Փորձենք վերլուծել, թե ինչ եղավ, և ինչու:

Աղետ

29.01.2011-ի երեկոյան, երբ սկսվեց թոհուբոհը, չգիտեմ ով և երբ տվեց առաջին ահազանգը (տվյալ դեպքում սոց.ցանցերում լուրը), ընդհամենը մի քանի րոպեի ընթացքում հայկական համացանցը լցվեց 295 հայկական կայքերի անգործունակ լինելու գույժով:

Իմ խորին համոզմամբ պետք չէր այդքան բարձրաձայնել տեղի ունեցածի մասին: Նախ, դրանով ինքներս ավելի էինք սրացնում մթնոլորտը, և երկրորդ, պետք էր ուղղակի ամեն մեկը գտներ իր ծանոթի կայքի հասցեն, և շտապ տեղեկացներ նրան: Հանգիստ մաքրեինք հետքերը, հետո կմտածեինք ինչ ու ոնց անել: Կամ պետք էր ուղղակի հենց սկզբից զանգել SmartSystems, ասել, խնդրել ու հորդորել, որ սերվերն անմիջապես անջատեին, հետո նոր զբաղվեին հատ-հատ վերականգնումով:

Ամեն դեպքում տեսարանը գրավիչ չէր ու շատ վատ արդյունք թողեց:

Եվ հետո, ո՞վ է ասել, որ 295 հայկական կայք են կոտրել: Կան մի քանի տոսանկյուններ, ըստ որոնց թիվը շատ ու շատ ուռճացված է:

Օրինակ, եթե տրված ցուցակից հանենք բոլոր գայություն չունեցողները, ինչպիսին է http://girotti.com.workuSClxdAc7uD3UB , ապա կստանանք ընդհամենը 281 հատ (հավատացեք, ես չեմ ալարել ու հանել եմ ավելորդները):

Մնացած 281 հատից եթե հանենք այն բոլոր դոմեյնները, որոնք ուղղակի ռեդիռեկտ են եղել նույն կազմակերպության մեկ այլ դոմեյնի, ինչպիսին են օրինակ vxbox.am և  vxbox.com-ը, ապա կստանանք մոտ 240 հատ դոմեյնային անվանումեր, որոնք կան ցուցակում: Ընդ որում, ես չեմ հանել նույն կազմակերպության տարբեր համադրությամ անունները, ինչպիսիք են օրինակ smartsoftware.am և smartsolutions.am դոմեյնները, որովհետև կա չնչին հավանականություն, որ այդ կայքերը տարբեր պարունակություններ ունեն:

Մի խոսքով հաշվարկները ցույց են տալիս, որ կոտրված կայքերի մոտ մեկ երրորդը վերահասցեավորվող էին: Եվ պետք չէր այդքան մեծ բում բարձրացնել թվի հետ կապված:

Իսկ ընդհանուր առմամբ, երևույթը սա է` կոտրել են ընդհամենը 1 սերվեր, որի վրա գտել են վերոնշյալ կայքերի անուններով ֆոլդերներ և իրենցից ուրախ հրապարակել են ցուցակը, թե իբր տեսեք-տեսեք այսքան շատ գործ ենք արել:

Ինչո՞ւ մերոնք լուռ էին.

Վերջին տարիներին անընդհատ կրկնվող նման հարձակումները ժողովրդի մեջ սերմանել է այն միտքը, որ մերոնք էդքան չկան, նրանց պատասխանելու համար:

Իրականում ոչինչ էլ այդպես չէ: Քչերը գիտեն, թե մերոնք ինչ են անում նույն ֆռոնտում, բայց էն, որ նրանք չեն իջնում նույն մակարդակին ու անիմաստ տեղը դրոշ չեն կախում ազերա-թուրքական կայքերի առաջին էջերում, դա փաստ է:

Իսկ ի՞նչ եղավ երեկ: Ինչո՞ւ մերոնք ձայն հանեցին հանկարծ:

Ամեն ինչում մեղավորը ժողովուրդն է, նրանք պահանջում են պատասխան քայլ, մեր անվտանգության մասնագետները չեն անում, չեն ջարդում, չեն կախում դրոշներ, ու մարդիկ վհատված ասում են “Երգիրը երգիր չի…”: Երեկվա դեպքերից հետո մարդի էլի նույն մտածելակերպն ունեին, ու ստիպված, մերոնք բացահայտ արեցին պատասխան քայլը: Սա իրականում լավ էր: Լավ էր, քանզի ժողովուրդը հասկացավ, որ մեր մասնագետները կարողանում են: Լավ էր, քանզի թուրք-ադրբեջանցիների մասին խոսելու փոխարեն հայերն արդեն մերի մասին էին պատմում: Բայց մյուս կողմից նաև վատ էր: Վատ էր, քանզի ժողովուրդը չպետք է հավատար մեր մասնագետների կարողությանը միայն նման օրինակից հետո:

Գուցե երեկվա mozambicoArmeniCo-ից հետո մեր ժողովուրդը կհավատա նաև մերոնց ուժերին:

Հույս ունենանք ու սպասենք, որ այդպես էլ կլինի:

Վարդան Գրիգորյան / blog.grigoryan.biz

Ինչպես տեղեկացնում է ընկերության <անվտանգության խնդիրները հետազոտող կենտրոն>-ի գլխավոր մենեջեր Ջերի Բրայանը, այս թարմացումներից 5-ը կրում են ԿՐԻՏԻԿԱԿԱՆ բնորոշում, իսկ մնացած 8-ը բնորոշվում են որպես ԿԱՐԵՎՈՐ: Թարմացումներից 11-ը վերաբերում են WINDOWS համակարգի այս կամ այն տարատեսակներին, իսկ մնացած 2-ը` OFFICE համակարգին:

Ինչ վերաբերում է ըստ օպերացիոն համակարգերի դասակարգմանը, ապա կարող ենք ասել, որ Server 2008 R2 և Windows 7 համակարգերի համար նախատեսվում են  5 թարմացումներ, Windows XP-ի համար` 8, իսկ ավելի վաղ ստեղծված  Windows 2000 օպերացիոն համակարգի համար` 9 թարմացումներ:

Պաշտոնական հայտարարությունը կարող եք կարդալ այստեղ, իսկ մեզ մնում է միայն անհամբեր սպասել թարմացումներին:

F-Secure-ի հետազոտական բաժանմունքի պետ Միկկո Հիպպոնենը նշել է, որ այդ անդամատոմսերը ստեղծվում են ավտոմատ կերպով` օգտագործելով մի քանի օգատգործողների անունները և որոշ քաղաքների անուններ: Հատկանշական է, որ այդ անդամատոմսերը ստեղծվելիս, դրանց տրվում է նաև գեղեցիկ վիզուալ տեսք, որը ինչ-որ չափով նաև  վստահություն է հաղորդում այցելուներին: Այդպիսի անդամատոմսերը հիմնականում կրում են գերմանական անուններ կամ ամերիկյան որոշ քաղաքների անուններ…

Այդ անդամատոմսերից հաքերներն ուղարկում են տարատեսակ հաղորդագրություններ, որոնք վերաբերում են ինչ-որ հայտնի թեմայի կամ պարունակում են ուրիշների կողմից ստեղծված հաղորդագրությունների տեքստեր: Ինչպես նաև հաղորդագրության մեջ տեղադրվում է հղում, որին սեղմելիս այցելուն տեղափոխվում է այնպիսի մի էջ, որի միջոցով հաքերը վախեցնում է այցելուին և դրդում ձեռք բերել կեղծված հակավիրուսային ծրագրեր:

Այս մեթոդն օր-օրի ավելի մեծ տարածում է գտնում հաքերների շրջանում, քանի որ այսօր աշխարհում շատ մարդիկ փորձում են մեծ ուշադրություն դարձնել իրենց համակարգչի անվտանգությանը` առանց հասկանալու, որ սխալ քայլերի արդյունքում կարող են ավելի շատ տուժել:

CookieMonster, ահա այսպես է կոչվում այն համակարգը, որի միջոցով հնարավոր է խաբել օգտագործողի բրաուզերին և գողանալ քուքիները, որոնք օգտագործվել են այս կամ այն համակարգ մուտք գործելիս: Ի տարբերությունը SideJacking հարձակումների, այս համակարգի աշխատանքի մեթոդն աշխատում է նաև այն դեպքերում, երբ կայքն ապահովագրված է SSL-ի միջոցով:

Համակարգի հեղինակի` Մայք Փերրիի կարծիքով, այս համակարգն արդեն թերություններ է գտել այնպիսի հսկաների մոտ, ինչպիսիք են united.com, bankofamerica.com, register.com, netflix.com և բազմաքանակ այսպիսի վեբ ռեսուրսներ: Errata Security-ի աշխատակից Ռոբ Գրեխեմն ասում է, որ Gmail-ը այս համակարգի համար դեռևս անթերի է , բայց  այնուամենայնիվ, Google Docs, Blogger.com և Google Finance ռեսուրսները վտանգված են:

CookieMoonster-ի աշխատանքը հիմնված է նրա վրա, որ վեբ-ծրագրավորողները դեռևս անկարող են տարբերել վտանգավոր քուքիները, անվտանգ քուքիներից: CookieMonster-ը բրաուզերին ներկայացնում է տվյալ կայքի չպաշտպանված հատվածից մի պատկեր և վերջ` բրաուզերը մեծ ուրախությամբ նրանց տեղափոխում է այն տեղը, որտեղ պետք է լիներ ավտորիզացված օգտագործողը ( ավելի մանրամասն կարող եք ծանոթանալ  այստեղ):

Այս պահին CookieMonster-ը հասանելի է միայն վեբ անվտանգության 225 մասնագետների: Բայց արդեն մի քանի շաբաթից հեղինակը պլանավորում է այդ դարձնել ընդհանուր օգտագործման ենթակա: Մայք Փերրին հուսով է, որ համակարգի ոչ ամբողջական տարբերակն անգամ մասնագետներին կօգնի թերությունները վերացնելու համար:

Վարդան Գրիգորյան / iReport.am / blog.grigoryan.biz

Ինչ վերաբերում է ըստ պետությունների սպամ-ցուցակին, ապա կարող ենք հստակ նշել, որ որպես ավանդույթ սպամի հայրենիք ԱՄՆ-ն ինչպես միշտ գլխավորում է ցուցակը` մատուցելով սպամ-նամակների 32.5%-ը: Նրանից հետո գալիս է Բրազիլիան` 6% ցուցանիշով: “Լավագույն տասնյակի” մեջ են մտնում ասիական երկներ Վիետնամը, Կորեան, Չինաստանը, Հնդկաստանը: Ռուսաստանը նույնպես հայտնվել է 10-յակում, ավելի կոնկրետ 6-րդ տեղում` 3.86% սպամ-նամակներով:

Սեպտեմբերին նույնպես զգացվեց այն տենդենցը, որը կար օգոստոսին, այն է. “ՍՊԱՄ ԳՈՎԱԶԴ” թեմատիկայի նամակները քչացել են, բայց սրան հակառակ հաստատուն դիրք ունի “Այլ ապրանքներ և ծառայություններ” թեմատիկայի սպամը: Զարմանալիորեն շատացել են “Ուսուցում” թեմատիկայի սպամ նամակները, որը մեզ թույլ է տալիս համոզվել, որ տնտեսական սեկտորի ավելի ու ավելի շատ կազմակերպություններ են դիմում սպամերներին… >>>

Հարկ եմ համարում նշել նաև, որ բավականին մեծացել է  ինֆորմացիոն նամակների թիվը սպամ ցուցակում: Ավելացել է նաև վտանգ պարունակող սպամ նամակների քանակը` սեպտեմբերին սպամ նամակների 1,22%-ի մեջ եղել են վարակակիր ֆայլեր, այնինչ նախորդ ամիս դրանք կազմում էին 1,17%: Վարակակիր նամակների գրեթե կեսը պարունակում էր տրոյան  FraudLoad: Սրանք այն վարակներն են, որոնք զոհի համակարգչում տեղադրում են կեղծ հակավիրուսային համակարգեր, որոնք իբր զգուշացնում են համակարգչի վարակված լինելու մասին և գումար են պահանջում` դրանք վերացնելու համար: Վարակակիր նամակների լավագույն 10-ում են հայտնվել նաև Trojan-Downloader.Win32.Murlo.cba պարունակող նամակները: Վերջինս բավականին հին էկզեմպլյար է և այս ամիս հայտնաբերվել է վարակակիր սպամ-նամակների 28,5%-ում: Նախորդ ամիսների համեմատ այս ամիս բավականին նվազել են Zbot տրոյան վարակ պարունակող սպամ-նամակները: 9-րդ տեղում այս ամիս գտնվում է Trojan-Spy.Win32.Zbot.gen` շպիոն-ծրագիր, որը ստեղծված է գաղտնի ինֆորմացիա գողանալու համար:

Բավականին լայն տարածում են գտել սոցիալ-ինժեներիայի դասին պատկանող սպամ-նամակները, որոնք փորձում էին վարակված ֆայլ աշխատեցնել զոհի համակարգչում: Այս դասի նամակները, ինչպես միշտ, ուղարկված էին իբր այնպիսի հայտնի կազմակերպությունների կողմից, ինչպիսիք են` DHL, UPS և Western Union:

Դեպի վարակակիր ֆիշինգային կայքեր տանող հղումներ պարունակող նամակներն այս ամիս կազմել են ընդհամենը 0,84%-ը, որը 0,25%-ով քիչ է` նախորդ ամսվա համեմատությամբ:

Սեպտեմբեր ամսին հարձկման թիրախ դարձած կազմակերպությունների ցուցակը բացում է PayPal-ը: Նրա ցուցանիշը նախորդ ամսվա տվյալներով ավելացել է 18,68%-ով: Երկրորդ տեղում IRS-ն է` ամերիկյան մի կազմակերպություն, որը զբաղվում է հարկահավաքությամբ: Ամբողջ ամսվա ֆիշինգ հարձակումների 11,08%-ը եղել են այդ կազմակերպության նկատմամաբ: Լավագույն եռյակը այս ամիս եզրափակում է eBay օնլայն աուկցիոնը:

Սեպտեմբեր ամսին սպամերներն օգտագործել էին մի հնարք, որը էֆեկտիվ էր ֆիլտրների տեսանկյունից, բայց մյուս կողմից էլ ոչ էֆեկտիվ էր ապրանքներ և ծառայություններ մատուցողների համար: Քանի որ զոհը ոչ միայն պետք է իր ձեռքով բրաուզերում հավաքեր կայքի հասցեն, այլ պետք է նաև սպամերի կողմից ուղարկված տողից ջնջեր ավելորդ սիմվոլները:

Դե ինչ, դատելով այս տվյալներից, կարող եմ միայն խորհուրդ տալ կասկածելի վերնագրերով նամակներում կցված ֆայլերը երբեք չներբեռնել` նույնիսկ եթե այդ նամակը ուղարկել է հենց ինքը, Բիլ Գեյթսը…

Վարդան Գրիգորյան / iReport.am / blog.grigoryan.biz

Ծրագիրը ներկայացնող PDF ֆայլը կարող եք կարդալ կամ ներբեռնել այստեղից:

Ակնհայտ է, թե ինչքան լայն տարածում կարող է գտնել այս ծրագիրը: Բայց ինչո՞ւմն կայանում ծրագրի էությունը:

Իմաստը հետևյալն է. ենթադրենք ունենք «Deployed Software», որը ClearView-ի կողմից գտնվում է հսկողության տակ` պարբերաբար ստուգվելով բուֆեռի ծանրաբեռնվածության, կասկածելի փոխանցումների և այլ ոչ ցանակլի երևույթների նկատմամբ: Բայց այս երևույթը նոր չէ: Սովորաբար նման դեպքերում ծրագիրը խափանվում է, իսկ կրկնության դեպքում` արգելափակվում:

Այստեղ իրականում կան երկու խնդիրներ`

1. Եթե համակարգը high availability է, ապա ծրագրի խափանման կամ արգելափակման մասին խոսք լինել անգամ չի կարող:
2. Առանց ClearView օգտագործելու էլ սովորաբար սխալների արգելափակման գործընթացը շատ երկար չի տևում. ծրագրավորողները շատ արագ ստեղծում են համապատասխան թարմացումը (patch):

Նորությունն այն է, որ ClearView-ն “խոստանում է” վերացնել թերությունները և ծածկել բացերը` առանց օպերացիոն համակարգը վերաբեռնելու(restart) և առանց մարդկային որևէ ազդակի:

ClearView-ն սկզբում հավաքում է տվյալներ այն մասին, թե ինչպես է ծրագիրն աշխատում նորմալ ռեժիմում (այս գործողությունը անվանում են “ինվարիանտ աշխատանք”), հետո հայտանբերում է ակտիվացում և կասկածելի գործոնների դեպքում ավտոմատ կերպով թարմացնում է բինար կոդը` դրանով իսկ փորձելով ծրագիրը վերադարձնել “ինվարիանտ աշխատանքի”: Ծրագիրը կարողանում է ինքնուրույն փորձարկել ծրագրային կոդի շտկման որոշ տարբերակներ,  այսինքն միշտ փորձում է ծրագիրը պահել կայուն վիճակում` ներմուծվող տվյալները ֆիլտրացնելու կամ էլ ծրագրային կոդի շտկման ու արգելաձակման միջոցով:

Վարդան Գրիգորյան / iReport.am / blog.grigoryan.biz