ПО особого назначения

Уже немало лет по рынку ходят слухи о том, что вредоносное ПО заказывают не только преступники, но и спецслужбы, а антивирусные компании в любой стране ходят «под погонами» своей родины. Но если об успехах той или иной страны на фронтах кибервойны мы можем только догадываться, то судить о заботе государства о безопасности граждан в киберпространстве может каждый, туда входящий: глядеть надо в оба и не верить никому, потому что мошенники поджидают нас за каждым углом. Близко ли то время, когда безопасный виртуал станет задачей государевых слуг, а не коммерческих компаний? Об этом «Итоги» расспросили Андрея Вышлова, главу российского офиса американской компании Symantec.

— Андрей, специалисты в сфере информбезопасности пугают пользователей Интернета масштабом угроз, которые таит в себе Всемирная сеть. Говорят, подцепить вирус можно даже во вполне легальном интернет-магазине приложений. Это так?

— Сегодня можно подцепить что угодно и где угодно. К примеру, до недавнего времени в официальном каталоге Google Play можно было найти две популярные игры: Super Mario Bros. и GTA 3 Moscow City. Так вот, мы выяснили, что вместе с ними на устройства пользователей загружался зловредный элемент, который отправлял SMS на платные номера без ведома их обладателей. Ему удалось обмануть контроль службы безопасности Google, благодаря чему это ПО установили на свои компьютеры не менее 50 тысяч пользователей. Хитрость была всего лишь в том, что этот вредоносный код делился на две части. Первая, безобидная на вид, была спрятана в игру. А вторая часть, которая и отправляла SMS, загружалась уже после установки на устройство. И это только один из примеров.

Скажу больше, угрозы становятся все более направленными, создаваемыми под конкретный объект поражения. Технологии сегодня таковы, что возможна генерация именно вашей версии вируса. И только вашей. Этакий «кастомизированный» вирус. Если раньше новое вредоносное ПО достаточно быстро попадало в антивирусную лабораторию, где его препарировали и готовили противоядие, то теперь ваш собственный вирус лежит себе на компьютере и никуда оттуда не уходит. Следовательно, в лабораторию так быстро, как раньше, уже не попадет и отловить его традиционными методами очень трудно.

— Чем отличается мой «кастомизированный» вирус от зловредного ПО «общего назначения»?

— Специалисты относят такие угрозы к классу Advanced Persistent Threat (АPT), что означает: вредоносное ПО находится в вашем компьютере долгое время, изучает вашу инфраструктуру, ищет программное обеспечение с незакрытыми уязвимостями, собирает информацию из заданных источников, по мере необходимости загружает с командного сервера дополнительные модули для шпионажа или осуществления каких-либо действий.

— То есть антивирусный пакет, даже лицензионный, уже не гарантирует «чистоты» компьютера пользователя?

— Нет, не так. Для таких вирусов используются другие методы борьбы, в частности репутационное сканирование. Например, наше антивирусное ПО, сканируя компьютер, сверяется с постоянно обновляемой базой всех запускаемых файлов в мире.

— Вообще всех-всех?

— Вообще всех. Любых. Как хороших, так и плохих. Когда мы проверяем, что за файл пытается загрузиться на ваш компьютер, мы не лезем в его нутро, а анализируем по базе, запускался ли он уже где-либо, и если запускался, то насколько часто и в связи с чем. Если это, например, исполняемый код Microsoft Word, то высока вероятность того, что он постоянно исполняется на разных компьютерах во всем мире. А если это приложение, которое до этого никто никогда в мире не запускал, это будет сигналом, что дело нечисто.

— Правы, видимо, те специалисты, которые говорят, что пользователь и не подозревает, какая бурная жизнь кипит на его компьютере. Некая программа изучает его, чтобы создать вредоносное ПО. Другая ищет документы к готовящемуся контракту. Еще одна — электронные письма в интересах политических противников... Как ведут себя эти программы при встрече с себе подобными на компьютере пользователя?

— Вы имеете в виду классическую ситуацию: Штирлиц идет по коридору и встречает Бормана? Не думаю, что об этих вирусах можно написать шпионский роман. По крайней мере, сегодня. По сути, есть всего два способа проникнуть извне в ваш компьютер. Первый — использовать какие-нибудь уязвимости, то есть ошибки тех, кто разрабатывает программы для этого устройства. С этим борется защитное ПО, которое нужно установить и регулярно обновлять. Второй — разрешение владельца. Вирус в явном виде задает вопрос «Можно загрузиться?», а вы по собственной глупости отвечаете на него положительно.

