Завести пингвина или умереть

 РАШИД АЧИЛОВ, главный специалист по защите информации в компании, занимающейся автоматизацией горнодобывающей промышленности, shelton@sheltonsoft.ru

Завести пингвина или умереть

ОC Windows небезопасна, независимо от того, установлены ли у вас последние обновления, используется ли антивирус и защищен ли доступ к ней брандмауэром. ОC Windows небезопасна изначально, и единственный способ защитить свои данные – это не использовать ее для работы. Таково мое мнение

Знак Symantec на груди у него, больше не знают о нем ничего

Девизом Windows следовало бы сделать следующее выражение Билла Гейтса: «Если ты не можешь сделать что-то хорошо, по крайней мере сделай так, чтобы это выглядело хорошо» [1]. Билл Гейтс – продукт своего общества, в котором главное – не качество продукта, а его продажи – сколько копий того или иного продукта было продано. А как оно работает – это уже вопрос… десятый. Благодаря в том числе и этому, в действительности гениальному, слогану пользователи Windows сейчас находятся в том положении, в котором находятся. Совершенно неважно, установлены ли у вас последние патчи, приобретен ли антивирус, имеется ли брандмауэр и какой почтовой программой выпользуетесь. Несмотря на все ваши старания, Windows все равно останется уязвимой и небезопасной системой, потому что всегда, начиная еще с Windows 95, придерживалась принципа: при противостоянии удобства и безопасности всегда выбирать удобство. Этот изначальный архитектурный принцип и приводит к тому, что, сколько бы ни старалась Microsoft сделать Windows безопасной системой, в ней постоянно находятся и находятся новые, ранее неизвестные возможности для заражения вирусами.

24-26 ноября 2014 года все электронные СМИ, как отечественные, так и зарубежные [2], [3], внезапно запестрели угрожающими заголовками о том, что России и Саудовской Аравии (а также еще некоторым другим государствам – названия стран и цифры были взяты с [4]) угрожает новый, невиданно сложный, невероятно опасный и абсолютно невидимый вирус Regin. Журналисты были практически едины во мнении, что это не просто творение одиночки, а работа коллектива профессионалов. Публикации шли потоком, об этом писали, об этом говорили на радио и телевидении...

Как это ни грустно, но это был тот самый случай, когда лучше было бы, чтобы все пишущие ошиблись. Но, к сожалению, в значительной степени сообщения оказались правдой. Если поподробнее проанализировать отчет Symantec [4] иотчет «Лаборатории Касперского» [5], то в действительности можно заметить, что Regin – не просто вирус. Это тщательно спроектированная платформа для выполнения каких-либо действий на зараженном компьютере. Каких – неважно, всоставе Regin имеется не менее двух десятков плагинов, которые могут все – от перехвата вводимых паролей до управления базовыми станциями GSM.

Концепция эта реализует тщательно подготовленное, абсолютно незаметное и чрезвычайно на высоком уровне спланированное проникновение в сеть. Вирус спроектирован настолько грамотно в техническом отношении, что заметить егоработу можно только тогда, когда точно знаешь, где искать. И самое неприятное здесь то, что и Symantec и «Лаборатория Касперского» до сих пор не могут объяснить, каким образом происходит первоначальное заражение компьютера, какими еще «упрощениями», предназначенными для облегчения общения пользователя с компьютером (читай – увеличения продаж), пользуется данный вирус, чтобы запустить на компьютере дроппер, который подгрузит основную часть вируса.

Symantec говорит по этому поводу вот что:

Symantec Security Response has not obtained the Regin dropper at the time of writing. Symantec believes that once the dropper is executed on the target’s computer, it will install and execute Stage 1. (Symantec Security Response не обнаружил дроппер Regin на момент написания. Symantec считает, что дроппер выполняется один раз на компьютере цели, и он устанавливает и выполняет модуль Этапа 1).

Схожего мнения придерживается и «Лаборатория Касперского».

Внимательно перечитайте предыдущий абзац. Вирус, о котором говорилось в ноябре прошлого года, вирус, который считается одним из самых совершенных и самых трудных для обнаружения, вирус, жертвами которого уже стали Евросовет, Европейская комиссия, бельгийский провайдер Belgacom и бельгийский же криптограф Жан-Жак Кискартер (обо всем этом написано в анализе Symantec), до сих пор идентифицирован лишь частично и до сих пор может поразить любой компьютер с ОС Windows, независимо от того, стоят ли на ней последние обновления и работает ли антивирус. Раз за разом Windows становится все более «совершенной и безопасной» и раз за разом все это «совершенство и безопасность» могут разлететься вдребезги при столкновении с банальной китайской электронной сигаретой [6], в зарядное устройство которой был зашит дроппер.

