Пожалуй, главными событиями в сфере мировой информбезопасности на минувшей недели стали признание уязвимости ОС Linux перед компьютерными вирусами и буквально историческое решение Европейского суда, предписавшего Google по требованию частных лиц удалять из результатов поиска ссылки на статьи и документы, в которых упоминаются их имена. В обоих случаях здесь есть о чем поговорить.

Linux пал перед троянцами

До сих пор пользователи и администраторы Linux-систем в целом обоснованно гордились тем, что используемая ими ОС в достаточной мере защищена от проникновения вредоносных программ, традиционно терроризирующих компьютеры, работающие под управлением Windows. Однако теперь представители компании "Доктор Веб" заявляют: сегодня стереотип о "неуязвимости" систем, построенных на базе ядра Linux, в большей степени играет на руку злоумышленникам, распространяющим вредоносное ПО.

Только за первые две недели мая эксперты "Доктор Веб" идентифицировали не менее девяти Linux-троянцев - это стало рекордом для одного месяца. Вредоносные программы ориентированы на 32- и 64-разрядные версии Linux-систем и, включая платформу с архитектурой ARM. В антивирусной компании не сообщили точное число выявленных вредоносов, но говорят, что все они сводятся к девяти разновидностям вредоносного кода. Пока их условно разделили на три части: группа Linux.DDoS, группа Linux.DnsAmp и Linux.Mrblack. При этом большинство Linux-троянцев предназначены для организации DDoS-атак с использованием различных протоколов.

Эти вредоносные программы имеют и другие общие черты - и, как указывает пресс-служба "Доктор Веб", косвенные признаки указывают на то, что большинство исследованных специалистами DDoS-троянцев создано одним и тем же автором. К тому же многие из перечисленных ниже вредоносных программ используют одни и те же управляющие серверы.

В обширном отчете по Linux-троянцам специалисты "Доктор Веб" приводят достаточно подробные сведения по ключевым вредоносам каждой группы. Так, вредоносная программа, получившая наименование Linux.DDoS.3, является многофункциональной. Запустившись, троянец определяет адрес командного сервера и отправляет на него информацию об инфицированной системе, после чего ждет получения конфигурационных данных с параметрами текущей задачи (отчет о ее выполнении впоследствии отправляется злоумышленникам). Основная задача Linux.DDoS.3 - проводить DDoS-атаки на заданный сервер с использованием протоколов TCP/IP (TCP flood), UDP (UDP flood), а также отправлять запросы на DNS-серверы для усиления эффективности атак (DNS Amplification).

Модификация этого троянца, названная Linux.DDoS.22, создана для инфицирования дистрибутивов Linux для процессоров ARM. Другая модификация - Linux.DDoS.24 - заражает серверы и рабочие станции, на которых используются 32-разрядные версии Ubuntu и CentOS. Этот троянец устанавливается в систему под именем pktmake и автоматически регистрирует себя в параметрах автозагрузки ОС. После запуска он также собирает сведения об аппаратной платформе - в том числе о типе процессора и объеме памяти, - шифрует ее и отправляет на контролируемый киберпреступниками управляющий сервер. Основное предназначение Linux.DDoS.24 - участвовать в DDoS-атаках по команде с удаленного узла.

Вторая группа Linux-троянцев немного более многочисленна, она включает зловредов, названных, соответственно: Linux.DnsAmp.1, Linux.DnsAmp.2, Linux.DnsAmp.3, Linux.DnsAmp.4 и Linux.DnsAmp.5. Они умеют инфицировать как 32-разрядные (Linux.DnsAmp.1, Linux.DnsAmp.3, Linux.DnsAmp.5), так и 64-разрядные (Linux.DnsAmp.2, Linux.DnsAmp.4) версии Linux. Некоторые из них работают сразу с двумя управляющими серверами. Все программы семейства Linux.DnsAmp прописывают себя в автозагрузке, собирают и отправляет на удаленный сервер данные о конфигурации инфицированной машины (версия ОС, частота процессора, объем свободной памяти и Swap-кэша, и т. д.), после чего ожидают поступления управляющих команд. Их функционал:

• UDP Flood (устанавливается соединение с атакуемым узлом по протоколу UDP, после чего троянец пытается отправить жертве 1000 сообщений);
• SYN Flood (отправка специально сформированного пакета на атакуемый узел до тех пор, пока тот не перестанет отвечать на запросы);
• Ping Flood (с использованием протокола ICMP формируется эхо-запрос, в котором в качестве идентификатора используется PID процесса, а данные представляют собой hex-значение 0xA1B0A1B0);
• отправка запросов на серверы DNS (DNS Amplification);
• отправка запросов на серверы NTP (NTP Amplification).

Особняком стоит программа Linux.Mrblack - вредонос для ARM-совместимых дистрибутивов Linux. Этот троянец, по словам экспертов, имеет довольно примитивную архитектуру, подобно другим аналогичным угрозам срабатывает по команде с управляющего сервера, предназначен для проведения DDoS-атак с использованием протоколов TCP/IP и HTTP.