— Если таких глупых в Интернете огромное количество, может быть, дело не в скудоумии пользователей, а что-то надо поправить в «консерватории»?

— Назовите это социальной ответственностью, смысл от этого не меняется. Вот, говорят, какие у нас безответственные мобильные операторы: человек сообщил мошенникам свой номер мобильного телефона, у него деньги со счета списывают, а операторы не принимают решительных мер. Но, помилуйте, в цифровом мире номер мобильника — это доступ к вашей конфиденциальной информации. Сообщить его кому-то в Интернете — это примерно так же, как если бы вас остановили на улице и попросили написать паспортные данные. И это ощущение опасности — как сегодня боязнь потерять паспорт — должно сидеть в подсознании.

— Иными словами, стопроцентной гарантии, что ничего недоброго не случится, не дает сегодня ни один производитель средств информационной защиты?

— У нас есть средства, на которые мы даем гарантию. Это довольно дорогие инструменты корпоративного уровня: если защитное ПО пропускает угрозу, компания пользуется нашими услугами бесплатно в течение определенного периода времени.

— А частный пользователь, получается, ведет неравный бой с мощным и хорошо организованным преступным бизнесом, на который работают классные математики и специалисты по социальной инженерии. Не кажется ли вам, что налицо некоторое поражение в правах человека по сравнению с офлайном, где государства заявляют о том, что безопасность граждан является их зоной ответственности?

— Не совсем так. Государство ловит хулиганов, пристающих к прохожим, и на реальных, и на виртуальных улицах. Просто на офлайновых улицах мест, куда можно ходить, больше, чем тех, куда нельзя. В онлайновом мире пока несколько по-другому. Но и угрозы разные. В реале вы можете потерять жизнь, а в виртуале некоторое количество денег или информацию, но с вашим здоровьем, слава богу, все будет хорошо. Пока. К сожалению, мы уже стоим на пороге таких компьютерных преступлений, которые будут иметь гораздо большее влияние на действительность, чем кража информации или денег.

— Это вы про Stuxnet, Flamer или последнюю находку по «фамилии» Gauss, которую также отнесли к разряду кибероружия, произведенного государством?

— Про них точно неизвестно, кто их создал и с какой целью...

— Как же! Газета Washington Post сообщила, а Интернет растиражировал: Flamer — это продукт спецслужб США и Израиля, направленный против исламского государства-изгоя.

— Я в работе домыслы не использую, предпочитаю основываться на официальной информации. Это может быть и промышленный шпионаж. Вирус Flamer написан же для обычных компьютеров с целью снятия данных с видеокамер, микрофонов и так далее, то есть в чистом виде для сбора информации. Где могут стоять такие компьютеры? Везде. Поэтому ограничивать зону действия Flamer только политическим госзаказом не совсем корректно, на мой взгляд.

— Говорят, что по объему вложенных ресурсов потянуть его способно только государство...

— Я считаю, что на уровне частного коммерческого шпионажа это тоже вполне могло быть реализовано. Думаю, государственный след появился в этой истории потому, что цели вируса не очень понятны. Если бы он обнаружился на каком-нибудь авиазаводе, то сразу бы закричали: «Это происки конкурентов!» А почему он оказался там, где оказался, то есть в госорганизации, а не на авиазаводе? Потому что распространялся по неизвестному алгоритму и попал туда, где была дырка в ПО. Как говорится, вор грабит квартиру, в которой открыта форточка. Если это оказалась квартира генпрокурора, будет шум, а если булочника — никто об этом не узнает.

— Иными словами, Flamer — это, может быть, не диверсия, а шпионаж, и вовсе не в атомной отрасли и не по заказу государства?

— Может быть. Другое дело, что логика развития событий такова: если для создания такой угрозы необходимы мощности государства, то и для разработки защиты от этой угрозы они тоже необходимы.

— Это уже актуальная задача?

