Предыдущие номера:
24.12.96. Поспорим о вкусах?
25.12.96. Даешь коммуникатор!
26.12.96. Дела юбилейные
27.12.96. Откуда что берется
28.12.96. Самый страшный вирус (начало)
|
|
Заметка шестая
САМЫЙ СТРАШНЫЙ ВИРУС
продолжение. начало в N5
Сегодня продолжим разговор о Самом Страшном Вирусе, угрожающем Интернету. Вчера мы прервались на рассказе про Роберта Т. Морриса, студента-исследователя, который безо всякого злого умысла запустил в Интернет самовоспроизводящийся вирус и за считанные часы парализовал все каналы компьютерной связи американской оборонки. Суд приговорил горе-студента к трем годам условно, штрафу и исправительным работам; отбыв наказание, бывший студент Корнелла несколько лет проработал в небольшой программистской фирме, а теперь заканчивает докторскую диссертацию по компьютерным наукам в Гарварде. Остается лишь понадеяться, что для защиты докторской ему не потребуется создавать новую самовоспроизводящуюся программу на радость будущим историкам компьютерных катастроф...
Одним из важных следствий эпизода с Моррисом и его червем стало создание - на базе Университета Карнеги-Меллон - специальной интернетовской группы быстрого реагирования (известной под сокращенным названием CERT). Эта группа занимается сбором информации обо всех случившихся взломах компьютерных систем и разработкой рекомендаций, которые позволили бы предотвратить повторение подобных неприятностей. Благодаря работе CERT и других аналогичных групп - академических и коммерческих - Интернет сегодня куда лучше защищен от вирусной или хакерской агрессии, чем в тот злополучный вторник 2 ноября 1988 года, когда юная Сеть охнула под пятой новорожденного червя.
Как мы уже говорили, специально созданный интернетовский вирус - будь то программа или чье-либо сознательное действие - должен уметь не столько портить систему структурно, скольку загружать ее ресурсы функционально. В этой связи одной из наиболее модных в последние месяцы хакерских атак является так называемая "пинговая бомба". В основе ее устройства лежит простой и изящный интернетовский протокол ICMP ping, придуманный для того, чтобы определять достижимость той или иной машины в Сети. Пинг - это пакет информации определенной величины (как правило - 56 байт), посылаемый от одной машины к другой. Если между этими машинами существует связь, то в ответ на любой посланный пинговый пакет адресат должен тем же протоколом выслать отправителю встречный сигнал - подтверждение получения.
Время от выхода сигнала с пингующей машины до прихода подтверждения от нее служит для оценки качества и скорости связи между любыми двумя компьютерами в Сети. При обработке данных пинга учитывается минимальное, максимальное и среднее время путешествия 56-байтного пакета между двумя адресами, а также процентная доля пакетов, пропавших в пути. Таково изначальное предназначение протокола ICMP ping, и трудно усомниться в полезности этой програмки для сетевого пользователя. Ведь по определению Российского интернетовского института, постоянно действующим считается такое интернетовское подключение, которое прерывается не больше, чем на 2 часа каждые сутки. То есть любая машина может на 2 часа в день отключиться от Сети напрочь, и это находится в пределах нормы, заложенной в определение непрерывной связи. Незавидна судьба того пользователя, который два часа в день будет убивать на попытки установить связь с отключенной от Сети машиной. А пинг за считанные секунды оповещает его, что попытки бессмысленны. Для того и выдуман.
Но дотошные хакеры однажды сообразили, что в простоте и неформальности пингового протокола содержится огромный потенциал для злоупотреблений. Если вместо 56-байтного сигнала посылать удаленной машине живого слона, то довольно скоро прием слонов и посылка подтверждений их отправителю займет все процессорное время машины-мишени. В протоколе ICMP ping обнаружилось полное отсутствие каких-либо блоков и тормозов, способных предотвратить или остановить такую атаку. Абсолютное большинство машин в сегодняшнем Интернете беспомощно перед лицом такой слоновой угрозы. Пинговый потоп способен, при известной длительности сигналов, вывести из строя любую даже самую мощную машину, подключенную к Сети сколь угодно "широким" по информационной проводимости кабелем.
Превентивных мер против такой атаки сегодня нет. Однако существенным недостатком этого метода с точки зрения хакера является его одноразовость на каждой отдельно взятой машине: после первой же бомбежки с определенного адреса компьютеру, ставшему плацдармомом для подобной атаки, грозят суровые санкции со стороны Сети - по жалобе пострадавшей стороны. Поэтому системный администратор машины, единожды использованной хакером для рассылки слонов по просторам Сети, приложит все усилия, чтобы обрубить злоумышленнику несанкционированный доступ и залатать те дырки в системе безопасности, которые сделали проникновение хакера возможным. Единожды использовав какой-либо счет или машину для пинговой атаки, нарушителю придется распроститься с шансами повторно на эту машину зайти... Для хакера, которому взлом системы дается нелегким трудом, такая перспектива является серьезным сдерживающим фактором. Так что и пинговая бомба, при высокой своей эффективности, поддается если не техническому, то психологическому сдерживанию.
