Ряд проблем, возникающих при обеспечении качественной работы пользователей персональных компьютеров, относится к тематике информационной безопасности. В целом, к этим проблемам относятся вопросы устранения взаимопомех при совместной работе пользователей на одном ПК, на соседних ПК локальной сети, а также при работе с глобальными сетями. Часть этих проблем, связанная с взаимодействием пользователей на одном ПК, носит самостоятельный характер и обычно рассматривается и решается отдельно от прочих — как правило, лицом, ответственным за данный ПК. Остальные проблемы, относящиеся к сфере обеспечения использования ПК в локальных и глобальных сетях, решаются в мелких организациях Системным администратором, в крупных — набором соответствующих служб, управляющих сетевыми средствами поддержки. Данный материал призван сконцентрировать внимание на совместном обеспечении информационной безопасности ряда взаимосвязанных ПК в рамках одной локальной сети.
Опыт показывает, что основными проблемами, подлежащими разрешению в рамках уже существующей и функционирующей локальной сети, являются действия вирусов и сетевых червей, почтовые и сетевые атаки, а также взаимопомехи из-за некорректной настройки компьютеров. Рассмотрим подробно эти составляющие.
Компьютерные вирусы за последние несколько лет претерпели естественные изменения, связанные с адаптацией к вновь открывающимся возможностям их действия. Как уже неоднократно отмечалось [1], каждый раз при открытии для использования новой среды распространения вирусов, будь то язык макрокоманд VisualBasic или скрипт HTML, наблюдалась тенденция снижения изощренности вирусных разработок при одновременном резком увеличении числа вирусов, направленных на вновь открывшуюся среду. За последний год можно наблюдать, как различные виды вирусов используют одну и ту же потенциальную опасность — “дыру” в Microsoft Explorer, позволяющую оформленным определенным образом почтовым вложениям автоматически, без какой-либо активности пользователя, развертываться и запускаться после получения письма, содержащего вирусный код. Указанный метод используется весьма широким набором вирусов, от примитивных почтовых, организующих автоматическую рассылку вирусного кода по списку адресной книги, до сравнительно сложных, типа IIS-Warm.CodeRed или SirCam.
Второй характерной особенностью современных вирусов является их ярко выраженная направленность на массовый характер поражения, с использованием сетевых средств. Если еще два-три года назад [2] авторы вирусов делали ставки на создание так называемых “полиморфиков” с возможностями автоматического заранее непредсказуемого изменения вирусного кода в процессе распространения, на изобретение особо изощренных приемов внедрения вирусов в тела атакуемых объектов (OneHalf), на изощренные попытки преодоления колец защиты в Windows NT (PM.Wanderer) и на возможность работы в различных операционных средах (мультиплатформенный Anarchy), то есть в основном на сложность обнаружения и устранения, то сейчас ситуация изменилась в корне. Печальный успех макрокомандных вирусов, распространявшихся в средах WordBasic и VBA, дал толчок ставке на скорость и массовость поражения. Вместо изощренных технологий многоплатформенности, полиморфизма и скрытости (stealth), большинство реально распространяющихся вирусов использует весьма ограниченное число приемов, к сожалению, оказывающихся успешными. К этим приемам, в частности, относятся:
— рассылка вирусов как вложений к письмам электронной почты;
— использование “дыры” в Internet Explorer, позволяющей основанным на нем почтовым программам Microsoft Outlook и Outlook Express запускать ряд некорректно оформленных вложений на исполнение без санкции пользователя;
— возможность распространения вирусов по локальной сети через сканирование и поиск ПК с открытыми для записи локальными дисками, либо некоторыми установленными на них приложениями (например, IIS), позволяющими вирусам проникать и укореняться на новых ПК.
Весьма характерным примером сложившихся тенденций служит почтовый червь Aliz. Полученный с зараженным письмом, он, благодаря некорректно оформленному заголовку почтового вложения, тут же запускается, сканирует Адресную книгу и готовит ряд писем с вложением себя всем абонентам, после чего инициирует рассылку писем и, к счастью, самоуничтожается. Все описанные действия происходят за несколько секунд, так что неискушенный пользователь даже не обращает внимания на чуть повышенную активность своего ПК. Однако, его абоненты, получив, в свою очередь, такой червь, подвергаются той же самой процедуре. Если среди этих абонентов есть коллеги по локальной сети, а так обычно и есть, и большинство их ПК включены, то потоки писем лавинообразно увеличиваются, мгновенно “забивая” локальную сеть и почтовые сервера.