Возможно, всего этого не знала и помощница Ангелы Меркель, когда готовила на личном компьютере речь о европейской политике. Всего-навсего. Ну, кто же из нас не доделывает работу дома? Когда же она принесла готовую речь наработу и попыталась загрузить ее в рабочий компьютер, антивирус обнаружил Regin в документе [7]. Причем произошло это в конце декабря, когда все страсти, связанные с всплеском публикаций 24-26 ноября, давно утихли. В ходе проверки 200 компьютеров в офисе Меркель следы Regin обнаружены не были. Речь, над которой работала эта помощница, не могла быть целью атаки – она была провозглашена несколькими днями раньше, скорее всего она просто попала «под горячую руку». Как американская компания Chevron Corporation, компьютеры которой были заражены вирусом Stuxnet [8].

У Regin как у платформы для исполнения атаки масса неприятных особенностей. Заражение компьютера происходит аж в шесть этапов, каждый из которых отличается от других и каждый использует особенную, отличающуюся от других этапов технику скрытия своего присутствия в системе. На первых двух этапах Regin использует файлы, которые представляются драйверами устройств, потом переносит данные в реестр Windows, ну а последние этапы уже формируют зашифрованный файл виртуального диска, который «внутри» имеет собственную файловую систему, предназначенную для хранения разнообразных плагинов. Умеет Regin также и объединять зараженные машины в «одноранговую сеть», поэтому все команды, полученные хотя бы одним узлом, будут транслированы на другие.

Недаром многие специалисты связывают Regin со Stuxnet, Dugu, Flame и подобными платформерами. В Stuxnet тоже поначалу многие не верили. Натанз, где заражение компьютеров, управляющих центрифугами устройств по обогащению урана, началось с безобиднейшего USB-стика, установленного в корпоративный ноутбук [9], доказал обратное. И точно так же, как при разработке Stuxnet, такую систему невозможно создать ни одному человеку, ни даже группе единомышленников – она может быть разработана и поддерживается до сих пор только группой очень подготовленных специалистов, финансируемых государством. По словам Сноудена, Stuxnet был разработан в США совместно сИзраилем [10].

Многие из тех, кто дочитал до этого места, наверняка скажут: «Ставьте все патчи от Microsoft, постоянно обновляйте антивирус и не посещайте сомнительные сайты...» Вирусы, подобные Regin, научились даже такие принципы использовать в своих целях – например, Flame для распространения может использовать Windows Update [11]. Итак:

Regin существует и встречается в «диком» виде. Это подтверждается такими авторитетами, как «Лаборатория Касперского», Symantec, Microsoft.

Мы представляем интерес для Regin. Утверждение, что мы неинтересны тем, кто использует средства такого уровня, неверно. Каждый из нас интересен как минимум в качестве точки дальнейшего распространения вируса.

У большинства из нас имеются объекты, уязвимые для Regin. Regin разрабатывался для OC Windows, причем, несмотря на имеющиеся в распоряжении ЛК и Symantec образцы, способ заражения компьютеров до сих пор остается неизвестным, следовательно, нельзя точно утверждать, что если на компьютере отсутствуют объекты, упомянутые в отчете «Лаборатории Касперского» или Symantec, то на компьютере отсутствует Regin вне зависимости от версии Windows, установленных патчей, наличия антивирусов и разнообразных «защитников».

Большой программный рубильник

Разумеется, неприятно жить в доме с замками, рассчитанными исключительно на честных людей. Неприятно ходить по городу, зная, что где-то тут живет людоед, которого невозможно отличить от обычного человека. Но, если бы проблемы пользователей Windows заканчивались наличием Regin, это было бы еще не так уж и плохо...

В дополнение к этому и без того малоприятному «сюрпризу» пользователям Windows угрожает еще одна «мина замедленного действия». 24 декабря 2014 года Барак Обама издал указ, запрещающий американским компаниям оказывать услуги в Крыму [12].

