8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
            
Раздел: Документация

0 ... 29 30 31 32 33 34 35 ... 102

щенпых) сетевых ресурсов, львиная доля которых приходится на j,0 сети мелких фирм и государственных учреждений. В силу ограничен нансов содержать более или менее квалифицированного администра1х не могут и о необходимости выбора надежных паролей, суля по всему, догадываются (а может быть, просто ленятся — кто их знает).

Первым (а на сегодняшний день и последним) червем, использук>щИм низм подбора паролей, был и остается вирус Морриса, удачно комбнни щий словарную атаку с серией типовых трансформаций имени жертвы/ ходное имя пользователя, удвоенное имя пользователя, имя пользовать,, записанное задом наперед, имя пользователя, набранное в верхнем/щщ-регистре и т. д.). И эта стратегия успешно работала!

Червь Nimda использует намного более примитивный механизм распростраце ния, проникая лишь в незапароленные системы, что удерживает его от необузданного распространения, поскольку пустые пароли занимают незначительны! процент от всех слабых паролей вообще.

Конечно, со времен Морриса многое изменилось, и в мире наблюдается тенденция к усложнению паролей и выбору случайных, бессмысленных последовательностей. Но вместе с этим растет и число пользователей, — администраторы оказываются просто не в состоянии за всеми уследить и проконтролировать правильность выбора пароля. Поэтому атака по словарю по-прежнему остаето актуальной угрозой.

Открытые системы. Открытыми мы будем называть такие системы, которк беспрепятственно позволяют всем желающим исполнять на сервере свой сое ственный код. К этой категории преимущественно относятся службы бесплатного хостинга, предоставляющие telnet, perl и возможность установки исходя щих TCP-соединений. Существует гипотетический вирус, который поражай такие системы одну за другой и использует их в качестве плацдарма для атак- на другие системы.

В отличие от узлов, защищенных слабыми (отсутствующими) паролями. делец открытой системы умышленно предоставляет всем желающим сводный доступ, пускай и требующий ручной регистрации, которую, кстати ска* можно и автоматизировать. Впрочем, ни один из известных науке червей использует этот механизм, поэтому дальнейший разговор представляется вершенно беспредметным.

Человеческий фактор. О пресловутом человеческом факторе можно г0В" много. Но не буду. Это вообще не техническая, а сугубо организационная блема. Как бы ни старалась Microsoft н конкурирующие с нею компаН"* защитить пользователя от себя самого, не урезав при этом функционал1 системы до уровня бытового видеомагнитофона еще никому не удавалось- когда не удастся. Паскаль, известный тем, что не позволяет вам выстрел"1 в ногу, значительно уступает по популярности языкам Си и Си++, тем*- . которые позволяют отстрелить вам обе ноги вместе с головой вприД34 когда вы этого не планируете. Так что, тенденция, однако!

б0рЬБА

ЗА ТЕРРИТОРИЮ

-Какой величины территорию должен контролировать каждый червь?

—Это зависит от размеров червя.

Френк Херберт. «Дюна»

черВя - это непрерывная борьба за свое существование. Однажды по-в Интернет, червь сталкивается с проблемами захвата системных ресурсов понитания), освоения новых территорий (поиска подходящих узлов для за-ния) обороны от хищников и прочих «млекопитающих» (брандмаузеров, антивирусов, администраторов и т. д.), попутно решая задачу внутривидовой конкуренции. В этой агрессивной среде выживает лишь хорошо продуманный it тщательно спроектированный высокоинтеллектуальный код. Подавляющее большинство червей умирает вскоре после рождения, и лишь считанным вирусам удается вспыхнуть крупной эпидемией. Почему? Из школьного курса биологин нам известно, что безудержный рост численности любой популяции всегда заканчивается ее гибелью, ведь питательные ресурсы отнюдь не безграничны. Предел численности червей естественным образом регулируется пропускной способностью Интернет-каналов, емкостью оперативной/дисковой памяти п быстродействием процессоров.

Влияние фактора скорости размножения на жизнеспособность вируса исследовалось еще в пионерских работах Ральфа Бургера. Уже тогда было ясно, что вирус запросто может заразить все файлы локальной машины за один присест (про сетевых червей, в силу отсутствия последних, речь тогда попросту не шла), однако это сделает факт заражения слишком заметным, и тогда судьба вируса окажется предрешена (паническое форматирование жесткого диска «на низком уровне», полная переустановка всего программного обеспечения, ну, в об-«ем, вы меня понимаете). Кроме того, на чувственном (sense) уровне такой вирус попросту неинтересен.

