя лучше. Именно на нём построена система раннего оповещения о глобальных сетевых угрозах ARIS, созданная специалистами SecurityFocus. В ней данные о внешней (по отношению к локальным сетям пользователей ARIS) активности аккумулируются на центральном сервере SecurityFocus, где подвергаются анализу на предмет выявления возможных зависимостей между зафиксированными инцидентами. Корреляции в результатах наблюдений наглядно демонстрируют и масштабные хакерские атаки, и едва зарождающиеся эпидемии "червей", когда до явного проявления последствий ещё очень далеко. Полученные данные годятся не только для текущего анализа, но и построения прогнозов относительно будущей активности того или тренда.

Обсудите материал в форуме

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.