Что это означает для пользователей Windows? Gmail, Skype, Java, собственно Windows и ее облачные сервисы, Azure и Outlook.com, Facebook и Twitter, Dropbox и даже такие, казалось бы, бесплатные версии, как Mozilla Firefox и Google Chrome (да-да, Mozilla Foundation и Mozilla Coproration – тоже американские компании [13]), – всем этим с этого момента жителям Крыма пользоваться нельзя. Ну, по крайней мере в рамках закона. Теперь, по закону, американские компании обязаны отказывать в доступе ко всем категориям сервисов и ПО в Крыму, если пользователь пытается скачать продукт или зарегистрироваться. Если продукт завозится в Крым в обход санкций и производитель знает об этом, онможет принять меры по недопущению использования продукта: например, компания Apple может не дать активировать iPhone на территории Крыма, а Microsoft откажется обновлять Windows на компьютере. На сайте habrahabr.ru уже известна история о блокировке учетной записи разработчика, зарегистрированного на американской бирже фрилансеров odesk.com, в анкете которого указано, что он проживает в Крыму [14]. «Ну и что такого? – спросите вы. – Ведь это же относится только к Крыму!» А что мешает завтра Обаме подписать точно такой же указ в отношении всей России?

Разумеется, никто ходить по домам и удалять Windows c компьютеров не будет – лицензия на Windows бессрочная. Но вот обновления, доступ к Azure и Dropbox, бесплатное общение через Skype, почта на Gmail и многое другое – безэтого всего придется научиться обходиться. Потому что, если на стене в первом акте висит ружье, то в последнем оно обязательно выстрелит.

В процессе подготовки текста данной статьи я нашел свежую новость о том, что Google, который всегда «впереди планеты всей» и уже закрыл свой технический центр, опасаясь проблем с законодательством из-за вступающих в силу с 1 сентября поправок в ФЗ-152 [15, 16], запретил жителям Крыма пользоваться платными сервисными Google Play [17]. Да, разумеется, Google – это не Microsoft, и на пользователей других ОС это окажет точно такое же воздействие. Но показателен сам факт – сегодня это сделал Google, а завтра – Microsoft, Facebook, Dropbox или еще кто-нибудь.

Но и на этом неприятности пользователей Windows не заканчиваются. У той ее части, которая привыкла пользоваться только самыми последними версиями, а также услугами с помесячной оплатой типа Azure. Для них Microsoft «насладкое» подготовила еще один сюрприз – повышение цен на продукты и услуги с 1 февраля [18]. Причем главный удар принимают на себя корпоративные заказчики – именно на продукты и услуги для бизнеса повышение цен составит 30%.

Спасение утопающих – дело рук самих утопающих

И что же, неужели все так плохо? Неужели Windows совсем, ну вот совсем никуда не годится? Ну отчего же. В качестве домашнего устройства, бытовой техники, наряду с телевизором, стиральной машинкой, для того, чтобы играть, слушать музыку или просматривать фильмы – вполне. В особенности если вспомнить, что первоначальным назначением Windows было именно развлечение пользователя, то у Windows есть вполне ей подходящая ниша – развлекать пользователя. Но даже файлы сохранения игры я бы хранил на отдельном сетевом файл-сервере, в качестве которых все чаще встречаются Synology или QNAP. То есть Linux.

А что же тогда для корпоративного сектора? Чем заменить, если, конечно, вообще такое возможно, все эти Word, Excel, Outlook, OneNote и прочее? Как в конце концов сеть построить без Windows AD, разве такое возможно?

Возможно. И даже не такое. Правда, для этого сразу нужно определиться – «шашечки или ехать». Если важнее «шашечки» – ну что ж, можно продолжать использовать Windows и ждать, когда придет людоед. А он придет непременно, неважно, будет ли он в образе вируса, внезапно слившего все коммерчески ценные базы конкуренту, или же в виде сообщения «Dear Sir/Madam, your account was blocked due to United States Executive Order...», причем, возможно, уже в этом году – год ожидается непростой. Если же важнее «ехать», то можно рассмотреть варианты работы, исключающие Windows как ОС, но тем не менее не исключающие ее технологию построения корпоративных сетей, то есть сеть Windows без Windows.

В мае 2014 года я уже публиковал статью на подобную тему [19]. Написана она была в «псевдолитературном» стиле и рассказывала о том, во сколько обойдется полное лицензирование небольшой компании на 25 рабочих мест. С ценами. Разумеется, на март 2014 года – тогда еще никто не предполагал, каким бантиком завернется дальнейшая жизнь.

Итак, с чего начинается сеть.

