| Варвар | Дата: Пятница, 31.01.2014, 14:50 | Сообщение # 1 |
Заблокированные
Сообщений: 370
Репутация: 20
Статус: Оффлайн
| Нашел любопытную статью про червя который может уничтожить все не защищенные компьютеры в сети за 20 минут.
"Недавняя вспышка активного червя Red Code доказала, насколько
уязвима наша сеть. Но червь мог быть в тысячу раз ужасней. Он могсодержать злонамеренные фрагменты: перепрограммирование FLASH-BIOS, что
потенциально привело бы к разрушению машин. Он мог бы включать атаки на
различные сервера или на вторичную электронную почту, чтобы увеличить
распространение.
Вирусу потребовалось 12 часов, чтобы достичь эпидемического порога,
и за это время было организовано сопротивление ему. Но простым
изменением способа заражения червя Уорхола злонамеренный программист
может нанести ущерб всем уязвимиым машинам мира всего за 15 минут.
Ответная реакция человека потерпела бы неудачу перед таким напором. Это
важное свидетельство в пользу того, насколько мы уязвимы.
Активный червь, такой как Code Red или оригинальный червь Морриса,
использует дыры в защите серверов. Он сканирует Интернет в поиске
машин, на которых запущен этот сервис. Затем он пытается взломать этот
сервис. При успехе он инфицирует машину-жертву другой копией себя. По
истечении периода в несколько часов он следует с исходной машины в
Интернет и поражает его. Различие между активным червем и червем
Уорхола заключается лишь в стратегии поиска целей инфицирования.
Существует 4 миллиарда интернетовских адресов и, допустим, что 1
миллион машин уязвимы перед вирусом Уорхола. Допустим, что вирус имеет
размер примерно 100К и выполняется в виде нескольких параллельных
потоков, что позволяет ему зондировать и атаковать одновременно многие
машины. Далее предположим, что атакуемые сервера имеют качественную
сетевую связь, так что работающая копия червя зондирует 100 машин в
секунду и инфицирует 10 машин в секунду, и затрачивает 1 секунду для
того, чтобы перенести червя к новой цели. Окончательно примем, что
автор Уорхолова червя заранее спланировал и подготовил список из 50000
компьютеров с хорошей сетевой связью и работающей копией уязвимого
серверного софта, так что хотя бы 25% из них действительно были бы
подвержены заражению червем.
Червь стартует с единственой машины, имея в виду список из 50000
целей. Червь обходит список в определенном порядке, зондирует и
инфицирует машины. Когда он успешно заражает машину, то делит список
пополам, посылает половину на только что инфицированную машину, а сам
работает с другой половиной. Это разделение труда позволяет червю
инфицировать каждую уязвимую машину из списка в течение минуты.
Теперь ориентировочно 12000 машин будут инфицированы и начнется
вторая стадия. Червь первоначально попытается инфицировать все хосты в
подсети перед началом поиска новых целей в Большом Интернете. Но вместо
выборки случайных машин или сканирования сети в последовательном
порядке червь использует псевдослучайный порядок.
Червь Уорхола содержит генератор для псевдослучайного перемешивания
всех 4 миллиардов Интернетовских адресов. Каждая новая копия червя,
порожденная во время фазы обхода фиксированного списка, стартует со
своего адреса и просматривает список в поиске новых целей для
инфицирования, в то время как каждая копия червя, порожденная во время
второй фазы, сразу начинает работу со случайного адреса. Если она
обнаруживает другую функционирующую копию себя, то она выбирает новый
случайный адрес и продолжает работу с него. Это приведет к двум
разновидностям червя: одна зондирует сеть случайным образом (скачет по
сети), другая перебирает адреса последовательно (чем минимизируются
усилия и гарантируется, что какой-нибудь конкретный адрес когда-нибудь
все равно будет затронут). Даже если черви и не инфицируют новых машин
во время этой фазы, они должны затратить 50-100 часов, чтобы
просканировать весь Интернет со скоростью 100 сканов за секунду с
определенной машины. Если компьютеры включены в список целей за свое
быстродействие и хорошую связь, то это время может быть существенно
меньше.
Но имея 1 миллион уязвимых машин, любой конкретный акт сканирования
дает 0.25% вероятности заражения. Поэтому, выполняя 1.2 миллиона
попыток в секунду, исходная копия червя реально поразит за одну попытку
не более 300 целей. Ко второй минуте после запуска червь заразит около
30000 машин. К третьей минуте будет около 70000 зараженных машин.
Понятно, что полное инфицирование сети будет завершено в пределах 15
минут.
В нормальных условиях червь, который использует случайное
зондирование, инфицирует около половины доступных хостов, после чего
количество новых заражений начнет заметно снижаться. Полностью
сбалансированный червь, который в совершенстве разделяет задачи
сканирования Интернета, будет замедляться при каждом новом
инфицировании. Псевдослучайная или случайная комбинация является
компромиссом, позволяющим червю всесторонне сканировать Интернет без
потерь на передачу информации между копиями, кроме необходимости
проверить, действительно ли потенциальная цель уже инфицирована.
Интернет будет притормаживать во время этого процесса, но не так
сильно, как можно было бы ожидать. Используя только несколько байтов
при сканировании цели для обнаружения, действительно ли сервер
работает, приблизительно 5К для инфицирования и 100К для передачи при
успешном инфицировании, общее количество передаваемых данных
оказывается неожиданно маленьким: даже на пике инфицирования, когда
заражено миллион машин, происходит только сто миллионов сканирований в
секунду по всему миру, что для сети лишь чуть-чуть больше, чем это
имело место при Code Red.
В настоящее время не существует защиты против злонамеренного червя
Уорхола. Автор такого червя должен легко вызвать сотни миллиардов
реальных разрушений, включая разрушенные данные, уничтоженные машины и
потерянное время. К тому времени, когда мир осознает, что случилось,
все разрушения уже будут завершены."(с)
http://www.nf-team.org/drmad/zf/zf5/zf5_018.htm
Вот что думаете об этом? Я не очень разбираюсь в этих вещах, но любопытно...
|
| |
| |
