Многоликий зиродэйАвтор: Денис Зенкин
Опубликовано в журнале "Компьютерра" N27-28 от 22 июля 2008 годаАтаки типа zero-day были, есть и будут главной угрозой, исходящей из враждебного сетевого окружения. Такое мнение уже не раз высказывали специалисты по информационной безопасности (ИБ), но события последних дней напомнили старые добрые пророчества и заставили сисадминов всея планеты забиться в пароксизме зиродэйной идиосинкразии.
Зиродэй" представляет собой разновидность атаки, при которой враг проникает в компьютерную систему через неизвестную, неопубликованную или непатченную брешь в каком-либо приложении или операционной системе. Не имеет значения, насколько педантично вы загружаете антивирусные апдейты, устанавливаете пакеты обновлений и приносите другие жертвы пантеону божеств сетевой гигиены. В этом случае мы имеем дело с противником-невидимкой: мы ничего о нем не знаем, у нас нет возможности создать противоядие. Как правило, обнаружить проникновение можно только по косвенным признакам при помощи анализа сетевых флуктуаций.
История знает много случаев успешного использования неизвестных уязвимостей. В июне 2004 года в Сети была зарегистрирована эпидемия троянской программы Scob, использовавшей сразу две непонятные бреши в Internet Information Server и Internet Explorer. В сентябре 2006-го американский провайдер HostGator стал виновником заражения тысяч пользователей вредоносной программой, эксплуатирующей ошибку в обработчике VML файлов. В начале 2007 года Microsoft признала наличие критической уязвимости в Word, которой немедленно воспользовался компьютерный андерграунд для хищения паролей.
Этическая противоречивость и опасность "зиродэя" продолжают питать жаркие дискуссии. В вирусописательских кругах zero-day-эксплойты (пример использования уязвимости) уже обрели статус твердой валюты и ценятся на вес золота. К примеру, накануне выпуска Windows Vista неизвестные умники в одном из форумов продавали этот товар аж за 50 тысяч долларов. В зависимости от надежности источника, актуальности бреши и серьезности намерений покупателя стоимость эксплойта может достигать и нескольких сотен тысяч долларов.
С другой стороны, "зиродэй" активно используют ИБ-специалисты и разработчики в целях самопродвижения. Кто откажется "звездануть" в заголовках прессы, сообщив миру о грядущем апокалипсисе? Опять же редкому бизнесмену не понравится идея "обналичить цитируемость", стимулирующую продажи софта. Правда, вскоре выяснилось, что это лукавое правдорубство вызывает и обратный эффект. Андерграунд с благодарностью принял такой подарок и стал использовать информацию о дырах в корыстных целях. Таким образом, эволюция отношения профессионального сообщества к раскрытию брешей привела к негласному запрету на публикацию любых деталей до момента выпуска патча.
Это было закреплено в уставах неформальных организаций (RFPolicy, OIS Guidelines и пр.), а также проросло в международных соглашениях вроде Конвенции по борьбе с компьютерными преступлениями.
Практика, однако, показывает, что ни новые этические нормы, ни закручивание законодательных гаек, ни развитие ИБ-систем не могут остановить поток zero-dayуязвимостей. Всего через два часа после выхода долгожданного Firefox 3.0 участники проекта Zero Day Initiative (ZDI) сообщили об обнаружении серьезной ошибки в популярном браузере, позволяющей незаметно запускать на компьютере жертвы вредоносный код. В июне был взломан сайт компании Metasploit, специализирующейся как раз на защите от брешей: по мнению специалистов, здесь тоже имел место "зиродэй-инцидент".
В конце месяца жертвами дифейса со стороны неизвестных турецких хакеров пали ICANN и ее дочка IANA — два ключевых элемента современной интернетинфраструктуры. В отсутствие официальных комментариев можно предположить, что вряд ли эти уважаемые организации забыли пропатчить свои системы — скорее всего речь идет о классической атаке zero-day.
О масштабах проблемы гадать не нужно — это открытая информация. По данным Symantec, среднее время между обнаружением бреши и выпуском вредоносного кода для нее составляет шесть дней, тогда как для выпуска патча требуется уже сорок шесть дней. 64% уязвимостей были классифицированы как средние и критические, из них 73% получили статус "простые для эксплуатации". А McAfee сообщает, что 10% всех зарегистрированных zero-day-брешей имели класс "in the wild", то есть были обнаружены в готовом вредоносном коде, уже получившем распространение (!).
За примерами далеко ходить не нужно. Свежая уязвимость в Internet Explorer позволяет реализовать слежку за пользователем в лучших традициях Большого Брата.
Представьте, что невидимый скрипт постоянно наблюдает за вами, видит все, что вы делаете, записывает все адреса и введенные данные (в том числе пароли) и даже может угадать ваш следующий шаг", — так описывает опасность известный мексиканский исследователь Эдуардо Вела.Представьте, сколько подобных скриптов и им подобных неизвестных науке эксплойтов бороздят Интернет? Даже сейчас, когда вы читаете эту статью, есть ли уверенность, что ваш компьютер неуязвим и кто-то не качает что-то через какую-то брешь, о которой именитые спецы не имеют понятия?
На закономерное сомнение уважаемого читателя в психическом здоровье автора отвечу известным афоризмом: "Если у вас нет паранойи, это еще не значит, что тот мужик за вами не следит". Простейший способ решить проблему — ее игнорировать. Однако факты — вещь упрямая. А они свидетельствуют, что дела в консерватории не сдвинулись с места: "зиродэй" остается дамокловым мечом, способным в одно мгновение ввести Интернет в состояние хаоса.