— Думаю, пока нет. Слава богу, мы еще не находимся в реальном состоянии кибервойны. Но движение в эту сторону явно присутствует. Об этом можно судить по многим знакам. Например, мы у себя проводим учебные кибервойны — такой тренинг для специалистов, наши российские коллеги регулярно проводят форум Positive Hack Days, и везде в качестве гостей приходят представители спецслужб. На российском рынке появляется все больше компаний, работающих в сегменте безопасности как отечественных, так и международных игроков. И это объяснимо: маховик практически неуловимых вирусов последних поколений, взламывающих системы, изымающих секретные данные и прослушивающих разговоры через Bluetooth, раскручивается с такой силой, что уже приобретает широкую политическую огласку.

Если так пойдет дальше, в скором времени руководствам, по крайней мере, некоторых стран ничего не останется, кроме как принимать самые серьезные меры обороны. Как следствие, это может привести к огосударствлению компаний, занимающихся информационной безопасностью. В частности, выпускающих защитное ПО от интернет-атак. Уже сегодня стратегия некоторых из них, например, связана с тем, что они уходят от публичности, не выходят на IPO. Возможно, это связано с тем, что они вовлечены в обеспечение безопасности отдельных стран на уровне правительств. Такое поведение коммерческих компаний на рынке становится трендом последнего времени. И тот факт, что компании не публикуют отчетность, ведут себя скрытно и не делятся информацией, может оказаться совершенно не связанным с бизнес-стратегией.

— Когда произойдет предсказанное вами сращивание государства с разработчиками средств тотальной защиты в Интернете?

— Надеюсь, раньше, чем произойдет что-то действительно устрашающее. Думаю, что чем серьезнее будут угрозы, тем более адекватно станут на них реагировать соответствующие госслужбы. Конечно, это один из возможных сценариев развития ситуации. Но, думаю, он близок к реальности, потому что человечеству оказалась не по плечу огромная свобода Интернета и виртуальное пространство развивается в сторону все более жесткого регулирования со стороны государств.

Интернет — это гипертрофированное отражение нашей жизни. Это, кстати, идея Сергея Лукьяненко. Есть у него книжка «Лабиринт отражений», которую я очень люблю. Написана она давно, в середине 90-х, но меня поражает, насколько точно там предсказано, как сегодня вся наша жизнь «переезжает» в Интернет. В центре повествования — некое технологическое изобретение, которое позволяет погрузить людей в виртуальную реальность. Она называется глубиной, и люди в нее «ныряют». Так вот, глубина стала отражением общества, естественно, гипертрофированным — в частности, с безумной повернутостью на сексе и всем, что с ним связано. И со временем в ней начинает появляться все, что есть в реальном мире: всевозможные виды полиции, службы безопасности и так далее.

— И чем все заканчивается?

— Книжка заканчивается тем, что в системе глубины зарождается процесс самоорганизации. Думаю, тот момент, когда в Интернете начнется стихийное образование новых организационных сущностей, еще далек. Хотя было бы прикольно на это посмотреть.

Вирусология

Ученые Вишват Мохэн и Кевин Хэмлен из Техасского университета в Далласе продемонстрировали на одной из научных конференций по компьютерной тематике в начале августа прототип вируса, который сам собирает себя из фрагментов ПО, установленного на компьютере жертвы. Изюминка предложенного подхода — в модульной конструкции вируса.

Дело в том, что современные приложения, устанавливаемые на компьютерах пользователей, скажем, интернет-браузер, «Блокнот» или программа-калькулятор, строятся из программных «кирпичиков», то есть маленьких фрагментов исходного кода, каждый из которых выполняет конкретную узкую задачу (авторы прототипа называют их гаджетами). Например, типичная Windows-программа содержит около 100 тысяч таких «кирпичиков». Оказалось, что из этого «строительного материала» можно сконструировать программу, которая будет выполнять функции вируса. Авторы прототипа назвали свою концептуальную разработку Frankenstein и показали, что сборка тела вируса производится в соответствии с заданными инструкциями на каждом зараженном компьютере, причем используются для этого гаджеты именно этого компьютера. В результате вновь созданную вредоносную программу практически невозможно обнаружить традиционными антивирусными средствами, поскольку исполняемого «инфильтрата» там нет в принципе.

Комментарии

2012-09-29 13:34:02 — Зоя Пуденко Николаевна

О-о-о-о-о==а как быть Новичку== который ничего смыслит в этом деле===его Ошибки также являются причиной Вируса и слива его же информации==если ДА- то как БЫТЬ?????

---

Оставить комментарий

Ваш комментарий будет опубликован после модерации.