2004: уроки года глобальных эпидемий вредоносного ПО

Характерной чертой текущего года стало распространение разнообразных вредоносных программ, использующих уязвимости в Microsoft Windows, буквально через несколько дней после публикации первого сообщения о найденных "дырах" в интернете.

Появление последнего червя Bofra семейства MyDoom, говорит о том, что авторы вредоносных программ учатся на примерах своих предшественников и постоянно исследуют новые способы нападения, тестируя эффективность атак в интернете. Дух соревнования и подражание, сопровождающие этот процесс, могут привести к опасным последствиям. 2004 — год обезьяны по восточному календарю стал поистине годом подражания друг другу среди вирусописателей.

В текущего году 115 млн. компьютеров в 200 странах были как минимум однократно заражены. Не менее 11 млн. машин во всем мире — в основном дома и в небольших офисах — постоянно находятся в "зомбированном" состоянии, выполняя задания по рассылке спама, распределенным DoS-атакам, воруют пароли и банковские реквизиты и, наконец, разносят вредоносные коды дальше.

Угроза растет, поскольку выпуск антивирусных пакетов, брандмауэров и систем обнаружения вторжений не поспевает за развитием технологий их преодоления. Так, борьба с вложениями в электронные письма стала в последнее время менее эффективной, поскольку письма теперь часто не содержат зараженных файлов, а направляют пользователя на страницы с вредоносным кодом. Старые, отловленные варианты червей, переписываются за считанные дни, и базы антивирусных сканеров, таким образом, сразу устаревают.

В некоторых случаях пользователи не могут установить обновление, испоравляющее уязвимость, поскольку оно конфликтует с приложениями или несовместимо с базовым программным обеспечением компьютера (BIOS). Можно заключить, что используемые методы борьбы с хакингом устарели.

В этом году в пятерку крупнейших семейств вредоносного ПО вошли MyDoom, Netsky, SoBig, Klez и Sasser. Общий экономический ущерб от вредоносных программ, среди которых было 480 новых штаммов, составил $166–202 млрд. (по данным mi2g Intelligence Unit). В среднем, это от $277 до $336 на каждый из 600 млн. компьютеров, работающих под управлением Microsoft Windows. В риски потерь, подсчитанные исследовательским подразделением mi2g, входят стоимость поддержки, выплата сверхурочных, предполагаемый аутсорсинг, потери бизнеса, заторы в информационных магистралях, уменьшение производительности, восстановления и апгрейда ПО. Где это возможно, также были учтены расходы, связанные с нарушением прав на интеллектуальную собственность.

"Экономический ущерб увеличивает показатель общих затрат на пользование (TCO) ОС Windows, вложенный в бюджет компаний на 2005 год", — говорит глава mi2g г-н Матаи (DK Matai). Однако, возможно, эта сумма недостаточно велика для принятия массовых решений об отказах от Windows, в связи с огромным количеством используемых копий ОС и еще большими расходами для перехода на другие платформы, например Linux, BSD или Apple Mac OS. X. Сравнение показателей TCO для Windows и перехода на другие платформы, говорят в пользу Windows из-за более высокой стоимости миграции — на расход времени, переподготовку администраторов, заключение новых контрактов с поставщиками, перенос баз данных и приложений внутреннего пользования.

Таким образом, несмотря на многочисленные уязвимости, платформа Windows продолжит быть популярной в 2005 году, поскольку руководство фирм предпочитает иметь дело с известной опасностью, как это происходило в течение нескольких последних лет, нежели новой.

