Мифы и заблуждения о Malware. Часть первая: Windows, Mac, Exchange и IIS

Значительная часть Интернет-культуры основана на дезинформации: компьютерная безопасность в глобальном смысле и область вирусов/malware (malware - злонамеренное ПО) составляют главные примеры. Большинство IT профессионалов и множество других людей («продвинутых» пользователей, компьютерных журналистов и людей, для которых компьютер - это хобби) считают себя de facto экспертами безопасности, и каждый эксперт безопасности считает себя экспертом в вирусах. Авторы вирусов, распространители malware и их поклонники также делают свой вклад в общее дело.

Исследователи в области антивирусов и информационной безопасности, в подавляющем большинстве, являются людьми знающими и с хорошими намерениями, но информация, выносимая на обозрение публики, зачастую основывается не на результатах исследований, а на маркетинговых соображениях. Их заявления часто лишены технического обоснования и имеют сильный перекос в сторону коммерческих интересов. Армия же добровольных исследователей, доминирующая в списках обсуждений open source, безопасности и уязвимостей программ, обычно также имеет добрые намерения, но не всегда эти люди достаточно компетентны (по крайней мере, не насколько, как они сами считают или хотят, чтобы мы думали) и гораздо более заинтересованы в своей славе, чем в реальной пользе. В результате, профессиональные вирусные/антивирусные знания и знания в области безопасности обрастают дополнительными, иногда ложными и часто лишенными фактического обоснования.

Эта статья обращает внимание на некоторые обычные неверные представления, идущие от самодовольства, принятия желаемого за действительное, неспособности подвергнуть сомнению и недостатка исследований. Заблуждения, о которых мы здесь говорим и которые собираемся опровергнуть, как правило, начинаются со слов: «Я защищен от вирусов, потому что…». Это, конечно, плохие новости для пользователей, привыкших доверять исследователям в области вирусов. Но имеются и хорошие новости: они состоят в том, что далеко не всегда верно распространенное заблуждение относительно интеллектуального и программного превосходства авторов malware и невозможности программ противодействия malware обеспечить достойную защиту. Мы рассмотрим некоторые из этих вопросов в третьей, последней части серии статей.

Первая группа заблуждений, которую мы рассмотрим, может быть озаглавлена как «Я в безопасности, потому что единственный продукт Microsoft, который я использую это мышь».

Я защищен от вирусов потому, что…

…Я не использую Windows

Windows – самая распространенная и, соответственно, наиболее атакуемая компьютерная платформа: по крайней мере по количеству вирусных угроз. Но обеспечивают ли альтернативные решения лучшую или хотя бы соизмеримую степень защиты, обещанную их сторонниками?

MS-DOS (или его разновидности), конечно, не защищен от множества вирусов загрузочного сектора, файловых и многокомпонентных вирусов. Эти вирусы сейчас не могут восприниматься как опасные, однако, некоторые из них всё ещё появляются, и официально остаются в списке «гуляющих на свободе» http://www.wildlist.org. Это кажется нереальным, но до сих пор в ящике стола можно найти дискету, зараженную вирусом Form.

Для Linux и других вариаций Unix, существует гораздо меньше вирусов, несмотря на то, что ранние исследования Fred Cochen, чьи работы являются основополагающими в области антивирусов, производились именно на Unix платформах. Хотя злонамеренных программ для *nix систем и меньше, все же их существует достаточно большое количество. На самом деле одни из первых червей (например, печально известный червь Morris, появившийся в конце 1980 года) были написаны именно для Unix. В то время как вирусы, заражающие файлы, для Linux являлись больше доказательством возможности реализации концепции, червей под Linux (а также специфических червей Solaris) было более чем достаточно.

Бытующее мнение, что Linux имеет иммунитет к вирусам из-за своей внутренней безопасности, глубоко ошибочно и основано на принятии желаемого за действительное. Хорошо защищенная и правильно пропатченая Windows (я, конечно, имею в виду семейство NT) является намного более безопасной системой, чем среднестатистическая машина с Linux, особенно если это индивидуальная рабочая станция, и пользователь работает под root. Unix никогда не являлась и не является системой, защищенной по умолчанию. Просматривая списки уязвимостей и рекомендаций поставщиков, мы видим постоянный поток заплаток безопасности. Мои слова - это не камень в огород open source или конкретно Unix (я и сам был администратором Unix), просто необходимо помнить, что из-за относительно небольшого количества Unix вирусов, эта система не становится автоматически безопасной. Можно без конца перечислять истории о системных администраторах, которые так до своего увольнения и не могли поверить, что именно их веб или ftp сервер является причиной заражения программ вирусами и троянами, документов макровирусами и так далее. Одна из самых пугающих, но реальных историй повествует о компании, которая объяснила отсутствие почтового сканера вирусов тем, что для Unix вирусов не существует…

В действительности, существует как несколько отличных антивирусных решений под Unix, как и несколько менее профессиональных, но более функциональных решений. Они включают:

• типичные решения, основанные на обнаружении изменений или на блокировании вложений, включающих запрещенные типы файлов;
• обнаружение определенных вирусов широко известными антивирусными продуктами

Хотя многие считают open source проекты полезными, они намного менее эффективны в плане обнаружения вирусов. Частично это объясняется тем, что разработчикам и исследователям, не работающим на ведущие компании, сложнее получать образцы вирусов; а частично тем, что у них за плечами нет многолетнего опыта, который имеют разработчики, занявшие свою нишу на рынке антивирусных продуктов.