Под почтовыми атаками здесь понимается чрезвычайно увеличившиеся в последнее время специфические попытки выяснения реальных адресов пользователей электронной почты с тем, чтобы высылать им письма, зараженные по описанной выше технологии. Дело в том, что простая попытка выслать письмо, скажем, некоему Serge на www-адрес, скажем, www.abcde.ru, если там нет почтового сервера, ответа не получит, зато если сервер почты там есть, то либо пользователь Serge там присутствует, и письмо дойдет, либо будет получен ответ типа “Пользователя Serge нет на www.abcde.ru”. Сам факт получения ответа выдает, таким образом, наличие почтового сервера, на который далее исполняется почтовая атака. Вариантов почтовых атак много, однако самый простой, но и, к сожалению, самый эффективный заключается в посылке зараженных писем на адреса Alex@www.abcde.ru, Andre@www.abcde.ru и так далее. Список имен содержит несколько сотен часто встречающихся имен. Темы письма могут быть самые разные с завлекательными фразами, к примеру, “Hi, Alex, look what I found for you” - ну как не взглянуть на такое письмо с личным обращением? Увидев свое имя, пользователь чисто автоматически щелкнет на нем мышью для просмотра основного текста... и запустится тот самый механизм развертки и запуска некорректно оформленных приложений, который описан выше.
К счастью, команды получения актуального списка пользователей на почтовых серверах не существует. Однако, практика показывает, что в большинстве организаций, где пользователи сами имеют возможность выбирать себе Nick, весьма значительное их число чисто автоматически берет себе для своего почтового имени собственное имя. Распространившаяся в связи с окончанием тысячелетия мода добавлять к имени год, типа Vera2000, была мгновенно оценена авторами вирусов как новая возможность проникновения — теперь инициируются письма как на исходный список имен, так и на список с добавками 2000, 2001 и 2002. Конечно, высылка такого числа писем многократно увеличивает потоки, забивая Интернет, но кого это волнует? Провайдеры получают оплату по времени доступа, крупные провайдеры — по трафику, так что чисто экономически им наличие таковых процессов в сети даже выгодно...
Понятно, что для успешных почтовых атак нужно, прежде всего, найти почтовый сервер. Оказывается, что для этого даже не нужно просматривать официальный список www-адресов: многие пользователи крупных локальных сетей имеют собственные почтовые сервера, которые даже не обязательно регистрировать — достаточно на рабочих станциях в почтовых программах указать корректные ссылки на сервер с этим сервисом. Все такие сервисы реагируют на обращения к ним по соответствующему протоколу извне, еще до реальной пересылки писем, и могут быть определены сторонним пользователем. Такое сканирование компьютеров по их ip-адресам может исполняться с различными целями, как благими, так и нет. Сканирование, несущее вред, назовем сетевой атакой.
На самом деле как Интернет, так и локальная сеть буквально наводнены служебными, не несущими прямой пользовательской информации, пакетами. Опросы готовности компьютеров, их тех или иных сетевых сервисов, постоянные запросы на преобразование адресов из буквенного вида в ip-адрес (DNS), а на высоких уровнях или в крупных сетях - еще и управление потоками, занимая по объему не более нескольких процентов, в то же время могут составлять по количеству пакетов до 10-20% трафика. При включении и загрузке обычной рабочей станции под Windows’98 уже испускается свыше 200 пакетов, на большинство которых должен быть получен ответ. Поэтому вопросы отграничения “законных” пакетов от сканирующих атак не столь просты, как это можно предположить. Одной из типовых атак стал метод, в котором рабочим станциям сети посылается пакет, инициирующий автоматические ответы DNS-серверу. Ясно, что если включенных в это время рабочих станций заметное число, то некоторое время этот сервер будет занят ответами, затормозив работу сети в обычном режиме.