Из глобальной эпидемии вредоносных программ в 2004 году, в том числе самых распространявшихся и нанесших наибольший ущерб, можно извлечь 10 основных уроков.
Проблемы универсальности экономик и законов — Мировая экономика объединена при помощи цифровых технологий и в настоящее время сильно зависима от одной операционной системы и сопутствующего ПО. Разнообразие компьютерных платформ и приложений на базе общих стандартах, должно быть поддержано правительствами всех стран, по мере того, как криминальные синдикаты используют удобства, предоставляемые единой вычислительной базой. Правоохранительным органам также необходимо сотрудничать в мировых масштабах для того, чтобы наказание компьютерных преступников стало неотвратимым, а авторы вредоносных программ и хакеры не представлялись общественности как романтические герои.
Образование и предупреждение пользователей — Пользователи компьютеров в массе не осведомлены о том, что их компьютеры участвуют в массированных распределенных DoS-атаках, инициированных вредоносным ПО, заразившем их. Понимание того, что персональный компьютер может быть взломан и использован как анонимный компонент атак, обычно не осознается по всему миру. Правительства и поставщики компьютеров должны приложить усилия по предупреждению и обучению пользователей об опасности использования компьютеров в конфигурации "по умолчанию". Кроме использования соответствующего аппаратного и программного обеспечения безопасности, необходимы инвестиции в планирование и подготовку защиты компьютерных систем.
Армии "зомби" — Атаки DDoS на известные компании были осуществлены посредством армий из миллионов компьютеров "зомби", заражаемых новыми разновидностями вредоносного ПО в 2004 году менее чем за неделю. Интернет-провайдеры и владельцы компьютеров, подключенные к глобальной Сети, должны проявлять бдительность по отношению к этим типам атак. В состав круглосуточной онлайновой технической поддержки, продаваемой пользователям, обязательно должны входить брандмауэры и автоматическая антивирусная защита. Провайдеры должны прийти к общему соглашению по стандартам профилактики и проводить периодические проверки своих клиентов с целью обеспечения соответствия этим стандартам.
Отсутствие необходимых норм и законов — География компьютеризации в крайней степени неоднородна, но мир зависит от компьютеризации — особенно от электронной почты, онлайновых покупок и банковских операций. Основной недостаток, который подвергает пользователей угрозе со стороны компьютерных преступников, — отсутствие норм, приравнивающих компьютерные службы по значению к службам подачи воды, электричества и голосовой телефонии.
Конкурирующая преступная деятельность — Штаммы вредоносного ПО, выпущенные другими лицами, кроме вирусописателя, распространялись в течение часов или дней. "Черные входы", оставленные на зараженных компьютерах быстро перехватывались и осваивались конкурирующими хакерами, а компьютеры использовались в поисках номеров кредитных карт, реквизитов банковских операций и онлайновых покупок, а также других важных документов. Правоохранительным органам большинства стран необходимо международное взаимодействие и наблюдение за местными преступными элементами, извлекающими пользу из глобальной эпидемии вредоносного ПО.
Разделение данных и платформ — Необходимо разделение между критичными данными, которые хранят пользователи, и вычислительными платформами, которые используются для доступа в интернет, могущие подвергнуться частым нападениям. Критичные данные и вычислительные платформы, используемые для онлайнового доступа, должны быть разделены для обеспечения возможности восстановления. В долгосрочной перспективе предпочтительнее, чтобы люди оберегали свои данные так же аккуратно, как относятся к банковским счетам и работали с ними на более высоком уровне аутентификации, включая смарт-карты и биометрию, так, чтобы взлом компьютера не мог привести к потере ценностей, реквизитов или репутации. Это основа философии проекта D2-Banking от mi2g.
Растущий экономический ущерб — Быстрота распространения вредоносного ПО зачастую не оставляет достаточно времени для устранения последствий. Последствия успешных нарушений защиты компьютеров организаций или частных лиц стали экономически более тяжелыми, чем ранее. В такой среде побеждают те, кто планирует политику безопасности, готовится к отражению атак и предусматривает возможные ходы злоумышленников. Распределенные интеллектуальные вредоносные программы-агенты, например MyDoom, скорее всего, причинят еще немало экономического ущерба и могут вызвать более сложные и комплексные проблемы, чем те, о которых упоминается здесь. Семейство MyDoom, с учетом всех вариантов и гибридов, возникших в течении года, в частности, последний — Bofra, предположительно нанесло ущерб мировому бизнесу в $74 млрд., что, по данным, mi2g, превышает ущерб от какой-либо другой вредоносной программы. Частные и публичные корпорации, университеты и школы, большие и малые организации, а также домашние пользователи, пострадали от значительных задержек доступа к интернет-ресурсам, в частности, электронной почте.
Профилактические центры — Каждая страна должна иметь профилактические центры раннего оповещения о компьютерных угрозах. Граждане могут быть предупреждены через каналы, не связанные с интернетом, к примеру, по SMS или телевизору/радио.
Домашние пользователи — В то время, как корпорации и правительственные отделения привлекают средства, экспертов и специалистов с соответствующими знаниями, домашние пользователи все чаще становятся жертвами эпидемий вредоносного ПО, фишинга, кампаний рассылки спама и хакерских атак. Меры защиты настолько усложнились, что пользователь уже не в состоянии внедрить их самостоятельно. Защиту необходимо перепоручить интернет-провайдеру или новой отрасли услуг технической поддержки с полной автоматизацией процесса. Поскольку пользователи могут загружать и устанавливать ПО из интернета без ограничений, безопасность их реквизитов, хранящихся на том же компьютере, не может быть гарантирована. Предпочтительнее, чтобы реквизиты хранились в специальном удаленном хранилище с трехступенчатым процессом аутентификации доступа к ним.
Социальная ответственность — Когда зараженный компьютер превращен в "зомби", пользователь становится невольным соучастником преступных действий против сторонних организаций и общества в целом. Пользователь, оставляющий компьютер в Сети без соответствующей защиты, подвергает опасности не только себя, но и общество. Поставщикам компьютеров и правоохранительным органам необходимо привлечь внимание общественности к необходимости серьезного отношения к вопросам компьютерной безопасности как к виду социальной ответственности, наравне с такими правилами, как недопустимость вождения автомобиля в нетрезвом состоянии.