Дарвинизм встречается с вирусом и червем
Концепция дарвинизма проста; выживают только сильнейшие. Хотя это обобщение дарвинизма, оно сводится к этому утверждению. Как это относится к компьютерным вирусам и червям? Проще говоря, в то время как последняя партия компьютерных вирусов раздражает, они вряд ли являются кошмаром. Эти надоедливые вирусы-вредители почти не замечаются, если вообще замечаются людьми, зараженными ими, которые, в свою очередь, их распространяют. В значительной степени это связано с тем простым фактом, что зараженные люди просто не имеют антивирусного решения для своих компьютеров и в основном являются начинающими пользователями компьютеров. В конце концов, это сводится в первую очередь к обучению пользователей или их отсутствию для заражения. Остальные из нас, защищенные антивирусной программой, просто с легким раздражением наблюдают за количеством зараженных писем, попавших в наш почтовый ящик. Потоковая передача в ваш почтовый ящик электронной почты вряд ли представляет угрозу, а только на самом деле является пустой тратой нашей пропускной способности.
Вирусы опасны для всех?
Хотя на самом деле вся вирусная сцена не так сильно развилась на техническом уровне. Однако в аспекте социальной инженерии такие вещи, как строка темы и имя вложения, содержащего вирусное вложение, стали более изощренными. Это обострение аспекта социальной инженерии уже широко обсуждалось, поскольку оно влияет на распространение вируса. Я рискну, однако, что продолжающаяся битва вируса против антивирусного поставщика почти сводится к предсказуемости. Появляется новый вирус, и поставщики быстро добавляют сигнатуру.
Можно ли действительно сказать, что эти надоедливые вирусы больше не представляют угрозы, если они действительно когда-то были?
Да, MyDoom, Swen, Bugbear и другие быстро распространились, но опять же только из-за того, что пользователи изначально не были защищены. Мое собственное мнение об этой продолжающейся вирусной угрозе — много шума из ничего. Всегда будет короткий период между появлением нового вируса и выпуском сигнатуры, но это короткий период времени. Подобно постоянному массовому сканированию компьютеров в Интернете сегодня скриптовыми детишками и другими хакерами-подражателями, сегодня это просто стало частью Интернета. Многие люди, которых я знаю, называют это просто «белым шумом» или просто помещают часть ведения бизнеса в Интернет сегодня. Так кому же тогда в действительности угрожают эти вирусы? Ну, проще говоря, те, у кого нет какого-либо программного решения для их защиты. Кроме того, это те самые люди, которые способствуют распространению вируса.
Я сам работаю в большой корпоративной среде WAN. У нас есть нормальная защита от этого типа угроз. Все известные проблемные вложения удаляются на почтовом сервере, а антивирус также находится на уровне рабочей станции. На нас повлияли только некоторые из наиболее успешных вирусов. Даже тогда, хотя это было всего около двадцати четырех часов или около того, пока у нас не появилась новая сигнатура от нашего антивирусного поставщика. Таким образом, эта угроза от вирусов является управляемым риском. Никто никогда не сможет полностью защититься от эксплойтов нулевого дня или вирусов, если на то пошло, но вы можете смягчить угрозу.
При всем при этом, как дарвинизм входит в уравнение вирусов и червей? Что ж, с предполагаемой угрозой исчезновения вирусов, что на самом деле займет ее место? Вот где червь вступает в игру. Человек без навыков программирования может пару месяцев изучить Visual Basic, а потом написать простенький вирус. Если вы помните, одним из самых известных вирусов был Mellisa, который также был написан на Visual Basic. Хотя многие люди могут возразить, что написать червя так же просто. Это утверждение, хотя, на мой взгляд, очень открыто для обсуждения. С этой целью слишком много людей насмехаются над способностями других к программированию, в то время как сами они не могут запрограммировать простой «привет, мир». Подобно тому, как термин «сценарист» слишком часто используется людьми, которые на самом деле сами им являются.