Однако, указанный прием сам по себе еще не причиняет иного вреда, кроме замедления работы сети. Более изощренные приемы, например, атака некорректным пакетом сервера, имеющего сервис IIS (Internet Information Service), вследствие ошибки в программе ядра (Search Engine) IIS может привести к исполнению части атакующего пакета как исполняемого кода. Результатом может стать полный доступ к содержимому сервера. Этот тип атаки исполняется изнутри сети почтовым червем IIS-Warm.CodeRed после проникновения на один из компьютеров локальной сети.
Некорректная настройка ПК также может привести к аварийным последствиям для сети. Среди сотен настраиваемых пользователем параметров Windows, около десяти определяет использование ПК в сети. К сожалению, неверное их указание может вызвать неприятные последствия, от помех работы одному или нескольким пользователям до резкого замедления работы всех остальных пользователей сети.
Указанным проблемам информационной безопасности посвящено немало работ, количество которых значительно увеличилось в последние годы. На первый взгляд, трудно понять, почему при таком тщательном изучении этих проблем, наличии специальной литературы, наличии развитых антивирусных средств (два отечественных пакета, Doctor Web и AVP, давно и прочно занимают ведущие места в списке мировых антивирусных продуктов) эти проблемы на практике продолжают непрерывно беспокоить многие организации.
Этому, представляется, есть определенные предпосылки.
Во-первых, действующие коэффициенты амортизации на компьютерную технику, приравненную еще при В.С.Черномырдине к основным фондам, предполагают срок использования компьютеров около 10 лет. Реальное обновление техники и рассчитанных на нее версий операционных средств происходит за 1-2 года, причем политика фирм-производителей как компьютерного “железа”, так и программных средств состоит в быстром обновлении своей продукции без сохранения поддержки и полной преемственности предшествующих моделей. Так, прекратив поддержку версий Windows’95, Microsoft фактически оставила без поддержки значительную часть пользователей, эксплуатирующих ПК AT-486 и Pentium-I, которые, по срокам амортизации, должны в государственных предприятиях использоваться еще несколько лет. В настоящее время практически оставлены без поддержки уже Windows’98/98SE (отсутствуют патчи к поставляемому в составе этих систем Internet Explorer 5.00, низший из патчей рассчитан на IE 5.01), что в скором времени приведет к невозможности эксплуатации огромного количества таких ПК, как Pentium-II, Celeron-266 и AMD-300.
Во-вторых, использование огромным большинством пользователей-непрограммистов продуктов корпорации Microsoft, несмотря на многолетнюю печальную историю бесконечных “дыр” и ошибок в программном обеспечении, дает вирусам обширное поле действия. В то же время, применимость рекомендуемого фирмой-производителем универсального противодействия огрехам ее разработчиков, а именно — скачивание непосредственно самим пользователем через Интернет бесконечных патчей и cервис-паков, закрывающих то одну, то другую “дыру”, представляется в отечественных условиях весьма проблематичной. Многие из этих патчей должны быть установлены после установки предшествующих, и таким образом для полного “закрытия” только одной “дыры” в Windows NT 4.0 Server, к примеру, следует установить нужный Service-Pack, а потом до полудюжины патчей (автор был свидетелем того, как на нескольких рядом стоящих серверах с одним релизом применение одних и тех же патчей приводило к различным результатам, от полного успеха до невозможности установки очередной “заплатки”). Нестабильность Интернета, регулярное урезание трафика провайдерами в сочетании с необходимостью установки “заплат” в режиме подключенности к сети, в которой в данный момент, вполне возможно, активны сетевые вирусы — все эти факторы сильно уменьшают желание пользователей-непрограммистов самим заниматься установкой защит и усовершенствований. Для компьютеров же, подключающихся по Dial-Up, в котором при состоянии отечественных коммутируемых линий связи (т.е.обычной связи по телефону) скорость скачивания падает еще в 10-15 раз, установка необходимых обновлений отнимает десятки часов реального времени и потому вообще проблематична. Следствием становится реальность, в которой традиционный пользователь, имеющий ПК мощности, скажем, AMD-K6-2-300, в лучшем случае приобретает лицензионную версию Windows’98 SE и остается заложником этих базовых средств, в худшем же имеет ПК с предустановленной той же самой Windows’98 или 98 SE, от которой не имеет возможности отказаться: Windows XP рассчитан на компьютеры с втрое большей рабочей частотой.
