Зараженные сайты: чья проблема?

Тема ботнетов не вызывает такого пристального внимания наших читателей, как сексуальные особенности фанатов Apple или многократно обещанный выход на биржу некоторых динозавров Рунета. Если сейчас написать, что за лето число зараженных компьютеров в ботнетах увеличилось в 4 раза, или что трояны для ботнетов лидируют в списках заразы этого года - у такой новости скорее всего не будет ни одного комментария.

Между тем очевидно, что количество зомби-компьютеров будет расти и дальше. Ведь для этого есть подходящие условия - непонятно, кто должен бороться с этой заразой, поскольку цепочка от вредителя до пострадавшего может быть очень длинной. Судите сами.

(1) Зараза распространяется через вполне обычные сайты, типа новостного Utro.ru или даже официального портала Минсвязи. Можно построить ботнет на основе огромной социальной сети типа Facebook. Владелец зараженного сайта обычно не в курсе и долгое время ничего не предпринимает - сайт ведь нормально работает.

(2) Далее зараженные сайты используются в хакерских сервисах для заражения компьютеров ничего не подозревающих пользователей, которые ходят на эти сайты. Цены составляют 10-25 долларов за тысячу зараженных компьютеров при крупном заказе (от 10 тыс.)

(3) Далее армия зараженных машин по команде из центра управления атакует заказанный сайт - где не знают ни исполнителя, ни тем более заказчика. На прошлой неделе "Комсомольская правда" прислала нам пресс-релиз о том, что их атаковали и что "программисты компании ведут работу по выявлению IP злоумышленников". Каких, интересно? Десять тысяч зараженных машин в разных странах? Подобные заявления звучат с атакованных сайтов постоянно, но ни к чему не приводят. Если конечно не считать пропагандистский эффект - когда, например, западная пресса кричит о "кремлевской атаке" грузинских сайтов, хотя атака шла с Украины.

(4) Цепочка может быть и длиннее. Например, ботнет используется не для заваливания сайта, а для накликивания поиска "Яндекса" по заданным словам, дабы изобразить хорошую работу оптимизатора. То есть появляется еще один сервис-посредник (в данном случае, поисковая система). Едва ли заказчик такой "рекламы" вообще когда-нибудь узнает, как его кинули. А даже если узнает - кто виноват и что делать?

Займемся сайтами

Для ответа на эти вопросы нужно детально разбирать всю вредоносную схему. Мы уже рассказывали о пользователях, которые чаще всего подвержены заражению (школьники, чиновники, офисный планктон). Ранее была статья о пуленепробиваемом хостинге, где прячутся командные центры бонетов.

Теперь попробуем осветить еще одно звено цепочки. В редакцию "Вебпланеты" попал список из 270 зараженных сайтов Рунета, которые были инфицированы только одной из хакерских команд за последний месяц. Вы можете проверить, нет ли в списке ваших любимых ресурсов.

Ситуацию комментирует Константин Тимашков, гендиректор компании "Нетвиллидж", где занимаются борьбой с ботнетами:

- Как осуществляются хакерские инжекты на сайты?

- Способов может быть много. К примеру, на вашем сайте или сервере может быть доступна какая-либо известная уязвимость, описываемая на множестве специлизированных информационных порталов. Важно понимать, что в случаях с массовым заражением преступникам не интересен доступ к конкретному сайту. Безусловно, сайты с большой посещаемостью - кусок лакомый, но и на жалобы о распространении вирусов реагируют там быстрее.

О наличии конкретной уязвимости на вашем сайте хакеры могут узнать в результате сканирования Сети или же поиска страниц с нужным ключевым словом в поисковых системах. Информация об используемом програмном обеспечении иногда представляет большую ценность, а возможность её поиска через большие поисковые системы только упрощает процесс массовых взломов.

Но если ваш сайт не имеет уязвимостей, это не значит, что к нему нельзя получить доступ. У любого сервера есть администратор, у сайта - вебмастер. Информация с их рабочих станций предоставляет ценность в разы большую. Историю массового появления вредоносного кода на сайтах лучше рассматривать с конца, с момента появления троянской программы на компьютере людей с административным доступом. Ведь для вставки вредного кода на сайт достаточно привилегий, позволяющих править HTML-код.

Ваш сайт может быть задействован в распространении вирусов даже в случае взлома баннерной сети или размещения в ней вредоносного баннера. Посетителю не важно, как это всё происходит, он заходит на ваш сайт и видит предупреждение антивируса или браузерного тулбара - если у него такая защита стоит. Но фактически даже наличие противовирусных средств защиты не даёт 100% гарантию, и насколько снижается риск заражения, измерить в каких-либо величинах нельзя.

Сейчас очень популярно отказываться от привычного MS Windows в пользу других операционных систем, более открытых для разработчиков, а не только для гениев работы на уровне процессорных команд. Наличие среди аудитории вашего сайта большого количества вебмастеров в момент появления на его страницах нового вредоносного кода часто приводит практически к моментальному заражению и их сайтов тоже.

- Как владельцам сайта и его посетителям узнать, что сайт заражен? Где берут "черные списки"?