Как видим, все выявленные Linux-вредоносы не направлены против заражаемых ими компьютеров, не крадут пользовательские данные, ничего не блокируют, не занимаются майнингом и т. п. Но более интересно другое: как указывает пресс-служба "Доктор Веб", "Командные центры, с использованием которых осуществляется управление упомянутыми троянскими программами, располагаются преимущественно на территории Китая, и реализованные с их помощью DDoS-атаки направлены, в основном, против китайских интернет-ресурсов".

Европейский суд сузил для Google рамки дозволенного

В начале минувшей недели Европейский суд, базирующийся в Люксембурге, принял решение, ставшее важным правовым прецедентом. Он позволил частным лицам требовать от поисковиков, чтобы те удаляли из результатов поиска ссылки на те статьи и документы, в которых упоминаются их имена. Как сказано в постановлении суда, "свободный доступ к такого рода информации может сильно повлиять на жизнь отдельных людей".

Вся эта история началась еще в 1998 году: тогда испанская газета La Vanguardia опубликовала объявление о том, что у некого Маро Костеха Гонсалса конфискуют недвижимость для покрытия долга. Но дело вскоре было улажено - обошлось без конфискации, так как Гонсалса выплатил долг. Прошло десять лет, и сеньор Маро Костеха, набрав в поисковике Google свои имя и фамилию, увидел то самое объявление о конфискации.

В 2009 году испанец направил в редакцию газеты протест, и дело вскоре дошло до Испанского агентства защиты информации. Оно приняло сторону Гонсалса, предписав Google удалить злополучную информацию. Юристы Google подали апелляцию, и в конце концов дело дошло до Европейского суда. Там не сразу определились с решением. В июне 2013-го суд постановил, что Google не обязан убирать информацию, которая может повредить частному лицу, - в случае, если она легальная. Однако после повторного рассмотрения дела (когда вместе с делом Гонсалеса в рамках процесса было рассмотрено еще 180 похожих исковых заявлений) неделе судьи приняли противоположное решение.

В приговоре четко сказано: "частные лица могут при определенных условиях требовать уничтожения ссылок на страницы, содержащие данные личного характера, обращаясь напрямую к владельцу сервера". Для конкретизации этих "особых условий" специально введено понятие устаревания информации, когда даже легальные данные становятся неадекватными, нерелевантными на текущий момент. Это названо "право быть забытым".

"Суд отмечает, что даже законная публикация данных с течением времени может стать неуместной, когда эти данные стали неадекватными, не имеющими отношения или более не имеющими отношения к делу, или чрезмерными в отношении целей, ради которых публиковались", - цитирует ZDNet вердикт Европейского суда.

Официальные лица Евросоюза одобрили это решение. Вивиан Рединг, комиссар ЕС по юстиции, фундаментальным правам и гражданству, написала на своей странице в Facebook: "Данные принадлежат личности, и если нет веского повода, чтобы их сохранять, человек должен иметь право по закону потребовать их удаления".

Понятно, что в Google смотрят на решение суда как Змей Горыныч на огнетушитель. Юристы интернет-гиганта утверждают, что требование убирать информацию с серверов - это цензура. По словам представителя поисковика, "решение Европейского суда оказалось разочаровывающим для интернет-поисковиков и для издателей в режиме онлайн". А в пресс-службе Google заявили, что корпорация в ближайшее время "обдумает" возможные последствия этого решения, а также, что поисковая система "не контролирует информацию, а лишь предоставляет ссылки к данным, уже существующим в Интернете".

Несложно догадаться, что сейчас на Google, Bing, Yahoo!, "Яндекс" и прочие поисковики обрушится просто лавина исков от людей, желающих "отредактировать" или вовсе убрать результаты поиска по их именам. Их заведомо можно разделить на две категории. Первая - обычные люди, боящиеся, что кто-то узнает об их проблемах или неблаговидных поступках в прошлом. Учитывать их требования придется любому поисковику, который не хочет быть заблокирован на территории ЕС - одного из богатейших интернет-рынков в мире. Возможно, теперь Google придется содержать целую армию модераторов в каждой из 28 стран Евросоюза. При этом четких критериев отбора справедливости запросов на удаление пока нет.

Вторая категория тех, кто наверняка захочет судиться с поисковиками - это публичные личности, желающие скрыть свое прошлое. Однако им придется сложнее, так как насчет них в решении суда сделана оговорка: "Ссылки на веб-страницы, содержащие информацию, должны быть удалены из списка результатов поиска, за исключением тех случаев, когда субъект информации играет роль в общественной жизни, и этим оправдан интерес публики к информации об этом субъекте".

И последнее. Весьма вероятно, что европейский опыт поспешат перенять (и даже расширить) и другие страны. Например, российская Лига безопасного интернета, участвовавшая в разработке закона о блокировке сайтов Рунета, уже заявила о поддержке решения Европейского суда. А уж в России, как и на всем постсоветском пространстве, предостаточно людей, желающих скрыть свое прошлое.

Виктор ДЕМИДОВ