horizontal rule
Содержание


Атаки на Интернет в 2003 году

Ричард Петиа,
Директор Координационного центра реагирования на компьютерные инциденты - CERT/СС

Cкрывающиеся под зловещими названиями вроде "Blaster", "Slammer" и "Sobig.F" злонамеренные компьютерные коды в 2003 году нанесли Интернету больший урон, чем когда-либо прежде. Распространение вирусов неизвестными злоумышленниками вызвало растущую озабоченность в отношении уязвимости Интернета как всемирной системы, приобретающей все большую значимость для глобальных коммуникаций и экономики. Нижеследующий документ представляет собой сокращенный вариант выступления директора Координационного центра реагирования на компьютерные инциденты (CERT/СС) Ричарда Петиа на слушаниях в Конгрессе США 10 сентября, посвященных компьютерным вирусам и червям, заполонившим Интернет в 2003 году, и мерам по борьбе с ними. Полный текст выступления Петиа доступен в Интернете по адресу: http://www.cert.org/congressional_testimony/Pethia-Testimony-9-10-2003/

Введение

Координационный центр реагирования на компьютерные инциденты (CERT/CC) был создан в 1988 году в связи с появлением первого Интернет-червя. Появление этого червя стало первым компьютерным инцидентом, привлекшим пристальное внимание СМИ, и послужило тревожным сигналом о необходимости защиты сетей. В ответ Агентством проектов перспективных исследований в области обороны при Институте разработки программного обеспечения Университета Карнеги-Меллона в Питтсбурге был создан CERT/СС. Наша миссия заключается в том, чтобы координировать деятельность по ликвидации компьютерных происшествий и уязвимых мест, помогать другим создавать мощности по реагированию на происшествия, повышать информированность по вопросам компьютерной безопасности и помогать людям понять, какие меры им необходимо принять для лучшей защиты своих систем. Центр приступил к работе уже через две недели после своего создания, и мы приложили немало усилий для поддержания способности к быстрому реагированию. На сегодняшний день сотрудники CERT/СС отреагировали на 260 тыс. происшествий, каталогизировали более 11 тыс. "дыр" в системах защиты компьютеров и разработали методы их устранения, опубликовали сотни тревожных оповещений.

Сегодня при непрерывной поддержке со стороны Министерства обороны и Министерства внутренней безопасности мы продолжаем свою работу и распространяем информацию по вопросам безопасности и предупреждения через множество различных каналов - вебсайт (www.cert.org), онлайновую базу данных о "дырах" в системах защиты и электронный список рассылки, включающий в себя более 161 тыс. адресов. Мы поддерживаем отношения с ведущими средствами массовой информации, которые помогают нам распространять точную информацию о серьезных происшествиях среди широких слоев общества. Мы также сотрудничаем с более чем 600 поставщиками технологий, помогая им реагировать на "дыры" в системах защиты продуктов и предупреждая общество об уязвимых местах, требующих немедленного реагирования.

CERT/СС получил признание органов государственной власти и промышленности как нейтральный авторитетный источник информации и знаний в области информационной безопасности. Помимо обработки сообщений о нарушениях компьютерной безопасности и "дыр" в системах защиты сетевых технологий мы занимаемся выявлением и публикацией превентивных методов обеспечения безопасности, проводим исследования и организуем обучение системных администраторов, управленцев и групп реагирования на происшествия.

Растущая угроза со стороны "червей" и вирусов

Компьютерные черви и вирусы относятся к более широкой категории программ, называемых "злонамеренными компьютерными кодами". И те и другие используют "дыры" в программном обеспечении, воспроизводя сами себя и (или) прикрепляясь к другим программам. Они быстро и легко распространяются от одной системы к другой. По определению, компьютерные черви - это программы, которые распространяются без вмешательства человека после их запуска. Вирусы - это программы, для распространения которых требуются определенные действия со стороны пользователя, такие как открытие вложения в электронное письмо...

Сегодняшние "черви" и вирусы вызывают ущерб быстрее, чем те, что были созданы в прошлом, и распространяются через наиболее уязвимые из всех систем - компьютерные системы домашних пользователей. В 2001 году "червь" "Code Red" распространился по всему миру быстрее, чем так называемый "червь Морриса", распространявшийся через компьютеры США в 1988 году, и быстрее, чем вирус "Melissa" в 1999 году. В случае с "червем" "Code Red" с момента его первого обнаружения до широкого распространения и вредоносного действия прошло всего несколько дней. Несколькими месяцами позже "червь" "Nimda" вызвал серьезный ущерб в течение всего одного часа после поступления первого сообщения об инфицировании им. В январе этого года "червь" "Slammer" причинил большой вред за считанные минуты.

