Поясним поочередно указанные выше положения.
Попадание вирусов на РС локальной сети возможно через почтовые программы. Однако, настройки этих программ позволяют использовать их как для стандартной внутрисетевой почты института, так и для общения с условно-бесплатными почтовыми ящиками таких сайтов, как www.mail.ru, www.omen.ru, www.hotmail.com - число подобных сайтов составляет многие десятки. Ведущиеся в рамках исследования загрузки локальной сети [1,2] работы позволили отследить множественный ряд обращений различных рабочих станций института ко многим Интернет-серверам почты по протоколу POP3, причем число этих серверов представляет несколько десятков (эти работы не закончены, и полное их обобщение будет сделано в текущем году). Разумеется, антивирусные средства почтовых серверов ЦЭМИ РАН могут фильтровать только потоки, относящиеся к ним, но не подобные обращения к прочим почтовым сайтам. Вместе с тем, антивирусные средства почтовых серверов на указанных сайтах весьма разнятся. Сайт www.mail.ru, в течение трех лет интенсивно атаковавшийся всеми массовыми сетевыми вирусами, с конца 2002 г. установил, наконец, действенные антивирусные средства и, в целом, в настоящее время имеет один из высших показателей по противовирусной обработке почты. Этого нельзя, к сожалению, сказать о прочих сайтах. Так, в почтовый ящик автора на www.omen.ru неоднократно в течение 2001-2003 гг. попадали письма, зараженные известными вирусами, а с начала 2003 г. содержание ящика показывает, что его имя регулярно используется для осуществления массовых рассылок спама.
Другим путем попадания вирусов на РС, не подпадающим под сетевой контроль, является передача информации на внешних носителях. К сожалению, даже пользователи ЦЭМИ РАН игнорируют многолетние предупреждения Антивирусной службы института о нежелательности переноса документов между компьютерами в формате DOC (следует использовать RTF). Прочие же организации, особенно в регионах и за границей, представляется, вообще не информированы о том, что RTF является универсальным форматом, одинаково воспринимаемым всеми версиями MS-Word от 6.0 до 2000 и не включающим макросредства, и потому предпочтительным для приема/передачи документов.
Еще одним возможным путем заражения РС вирусами является непосредственная передача документов как файлов между РС института по локальной сети. Как показывают данные аудита, пересылка информации между РС института приобретает все более массовый характер: если в 1999 г. внутрисетевые пересылки не превышали 1,5% трафика, то к началу 2003 г. их объем достигает 25% и более. Понятно, что в таких случаях антивирусный контроль остается за программными средствами, установленными на принимающих РС.
Попадание вирусов на рабочую станцию через Интернет также не всегда может быть проконтролировано сетевыми службами. Как уже неоднократно отмечалось [3,4], развитие очередной программной среды до возможности запуска и исполнения программного кода всегда влечет за собой появление соответствующего класса вирусов. Не осталась без внимания и среда HTML с Java-script: в ряде случаев достаточно просто заглянуть на сайт, чтобы ПК оказался зараженным. Осуществляя связь с сайтами, ни маршрутизаторы, ни коммутаторы как средства поддержки сетевых служб не предназначены для полного разбора стека TCP/IP и не в состоянии следить за содержимым передаваемых пакетов. Задача противовирусной защиты в данном случае возлагается, разумеется, на средства самой РС.
Другим быстро развивающимся каналом распространения вирусов через Интернет-сайты являются интернет-пейджеры типа ICQ, современные версии которых позволяют передавать файлы различного рода, в том числе и те, которые могут нести вирусный код или сетевого червя. Используется уже хорошо знакомый метод: пользователю предлагается фотография абонента либо какой-то «полезный» текст, однако при щелчке на принятом файле для его открытия Windows выясняет, что поступил исполняемый файл, и он запускается, заражая ПК.
Чаще всего, однако, пользователь попадается на психологическую уловку сам, скачивая «интересный скринсейвер» или иную «полезную» программу. Множество сайтов в погоне за посещаемостью коллекционирует разного рода программы пользователей, предлагая их для скачивания посетителям сайтов. Разумеется, никто не проверяет, как работают и что именно делают такие программы.
