Все новости от 23 июля 2001 г.

До скорого свидания, Code Red

Исследование показало, что выпущенный в среду вариант червя Code Red, вероятно, насытил интернет, заразив почти все уязвимые серверы. При этом он мобилизовал примерно 300 тыс. компьютеров для атаки на интернет-адрес, используемый веб-сайтом Белого дома. По словам Стюарта Стэнифорда (Stuart Staniford), президента консалтинговой фирмы Silicon Defence, производившей статистический анализ распространения червя, на вечер четверга каждый цифровой адрес интернета был атакован более 20 раз. «Трудно предположить, что какому-то уязвимому веб-серверу при этом удалось остаться неинфицированным», — сказал Стэнифорд.

Насыщение может означать, что 1 августа, когда Code Red попытается заразить новые компьютеры, ему уже нечего будет делать. Однако Стэнифорд и другие предупреждают, что могут быть созданы новые варианты червя, способные причинить еще больший ущерб. Более того, Cisco признала, что Code Red заразил интернет и другими способами, в том числе вывел из строя кое-какое сетевое оборудование этой компании.

«В качестве побочного эффекта URL, используемый червем для заражения других хостов, вынуждает DSL-маршрутизаторы Cisco 600 прекращать форвардинг трафика, используя известное уязвимое место этих машин, — говорится в распространенном в пятницу заявлении компании. — Нормальная работа маршрутизаторов серии 600, зараженных червем Code Red, не восстановится до тех пор, пока они не будут выключены и перезагружены».

Сообщения, помещенные в почтовый список Bugtraq сайта SecurityFocus.com, показывают, что некоторые продукты семейства JetDirect от Hewlett-Packard имеют встроенные веб-серверы, которые также могут быть заражены червем.

Считается, что червь Code Red начал распространяться неделю назад, в пятницу 13 июля. С 1 по 20 число каждого месяца программа сканирует интернет, разыскивая веб-серверы Microsoft с уязвимостью, обнаруженной в прошлом месяце компанией eEye Digital Security. 20-го в полночь по гринвичскому времени червь атакует определенный интернет-адрес: 198.137.240.91. Это адрес веб-сайта Белого дома, однако в четверг вечером системные администраторы перенесли сайт на другой адрес, обманув червя.

Однако некоторые браузеры могут сохранить сообщение об ошибке page not found при попытке зайти на сайт Whitehouse.gov. Хотя администраторы сайта обновили интернет-справочники — так называемые DNS-серверы, которые ставят в соответствие URL определенные интернет-адреса, в некоторых случаях может потребоваться день-другой, чтобы эти изменения распространились по вебу.

Точное количество зараженных компьютеров неизвестно, но многие администраторы смогли определить число зараженных компьютеров, подсоединенных к их сетям. Системный администратор Национальной лаборатории Lawrence Berkeley утверждает, что его сеть атаковали 293 тыс. компьютеров. А сеть колледжей и университетов штата Миннесота, по словам ее директора Майка Джейнка (Mike Janke), атаковали не менее чем со 185 тыс. уникальных адресов. Как ни удивительно, сеть при этом осталась практически не зараженной. «Правда, сейчас лето, и наши ресурсы используются всего на 5%», — признал Джейнк. По его словам, число активных атак снизилось до нескольких тысяч. «Вероятно, существует пара клонов, в которых неправильно установлены часы», — предположил он.

Большое число машин, зараженных червем, навело экспертов на мысль о необходимости программы, которая автоматически устраняла бы брешь в защите веб-серверов. Несколько участников дискуссии на Bugtraq предложили создать «штопающего червя», который, распространяясь по интернету, обнаруживал бы уязвимые машины и устанавливал патчи. Другие предлагают еще один выход: автоматическую программу, которая в ответ на атаку сервера, зараженного червем, отразит эту атаку, войдет в сервер, удалит червя и закроет дырку.

