oldi

Перемены на антивирусном фронте

Александр Прохоров

Не припомню, кому из мыслителей прошлого принадлежит весьма любопытная фраза: «Самая чистая форма радости – это злорадство». И действительно, ведь радуемся-то мы обычно по поводу — прибавили зарплату, заплатили премию, ну пусть не так меркантильно, пусть книжку хорошую прочитал — так все равно польза какая-никакая, а что, казалось бы, нам от того, что «у соседа корова сдохла» — вот уж и впрямь радость без всякой выгоды!

Короче, технический прогресс идет вперед, а главные человеческие пороки со времен Герострата изменились не сильно.

Видимо, все те же присущие человеку «чистая радость» и желание прославиться движут создателями вирусов, что, в свою очередь, питает индустрию антивирусного ПО, которое кормит тысячи программистов, заставляя людей покупать антивирусного софта на миллионы долларов. Как-то во время беседы о зловредных программах я услышал от Евгения Касперского такую фразу: «Кто-кто, а мы без работы не останемся!»

И действительно, больше всего новостей я как редактор журнала я получаю от двух отечественных компаний — «Лаборатория Касперского» и «ДиалогНаука».

При этом, как только возникает новая ниша ПО, так вскоре появляется и новый класс вирусов. Все согласно поговорке «Свято место пусто не бывает».

Многие пользователи, защищенные современными антивирусными средствами, даже не подозревают, сколько новой «заразы» еженедельно появляется в виртуальном пространстве.

В частности, недавно «Лаборатория Касперского» сообщила об обнаружении вируса W2K.Stream — нового поколения вредоносных программ для операционной системы Windows 2000. Данный вирус использует новый радикальный способ внедрения в файловую систему NTFS, основанный на применении метода замещения потоков (Stream Companion).

Вот как прокомментировал это событие руководитель антивирусных исследований компании Евгений Касперский: «Данный вирус, несомненно, открывает новую страницу в истории создания компьютерных вирусов»… «Технология внедрения в файлы при помощи замещения потоков делает процесс обнаружения и удаления вирусов исключительно сложным».

В отличие от существовавших ранее способов заражения файлов (добавление тела вируса в начало, в конец или в любое другое место тела программы) Stream использует возможность файловой системы NTFS (Windows NT/2000) поддерживать множественные потоки данных. Например, в файлах Windows 95/98 (FAT) внутренняя структура программы представлена лишь одним потоком – собственно ее телом. В Windows NT/2000 (NTFS) таких потоков может быть много: как независимых программных модулей, так и разнообразной дополнительной служебной информации (права доступа к файлу, отметки о шифрации, времени обработки и т.д.). Это придает файлу гибкость, позволяя пользователям создавать новые потоки данных для хранения дополнительных атрибутов файлов или целых программ.

Незадолго до сообщения о вирусе W2K.Stream пришло сообщение о массовой рассылке по электронной почте новой модификации троянской программы GrinCart.

Рассылаемые сообщения отправлялись от имени «Advertising» с адреса: advertising@www.cognitivedistortion.com и в качестве вложенного файла имели программу BLUE_DWARF.JPG.EXE, представляющую собой якобы замечательный рисунок для обоев рабочего стола. На самом деле файл представлял собой троянца Trojan.PSW.GrinCart.e из семейства вредоносных программ, которые воруют информацию для доступа в Интернет, находящуюся на зараженных компьютерах.

Это лишь отдельные примеры из массы сообщений такого плана. И слава богу, в нашем отечестве есть компании, которые заботятся о безопасности наших компьютеров. О последних достижениях в работе отечественных антивирусных компаний «Лаборатория Касперского» и «ДиалогНаука» мы попросили рассказать их представителей: технического директора «Лаборатории Касперского» Михаила Калиниченко и председателя совета директоров ЗАО «ДиалогНаука» Дмитрия Лозинского.

КомпьютерПресс: Недавно прошла выставка SofTool — стало уже традицией к этой выставке подводить итоги деятельности компании за год. Что у вас нового?

Михаил Калиниченко: Прежде всего компания успешно развивалась как в техническом, так и в организационном плане. При этом я хотел бы подчеркнуть, что организационное развитие не менее важно, чем техническое. К сожалению,  в нашей стране  многие компании уделяют этому недостаточное внимание. На мой взгляд, сейчас компания переходит на иной качественный этап своего развития, когда нас начинают рассматривать как реальных конкурентов не только на российском рынке, но и на мировом. В частности, подтверждением этого может  быть прошедшая в начале осени активная рекламная кампания основных производителей антивирусного программного обеспечения, которая была направлена исключительно против нас. Об этом писали и наши газеты, например «Известия».

КП: Какие новые продукты у вас появились?