Прискорбно, но принятие желательного за действительное в отношении платформ не возникло недавно, и даже не с появлением Linux. До сих пор бытует миф, что иммунитет к вирусам имеют Макинтоши…

…Не существует Mac вирусов

В то время как первые черви поражали Unix, первые вирусы были написаны именно для Mac. На самом деле для Apple II, предшественника Mac, была написана воспроизводящая себя программа гораздо раньше, чем Brain/Ashar появился на PC.

Сейчас ситуация следующая – Mac OS если не вымирающая, то, по крайней мере, крайне слабо распространенная система. Поэтому злонамеренных программ под Mac не так много (сорок или пятьдесят, в зависимости от того, как считать, и если не включать те трояны и шуточные программы, которые никогда не были широко распространены, и которых никто не видел уже несколько лет). Некоторые из них работают только на устаревших версиях MacOS и приложениях. Сетевые злонамеренные программы для Apple существуют, но они очень редки.

Тем не менее, межплатформенные вирусы до сих пор являются проблемой. Вирусы Microsoft Office вряд ли смогут навредить Mac, но они являются потенциально опасными в контексте распространения инфекции. Хотя маловероятно, что неосторожный пользователь Mac нанесет вред своей системе открыв инфицированный документ, но на нем может лежат ответственность за дальнейшее распространение инфекции. Текущие версии операционной системы имеют достоинства и недостатки, схожие с другими Unix платформами, но авторы злонамеренных программ уделяют Mac гораздо меньше внимания, чем Linux.

Одно из самых популярных заблуждений среди пользователей Mac - это то, что Dsinfectant - это все что им нужно. Disinfectant был когда то действительно хорошей программой, и в том, что Mac вирусы никогда не были большой проблемой, я думаю, есть немалая заслуга её автора. Но эта программа более не разрабатывается и не поддерживается, и она никогда не являлась универсальной защитой против всех видов зловредных программ для Mac (даже если не учитывать межплатформенные вирусы). И хотя последняя версия программы до сих пор еще доступна, автор дает четко понять, что этот продукт не является панацеей, и, собственно, никогда ей и не был.

Некоторые разработчики программ для Mac делали антивирусное ПО доступным бесплатно. И некоторые из этих программ доказали свое право на существование, быстро предоставляя обновление, пока коммерческие антивирусные компании все еще работали над ним. Однако, пользователи Mac по своей специфике - не бедные люди и больше доверяют большим, дорогим, но поддерживаемым и тщательно протестированным программным предложениям. К сожалению, не существует универсального бесплатного продукта для решения (относительно не такой уж острой) проблемы вирусов для Mac. В действительности несчастные пользователи, вынужденные запускать эмуляцию Windows/PC на машине Apple, вынуждены использовать не только Mac антивирусы, но и антивирусы для Windows.

Однако есть хорошие новости для самых параноидальных пользователей. CP/M, насколько я знаю, не обременена ни вирусами, ни пользователями, если не брать в расчет нескольких одиноких пользователей Amstrad PCW с их трехдюймовыми дисками и текстовым процессором Locoscript. Эти пользователи находятся в максимальной безопасности и наиболее близки к выполнению главного закона информационной безопасности, гласящего «не покупайте компьютер, а если вы должны купить компьютер, то не включайте его». Но ценой этой безопасности является изоляция от всего остального мира. Изоляция настолько сильная, она и является основной проблемой, а про проблему вирусов пользователи CP/M могут вообще забыть…

Однако даже пользователям CP/M стоит озаботиться проблемой скрытых вирусов и передачи разнородных вирусов. То, что злонамеренная программа не может открыться на вашей системе и навредить ей, не значит, что вы не можете передать её кому-нибудь ещё, чьей системе она не нанесет урон. К сожалению, часто встречаются истории, когда пользователь Mac вынужден просить своих знакомых, использующих PC, открыть для него .scr или .vbs файлы, которые не поддерживаются на его машине.

