Искусство цифровой самозащиты
Шрифт:
Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента или интернет-браузера добровольно скачивает и запускает червя целиком.
Дам определение еще раз: сетевой червь – это вредоносная программа, самостоятельно распространяющaяся через локальные и глобальные компьютерные сети. Ключевое отличие от вируса – именно в распространении через сети, а не через заражение других исполняемых файлов.
Сетевой червь
Эксплойты
Программы,
Например, червь Морриса эксплуатировал переполнение буфера утилиты finger, изначально предназначенной для удаленного определения времени подключения пользователя к рабочей станции, а написан он был аж в 1988-м. 34 года спустя переполнение буфера – до сих пор одна из самых распространенных уязвимостей. Хотя описание работы этой атаки выходит за рамки данной книги и скорее относится уже к специализированной технической литературе, попробую объяснить кратко и понятно для человека, далекого от программирования.
Программы работают с разными порциями данных, под которые в оперативной памяти выделяются участки, называемые буферами. Эти данные могут приходить из сети, от ввода пользователя с клавиатуры, с диска и т. д. Уязвимость появляется тогда, когда разработчик забывает проверить размер полученных данных, т. е. если данных получено больше, чем размер буфера. При грамотном использовании атаки переполнение позволяет вставить в программу вредоносный код, который, например, может скачать с удаленного компьютера вирус и запустить на вашей машине.
Как всё это использовать злоумышленнику в реальности? В первую очередь нас интересуют уязвимости в браузерах. Да, браузеры пишут тоже люди, и ошибок в них хватает. А для использования этих ошибок и появляются эксплойты.
Эксплойты (exploits) – подвид вредоносных программ. Термин связан с английским глаголом to exploit, означающим «эксплуатировать, применять в своих интересах».
Для пользователя основную опасность, как я уже писал выше, представляют эксплойты под различные браузеры. Такой набор эксплойтов называют связкой.
Как работает заражение компьютеров при просмотре сайтов в интернете? Злоумышленник взламывает чужие сайты (в основном также из-за наличия уязвимостей) и устанавливает на них свой вредоносный код – связку эксплойтов. При каждом посещении сайта вредоносный код активируется, подбирает к конкретному браузеру и операционной системе нужный эксплойт – код, который использует конкретную уязвимость конкретного браузера под конкретную операционную систему. В случае успешного срабатывания эксплойта в ваш браузер или набор команд выполняется внедренный злоумышленникам код. Обычно это команда скачать и запустить трояна-загрузчика. Троян-загрузчик позже может загружать к вам на систему произвольные исполняемые файлы. На черном рынке такая успешная загрузка и запуск файла называется установкoй (от английского install).
На практике всё чуточку сложнее. Конечно же, на каждый взломанный сайт не копируют связку эксплойтов. Обычно сама связка располагается на отдельном хостинге [28] . А на взломанных сайтах просто ставят фреймы со ссылками на связку. Такой вариант куда проще и элегантнее. Отсюда вытекает и другое следствие: злоумышленники могут просто покупать фреймовый трафик [29] . Т. е. внутри основного HTML [30] сайта вставляется очень-очень маленькое окно фрейма размером 1 на 1 пиксель, в котором загружается вредоносный URL [31] на связку эксплойтов. Очень часто такой трафик продают сайты «для взрослых» – учтите это, если захотите посетить подобные ресурсы.
28
Хостинг (от англ. hosting) –
29
Фрейм (от англ. Frame) – это самостоятельный документ, который отображается в отдельном окне браузера и представляет собой полностью законченную HTML-страницу. Простыми словами, фрейм – разделитель браузерных окон на отдельные области.
30
HTML (от англ. HyperText Markup Language – «язык гипертекстовой разметки») – стандартизированный язык гипертекстовой разметки документов для просмотра веб-страниц в браузере. Веб-браузеры получают HTML документ от сервера по протоколам HTTP/HTTPS или открывают с локального диска, далее интерпретируют код в интерфейс, который будет отображаться на экране монитора.
31
URL – это уникальный адрес веб ресурса (сайта), который зарегистрирован в единой схеме адресации известной как «Uniform Resource Locator» или сокращенно – URL. Простыми словами URL – это адрес сайта, включая путь к конкретной странице или контенту на ней. Все браузеры имеют строку для ввода адреса, где отображается просматриваемая в данный момент страница.
Тут мы плавно перешли к разделению труда на черном рынке киберкриминала. Есть некий образ хакера, навязанный нам массмедиа и Голливудом. Некий криминальный гений, способный сломать любую защиту и украсть что угодно у кого угодно. Обычно же люди, кoтopые пишут связки эксплойтов, банковскиe трояны, продают загрузки или трафик, – это разные персонажи.
Пишут эксплойты и трояны, безусловно, хакеры. Для создания такого вредоносного кода нужно хорошо разбираться в программировании и конкретно врубаться в то, как функционирует компьютер на низком уровне. Слово Hacker как раз и произошло от английского глагола to hack – врубаться.
Используют связки эксплойтов люди, обычно далекие от программирования, – загрузчики (так их называют на теневых форумах). И пытаются они выжать из вашего ПК максимум. Поэтому я и написал, что эксплойт устанавливает у вас на машине трояна-загрузчика. После чего загрузки (установки другого вредоносного ПО) продаются во много рук. Так что не удивляйтесь, что ваш компьютер начал слать спам, ддосить, да еще и вымогать у вас деньги одновременно. Скорее всего, это три разных трояна.
Эксплойты бывают не только для браузеров, а еще для:
• операционных систем (например, для обхода UAC в Windows);
• прикладного программного обеспечения (например, вирус ILoveYou эксплуатировал ошибки безопасности в почтовом клиенте Microsoft Outlook);
• веб-сервисов (например, уязвимости в популярном движке создания блогов WordPress);
• аппаратных компонентов.
Антивирусы
I’m the Creeper: catch me if you can.
«Я Creeper: поймай меня, если сможешь». 1971 год, эта фраза стала появляться перед глазами изумленных пользователей компьютеров, входящих в сеть ARPANET [32] . Что же означает эта фраза?
32
ARPANET (Advanced Research Projects Agency Network) – компьютерная сеть, созданная в 1969 году в США Агентством Министерства обороны США по перспективным исследованиям (DARPA) и явившаяся прототипом сети Интернет. 1 января 1983 года она стала первой в мире сетью, перешедшей на маршрутизацию пакетов данных. В качестве маршрутизируемого протокола использовался IP, который и по сей день является основным протоколом передачи данных в сети Интернет. ARPANET прекратила своё существование в июне 1990 года.