В-третьих, из изложенного ясно, что за последние годы произошел качественный скачок в скорости распространения вирусов. Если ранее с подозреваемого в зараженности ПК просто некоторое время можно было не сбрасывать информацию на дискеты, чтобы не разносить заразу, обратиться в антивирусную службу и вылечить изолированный ПК, то теперь соотношение скоростей заметно изменилось. При заражении сетевого ПК требуется время, чтобы отключить его от сети, причем пользователи этих ПК зачастую активно сопротивляются отключению, не желая оставаться без электронной почты и Интернета. За это время зараженный ПК успевает нарушить работу еще нескольких десятков ПК, а порой и парализовать всю сеть. При скорости заражения в несколько секунд, которая достигнута упомянутым выше почтовым червем Aliz, мгновенно изолировать зараженный ПК административными мерами вообще невозможно.
В-четвертых, наконец, по объективным причинам антивирусные средства всегда отставали и будут отставать от появления новых вирусов, которых с каждой неделей прибывает, считая модификации, 70-150 штук. Антивирусные средства порой просто не успевают полноценно соответствовать появлениям новых вирусов. Не секрет, что во многих случаях антивирусы, излечивая зараженный файл, на самом деле просто блокируют в нем исполнение вирусного кода [4], вовсе не удаляя сам код как таковой: на детальное исследование свойств вируса для создания процедуры удаления просто не хватает времени. По тем же причинам, часто в реестре не убираются ссылки на уничтоженный вирус, иногда удалить зараженный файл стандартными средствами вообще невозможно вследствие того, что вирус успел объявить себя системным файлом или внедрился в таковой. В крайних случаях, результатом может являться даже неработоспособность Windows после такого частичного обеззараживания (к примеру, Windows после удаления SirCam ПК до правки реестра просто блокируется). В этих условиях автор вполне понимает и разделяет приверженность пользователей именно к версиям Windows’98 SE и Windows NT 4.0 Server: они последние сохраняют естественным образом возможность использовать на ПК “старый добрый” MS-DOS 6.22 с возможностью доступа ко всем файлам Windows (конечно, в FAT16) из-под DOS. ЗАО “ДилогНаука” специально поддерживает запускаемую в обычном MS-DOS версию Doctor Web-386 со всеми возможностями Doctor Web для Windows, с обработкой длинных имен и каталогов с русскими именами, именно в целях лечения сложных случаев. В такой ситуации никакие нововведения Windows Me/2000/XP, на мой взгляд, никогда не оправдают отказ от альтернативного MS-DOS.
В описанные условиях, представляется, необходимо проведение ряда мероприятий разнопланового характера. Описывая ниже как известные средства, так и оригинальные разработки, хочется подчеркнуть, что только совместное проведение всех их даст ощутимый результат.
Помимо маршрутизаторов, определенно имеет смысл использовать также мосты (bridge, switch) с возможностью фильтрования кадров по технологическим адресам сетевых плат (MAC-адресам). Несмотря на дороговизну, такие устройства позволяют надежно застраховать критические части сети (например, основную группу поддерживающих почту и Интернет серверов) от ошибочных настроек ПК пользователями и сетевых атак изнутри сети. Более развитый, чем в маршрутизаторах, язык описания фильтрации позволяет, в принципе, индивидуально определять набор компьютеров, имеющих допуск к почте, Интернету, внутренним сайтам, служебным базам данных и т.п.
Как видно из описания действия текущих вирусов, в ряде случаев такая мера, как отключение пользователя, ранее представлявшаяся чрезвычайной, теперь должна делаться немедленно, не взирая на лица и не ожидая санкции начальства, а лучше — вообще автоматизированно. Описанная в п.1 система наблюдения позволяет, в принципе, автоматизировать определение кризисных ситуаций в сети, связанных с внутренними сетевыми атаками или некорректной настройкой ПК, и их виновника. Технологически возможна и автоматизированная связь выходных данных системы аудита с генерацией необходимых команд отключения конкретного пользователя от сетевых сервисов с помощью switch-устройств, к примеру, типа Cisco Catalyst.