Virusai kasdien darosi vis sumanesni. Ekspertai sako, kad
jau po keleto metų korporacijoms, siekiančioms garantuoti
savo kompiuterinių tinklų saugumą, kasmet visame pasaulyje
teks kartu išleisti keliolika milijardų dolerių. Internetinės saugos
srityje dirbančios firmos trina iš pasitenkinimo rankas.
Migueliui informatikos pamokos buvo labai nuobodžios. Jo
sugebėjimai jau senokai pranoko tai, kas tose pamokose buvo dėstoma. Kol
mokytojas kantriai aiškino algoritmų
vingrybes, jam pavyko parašyti trumpą,
bet labai piktą programėlę. Jis įkliuvo
per kitas pamokas, kai Internete ieškojo kompiuterių, kuriuos būtų galima
užkrėsti.
"Sekėme jo veiklą nuo pat
pradžių", - sako Jeffas Ogdenas, bene
labiausiai Europoje saugomo kibernetinės saugos centro šefas.
Bunkerių tinkle Hempširo grafystėje dirba Symantec analitikai.
Tokių kaip Miguelis yra daug. Paprastai grėsmingos virusinės
epidemijos prasideda visai nepastebimai. Piktybinius internetinius kirminus
sukuria asmenys, kuriuos įtarti galima mažiausiai. Rugsėjo pradžioje buvo
areštuotas 24 metų rumunas programuotojas Danas Dumitru Ciobanu. Jis
kaltinamas mažiau nei per ketvirtį
valandos sukūręs viruso MS Blast
mutaciją, kuri atakavo kompiuterius visame pasaulyje. Dabar jam gresia 15
metų kalėjimo. Kitos to paties viruso
versijos autorius yra 140 kg sveriantis 18-metis televizijos ir mėsainių
mėgėjas Jeffrey Lee Parsonas. Dešimt savo
gyvenimo metų jis tikriausiai praleis
už grotų.
MAS Blast iš viso užkrėtė
apie milijoną kompiuterių, o šimtai
kompanijų dėl to patyrė milijoninius
nuostolius. Būtent šis virusas yra
pirmas įtariamųjų dėl didelės elektros
tinklų avarijos JAV rytinėje pakrantėje
sukėlimo sąraše. Kasmet pasaulyje
pasirodo keletas tūkstančių panašių į
MS Blast internetinių virusų ar
kirminų mutacijų. Patys žinomiausi jų,
sukėlę Internete pragaištingas
epidemijas buvo: Code Red, Nimda, SQL, Slammer, Bugbear.B ir Sobig.
Kompanijos, siekiančios kiek įmanoma
sumažinti jų keliamą grėsmę, ieško firmų,
teikiančių tinklų saugos paslaugas.
Tik kelios tokios firmos siūlo ištisą
parą trunkantį kompiuterinių sistemų
stebėjimą. Kibernetinė sauga tampa
labai paklausia preke. Europinis Symentec SOC filialas įsikūrė teoriškai
pačioje saugiausioje iš visų įmanomų
vietų - šaltojo karo laikus
menančiame priešatominiame bunkeryje.
Analitikai jaučiasi saugūs
Pusės metro storio sienos ir kelis kartus storesnės lubos turėjo
garantuoti saugumą tiems, kuriems pavyko išvengti branduolinės bombos
smūgio. Britai sukūrė savąjį
priešatominių bunkerių tinklą aštuntajame
dešimtmetyje; jis buvo skiriamas vyriausybei ir vietinės valdžios institucijų
darbuotojams. Po žeme saugomų atsargų
privalėjo pakakti trims mėnesiams. Norint patekti į bunkerio vidų reikia
pereiti tris šliuzus. Iki šios dienos oras yra
valomas aktyvuotos anglies filtrais. Pats bunkeris
yra paslėptas vienoje iš daugybės Hempšyro
grafystės kalvų.
Šiandien bunkerio viduje dirba
kompiuteriai. Per 40 žmonių, dirbančių trimis
pamainomis, ištisą parą
rūpinasi, kad apie 600 firmų iš
viso pasaulio jaustųsi saugiai. Kiekvieną mėnesį
ši komanda išanalizuoja apie 9,5 mln. eilučių
programinio kodo, atkeliavusio į klientų serverius. Tiktai
maždaug 1,3 tūkstančio įtarimą
keliančių eilučių vėliau yra analizuojamos
kur kas kruopščiau, o 347 eilutės
pasirodo esančios realios užpuolikės.