Новая угроза; черви
Теперь создатель червей имеет гораздо более богатый урожай для работы. Под этим я подразумеваю, что человек может выбрать код эксплойта, который был опубликован публично, и обернуть вокруг него средство доставки. В отличие от вируса, который забьет вашу пропускную способность, полезная нагрузка червей вполне может привести к системному уровню или корневому доступу в вашей системе в зависимости от вашей платформы. Мы все можем согласиться, я считаю, что это гораздо большая угроза, чем потеря пропускной способности. Есть ли какой-либо вирус в недавней памяти, действительно близкий к червю Slammer? С моей точки зрения, они даже не близки. Особенно в случае с Slammer, который использует транспортный протокол UDP. Это привело к молниеносной скорости заражения, поскольку SQL также прослушивал UDP и соединения.
Теперь в случае с Slammer еще раз об уязвимости, которую он использовал, было известно несколько месяцев. Поставщик выпустил патч, но спустя несколько месяцев этот червь все еще прорывал дыры в Интернете. Это было гораздо более серьезное воздействие, чем простой вирус. Мы также должны помнить, что этот червь был полностью основан на общеизвестном эксплойте, который был исправлен производителем в виде патча.
Здесь в игру вступает Дарвин. Что бы произошло, если бы создатель червя вставил в червь эксплойт нулевого дня вместо известного? На самом деле это было бы гораздо более смертоносной и сомнительной перспективой. Честно говоря, меня удивляет, что этого еще не произошло. Почему не было ни одного эксплойта нулевого дня, свернутого в червя? В конце концов, это следующий эволюционный шаг в развитии червя, и на самом деле он довольно пугающий.
Завтрашний суперчервь?
С этой целью я обсуждал это с моим коллегой, который также использует разработку как часть своей работы по компьютерной безопасности. Я спросил его, имеет ли смысл мой сценарий червя Судного дня для него, поскольку он использовал разработку. После некоторого обсуждения с ним мы пришли к тому, что, как мы оба согласились, было правдоподобным сценарием. Раньше я думал просто внести некоторые изменения в CMOS с помощью червя. Что если, однако, как сказал мой коллега, вы предпочли бы, чтобы полезная нагрузка червя шифровала жесткие диски компьютеров? Не только это, но и каждый раз, когда червь распространял начальное значение шифрования?
Давайте быстро применим это к реальному примеру того, как это может произойти. Во-первых, вам понадобится очень талантливый разработчик. В отличие от моего коллеги и других людей его калибра, некоторые разработчики не разделяют их сильного этического чувства. В нашем тематическом исследовании мы рассмотрим ущерб, который может нанести такой злонамеренный разработчик.
Этот человек решает навести порядок в хаотичном мире червя. Преднамеренно нацелена на фармацевтическую компанию, данные которой хранятся на компьютерах во внутренней локальной сети. Такие данные, как новая химическая смесь для антидепрессанта, в которую вложены исследования и разработки на несколько миллиардов долларов. Наш злонамеренный разработчик находит слабое место в онлайн-присутствии фармацевтических препаратов и получает доступ. Теперь в течение нескольких минут после первоначального взлома вся внутренняя локальная сеть теперь скомпрометирована с помощью этого червя. Утром приходят сотрудники и обнаруживают, что все данные на их компьютерах совершенно бесполезны. Все паникуют, а затем CSO компании получает электронное письмо с финансовыми требованиями разработчика для возмещения ущерба, причиненного его червем.
Звучит ли мой взгляд на эволюцию червя надуманным, как показано в приведенном выше фрагменте? Позвольте мне заверить вас, что это очень возможно. Огромным ордам компьютерных пользователей сегодня мир элитного кодера действительно может показаться сюрреалистичным. Это очень сплоченное сообщество этически мыслящих коллег, которые, к счастью для нас, имеют четкое представление о правильном и неправильном.