Атака на Internet: войны нового поколения

Сколько павших бойцов полегло вдоль дорог...

Но не думай, что мы обошлись без потерь --
Просто так, просто так...
Видишь -- в поле застыл как подстреленный зверь,
Весь в огне, искалеченный танк!
В. Высоцкий

По данным VeriSign, поддерживающей два сервера DNS системы root-servers.net, под непрерывным потоком запросов "легло" пять машин. Этого недостаточно для того, чтобы прекратить глобальный сетевой трафик. Как утверждают в VeriSign, проблемы на уровне пользователей стали бы очевидными, если под DDOS-атаку попали 8--9 DNS-серверов. В этом случае оставшиеся серверы системы root-servers.net, скорее всего, не справились бы с потоком DNS-запросов. В то же время никто не может исключить повторения атаки, но уже более масштабной.

Если вернуться к истории Глобальной Сети, то необходимо вспомнить, что первоначально Internet задумывалась как коммуникационная альтернатива на случай экстренных ситуаций. Агентству оборонных исследований DARPA было поручено разработать систему передачи сигналов, которая бы продолжала функцио­нировать в случае ядерной войны или стихийных бедствий.

Способна ли Глобальная Сеть выдержать подобную нагрузку в настоящее время? Сразу заметим, что распределенная атака на опорные DNS-серверы Internet может привести к серьезным проблемам с доступом к большинству сайтов, однако о полном отключении Internet речь не идет -- те же Web-сайты будут доступны при указании вместо URL надлежащего IP-адреса.


Червивая действительность

И мир повернется другой стороной,
И в тело вопьется червяк гробовой.
И. Иртеньев

Как видно из приведенного графика, поколение массовых Internet-"червей", получившее путевку в жизнь в 1998 г., и не думает следовать традициям boot- и макровирусов. Internet-"черви" приобретают ранее несвойственные навыки, видоизменяются и используют новые пути доступа к компьютерам с Internet-подключением. Первым известным (но вряд ли массовым) "червяком" принято считать программу Роберта Морриса (Robert Morris), студента Корнеллского университета, которая была написана не столько из злого умысла, сколько для демонстрации уязвимостей в сетевых технологиях конца восьмидесятых.

За 90 минут, используя ошибку переполнения буфера, Morris Worm заразил 6000 компьютеров, входящих в Глобальную Сеть. Мода называть "червей" собственным именем быстро прошла после того, как Роберту Моррису вынесли обвинительный приговор. Три года условного заключения, 400 часов общественных работ и штраф в десять тысяч долларов убедили студента в дальнейшем не заниматься созданием вероломных программ.

Тринадцать лет спустя очередной "червь", вошедший в историю как Code Red, за 14 часов своей жизни сумел заразить 300 тыс. компьютеров, подключенных к Internet.

В августе этого года исследователи из Калифорнийского университета в Беркли и компании Silicon Defense решили проследить за скоростью распространения "червей" в условиях Глобальной Сети и, может быть, определить некоторые тенденции. Итогом проведенной работы стала публикация "Как завладеть Internet в свободное время" (How to 0wn the Internet in Your Spare Time).


Отключение Internet: рецепты успеха

Каждый сможет стать известным в течение 15 минут.
Энди Уорхол

Хронология "десятки" наиболее распространенных способов заражения компьютера указывает на фактическую смерть boot-вирусов в 1999 году, резкое падение макровирусов в течение 2000. Теперь, по всей видимости, настанет эра Internet-"червей"

Результаты исследований могут вызвать бессонницу даже у отъявленных скептиков.

Стюарт Стэнифорд (Stuart Staniford), Верн Пакссон (Vern Paxson) и Николас Уивер (Nicholas Weaver) свою абстрактную разработку назвали "червем Уорхола" (Warhol warm), в основном из-за вышеприведенного высказывания художника. "Червь" имени Уорхола полностью подчиняет себе Internet (или несколько сотен тысяч хостов, что при успешном финале можно считать равноценным достижением) всего за 15 минут!

Основной задачей любого "червя" на этапе распространения является поиск доступных хостов для заражения. Если первые программы в данной категории начинали с весьма примитивного перебора всех возможных IP-адресов, то авторы сегодняшних "кумиров" используют целый ряд алгоритмов поиска. Потенциальный "подрывник", как пишут в своем исследовании ученые, может в течение нескольких месяцев до запуска "червя" сканировать открытые порты, собирая списки нужных IP-адресов. Также на первых порах потенциальный "террорист" способен написать мини-версию "червя", сканирующего Internet вместо него. Утилиту легко внедрить на нескольких сотнях машин. Она не будет содержать никакого вредоносного кода, чтобы не привлекать к себе внимания. Ее основное назначение -- сбор данных о доступных IP-адресах.

Аналогично информацию о компьютерах, работающих на нужных платформах и операционных системах, можно получить, используя открытые источники, такие как исследования NetCraft. Потенциальным источником качественных списков IP-адресов способны стать пиринговые сети. Здесь есть шанс получить перечень хостов, расположенных на территории крупных университетов и имеющих постоянный доступ к Internet.

Затем список всех доступных хостов разбивается на несколько кластеров. Если допустить, что "червь" может самостоятельно вычислить зараженность компьютера, то поиск новых машин стоит направить в более разумное русло. Как только очередной "червь" получает в распоряжение новый кластер, на пробу берется определенное количество хостов из кластера. Если обнаруживается хоть одна машина, зараженная этим "червем", делается допущение, что данный кластер уже находится в состоянии "обработки", и с центрального сервера запрашивается новый.

В итоге на свет появится "червь", который при должной подготовке за максимально короткое время (15 минут) способен получить доступ к 300000 хостов. Через час число "больных" машин может превысить несколько миллионов. Для пущего эффекта штурм лучше начинать глубокой американской ночью, когда системные администраторы и специалисты по безопасности менее склонны предпринимать резкие шаги для противодействия "червю".


Противодействие

Если еще несколько лет назад подобное развитие событий предрекали в основном научные фантасты, то с ростом сетевой активности сценарии атаки приобретают все более реалистичные формы. Опасность представляет и тот факт, что для массированных отлаженных штурмов теперь не нужны мощные ресурсы и суперкомпьютеры. Следующим сетевым террористом может стать двенадцатилетний школьник. Способы защиты инфраструктуры уже рассматриваются не столько на корпоративном, сколько на государственном уровне. О своем желании защитить инфраструктуру законодательным образом уже заявили США, Япония и Европейское сообщество. Время покажет, насколько эти усилия окажутся действенными.