М.К.: За последний год мы значительно расширили спектр продуктов. Сегодня мы способны предложить решения для большинства потенциальных клиентов и секторов рынка. Я бы выделил продукты для NetWare с интеграцией в NDS, семейство продуктов для Linux и UNIX, новую версию для Windows. Тем не менее мы не останавливаемся на достигнутом и в течение ближайших шести месяцев планируем выпуск ряда новых продуктов.

КП: Какие новые тенденции прослеживаются сегодня в развитии вирусов и антивирусов?

М.К.: Сейчас абсолютно четко происходит деление на профессиональные антивирусные продукты и программы для рядового пользователя. При этом если в первом случае критически важными становятся сервисные функции (возможность дистанционной инсталляции и управления, настройка на конкретную конфигурацию, поддержка различных операционных систем, масштабируемость и т.д.), то для рядового пользователя главное — простота использования.

КП: Какое место занимают антивирусы в офисной безопасности, главное — в структуре комплексной безопасности офиса?

М.К.: Это очень обширная тема, заслуживающая отдельного разговора. Кратко можно перечислить следующие основные принципы:

  1. Должно быть четкое разграничение задач и доступа различных пользователей (групп пользователей) в Сети. Так, лучше иметь выделенную директорию для обмена данными между всеми пользователями сети или использовать для этого внутренний почтовый сервер компании.
  2. Непременное условие — наличие на сервере хорошей антивирусной программы, желательно, резидентной. (При этом не рекомендуется использовать бета- и триал-версии программ — это может привести к печальным последствиям.)
  3. Регулярное (не реже одного раза в неделю, а для общей директории — ежедневное) тестирование всего сервера на наличие вирусов всех типов с максимально возможными настройками.
  4. Ограничение количества дисководов и внешних устройств ввода данных также очень хорошо помогает в борьбе с проникновением вирусов. Большинству сотрудников обычно не обязательно иметь дисковод, а данные они могут получить с сервера.
  5. Полезно завести отдельный компьютер (не в сети) для того, чтобы первоначально запускать на нем новое, непроверенное программное обеспечение. Этот же компьютер можно использовать для тестирования антивирусных средств.
  6. Компьютер (компьютеры), связанный с внешним миром через модемы или выделенные каналы, должен проверяться особенно тщательно и, главное, перед тем, как файлы, скачанные из Интернета, попадут в локальную сеть. При этом крайне желательна установка специального программного обеспечения (Firewall), проверяющего внешний сетевой трафик как на наличие вирусов, так и на предмет попыток несанкционированного проникновения.

КП: О чем говорят последние рейтинги?

М.К.: К сожалению, продукты становятся все более сложными и привычки людей, занимающихся тестированием, начинают играть все более серьезную роль. Мне кажется, что более точной оценкой качества работы компании является внимание конкурентов. А вот с этим у нас лучше, чем хотелось бы.

КП: Каковы финансовые результаты?

О других компаниях я говорить не могу, но мы уже второй год подряд увеличиваем годовые объемы продаж более чем в два раза.

Мы можем оценивать наше положение на рынке только по косвенным признакам, так как реальной статистики нет. На наш взгляд, мы занимаем примерно 50-60% российского рынка. Из западных конкурентов следует отметить Symantec, который заметно активизировался. Сейчас некоторым клиентам кажется, что использование программ мировых лидеров уменьшит их проблемы. Я считаю, что это неверно. Любые программы любых компаний имеют ошибки, просто до тех пор, пока программами не пользуются, считается, что их нет. А вот близость службы поддержки производителя недооценивать не стоит.

Примерно те же вопросы мы задали Дмитрию Николаевичу Лозинскому, председателю совета директоров ЗАО «ДиалогНаука».

КП: Почти год назад, после SofTool’99, мы провели и опубликовали большое интервью с Сергеем Антимоновым. Что изменилось в компании с тех пор?

Дмитрий Лозинский: В принципе, в компании ничего существенного не произошло. Мы ведь достаточно «старая» и стабильная компания, и необходимости в существенных изменениях пока не ощущаем. Конечно, изменились некоторые внутренние приоритеты, мы значительно больше внимания (чем раньше, а не по сравнению с другими продуктами) стали уделять семейству программ Doctor Web.

КП: Какие новые продукты у вас появились?

Д.Л.: Это, как говорится, «вопрос определения» — что считать новыми продуктами. Мы расширили список платформ, на которых работают наши программы, и полностью закрыли весь спектр Windows-платформ. В семействе Doctor Web прибавление — появились модуль обновления вирусных баз и планировщик заданий. Но это, на наш взгляд, текущие разработки в рамках существующих проектов. На самом деле принципиально новая разработка одна — SpIDer для Windows NT/2000. Но конечные пользователи вполне могли ее и не заметить — сам-то SpIDer существует давно, и то, что он теперь работает на других платформах, для пользователей — факт естественный и ожидаемый. И то, что работает, по сути дела, другая программа, их волнует мало. Но мы не обижаемся.