Различия в антивирусных средствах серверов и рабочих станций, наконец, являются последней из указанных причин, требующих обязательной индивидуальной защиты РС. В ЦЭМИ РАН для защиты РС используется лицензионный пакет Doctor Web для Windows, позволяющий исполнять многократные обновления антивирусной базы в течение недели. В то же время, для защиты почты на уровне Узла используется Norton Antivirus for Gateways 2.5.2, для защиты почты на прочих почтовых серверах — иные средства. Различия в скоростях попадания описания вирусов в эти базы в некоторых случаях достигало нескольких дней, в течение которых ряд вирусованных писем успевал придти и заразить отдельные ПК, а в двух случаях (2002 г.) были получены опасные сетевые вирусы, заразившие локальную сеть.
Наконец, если обезвреживание приходящих на РС вирусов извне еще может быть частично перекрыто, то такая возможность отсутствует для вирусов, распространяемых зараженной рабочей станцией. В самом деле, задача спасения Интернета от собственной заразы ничуть не менее важна, чем спасение себя от заразы из Интернета! Однако, тут положение дел в ЦЭМИ в целом гораздо хуже. Контроль за испускаемой информацией существует только для почтовых отправлений, исходящих через официальный почтовый шлюз Узла ЦЭМИ, однако структура и характер протоколов TCP/IP принципиально не позволяют контролировать всю испускаемую информацию на наличие зараженной информации. И если можно перекрыть пользователям работу по SMTP (отправление писем) на внешние адреса, то отправка файлов может осуществляться сотнями других протоколов, анализ каждого из которых является практически невыполнимой задачей.
Таким образом, необходимость принятия антивирусных мер на каждой рабочей станции локальной сети, независимо от наличия антивирусных средств на серверах и в структуре сетевых служб института, можно считать доказанной. Это положение принципиально важно не только с точки зрения окончательного разрешения споров о том, кто и как должен принимать меры защиты от вирусов. Дело в том, что в локальную сеть ЦЭМИ входят пользователи ряда сторонних организаций, которые подчас имеют собственную точку зрения на принципы поведения в сети. Ярким примером может быть случай, когда сотрудник одной из таких организаций исполнял срочную работу на компьютере, пораженном сетевым вирусом, и отказывался не только принять какие бы то ни было меры к обезвреживанию собственного ПК, но и отключить его от локальной сети, мотивируя это срочностью работы и тем, что для ее исполнения ему необходим Интернет. Разумеется, через несколько дней необходимые процедуры были выполнены с помощью руководства института, однако все это время все РС локальной сети и сервера находились под непрерывной атакой сетевого вируса, что сказалось на замедлении работы сети и привело к заражению более десятка РС института.
Обеспечение противовирусной защиты рабочих станций включает ряд направлений работы, в том числе:
— выбор эффективных противовирусных средств и отработка взаимодействия антивирусной службы с поставщиком антивирусных средств;
— поддержка обновления антивирусных средств на сервере института;
— выбор эффективной методики использования антивирусных средств.
Установка и поддержка отечественных лицензионных антивирусных средств на ПК локальной сети института проводится с 1999 г. При этом число пользователей базового в ЦЭМИ антивирусного средства “Doctor Web для Windows 95 /98 /Me /2000 /XP” возросло с 15 в 1999 г. до 97 к концу 2002 г. Ожидаемая потребность к концу 2003 г. — порядка 180 пользователей.
Используемое основное антивирусное средство для рабочих станций постоянно совершенствуется разработчиком. К сожалению, процесс поставки этого средства (распространитель — ЗАО “ДиалогНаука”) имеет определенные трудности: при выпуске новых версий или обновлений регулярно, в течение многих лет наличествуют то несовпадения в основном и распределенном по условным дискетам дистрибутивах, то несоответствие файл-списка текущему комплекту модулей, то присутствие лишних модулей в комплектации антивирусных баз, то иные огрехи. С 1999 г. несколько раз вследствие явных ошибок в программных модулях в спешке выпускались патчи к только что выпущенным версиям. Введение ряда элементов управления представляется неоправданным; ряд введенных функций вообще не позволяли их настроить вручную, интерфейс ряда модулей недружественен. Поставка далеко не всегда сопровождается соответствующими изменениями в документации, что резко отрицательно сказывалось на нагрузке на Антивирусную службу ЦЭМИ: в острых ситуациях серьезных изменений приходится в кратчайший срок обходить всех владельцев лицензий для изменения настроек антивирусных средств (таких случаев только за 2002 г. было 2). Вместе с тем, нельзя отрицать то, что исполняющее ядро пакета представляется лучшим из существующих средств, а сам пакет регулярно получает заслуженно высокие места на международных тестированиях по списку выявленных вирусов.