Эти цифры... показывают, насколько быстро "червь" "Slammer" поразил значительное число компьютерных систем. Как видно, "червь" "Blaster" оказался чуть медленнее "червя" "Slammer", но значительно быстрее "червя" "Code Red". Спустя 24 часа "червем" "Blaster" было заражено 336 тыс. компьютеров, "Code Red" - 265 тыс., а "Slammer" - 55 тыс. На Рис. 2 ("Сравнение скорости распространения "червей" "Blaster" и "Code Red" в течение первых 18 часов") показан рост числа компьютеров, пораженных "червями" "Blaster" и "Code Red" за первые 18 часов. В обоих случаях за первые 3-5 часов было инфицировано 100 тыс. компьютеров. Высокая скорость распространения ограничивает время, имеющееся в распоряжении специалистов по безопасности (в том числе и из КЦ ГРКИ), для анализа проблемы и предупреждения пользователей Интернета. У системных администраторов и пользователей также остается мало времени для защиты своих систем...

После первой "волны" атак "червя" "Blaster" и последующей установки "заплат" скорость его распространения стабилизировалась на уровне примерно 30 тыс. компьютеров в час... "Червь" "Blaster" по-прежнему активен и продолжает атаковать компьютерные системы на всем земном шаре.

Влияние компьютерных "червей" и вирусов

В лучшем случае "черви" и вирусы могут создавать неудобства и быть чреваты большими расходами на ликвидацию последствий их воздействия. В худшем случае они могут оказывать поистине разрушительное влияние. Только за последние 12 месяцев атаки вирусов и червей вызвали многомиллионные убытки.

Проведенное в 2003 году Институтом компьютерной безопасности и Федеральным бюро расследований совместное обследование "Компьютерная преступность и безопасность" (www.gocsi.com) показало, что чаще всего атаки совершаются вирусами (от них пострадало 82% респондентов), а общий ущерб от их воздействия составил примерно 27 382 340 долл. Минимальная сумма ущерба составила 40 тыс. долл., а максимальная - 6 млн. долл. Австралийское обследование "Компьютерная преступность и безопасность" дало схожие результаты. От вирусов или "червей" пострадало 80% респондентов. 57% жертв сообщили о финансовых убытках на общую сумму 2 223 900 долл. По данным австралийского обследования, треть (33%) всех жертв оправились от последствий атаки менее чем за один день, а 30% - через один-семь дней. Остальным 37% пострадавших респондентов потребовалось больше времени, а две организации сообщили, что им, по-видимому, вообще не удастся возобновить свою деятельность в нормальном режиме.

На сегодняшний день общий ущерб от атак "червя" "Blaster" оценивается как минимум в 525 млн. долл., а ущерб от воздействия "червя" "Sobig.F" - от 500 млн. до более чем 1 млрд. долл. (по данным "Бизнес уик", лондонской компании mi2g - адрес в Интернете: www.mi2g.com - и другим СМИ). Потери включают в себя снижение производительности труда, потери времени, сокращение объемов продаж и дополнительные затраты на оплату доступа в Интернет. По оценкам журнала "Экономист" (номер за 23 августа 2003 года), "червь" "Sobig.F" генерирует одно из каждых шестнадцати электронных писем, рассылаемых через Интернет. Наш собственный опыт показывает, что этот "червь" спровоцировал приход 87% всех электронных писем, поступивших в наш почтовый ящик (cert@cert.org) за период после 18 августа. Мы получаем более 10 тыс. инфицированных писем в день - по письму каждые 8,6 секунд.

Последствия для будущего

Значение нашего недавнего опыта борьбы с "червями" "Blaster" и "Sobig.F" выходит далеко за рамки их конкретной активности. Эта борьба продемонстрировала, что “черви” представляют собой очень серьезную угрозу для безопасности Интернета, а также то, чего мы можем ожидать в будущем.

Мой главный вывод - Интернет уязвим для сегодняшних атак и останется таковым в обозримом будущем. Это относится как к компьютерам органов власти на всех уровнях, так и к компьютерам, используемым в научно-исследовательских лабораториях, школах, на предприятиях, дома. Они уязвимы не только перед проблемами, выявленными ранее (в некоторых случаях - несколько лет назад), но и перед проблемами, которые будут выявлены в будущем.