Однако не далее как в прошлом месяце эксперт по защите информации и хакер Макс Батлер (Max Butler), известный под псевдонимом Max Vision, получил 18 месяцев тюрьмы за создание червя, который, по существу, устраняет пробел в защите уязвимых серверов. Правда, при этом червь оставляет «черный ход» в сервер, что и вызвало сомнение в альтруистических намерениях Батлера. Но этот урок уже усвоен, считает один из участников дискуссии в Bugtraq по поводу кода hack-back. «С этической точки зрения это очень недобросовестно, — говорит он. — То, что у нас есть возможность использовать уязвимость, еще не означает, что мы должны это делать. Возможный ущерб или злоупотребления намного перевешивают любые потенциальные выгоды».

ФБР также отрекается от любого использования тактики hack-back. «Нам не следует ходить в эту сторону, — говорит представитель бюро Дэбби Вейерман (Debbie Weierman). — По существу, это не что иное, как несанкционированное вторжение».

Обсуждение и комментарии

	kvasim 23 Jul 2001 3:45 PM
не несакционированое прониконовение а прививка. почему людям можно делать прививки а компьютерам нельзя.. а тут даже преймущество.. что привиква распостраняется сама. можно сравнимить с небольшим насомрком.. длz того что бы излечится от спида. в принципе и биолого могу теоритически придумать безбредный вирус который будет защизщать от болезней.. правда это опасно если появятся мутации..
	Сантехник 24 Jul 2001 12:50 AM
Как бы лечение не оказалось хуже болезни.
	eXOR 24 Jul 2001 8:37 AM
От криворуких админов не спасет даже самораспрастраняющийся патч.
	Mike 24 Jul 2001 12:55 PM
Попытки написать лечащий вирус предпринимались неоднократно. К сожалению, криворукость свойственна не только сисадминам (вопреки распространенному мнению), но и писателям вирусов и антивирусов. Написать вирус без ошибок также невозможно, как и любую другую программу.
	Mike 24 Jul 2001 2:33 PM
и как же раньше писали? трезвее были?
	Egres 24 Jul 2001 2:44 PM
А что программисты у нас пряморукие... Вот уж не замечал.. Напишут фигни всякой, гордо обзавут свою поделку ОС номер такая или версия номер такая, а потом трахайся, настраивай ее, да еще патчи только успевай заливать.
	Billy 24 Jul 2001 4:44 PM
2Egres =========================== Напишут фигни всякой, гордо обзавут свою поделку ОС номер такая или версия номер такая, а потом трахайся, настраивай ее, да еще патчи только успевай заливать. =========================== Ой, мля!Если ты такой умный, так чего ж ты строем не ходишь????? Сам тогда пиши, умник....
	Egres 25 Jul 2001 6:32 AM
2Billy: Ой, мля!Если ты такой умный, так чего ж ты строем не ходишь????? Сам тогда пиши, умник.... ============================================ Не надо валить с больной головы на здоровую!!! Писать ваша задача, у нас они другие, а валить все на других легче всего. Ищи ошибки прежде всего у себя!!!!
	Владимир 25 Jul 2001 7:34 AM
Ну народ, вы даете, Да нет такой отрасли в человеческой жизни, где все было бы с первого раза и ок. Машины отзывают, самолеты забраковывают, вместо правой кишки вырезают левую, а вы говорите "в ОС ошибки". Не ошибается тот, кто ничего не делает. Хочешь минимум ошибок - плати максимум денег. Покупай SUN, ошибок будет меньше (но не ноль). А сейчас имеешь то, за что заплатил (а возможно и не платил). Если бы все платили, возможно и код был бы лучше и поддержка совершеннее. Посмотри на Cisco - обычная сетевая карта за 20 баков - в их исполнении $1000. Зато косяков немного.
	Dmitry Grigorovich - odipconsultant.com 26 Jul 2001 8:15 AM
CITE: Посмотри на Cisco - обычная сетевая карта за 20 баков - в их исполнении $1000. Зато косяков немного. Ну да - помниться не так давно нашли дырки в Cisco IOS. Так что и 1000$ не помогает :))) И кстати на обычную сетевую карту Cisco ну никак не похожи !