Минимум 1 из 100 сайтов инфицирован — к такому неутешительному выводу пришли эксперты из WebSense Security Labs Blog. Как тут не вспомнить Второй Закон Вейнберга, из законов Мерфи: «Если бы строители создавали здания также, как программисты пишут программы, первый залетевший дятел разрушил бы цивилизацию»?

Улыбка LizaMoon — это вовсе не Мона Лиза да Винчи

Суть инфекции состояла в том, что в сайты, без ведома их владельцев, был встроен вредоносный скрипт, который перенаправлял пользователей на портал, продающий пользователям фиктивный антивирус «Windows Stability Center». Как это происходит, можно увидеть тут.

Сначала было обнаружено порядка 30 тысяч инфицированных сайтов, но впоследствии это количество увеличилось до 1.72 миллионов (согласно результатам Google). Учитывая, что количество сайтов в Интернете приближается к 300 млн, а поисковая база Google обновляется, демонстрируя рост зараженных ресурсов, — можно с уверенностью сказать, что инфицированным оказался каждый сотый сайт. Пострадал даже онлайн-магазин Apple iTunes (впрочем, администрация оперативно заблокировала выполнение скрита).
Такие результаты можно назвать одними из самых массовых SQL-инъекций. Атаке дали имя LizaMoon («Лунная Лиза») — по имени сайта, с которого изначально загружался скрипт.

Переход на сайт из поисковика — игра в русскую рулетку

Большинство современных браузеров стремятся защитить пользователя от вредоносных сайтов (обращаясь к собственно базе подобных сайтов), поисковики пишут «этот сайт может нанести вред вашему компьютеру» (Yandex, Google), многие пользователи дополнительно устанавливают плагин WOT, чтобы предотвратить посещение зараженных ресурсов. Однако инфицированных сайтов все больше.
Поэтому, переходя по ссылке в браузере, никогда нельзя быть уверенным, что загруженный браузером сайт не одарит тебя не только интересной информацией, но и чем-нибудь "информационно-венерическим”.

Почему так происходит?

Думаю никто не будет сомневаться, что современный сайт — это крайне сложная инфраструктура. Чем больше технологий система поддерживает, тем выше вероятность, что ресурс будет уязвим. В результате злоумышленники находят возможность некорректного выполнения кода, которые позволяет обходить даже самые совершенные варианты защиты.
И если компьютер пользователя, где не установлены патчи и заплатки, стоит уязвимая версия Flash-плеера, старая версия Java-машины, Adobe Reader, взятый с диска к материнской плате, выпущенной в 2008 году, то для веб-порталов, доступных 24 часа в сутки, 7 дней в неделю, 365 дней в году ситуация с необновленным программным обеспечением встречается тем чаще, чем меньше портал. Чтобы в этом убедиться, достаточно скопировать текст с данными старой версии PHP, WordPress или какого-нибудь форумного движка, чтобы увидеть число ресурсов, которые потенциально уязвимы для атаки, причем чуть ли не в массовом порядке. Что и продемонстрировали злоумышленники.

DDoS-атака — новый уровень эффективности

Впрочем, крупные порталы тоже страдают от атак, однако гораздо чаще они носят характер DDoS (Distributed Denial Of Service) — распределенной атаки с целью перегрузить сервер «мусорными» IP-пакетами (неправильно сформированными, с некорректно заполненными информационными полями, с мешаниной данных вместо кода и т.д.) с целью вызвать отказ в обслуживании сайта, то есть, прекратить его работу.
И если еще совсем недавно разработчики сетевого аппаратного и программного обеспечения, а также эксперты антивирусных компаний бодро рапортовали о том, что сайты почти полностью защищены от DDoS-атаки, благодаря анализу посыпающих данных и прекращению обработки «мусорных» данных, то сегодня DDoS-атаки перешли на новый уровень. Это происходит, во-первых, потому, что атаку генерирует не несколько серверов, а распределенная по всему миру бот-сеть зараженных ПК. Во-вторых, вторжение комбинируется с использованием уязвимостей в работе базы данных MySQL (SQL-инъекции).

Месячная сводка боевых действий

Чтобы подчеркнуть масштаб, приведем сводку лишь за март месяц 2011 года.
Wordpress дважды (с интервалом в 12 часов) подвергся крупнейшей в своей истории DDOS-атаке. Только сотрудничество с международными сетевыми провайдерами позволило ресурсу снизить производительность, но все же выстоять.
Южная Корея сообщила о крупнейшей DDoS-атаке на правительственные сайты. Одновременно установленное антивирусное программное обеспечение зафиксировало массовые попытки инсталляции вредоносного ПО. В результате государственные эксперты выдали предупреждение третьего уровня, говорящее о максимально серьезном уровне опасности для интернет-инфраструктуры.
В самом конце месяца DDoS-атаке подвергся крупнейший блог-сервис Рунета LiveJournal. Несмотря на то, что противодействие вредоносным действиям на сервера «Живого Журнала» было развернуто достаточно оперативно, еще в течении нескольких дней некоторые учетные записи были недоступны.
Помимо описанных выше ситуаций, DDoS-атаки велись на портал правительства Приднестровья, на сервера холдинга Русской службы новостей, на правительственные сайты Новой Зеландии, на сайт газеты Взгляд и множество более «мелких» атак (которые вряд ли казались таковыми владельцам порталов).

Следствие Закона Вейнберга

В результате, в информационном потоке в апокалиптическую какофонию сливаются заказы на взлом инфраструктуры ресурсов-соперников, акции протеста сетевых борцов за свободу слова, межгосударственные разборки (Иран, США, Австралия и многие другие страны официально признали у себя наличие подразделений для кибератак), криминальные взломы с целью перепродажи приватной информации и сбои в работе самой инфраструктуры.
И гораздо сильнее пугает уже не сам Закон Вейнберга, а его следствие: «квалифицированный специалист — это человек, который удачно избегает маленьких ошибок, неуклонно двигаясь к какому-нибудь глобальному заблуждению.» Ведь чем больше приходит в нашу жизнь «умных» систем и облачных сервисов, тем больше мы движемся в сторону ситуации, очень наглядно продемонстрированной в «Крепком орешке 4» и атакой червя Stuxnet.