Проверка на вшивость
АрхивКомментарий дняСеть лихорадит в приступе очередной глобальной эпидемии, инфицирующей Windows-машины. Но, похоже, грамотно построенная оборона может компенсировать врождённые пороки коммерческого софта.
Давненько ничего не было слышно про глобальные компьютерные эпидемии, но вирусописатели, конечно же, на заслуженный отдых не отправились. И минувшие выходные принесли “долгожданную” весть. Встречайте: легка на помине, очередная почтовая инфекция Bagle-A.
Bagle или, если быть точным, Beagle (букв. гончая – это слово встречается в коде вируса, но, чтобы не потакать авторам зловредной программки, решено официально именовать её искажённым именем Bagle), был замечен в Сети впервые в субботу, а на понедельник пришлась первая волна заражений по всему миру. До вчерашнего вечера его вниманием оставались обделёнными только Соединённые Штаты, праздновавшие день Мартина Лютера Кинга, но и здесь за последние двенадцать часов ситуация наверняка изменилась – и к уже покорённым ста с лишним странам добавилась ещё одна. Да, Bagle, несмотря на свою невероятную простоту, шагает по планете весьма смело: число перехваченных антивирусными компаниями копий измеряется десятками тысяч, а общее число заражённых машин в мире по косвенным данным перевалило за миллион. Всё это заставило отдельные компании (в частности F-Secure) присвоить инфекции наивысший уровень опасности.
Самое любопытное в происходящем то, что Bagle – как уже было отмечено выше – чрезвычайно прост и в чём-то даже наивен. Это самый обычный, можно сказать классический, которых уже не бывает, почтовый вирус, попадающий на машину потенциальной жертвы в виде письма с прикреплённым к нему exe-файлом. В письме, кроме заголовка, содержащего всего одно слово (Hi!), находится полная тарабарщина. Если пользователь пытается открыть прилагаемый файл, тот запускается и устанавливает свою копию в каталог Windows (по наличию там файла beagle.exe можно определить, заражена ли машина, а удалив файл – провести дезинфекцию). После этого Bagle принимается за рассылку инфицированных писем по обнаруженным на компьютере почтовым адресам и переходит в режим ожидания команд от хозяина (открывает и слушает порт 6777), играя роль “троянского коня”. Одновременно с некоторой периодичностью он пытается выкачать с дюжины бесплатных серверов некий файл, предположительно содержащий вторую версию вируса: оригинал, подчиняясь встроенной в него команде, перестанет работать после 28 января.
Короче говоря, теоретически, шансов на успех у Bagle нет никаких: файрволы на входе в корпоративные сети должны отсечь исполняемый файл от письма, они же должны заметить и заблокировать попытки вируса связаться с внешним миром. Кроме того, сами пользователи должны понимать, что совершают глупость, пытаясь открыть каким-то образом просочившееся послание. Вот только вопреки всем предположениям Bagle работает и – готовьтесь! – ближайшая неделя обещает быть непростой.
Ничего интересного в этой истории больше нет, но мне бы хотелось использовать её как вступление для перехода к более общей теме защищённости современных персональных компьютеров от внешних напастей. Вы все знаете про неудовлетворительную ситуацию с защищённостью программных продуктов Microsoft. Привычка обвинять во всех бедах софтверного гиганта стала настолько популярной, что, положа руку на сердце, признайтесь: вы тоже согласны с таким вот бытующим среди администраторов средней руки утверждением – мол, если вы сделали ставку на Microsoft, у вас проблемы. Говоря так, обычно кивают в сторону Linux или Mac OS. Но насколько реально обоснованы такие страхи, подозрения и обвинения?
Признаться честно, я и сам до недавнего времени разделял их полностью. Но поменял своё мнение, попав пару месяцев назад на одно большое (имя его в данном случае не имеет значения) предприятие, где вся ИТ-инфраструктура была словно бы специально подготовлена для эпидемического взрыва. Десятки машин и несколько больших серверов увязаны в единую локальную сеть, работают под управлением Windows 98, 2000 и XP без всяких сервис-паков и патчей, в качестве почтовых клиентов повсеместно используются базовые версии Outlook Express, ни одно соединение не защищено файрволом и т.п. и т.д. Короче говоря, идеальное место для превращения в рассадник заразы. Единственное, что защищает всё это “великолепие” – жёсткие блокировки на шлюзе, соединяющем локальную сеть с Интернет: здесь запрещены все соединения, кроме необходимых для просмотра веб-страничек, а от входящих писем (пользователям разрешён доступ только к одному – собственному, корпоративному – почтовому серверу) принудительно отсекаются исполняемые файлы. Ужас, который я ощутил, когда это всё увидел, неописуем – понимаете сами: такая сеть могла жить до первой большой эпидемии, но не дольше. Вот только ничего не случилось ни через день, ни через два, а ветераны, проработавшие здесь последние лет пять говорят, что ничего не случалось и раньше. Грамотно построенная линия внешней обороны гарантирует защиту от глобальных напастей. Так не перегнули ли мы палку с обвинениями в адрес коммерческого софта? Возможно, при правильном подходе всё не так страшно? Подключайтесь к дискуссии, обсудим!