КП: Какие тенденции, на ваш взгляд, прослеживаются сегодня в развитии вирусов и антивирусов?

Д.Л.: Начнем, пожалуй, с вирусов. Макрокомандные вирусы, хоть и занимают значительную долю «рынка», постепенно уступают (можно считать, что уступили) свои позиции script-вирусам. По нашим прогнозам, такая тенденция сохранится. А вообще, основная тенденция одна — вирусов становится больше.

Антивирусные средства традиционно считаются «догоняющими» (хотя это верно лишь отчасти — мы, например, знаем довольно много источников потенциальной опасности, но пока не создано реальных вирусов, использующих ту или иную технологию или среду, держим свои соображения при себе).

Об общих тенденциях в развитии антивирусных средств говорить и легко, и трудно. Легко, потому что все ведущие производители стремятся: a) закрыть максимально возможное количество платформ (в идеале — все); б) упростить для конечного пользователя работу с антивирусной программой (сделать интерфейс максимально удобным и прозрачным, повысить производительность, читай — скорость работы); в) предоставить пользователю не просто конечный продукт-программу, но и комплекс дополнительных услуг (обновления вирусных баз таковыми, конечно, не являются, но ведь есть еще и информационная составляющая, техническая поддержка и пр.). Трудно говорить об общих тенденциях по той же причине: все хорошо понимают, что и как надо делать (и делают), поэтому ничего нового здесь не откроешь. Ну и, конечно, кое-что мы придерживаем, приберегаем для себя. Надеемся, наши пользователи узнают об этом раньше конкурентов.

КП: Существует два подхода: «максимально тщательно следить, как бы не заразиться» и «ни в чем себе не отказывай, ходи на любые сайты, главное — вовремя ввести противоядие». Где золотая середина?

Д.Л.: Ну уж точно не посередине. Посередине — вообще непонятно какая политика. Современные антивирусные средства (в том числе и наши) устроены так, чтобы не вынуждать пользователя самостоятельно искать эту «середину». Они сами «тщательно следят, как бы не заразиться» (у нас этим занимаются SpIDer Guard и ADinf) и вовремя предлагают «противоядие» (Doctor Web).

КП: О чем говорят последние рейтинги?

Д.Л.: О том, что Doctor Web — один из лучших в мире антивирусных сканеров. Только за этот год он дважды получал самую престижную награду — VB100%, присуждаемую авторитетным международным журналом Virus Bulletin по результатам тестирования. Но одними наградами дело не ограничилось — дважды (последний раз в сентябре) Doctor Web показывал абсолютно лучший результат по совокупному показателю, рассчитанному на основе всех тестов. К сожалению, это нельзя точно передать словами. Лучше бы опубликовать, например, таблицу сентябрьского тестирования — и всем бы все стало ясно. Кроме того, по результатам тех же самых тестов, существенно улучшены и другие характеристики программы (в частности, скорость работы); по этому показателю мы также выходим в лидеры.

КП: Что показывают финансовые результаты? В прошлом году вы говорили, что кризис полностью не преодолен, что оборот упал почти втрое…

Д.Л.: Мы существенно улучшили свои финансовые показатели (рост доходов составил около 30%), хотя и не вышли пока на докризисный уровень. Но думаем, что теперь это вопрос времени.

КП: А как конкуренты? Как поделен рынок сегодня, как ведут себя западные конкуренты?

Д.Л.: Как конкуренты? Думаем (и видим), что хорошо. И, в принципе, мы этому рады, хотя и далее намерены конкурировать максимально жестко по всем направлениям. Уже сейчас мы вернули себе ряд утраченных некоторое время назад позиций и останавливаться не собираемся. Западные конкуренты на росийском рынке ведут себя не слишком активно (пиратское использование их продуктов не в счет — не думаем, что они сами этому рады).

КП: Какие самые главные события произошли в жизни «ДиалогНауки» в 2000 году?

Д.Л.: В феврале и сентябре отечественный антивирус Doctor Web дважды становился лучшим в мире в тестах авторитетного международного журнала Virus Bulletin. В январе и августе сканер Doctor Web, сторож SpIDer Guard и ревизор ADinf получили уникальные сертификаты Министерства обороны России. В сентябре «ДиалогНаука» подписала первый контракт с зарубежной фирмой о лицензировании «двигателя» (engine) программы Doctor Web (более подробная информация об этой сделке будет дана в одном из наших ближайших пресс-релизов).

КомпьютерПресс 11'2000