Informatikams duomenys, saugomi kompiuteriuose, nėra
pasiekiami. Jie analizuoja tik tai, kas vyksta vadinamosiose ugniasienėse -
apsauginėse sistemose, saugančiose
serverį nuo išorinės grėsmės. Už paslaugą
reikia mokėti. Vieno įrenginio
stebėjimas kainuoja apie 1000 svarų
sterlingų per mėnesį. Už tai klientai
perspėjami apie virusus ir hakerių
bandymus prisijungti prie sistemos bei informuojami apie naujai išaiškėjusius
komercinių programų trūkumus.
Pastarieji yra tam tikros užpakalinės durys,
per kurias į kompiuterius patenka piktavalės programos. Informatikai
nėra priskiriami atskiriems klientams. Jie analizuoja visus duomenis ir
ieško bendrųjų tendencijų remdamiesi
savo pačių susikurta, nuo išorės
izoliuota duomenų baze. Aptikus pavojų, į
jį reikia akimirksniu reaguoti. Jeigu firma nespėja per dešimt minučių
perspėti kliento apie jam gręsiantį
pavojų, ji yra įsipareigojusi grąžinti dalį
mėnesinio mokesčio. Tačiau per
kelis SOC veiklos metus to dar nebuvo atsitikę.
SOC šefas Jeffas Ogdenas neslepia, jog po 2001 m. rugsėjo
mėnesio teroristinių išpuolių JAV
internetinės saugos paslaugų paklausa gerokai
išaugo. Atsiranda vis daugiau teisinių dokumentų, turinčių užtikrinti
informacijos apsaugą. JAV galioja
įstatymas, įpareigojantis stebėti firmas,
stebinčias savo klientų kompiuterinę
infrastruktūrą. Tai turėtų padidinti
pasitikėjimą tokiomis firmomis.
Teisiniai pokyčiai ir auganti užpuolimo
baimė sąlygojo tai, kad rinka auga
stebėtinai greitai. Analitikų firmos
IDC duomenimis vien Europoje internetinės saugos paslaugų rinka 2006 m. turėtų
išaugti iki 4,6 mlrd. dolerių per
metus. Visame pasaulyje tos rinkos apyvarta pasieks beveik 15 mlrd. dolerių.
Symantec ir jo svarbiausieji konkurentai - F-Secure
ar Network Associates - atkakliai kovoja už kuo didesnį šio
pyrago gabalą. Metinė britų
Symantec Operation Center (SOC) apyvarta išauga po 400 proc.
Persvara tirpsta
Kasdien pasaulyje vidutiniškai aptinkamos septynios plačiai
naudojamų kompiuterinių programų -
nuo duomenų bazių iki operacijų
sistemų - klaidos. 2002 m. jų buvo aptikta
per 2,5 tūkstančio - 81,5 proc. daugiau
nei prieš metus. Laikas, praeinantis tarp plyšio programoje atradimo ir to
momento, kai juo pasinaudoja hakeriai, sistemingai trumpėja. 1999 m. tam
reikėjo 500 dienų. Po trejų metų
bereikėjo tik 40 dienų. 2003 m.
duomenyse jau minimos keliolika dienų - pamažu artėjame prie to, kad
nebeturėsime prieš hakerius jokios laiko
persvaros.
Saugos specialistai tokią situaciją vadina "nulinės dienos" grėsme.
Pridursime, kad virusai kasmet irgi plinta vis greičiau. Prieš porą metų
pasirodžius labai pavojingam virusui Nimda, jis plito peršokdamas nuo
sistemos prie sistemos. Naujausiosios piktybinės programos skenuoja tinklą ir
vienu metu puola visus kompiuterius, kuriuose yra instaliuotos tam tikros
defektus turinčios programos. Šių
metų pradžioje virusas Bugbear.B per
dvi-tris minutes sugebėjo užkrėsti 60
tūkst. kompiuterių. Analitikai, geriausiu
atveju, gali aptikti atakų šaltinį per
dešimt minučių. Po to dar reikia
perspėti klientą ir informuoti, ko jis turi
imtis, kad išvengtų nuostolių.
Programuotojas užtruks dar kokį
pusvalandį kurdamas vakciną. Vidinis
Symantec rekordas šioje srityje yra 43 sekundės.
Greitesni už pavojų
Kaip šioje situacijoje elgiasi tinklų sauga užsiimančios firmos?
Jų veikla dažniausiai yra profilaktinė.