Сервер директорий, который в Windows называется Active Directory

Выполнять он будет все те же функции, что и Windows AD. Здесь есть как минимум три варианта:

• Zentyal. Дистрибутив комбинированного типа, который предлагает и поддержку Windows AD, и аналог Microsoft Exchange, и совместимость с Outlook и мобильными устройствами [20]. Zentyal – это Samba + OpenChange + еще множество программ, и над всем этим работает веб-интерфейс, упрощающий администрирование сервера.
• Samba DC. Самая настоящая «Windows без Windows», где просто серверы AD, работающие на Windows Server, заменяются на серверы c Samba. Не менее десяти лет понадобилось Samba Team, чтобы довести свой проект до коммерческой применимости – сейчас организацию домена на Samba 4 предлагает тот же Zentyal. Чем отличается от первого варианта – тем, что в случае использования Samba все придется делать самому.
• FreeIPA. Альтернативная версия централизованной системы по управлению идентификацией пользователей, задания политик доступа и аудита для сетей на базе Linux и UNIX [21]. Разумеется, имеет платную версию – Red Hat Enterprise IPA, но в связи с тем, что Red Hat – американская компания, на которую будут точно так же распространяться американские законы, Entreprise IPA не рассматривается.

Корпоративная электронная почта

Здесь опять у нас есть на выбор несколько вариантов:

• Kolab. Интегрированный клиент для групповой работы (Groupware) от швейцарской Kolab System. Как и положено groupware-клиенту, это и электронная почта, и календарь-заметки-задачи, и контакты, и синхронизация с мобильными устройствами. В качестве веб-интерфейса используется Roundcube [22].
• OpenChange. Альтернативная реализация groupware, в основном предназначенная для «прозрачной» замены Exchange. Отличается тем, что полностью поддерживает протоколы Exchange и не требует установки дополнительных плагинов вOutlook. Впрочем, для нас, коль мы хотим полностью исключить Windows, это не актуально [23]. OpenChange используется в качестве компонента в Zentyal, так что, если хочется развернуть быстро, лучше использовать Zentyal, чем пробовать установить самому.
• Любой из достаточно большого списка вариантов IMAP-сервер плюс любой из достаточно большого же списка почтовый клиент, плюс любой доступный веб-интерфейс. Такой вариант обычно выбирают, когда нет необходимости вgroupware, а нужна только собственно электронная почта. Правда, при всем богатстве выбора, он скорее всего сведется к Postfix + Dovecot либо Sendmail + Dovecot.

Файловый сервер

Здесь все просто – Samba в режиме файлового сервера, работающая по давно уже обкатанной технологии. Все необходимое типа управления правами, пользователями и группами прилагается.

Сервер резервного копирования

Существует множество решений для резервного копирования разной степени сложности, в том числе и для снапшотов виртуальных машин (о виртуализции мы еще упомянем отдельно). Правда, многие ихних могут оказаться рассчитанными исключительно на командную строку – к этому нужно быть готовым. Но то, что решений нет, – этого сказать нельзя.

Сервер виртуализации и среда управления сервером виртуализации

Здесь вообще нужно упомянуть, что все существующие решения по виртуализации, за исключением Hyper-V, – это Linux. И VMware, и Citrix – это все Linux. Доведенный до коммерческого использования, получивший различные вспомогательные программы, но все же Linux. Потому что, например, драйверы для неподдерживаемых официально VMware сетевых карт можно собирать на любом Linux [24]. Поэтому будет работать любое решение по виртуализации, поставляемое с тем дистрибутивом Linux, который выберете, как для создания виртуальных машин, так и для управления ими.

Рабочие станции

Для большинства стандартных офисных работ подойдет любое десктопное окружение – хоть GNOME, хоть KDE, хоть любое другое – тут все зависит от предпочтений системного администратора.

В качестве браузера используется либо Firefox (для GNOME), либо Konqueror (для KDE).

В качестве почтовой программы – опять же или Thunderbird, или Kmail.

В качестве офисного пакета – LibreOffice для GNOME или Calligra Suite [25] (бывший Koffice) – для KDE.

Нишу растровых редакторов занимает GIMP или Krita, векторных – InkScape.

1C имеет полную нативную поддержку Linux – как «толстого» и «тонкого» клиентов, так и сервера [26].

Вы, наверное, обратили внимание, что «за бортом» остались такие гиганты дистрибутивов, как Red Hat и SUSE. Все просто: и та и другая – американские компании и будут следовать американским законам. «За бортом» остались ирешения по виртуализации от VMware и Citrix, решения по резервному копированию от Acronis – и вовсе не потому, что они плохи! Ну а антивирусные решения мы исключили по причине очевидной ненужности.

***

Год 2015-й скорее всего будет непростым. И в течение этого года каждый может столкнуться с проблемой, описанной в статье, – продолжать ли ежеминутно рисковать данными, работая под Windows, или же решить вопросы сохранности инедоступности данных, отказавшись от нее. Завести себе пингвина или просто умереть.