Куда сложнее бороться с технологией, которую выдумал около года тому назад автор этих строк, но применять не стал, резонно предположив, что и без него найдутся желающие. Эта технология (которую я не стал даже патентовать, о чем в свете последующих событий нисколько не жалею) была изобретена мной при наблюдении за почтовым роботом Белого дома. Функции этого робота довольно просты. В ответ на любое послание, полученное по адресу president@whitehouse.gov, робот высылает отправителю благодарственное письмо, содержащее много полезной информации о Белом Доме и его интернетовских службах. Безотказность действия президентского робота стала причиной того, что десятки тысяч системных и почтовых администраторов во всем мире проверяют на нем исправность только что созданных почтовых ящиков и серверов. Мне подумалось: а что будет, если однажды послать этому роботу-автоответчику письмо от имени другого робота-автоответчика? Президентский робот ответит по обратному адресу, указанному в полученном послании, автоответ придет якобы отправителю, якобы отправитель тоже автоответит - и так до бесконечности...
Спешу разочаровать читателя, мечтавшего применить этот патент на практике: робот Белого Дома запрограммирован с учетом возможности подобных накладок, и он не отвечает больше одного раза в сутки на один и тот же адрес. Поэтому замкнуть его на непрерывный цикл с другим роботом невозможно. Однако если думать дальше над описанной в предыдущем абзаце технологией, ее можно довести до ума. Такой целью задался минувшим летом безымянный хакер, прозванный в интернетовских кругах Unamailer - по аналогии с кличкой Unabomber, которую заработал в ноябре 1995 года один террорист-герострат, взрывавший бомбы на улицах американских городов, чтобы заставить ведущие газеты США напечатать его графоманскую писанину об обустройстве демократического общества. Подробности эпопеи Унабомбера можно прочитать в соответствующем репортаже из подборки CyberWire Dispatch (по-английски), либо в моем пересказе, опубликованном по горячим следам журналом "Окна". К сожалению, моя собственная заметка пока offline, так что если кому-то хочется, могу просто выслать почтой, пишите. А мы пока вернемся к Унамэйлеру.
Этот зловредный - и по сей день безымянный - хакер додумался, как использовать убойную силу почтовых роботов для затопления почтой избранных машин и адресатов. Технология весьма проста и основана на моей идее, сформулированной выше. Вот как это делается:
Составляем список адресов роботов, принимающих подписку на почтовые листы рассылки (mailing lists). Делается это один раз, и довольно несложно: все такие роботы имеют довольно-таки стандартные имена (как правило, majordomo или listserv), и перечислены во множестве каталогов подписных листов. Пишем адреса в один файл, по одному адресу на строчку.
Отправляем по всем этим адресам письмо от имени нашей жертвы с просьбой подписать ее на листы, администрируемые роботом-адресатом. Нам нужно послать такое письмо один раз, а по всем адресам роботов оно будет автоматически рассортировано по составленному предварительно списку из файла. В письме адрес жертвы указывается два раза: в полях From: - для сообщений об удачной подписке - и Reply-To: - для сообщений об ошибках.
Вот, собственно говоря, и вся технология. В течение первого же часа после удара жертва получает от каждого робота ответы о результате обработки полученного от нее запроса. Ответы бывают двух видов: отказ и подверждение подписки. В любом случае, приходит как минимум два письма от каждого робота: техническая тарабарщина и словесная информация о результате обработки запроса (в случае подтверждения бывает и три письма). Если роботов в нашем списке перечислено 500, то это значит - не меньше 1000 писем на один почтовый адрес в течение первого же часа. А дальше те роботы, которые приняли подписку, начинают пересылать на адрес жертвы все проходящие через их лист материалы. Итого еще 4-6 тысяч писем за первый день подписки. Впрочем, это уже не так важно, потому что любой уважающий себя почтовый ящик (будь то даже ящик Билла Гейтса в Майкрософте или Билла Клинтона в Белом Доме) загибается, как правило, после первой тысячи пришедших писем.
Человек, произведший подобную операцию, остается, как правило, совершенно неуловим. Потому что плацдармом для такой атаки можно сделать абсолютно любой интернетовский счет, в том числе свой легальный университетский, провайдерский или служебно-ведомственный. Дело в том, что для отправки почты используются серверы SMTP, абсолютное большинство которых не следит за тем, откуда на них поступает почта, и не ведет протокола обращений. Любой отправитель в любой стране может использовать для отправки своих писем почтовые серверы Мичиганского университета (umich.edu), Массачусетского технологического института (mit.edu), Тель-Авивского университета (aristo.tau.ac.il) или Еврейского университета в Иерусалиме (relay.huji.ac.il). Если отправитель при этом сидит в Москве или Владивостоке, а отправляет почту со счета в Финляндии или США, то выследить его нет, как правило ни малейшей возможности.
Используя этот простой патент, Унамэйлер в уходящем году нанес два удара. Последний из них, приуроченный к прошедшему неделю назад Рождеству, был нанесен по 21 мишени. Среди жертв оказались видные интернетовские журналисты (главный редактор журнала Internet World Майкл Ньюбарт и один из репортеров этого издания, пишущий на хакерские темы), владелец Майкрософта Билл Гейтс, ультраправые американские республиканцы Пэт Бьюкенен и Дэвид Дьюк, проповедники Пэт Робертсон и Билл Грэм, американская нацистская партия, ку-клукс-клан, почтовые серверы МТВ и Церкви Сайентологии. Каждый из пострадавших почтовых ящиков был выведен из строя в среднем на одну неделю... Последняя атака Унамэйлера, ликвидация последствий которой продолжается по сегодняшний день, была второй: первая проба пера была произведена минувшим летом, и тогда мишенями стали сорок с лишним получателей электронной почты (политики, журналисты и тот же все злополучный Гейтс).
Окончание - в завтрашнем выпуске
|