Internetas yra kaip greitkelis. Tam tikru paros metu galima tikėtis tam tikro
intensyvumo eismo. Jei eismas netikėtai sulėtėja ar paspartėja, tai
reiškia, kad vyksta kažkas negero.
Prieš atakuodami, hakeriai privalo surinkti informaciją, kur
geriausiai paleisti savo piktavalę programą.
Visi jų veiksmai yra iš anksto sekami,
todėl analitikai gali atspėti, kada kas nors įvyks. Dabar užpuolimai
pasidarė tiek sudėtingi, kad saugos
firmos pradėjo naudoti specialią
programą Digital Immune System, kuri automatiškai aptinka pavojų ir turi tam
tikras dirbtinio proto užuomazgas. Kai tik sistema nustato, kad atsirado
realus pavojus, pakanka paspausti mygtuką ir reikiama vakcina yra
pasiunčiama klientui.
Sistema automatiškai kuria vakcinas remdamasi savo turima
informacija apie anksčiau įvykusias
panašias atakas. Šitaip yra neutralizuojama
beveik 90 proc. visų Internete
kylančių pavojų. Bet visus nestandartinius
atvejus turi nagrinėti žmonės. Tada
reakcijos trukmė labai pailgėja. Ateityje prie Interneto prijungtiems
asmeniniams kompiuteriams gali rimtai grėsti Warhol tipo kirminai ir
vadinamieji flash virusai. Jie priklauso pirmajai piktavalių programų,
veikiančių greičiau nei į pavojų gali
sureaguoti analitikai, kartai. Tokie virusai per
kelias minutes gali užkrėsti milijonus kompiuterių. Warholo kirminas
turi optimizuotą skenavimo sistemą,
leidžiančią nustatyti, kuriuos
serverius galima pulti. Po to potencialių
taikinių sąrašas yra padalijamas
atskiroms viruso kopijoms, kurios pradeda puolimą. Per minutę taip galima
užkrėsti tūkstančius kompiuterių, o per
aštuonias minutes - visą milijoną
kompiuterių.
Ne gaudo, o padeda
Firmos, kurios rūpinasi tinklo saugumu ir seka duomenų srautus
Internete, yra sukaupusios pačią
aktualiausią informaciją apie potencialius
pavojus. Nors joms dažnai pavyksta tiksliai nustatyti, iš kurios vietos prasidėjo
ataka, tos žinios nėra panaudojamos persekiojant hakerius. Dažniausiai visa
ši informacija yra perduodama klientui, kuris ir sprendžia, ką toliau daryti.
Pačios firmos neturi teisiniam persekiojimui būtinų įgaliojimų.
Symantec bendradarbiauja su britų National Crime Unit bei
panašiomis Beneliukso šalių ir Suomijos
tarnybomis. Įžangoje paminėtas
ispanų moksleivis įkliuvo todėl, kad
klientas panoro turėti išsamią informaciją
apie savo užpuoliką. Tai buvo vienas iš
vadinamųjų nusikaltėlių-mėgėjų, arba
tokių hakerių, kurie tai daro iš
chuliganiškų paskatų. Yra išskiriamos dar
trys hakerių grupės:
· profesionalūs nusikaltėliai,
kurių motyvacija yra tradicinė - pinigai;
· haktyvistai - žmonės, kurie
Internetą naudoja kaip ginklą prieš
jiems nepatinkančias organizacijas;
· kibernetiniai teroristai.
Didžiausią pavojų pernai
sukėlusių virusų sąraše pirmąją vietą
užėmęs Bugbear.B buvo kuriamas siekiant
atakuoti bankų elektronines sistemas, MS Blast turėjo tapti keršto
Microsoft įrankiu. Specialus virusas - Baby Bear
- buvo sukurtas ir norint pakenkti firmai Symantec.
Analitikų bendruomenė daugeliu požiūrių primena hakerių
bendruomenę. Saugos specialistai, panašiai
kaip ir kibernetiniai nusikaltėliai, turi
savas internetines diskusijų grupes,
kuriose pasikeičia informacija apie naujus
pavojus, gręsiančius kompiuteriniams tinklams. Jie patys seka tai, kas yra
kalbama hakerių svetainėse ir
diskusijų grupėse. Pasinaudodami tokia
simbioze, jie stengiasi būti greitesni už
užpuolikus. Deja, technologijų pažanga
sąlygoja tai, kad kiekviena epidemija yra pavojingesnė už anksčiau buvusias.