Последствия этой угрозы для федеральных органов власти, органов управления штатов и на местах, а также для операторов важнейших объектов инфраструктуры заключаются в том, что их компьютерные системы уязвимы как перед атаками, так и перед использованием для совершения новых атак на другие системы. В условиях растущей зависимости государственных и частных организаций от Интернета создается угроза для нашей способности вести деятельность в бесперебойном режиме.

Ограниченность возможных мер реагирования

На протяжении последних 15 лет мы сильно зависели от способности всего сообщества пользователей Интернета достаточно быстро реагировать на атаки в целях сведения к минимуму ущерба и скорейшего отражения атак. Сегодня, однако, ясно, что одних лишь мер реагирования уже недостаточно. Вкратце перечислю действующие факторы:

  • В настоящее время к Интернету подключено более 171 млн. компьютеров, и их число продолжает стремительно расти. В каждый момент времени в мире насчитываются миллионы связанных друг с другом компьютеров, которые уязвимы перед той или иной формой атак

  • Техническое обеспечение атак достигло такого уровня, при котором атакующие могут без труда воспользоваться этими уязвимыми компьютерами для организации массированных нападений

  • В настоящее время многие атаки совершаются в полностью автоматическом режиме и распространяются со скоростью света по всему Интернету, невзирая на географические или национальные границы

  • Технологии атак становятся все более сложными и в некоторых случаях преднамеренно скрываются, что увеличивает затраты времени на обнаружение и анализ механизмов атак в целях изготовления "противоядия"

  • Пользователи становятся все более зависимыми от Интернета и уже сейчас используют его для многих важных применений, а также для совершения коммерческих сделок. Даже относительно кратковременное прерывание в работе Интернет-служб вызывает значительный экономический ущерб и способно подвергнуть угрозе важнейшие службы

  • Эти факторы, вместе взятые, свидетельствуют о том, что даже при самом быстром реагировании вполне можно ожидать, что множество атак вызовут значительные экономические потери и сбои в работе служб. Активное, скоординированное и постоянно совершенствующееся реагирование будет по-прежнему необходимым, но мы также должны как можно скорее приступить к разработке других решений

    • Рекомендуемые меры: что могут предпринять операторы систем?

    Противодействовать угрозе "червей" и вирусов нелегко. В наше время, когда каждый год обнаруживается примерно 4 тыс. новых "дыр" в системах защиты, системные и сетевые администраторы находятся в весьма затруднительном положении...

    Но даже в этой непростой ситуации операторы систем и их организации все же могут кое-что сделать для защиты своих систем:

    Принять меры безопасности. Очень важно, чтобы организации - большие и малые - ввели у себя использование эффективных оценок риска для информационной безопасности, правила и меры безопасности. Несмотря на частые обсуждения и дебаты по вопросу о том, какие методы лучше работают, ясно, что описания эффективных мер и шаблонов широко доступны как из государственных, так и из частных источников, включая CERT/СС

    Постоянно улучшать и развивать свои навыки и знания. Операторы систем должны регулярно проходить обучение на курсах повышения квалификации; они должны быть в курсе современных тенденций в области атак и средств защиты от подобных атак. Проблема безопасности не стоит на месте и постоянно изменяется - каждый день совершаются новые атаки и появляются новые "дыры" в защите.

    Помогать в обучении пользователей своих систем. Операторы систем должны обеспечивать реализацию программ информирования пользователей по вопросам безопасности, улучшать их способность распознавать проблемы, инструктировать о необходимых действиях в случае обнаружения проблемы, а также углублять их понимание того, как можно укрепить защиту своих систем.

    Рекомендуемые меры: что могут предпринять поставщики технологий?

    Меры, которые могут принять операторы систем, будут способствовать решению проблемы, но этого мало. Поставщики технологий способны более эффективно предотвращать распространение "червей" и вирусов. Хотя некоторые компании начали принимать меры по повышению безопасности своих продуктов, предстоит сделать еще очень многое. Разработчики программного обеспечения не уделяют достаточного внимания практическому применению полученных уроков в отношении причин уязвимости. CERT/СС продолжает наблюдать в более новых версиях программных продуктов те же виды уязвимости, что имели место в более ранних версиях.