От редакции

Мы обратились в компанию Microsoft с просьбой прокомментировать статью нашего эксперта. Специалисты компании решили оставить текст без комментариев.

«Сегодня получил ответ от отдела публикаций. Наши специалисты посмотрели присланную вами статью и решили, что комментировать ее не будут. Пересылаю вам дословный ответ:

«Это субъективное мнение одного человека, при этом не очень понятно, насколько это эксперт в той области, о которой пишет. И, к сожалению, в этой статье очень мало обоснованных доказательств неисправностей в Windows, кроме общего негатива по отношению к компании Microsoft, а это мнение человека оспаривать как-то странно».

В любом случае, мы очень благодарны вам за то, что вы посоветовались с нами и предложили прокомментировать вашу статью. Если в дальнейшем будут статьи, на которые вам будет интересно получить наш отклик, мы с удовольствием рассмотрим их».

Борис Злобин, Marketing evangelist, Microsoft

1. Цитаты великих людей. Билл Гейтс – http://citata.in/citaty-biznesmenov/citaty-bill-gejjts.html.
2. Публикация о вирусе Regin Федерального агентства новостей – http://riafan.ru/151737-virus-regin-shest-let-shpionil-za-rossiyskoy-neftyankoy.
3. Публикация о вирусе Regin на сайте SecureList – http://securelist.com/blog/research/67741/regin-nation-state-ownage-of-gsm-networks.
4. Отчет о вирусе Regin на сайте Symantec – http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf.
5. Отчет о вирусе Regin «Лаборатории Касперского» – https://securelist.com/files/2014/11/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf.
6. Электронные сигареты тоже заражают компьютер по USB – https://xakep.ru/2014/11/27/e-cigs-usb.
7. Ноутбук помощницы Меркель атакован вирусом Regin – http://ria.ru/world/20141229/1040645078.html.
8. Вирус Stuxnet заразил компьютеры компании Chevron – http://xakep.ru/59605.
9. Анализ техники заражения компьютера вирусом Stuxnet – http://blogs.technet.com/b/mark_russinovich/archive/2011/05/19/3430261.aspx.
10. Сноуден рассказал, кто создал вирус Stuxnet – http://www.nakanune.ru/news/2013/7/9/22315525.
11. Вирус Flame для распространения использует Windows Update – http://www.securitylab.ru/news/425350.php.
12. Жителей Крыма оставят без американских веб-сервисов – http://top.rbc.ru/technology_and_media/24/12/2014/549ac5e89a79471841044b6d#xtor=AL-[internal_traffic]--[top.rbc.ru]-[details_main]-[item_2-3].
13. Описание Mozilla Foundation в Wikipedia – http://ru.wikipedia.org/wiki/Mozilla_Foundation.
14. Odesk закрывает аккаунты пользователей в Крыму и замораживает средства – http://megamozg.ru/post/6094.
15. Закон, устанавливающий сроки вступления в силу поправок к ФЗ-152 и ФЗ-149, подписан Президентом РФ – http://kremlin.ru/acts/47417.
16. Google Said to Transfer Engineering Operations Out of Russia – http://www.bloomberg.com/news/2014-12-12/google-said-to-transfer-engineering-operations-out-of-russia.html.
17. Google запретит пользоваться платными приложениями в Крыму – http://top.rbc.ru/technology_and_media/23/01/2015/54c267a39a79478c65f08c66#xtor=AL-[internal_traffic]--[top.rbc.ru]-[lenta_body]-[news].
18. Microsoft с февраля поднимет цены в России на 15-30% – http://www.interfax.ru/business/415655.
19. Ачилов Р. Сколько стоит черный флаг? //«Системный администратор», №5, 2014 г. – С. 4-7 (http://samag.ru/archive/article/2681).
20. Сайт Zentyal Server Community Edition – http://www.zentyal.org.
21. Сайт FreeIPA – http://www.freeipa.org/page/Main_Page.
22. Сайт Kolab Groupware – http://kolab.org.
23. Сайт OpenChange – http://www.openchange.org.
24. ESXI 5.x Drivers Part 1: Making a Build Environment – http://www.vm-help.com/forum/viewtopic.php?f=28&t=4340.
25. Сайт Calligra Suite – https://www.calligra.org.
26. 1C 8 – многоплатформенность – http://v8.1c.ru/overview/Term_000000666.htm.

Комментарии могут оставлять только зарегистрированные пользователи