- Когда вы снимаете деньги в банкомате, вам практически сразу приходит оповещение на мобильный телефон. Так и тут, вебмастера должны оповещаться об изменениях на сайте. Хотя не на всех сайтах это возможно реализовать технически. Хостинговые компании должны предлагать новые услуги в этом направлении. На рынке уже есть услуга под названием "сканирование сайта на уязвимости", но она направлена на борьбу со следствием, а не с причиной.

Лично мы о зараженных сайтах узнаем из отчетов нашего поисковика. Он бродит по списку доменов и ищет интересующий нас вредоносный код. Наша компания занимается разработкой решений для защиты от DDoS, и наличие актуальной информации о таких сайтах позволяет нам работь более продуктивно. Конечно, нам далеко до stopbadware.org, но иногда мы получаем свежие данные практически мгновенно.

Вашим читателям также будет полезно узнать, что база сайтов из StopBadWare и Google Toolbar тесно интегрированы, и о том, что какой-либо сайт заражен, можно узнать еще до того, как вы его посетили. Очень хорошее дополнение к антивирусу.

Что думают антивирусы

Как видно из комментариев выше, заражение сайта - а за ним и тысяч пользовательких компьютеров - происходит очень быстро. Между тем, классические антивирусы до недавнего времени боролись в основном лишь с последним звеном цепочки, то есть с заражением конечных пользователей. Но сейчас они уже движутся дальше - в частности, применяют сетевые методы обнаружения на основе пользовательской "обратной связи", что ускоряет процесс предупреждения. Это касается и информации о зараженных сайтах.

Так, в антивирусе ESET NOD32 система раннего обнаружения ThreatSense.Net работает с 2005 года. Система позволяет автоматически или по личному выбору пользователя отправлять подозрительные объекты в вирусную лабораторию, где они исследуются и используются для обновления баз. Продукты линейки ESET NOD32 также предусматривают возможность создания "черных списков" урлов самими пользователями, однако централизованной базы адресов подозрительных веб-ресурсов нет.

В антивирусе Kaspersky Internet Security 2009 аналогичная система называется Kaspersky Security Network - помимо вредоносных программ, она получает от пользователей и информацию о том, с какого сайта пришел вредонос. На основе этих данных формируется общий "черный список" таких ресурсов, после чего антивирус блокирует их.

Но что происходит с "черными списками" дальше? Остаются ли эти сайты вредоносными, продолжая заражать других посетителей? Вот что рассказали нам Александр Лебедев, ведущий менеджер "Лаборатории Касперского" по развитию продуктов, и Григорий Васильев, технический директор ESET:

- "Черные списки" в антивирусах помогают пользователям, у которых стоит антивирус. А как защитить сам сайт? Есть ли у вас механизмы донесения информации до владельцев зараженных сайтов?

А.Л.: Размещать такую информацию в открытом доступе – значит дать ознакомиться с ней вирусописателям, заразившим какой-либо сайт. Увидев атакованный ресурс в таком списке, они его тут же сменят. Другое дело – информирование владельцев сайтов, подвергшихся заражению. По возможности мы стараемся оповещать их. В планах компании есть разработка специальных продуктов, которые сделают такую информацию доступной не только пользователям наших продуктов, в то же время не допуская к ней автором вирусов.

Г.В.: Чем сложнее сайты, чем больше «наворотов», интерактивности – тем больше потенциальных уязвимостей. Защита сайта — многоуровневая проблема. Существуют специальные сервисы, обеспечивающие безопасность сайта, отслеживающие попытки атак. В крупных компаниях этим вопросом могут заниматься собственные администраторы и разработчики сайта.

Конечно, чем популярнее сайт, тем выше интерес к нему со стороны злоумышленников. Достаточно вспомнить заражение трояном личного сайта победителя Евровидения, или DDoS атаки на крупнейшие информационные ресурсы. Практика показывает, что действенной защитой против действий такого рода является использование антивирусных решений и специальных мер для предотвращения атак.

- Если сайт попал в "черный список" антивируса - как ему выйти из черного списка? К примеру, вполне респектабельный сайт заразился, но потом излечился. Останется ли он в "черных списках"?

А.Л.: Как правило, на респектабельных сайтах вирусописатели размещают только ссылку на свои ресурсы. Мы блокируем именно ее, а сайт остается доступным для пользователей. Репутация респектабельного сайта, конечно же, может пострадать, поскольку они допустили такую ситуацию.

Г.В.: Если сайт включен в черный список нашей компании, для того, чтобы быстро выйти из такого черного списка, владельцам ресурса необходимо написать по электронной почте разработчикам о том, что сайт легитимен и не представляет угрозы.

- Обращаются ли к вам правоохранительные органы за данными о вредоносных сайтах? Или это дело пользователей/владельцев сайтов, а органы этим не занимаются вообще?

А.Л.: Представители правоохранительных органов довольно часто обращаются к нам за помощью. Но в последнее время только в самых трудных случаях – уровень их специалистов постоянно растет. Например, недавно к нам обратились представители полиции Нидерландов и совместными усилиями был нейтрализован ботнет Shadow, состоящий из более чем 100000 компьютеров, расположенных по всему миру.

Г.В.: Представители правоохранительных органов к нам пока не обращались, поэтому насколько плотно они занимаются данной проблемой, мы не знаем.

Другие интервью