    Новые "дыры" в защите возникают из-за трудностей безопасного конфигурирования операционных систем и приложений. Эти продукты сложны и зачастую поставляются клиентам с отключенными функциями безопасности, вынуждая пользователя самостоятельно проходить трудный и тернистый путь активизации необходимых им функций безопасности...

    Очень важно, чтобы поставщики технологий производили продукты, неуязвимые для "червей" и вирусов. В сегодняшней среде Интернета подход к обеспечению безопасности, основанный на принципе "пользователь должен быть бдительным", неприемлем.

    Рекомендуемые меры: что могут предпринять органы государственной власти?

    Государство может помочь, если возьмет на вооружение многосторонний подход. По моему мнению, необходимо изучить возможность принятия следующих мер:

    • Обеспечить стимулы для создания более качественных и лучше защищенных продуктов. В целях поощрения производства подобных продуктов мы призываем государство, используя свою покупательную способность, потребовать разработки программного обеспечения более высокого качества. Государство должно рассмотреть возможность пересмотра своих правил выдачи подрядов для включения в них оговорок о "целостности программного кода", которые повысят ответственность поставщиков за дефекты (включая "дыры" в системах защиты) в выпускаемых продуктах и создадут для поставщиков стимулы к поставке продуктов с меньшим числом дефектов и более высокой стойкостью к вирусам.

    • Провести исследования способов защиты информации. Это важно для сохранения долгосрочной направленности исследований и инвестиций в исследования систем и методов эксплуатации, которые позволят создать сети, способные успешно выдерживать атаки и при этом обеспечивать сохранность важных данных.

      тем самым государство должно поддержать научные исследования, призванные выработать новые подходы к обеспечению системной безопасности. Эти подходы должны включать в себя стратегии разработки и реализации, тактику восстановления данных, стратегии противодействия атакам, анализ компромиссных вариантов обеспечения сопротивляемости атакам и разработку архитектур безопасности.

    • Увеличение числа технических специалистов. Выявление и поддержка государством образцовых центров кибербезопасности и предоставление стипендий студентам, пишущим дипломы и диссертации в профильных университетах, - это шаги в правильном направлении.

    • Повышение информированности и обучение пользователей Интернета. Сочетание свободного доступа и легких в освоении интерфейсов привлекло к Интернету пользователей всех возрастов и всех слоев общества. В результате многие пользователи Интернета практически не имеют ни малейшего представления о его технологиях и мерах безопасности, которым надо следовать. Мы полагаем, что для поощрения "безопасных вычислений" власти могли бы предпринять следующие действия:

      • поддержать разработку информационных материалов и программ о киберпространстве для всех пользователей. Существует насущная потребность в просвещении и повышении информированности о характеристиках безопасности, угрозах, возможностях и надлежащем поведении в киберпространстве.

      • поддержать программы обучения методам обеспечения безопасности и правильным методам пользования Интернетом. Это обучение должно быть составной частью общей программы образования по вопросам использования компьютерной техники.

    Создание в Министерстве внутренней безопасности в июне 2003 года Отдела национальной кибербезопасности (ОНКБ) стало очень важным шагом вперед в выполнении этих рекомендаций. Миссия и организационная структура ОНКБ отлично приспособлены для успешной координации выполнения изложенных выше рекомендаций. Однако претворение в жизнь идеи более безопасного киберпространства потребует сотрудничества между ОНКБ, органами управления всех уровней и частным сектором в целях разработки более эффективного программного обеспечения, повышения информированности на всех уровнях, расширения научно-исследовательской деятельности и улучшения подготовки технических специалистов.

    Заключение

    Наша зависимость от взаимосвязанных вычислительных систем быстро растет, и даже кратковременные сбои, вызванные вирусами и "червями", могут иметь серьезные последствия. Применяемые нами в настоящее время решения не позволяют эффективно отражать все более массированные и стремительные атаки, и нашим информационным инфраструктурам угрожает опасность. Мы можем достичь значительных успехов, внеся изменения в практику разработки программного обеспечения, увеличив число подготовленных системных менеджеров и администраторов, увеличив объем знаний пользователей и расширив исследования по созданию надежно защищенных и жизнестойких систем. Дополнительная государственная поддержка исследований, разработок и образования в области безопасности компьютеров и сетей может оказать позитивное влияние на общую ситуацию с безопасностью Интернета.

    thin black line

    © 2003 год Университет Карнеги-Меллона

    Мнения, высказанные в данной статье, принадлежат автору и не обязательно отражают точку зрения или политику правительства США.