ассмотрим крайний случай. Пусть наш вирус совершает единственный акт • Раженця в своей жизни. Тогда рост численности популяции будет носить 1инейный характер, продолжающийся до тех пор, пока загрузка системы не ысит некоторую критическую величину, после которой скорость размно-Иес Я В1руса 1ач»ет неуклонно падать. В конце концов вирус сожрет все проема Р"Ые ресуРсы- всю оперативную и всю дисковую память, после чего сцс-"а по- К°Нчатсльно встанет и — процесс размножения прекратится. Впрочем, тывает<ТИКе Д° Э10го дело ООЫЧ1Ю не доходит, и владелец компьютера сиохва-ПерИоГп3,,аЧИТСЛЬИОрапьШе-

н,,РУса ПроТека1°Щий от момента первого заражения до момента обнаружения "<V«odo"0 ИСтипичн°й активности системы, условимся называть латентным h пчени*РаШиожения червя. Чем большее количество узлов будет заражено г>ор „ е ЭТг>Го времени, тем большие шансы на выживание имеет червь. Вы-ильной стратегии размножения на самом деле очень важен. Причина

- „а ГОЛ"1Г! ---—-- -"

106 Глава 3. Жизненный ЦИЮ)

вымирания большинства червей как раз и заключается в ненродуЛ,ан1 множении. Чаще всего исходный червь расщепляется на два. На два Н{ °М вя, готовых к дальнейшему размножению. В следующем поколении • 1>£ЧеР-вей будет уже четыре, затем восемь, потом шестнадцать, тридцать два и ЧеР-по возрастающей... Наглядной физической демонстрацией этого прощ.***1 жит атомная бомба. И в том, и в другом случае мы имеем дело с Цепцоа цией, отличительной особенностью которой служит ее взрывной характ первых норах увеличение численности вирусной популяции происхо-щ1 медленно, что им можно полностью пренебречь, но при достижении иеко критической массы происходит своеобразный взрыв, и Дальнейшее размно пне протекает лавинообразно. Через короткий отрезок времени — дни н-щд считанные часы — червь поражает практически все уязвимые узлы сети после чего его существование становится бессмысленным, и он умирает, раздавлен ный руками недобрых администраторов, разбуженных часов эдак в пятьутр А черви, в силу всепланетной организации Интернета, имеют тенденцию совершать атаки в самое неудобное с физиологической точки зрения время. При условии, что выбор IP-адреса заражаемой жертвы происходит по более или менее случайному закону (а большинство червей распространяются именно так), по мере насыщения сети червем скорость его распространения неуклонно снижается, и вовсе не потому, что магистральные каналы оказываются перегруженными! Попробуйте сгенерировать последовательность случайных байт и подсчитайте количество шагов, требующихся для полного покрытия всей области от 00h до FFh. Очевидно, что за 100h шагов осуществить задуманное нам ни за что не удастся. Если только вы не будете жульничать, одни и те же байты будут выпадать многократно, в то время как другие останутся не выпавшими ни разу! И чем больше байт будет покрыто, тем чаще станут встречаться повторные выпадения! Аналогичным образом дело обстоит и с размножений вируса. На финальной стадии размножения полчища червей все чаше у стучаться в уже захваченные компьютеры, и гигабайты сгенерированного трафика окажутся сгенерированными впустую.

Для решения этой проблемы червь Морриса использовал несколько1Геза*. мых механизмов. Во-первых, на каждой из зараженных машин он извлек сок доверенных узлов, содержащихся в файлах/etc/hosts.equivii /.rno -j же файлы .forward, содержащие адреса электронной почты. То есть .j

адреса уже не были случайными — это раз. Отпадало большое коЛИЧС.С]ц111 шествующих узлов — это два. Количество попыток повторного mJ a0j)$

ння сводилось к разумному минимуму — это три. Подобную тактику е? ют многие почтовые черви, обращающиеся к адресной книге Outloo \$ И эта тактика очень неплохо работает! На сайте корпорации Sy»«antcfl0iHf любопытная утилита — VBSim (Virus and Worm Simulation System).B ющая сравнительный анализ эффективности червей различных тип Во-вторых, различные экземпляры червя Морриса периодически °л друг с другом списком уже зараженных узлов, ходить на которые Конечно, наличие каких бы то ни было средств межвирусной син*Р существенно увеличивает сетевой трафик, однако, если к этому вопр0 -



0 ... 29 30 31 32 33 34 35 ... 102