Указанные недостатки привели к серьезным ограничениям использования антивирусных средств комплекта при выработке методики внедрения антивирусных средств среди пользователей института. Так, при формировании пользовательских ключей введены запреты на использование эвристического анализатора, на перемещение зараженных файлов, на использование входящего в комплект поставки монитора.
Пользуясь истечением трехлетнего срока Договора с ЗАО “ДиалогНаука”, при заключении нового Договора в конце 2002 г. представитель ЦЭМИ добился от ЗАО “ДиалогНаука” включения в Договор ряда нестандартных для “ДиалогНауки” пунктов, обязывающих одновременно с изменением версий предоставлять ЦЭМИ хотя бы в электронном виде информацию об изменении функциональных возможностей или интерфейса программ с пользователем.
Выработанная методика использования антивирусного пакета включала для каждой РС при первом включении за день принудительный запуск вспомогательной программы ревизора Advanced Diskinfoskope, составляющей список измененных в течение прошедших суток файлов, и проверку этих измененных файлов сканером антивирусного пакета. Разумеется, при обнаружении хотя бы одного вируса была рекомендована немедленная сплошная проверка всего ПК сканером пакета в специальных режимах, например, в некоторых случаях в операционной среде MS-DOS. Такое распределение нагрузки соответствовало как весьма слабому парку компьютеров (сплошная проверка одного ПК занимает более одного рабочего дня на ПК с числом файлов свыше 100,000, что встречается в некоторых подразделениях ЦЭМИ, в частности, в бухгалтерии), так и неудовлетворительным характеристикам монитора SpIDer Guard.
Такие методы применения антивирусных средств при существующих тенденциях к агрессивной активности вирусов, полностью рассмотренных в [4], уже нецелесообразны. Заражение рабочей станции червем Aliz, формирование массы вирусованных писем, их рассылка и самоуничтожение вируса исполняются за секунды, и ежедневная проверка не сможет воспрепятствовать заражению. Применение активных антивирусных средств, работающих на опережение заражения, становится самой актуальной задачей. К счастью, к середине текущего, 2003 года существенная часть парка ПК рабочих станций института достигла уровня Pentium-III/4, поэтому для них следует сделать вывод об использовании монитора SpIDer Guard в целях опережения возможного заражения. Предстоит выработать эффективные методы использования этого монитора и опробовать на практике изменения, произошедшие в не слишком дружественной программе за последние 3 года.
Есть также основания полагать, что объявленный много раз выпуск версии монитора для серверов в текущем году, наконец, состоится, и Windows-серверы института также получат антивирусное средство. Проверка сканером была возможна до сих пор только для работы в режиме Администратора сети вследствие отсутствия доступа ко всем каталогам и невозможности лечения угнездившихся в системных каталогах вирусов.
Внесен ряд изменений в методику обслуживания пользователей. Выяснилось, что, даже понимая важность постоянного включения новых добавлений к антивирусной базе, даже при создании им предельно простых условий обновления (установкой специальной иконки на рабочем столе Windows, вызывающей автоматическое обновление), пользователи ЦЭМИ ленятся это делать. Экспериментально определив нагрузку на общеинститутский файлсервер по процедуре обновления, Антивирусная служба сочла возможным перевести пользователей в автоматический режим обновления при каждой перезагрузке ПК. Такие процедуры создают дополнительные нагрузки на файлсервер и вызывают дополнительные нагрузки в сети, но проведенные эксперименты показали, что это не влияет заметным образом на сетевой трафик. Таким образом, вновь подтвердилось, что человеческий фактор является определяющим в списке условий, снижающих надежность информационной безопасности рабочих станций.