Червь Witty, начавший распространение 19 марта, поражал продукты Internet Security Systems (умные фэйрволы), благодаря уязвимости с переполнением буфера в модуле анализа траффика ICQ. Российский сегмент интернета был затронут мало, ввиду малой распространённости продукта. Оценка общего количества заражённых машин - около 12 000.
Червь имел следующие особенности:
- это первый червь, умышленно уничтожающий данные на заражённых машинах
- распространение червя началось в пределах суток с момента разглашения уязвимости
- это первый червь, атакующий малораспространённое ПО
- червь одномоментно приобрёл стартовую популяцию в 100 машин, после чего популяция росла по классической экспоненте (сигмоиду). Это говорит о заблаговременной подготовке атаки (возможно, атакующий располагал сотней зомби для создания стартовой популяции, и тем самым проскочил пологую стадию экспоненциального роста).
- это первый червь, атакующий продукт, предназначенный для обеспечения безопасности (firewall)
Влияние данной эпидемии, хотя и скромной по масштабу, на теорию компьютерной безопасности трудно переоценить. Похожий эффект имел разве что Slammer, доказавший, что десятиминутная глобальная эпидемия осуществима на практике, причём - самыми бесхитростными средствами. В практической области можно назвать следующие последствия:
- Более сомнительными выглядят выгоды IDS, а равно и авторитет продвигающих их контор (Quis custodiet ipsos custodes? Кто будет сторожить сторожей?)
- Принцип "патчить быстро-быстро и всё будет хорошо" также, очевидно, не может быть удовлетворительным ответом.
- "Продвинутость" пользователей также не может теперь считаться гарантией. Как видим, эпидемия поразила именно пользователей, заботящихся о безопасности своего PC.
Тем не менее, есть и положительный момент: червь Witty подвердил очень древнюю мудрость, имеющую очень много формулировок:
- "Не умножай сущностей без необходимости" (У.Оккам)
- KISS!, i.e. "keep it simple, stupid!"
- "Трение" Клаузевица ("О войне", часть I, глава VII, "Все на войне очень просто...")
- и так далее, и тому подобное
В частности, данная эпидемия может поставить крест на планах глобального "content filtering", т.е. антивирусов масштаба интернет.
Виктор