…Я не использую Microsoft Office

Кажется странным, какой удар нанесли по компьютерному миру макровирусы в течение нескольких лет, начиная с 1995-1996 годов. Они разрушили общепринятое убеждение, что если программы могут быть заменены, искажены, или инфицированы различными формами злонамеренного ПО, то данные – это просто данные, и потому находятся в безопасности. На самом деле, все так и есть. Но данные – это не всегда одни только данные. Много форматов файлов данных содержат некоторый встроенный код, а многие программы содержат некоторые данные. Макроязыки, встроенные Microsoft во многие офисные приложения, являются мощными средствами программирования, и их опасность высока, так как макросы и данные часто находятся в одном файле. Макровирусы сегодня – существующая, но легко контролируемая проблема. Они обычно не распространяются со скоростью Melissa. (Хотя Melissa тоже была макровирусом). Относительно небольшое количество новых вирусов легко обнаружить эвристикой обнаружения макровирусов. Хотя в середине 1990-х, необходимость сканировать совершенно новых типов файлов оказалась большой встряской для антивирусных систем. Фактически, стало проблемой избежать сканирования всех файлов, так как документы Word не обязаны иметь расширения .DOC, .DOT, и т.д., что в итоге в итоге значительно увеличивало время сканирования. Возникновение макровирусов, вероятно, имело и положительный побочный эффект, в том, что антивирусные производители сконцентрировали свои усилия на увеличении скорости сканирования при обращении.

Хотя Office и другие продукты Microsoft не являются единственной мишенью для авторов злонамеренных программ, появление большинства макро вирусов для других систем было больше доказательством того, что это принципиально возможно. Несмотря на это, для большинства организаций гораздо более важным оказывается возможность свободно обмениваться данными в широко используемом во всем мире формате, чем сомнительное повышение безопасности путем отказа от использования Microsoft Office.

…Я не использую Exchange

Microsoft Exchange на самом деле не таит в себе большой опасности. Как и у других почтовых программ, у него есть свои слабости. Эти уязвимости хорошо документированы, регулярно описываются, не только Microsoft, но и отдельными группами, тестирующими программы просто по доброй воле, для усовершенствования своих зловредных программ или для самоутверждения. Найденные уязвимости публикуются, а к программам выходят новые заплаты.

Хотя черви обычно не нацелены на поражение непосредственно Exchange, они могут влиять на клиента (например, Outlook). Но Outlook с такой же вероятностью может быть поражен, если он и не использует Exchange, а использует другие серверные технологии.

…Я не использую Internet Explorer

Это, конечно, избавит от IE-специфичных уязвимостей, хотя другие браузеры, включая Netscape, Opera и даже Lynx, также уязвимы к разным атакам. Однако, Web-разработчики обычно оптимизируют Web-страницы под последние версии IE, ну и возможно, Netscape, делая отказ от IE крайне неудобной стратегией для тех, кто вынуждены поддерживать актуальность IE установкой патчей и обновлений, которые выпускаются по мере необходимости.

… Я не использую IIS

Несомненно, это один из способов избежать бед, которые несет непропатченная установка IIS. Печально известны Code Red и ему подобные, хотя нужно обратить внимание, что некоторые malware в этом семействе, особенно Nimda, используют несколько направлений, а не только IIS. Однако, тревожные спекуляции по поводу так называемых Warhol worms и других сетевых кошмаров, нагоняют мрак на свет. Это является симптомом фундаментального непонимания внутренней работы злонамеренного кода. Никому еще не удавалось написать злонамеренную программу, которая не была бы программой, а у программы есть только несколько вариантов работы, независимо от того злонамернная она или нет:

• Пользователь компьютера может запустить ее по своей воле.
• Код может запуститься без ведения пользователя компьютера. Это ни в коем случае не является страшным: в любой сложной операционной среде, программы непрерывно сами вызывают друг друга. Когда кто-то нажимает на иконку Windows, они часто не подозревают, как много программ и модулей инициализируются этим нажатием. Интерпретируемый код может исполняться программой, которая знает, как обработать его; не всегда это происходит с ведения пользователя. Автомакросы в Word – очевидный пример. Linux/Slapper.A – пример червя, который может эксплуатировать уязвимость в OpenSSL Web-сервера Apache.

Когда пишется злонамеренная программа, вирусная или какая-либо еще, автор должен придумать способ запустить ее на машине жертвы.

• Он может убедить жертву, что эта программа делает что-то полезное. Код, который полагается на такой обман жертвы, иногда называется исполняемым пользователем.
• Он может написать код, который при некоторых условиях будет запускаться без прямого действия со стороны жертвы. Такое malware иногда называется самозапускающимся.

IIS действительно становился жертвой семейства злонамеренных программ, которые частично попадают во вторую группу, используя дефекты в ПО для получения контроля над системой. (Последние члены семейства Code Red являются гибридными, использующими множество направлений, и комбинацию социотехнки и самозапуска для распространения). До сих пор существует множество непропатченных машин, но количество эксплуатируемых уязвимостей в IIS (или чем-то еще) не бесконечно, хотя иногда кажется, что это так. В действительности, успех этой группы червей породил множество эксплоитов для других платформ.

Заключение

Во второй части этой статьи мы рассмотрим вторую группу заблуждений и полуправд, которые меньше связаны с Microsoft, а больше - с использованием почтовых программ и с вредными привычками пользователей.