Интернет и связанные с ним угрозы. Взгляд эксперта

В последние годы Интернет используется практически во всех сферах человеческой деятельности, и сегодня многие уже не мыслят своего существования без постоянного его применения. Сейчас Интернет стал массово потребляемым продуктом, а потому привлекает внимание не только инвесторов, но и представителей различного рода криминальных структур. О том, какие угрозы подстерегают корпоративных и домашних пользователей Интернета, в своем интервью, данном ответственному редактору журнала Наталии Елмановой, рассказывает Дэвид Перри, директор всемирной службы просвещения корпорации Trend Micro — одного из ведущих производителей средств защиты данных и обеспечения информационной безопасности. Г-н Перри является признанным экспертом в области борьбы с вредоносным кодом — он начинал свою карьеру в службе технической поддержки компании Peter Norton Computing (ныне Symantec), а затем работал в корпорациях McAfee и в Cybermedia.

КомпьютерПресс: Какие, на ваш взгляд, опасности, связанные с массовым применением Интернет-технологий, грозят сегодня корпоративным и домашним пользователям?

Дэвид Перри: Если еще год назад мы говорили о вирусах и червях, то сегодня наиболее серьезная угроза безопасности и самая актуальная проблема, с которой приходится иметь дело, — это так называемые боты (бот — сокращение от «робот»), то есть программы, которые внедряются на ваш компьютер с помощью вирусов или иным путем. Оказавшись там, они позволяют осуществлять удаленное управление вашим компьютером и используются для его «зомбирования» или для осуществления DoS-атак (Denial of Service, то есть отказ в обслуживании, — разновидность атаки, заключающаяся в направлении на атакуемую систему избыточного числа запросов, заведомо превышающего ее пропускную способность, и в использовании побочных эффектов, возникающих в этой ситуации), для рассылки спама с его помощью или даже для таких целей, как кража паролей. Сегодня в мире присутствует много миллионов ботов: согласно оценкам экспертов, более 80% компьютеров в мире — носители ботов. Хотя бот, внедренный на компьютер, может ничего не делать в настоящий момент, но содержащий его компьютер уже захвачен и может быть впоследствии использован для какой-либо преступной цели. В этом, на мой взгляд, и заключается самая большая на сегодняшний день угроза для пользователей и компаний.

 

Дэвид Перри

Дэвид Перри

Компании, специализирующиеся на информационной безопасности, делают все возможное, чтобы повысить эффективность обнаружения ботов. Но для этого нужно понимать, как устроен и действует каждый бот. Например, будучи внедренным на компьютер, бот может постоянно проверять какой-нибудь канал IRC, ожидая инструкций, которые могут заставить его сделать все что угодно. Боты могут быть организованы в сеть, некоторые из них могут присутствовать на миллионах компьютеров, некоторые — на нескольких десятках компьютеров, то есть они могут быть практически везде. Существуют и собиратели сведений о компьютерах, полученных с помощью ботов. Они продают свою информацию разного рода криминальным лицам  — спамерам, распространителям порнографии, похитителям номеров кредитных карт, и это очень серьезная проблема.

КП: Какие проблемы, связанные с обеспечением информационной безопасности, ожидают, на ваш взгляд, руководителей информационных служб (Chief Information Officer, CIO) в ближайшем будущем?

Д.П. В числе серьезных угроз безопасности, которые могут стать актуальными в ближайшее время, я бы назвал фишинг (phishing) и фарминг (pharming). Фишинг — это принуждение пользователя сообщить какие-то секретные сведения о себе. Типичный пример фишинга — рассылка якобы от имени банка писем его клиентам с просьбой сообщить пароль для доступа к счету. Обычно, получив такое письмо, добросовестный американский пользователь отвечает на него, не подумав о том, что банки не забывают пароли клиентов. Впрочем, насколько мне известно, россияне, прежде чем ответить, обычно задумываются, а от кого же на самом деле это письмо?

Кроме того, сегодня рассылается огромное количество спама, содержащего подобные предложения.

В отличие от фишинга, фарминг основан не на рассылке писем, а на создании поддельных сайтов с целью перенаправления на них реальных запросов пользователей. Пользователь обращается на сайт своего банка, а фармер подменяет данные о нем на DNS-сервере. В итоге вместо страницы банка пользователь попадает на поддельную страницу такого же внешнего вида, как и оригинальная, но выполняющую иные функции. Этот тип атаки очень сложно опознать, ведь адрес подменен на DNS-сервере, находящемся за пределами вашего компьютера и сети. Хотя атака на DNS-сервер — непростая задача, это, тем не менее, происходит. К счастью, все DNS-серверы обновляют свои данные раз в день, поэтому выгоды от такой атаки можно получать не дольше чем в течение суток, либо потребуется ее повторить.

Пока фарминг не настолько распространен, но мы ожидаем, что в ближайшем будущем он может стать серьезной угрозой. При этом мы не можем дать оценку потенциальным масштабам этой угрозы, поскольку ни банки, ни компании, выпускающие кредитные карты, не сообщают сведений о количестве таких случаев и о нанесенном ими ущербе. Не исключено, что это могут быть миллиарды долларов.

Хотя сегодня много говорят о новых угрозах, все хорошо известные проблемы, такие как вирусы, по-прежнему существуют, и не стоит забывать о защите от них каждый день.

КП: Как быстро реагируют на вновь появляющиеся угрозы производители ПО для защиты данных, в частности компания Tremd Micro?

Д.П. Мы в Trend Micro после атаки Nimda в 2001 году пересмотрели всю стратегию борьбы с вредоносным кодом. Реорганизация стратегии нашей компании заключалась в изменении представления о защите от вредоносного кода — теперь эта область рассматривается не как набор продуктов, а как система услуг. И одной из таких услуг является помощь пользователям в защите от очередной угрозы уже через 15 минут после ее появления за счет применения специально разработанной политики защиты.

Мы обнаружили, что обычно вирусы воспринимаются как явление, обладающее жизненным циклом. Вирус появляется, действует какое-то время, а потом его активность снижается и он постепенно исчезает. Но когда инфекция активна и есть антивирусное решение, его все равно нельзя применить ко всему Интернету, а потому защита от вируса необходима. Очевидно, что в момент появления вируса вылечиться от него возможности нет, потому что неизвестно, что именно он собой представляет, но можно попытаться от него защититься, применив соответствующую политику. Поэтому, как только мы получаем вирус или от клиента, или от исследователей, или от конкурентов, мы начинаем его тестировать, чтобы понять, какую угрозу он собой представляет и как себя ведет. Обычно нужен час, чтобы полностью представить картину его поведения. Однако понять, как вирус распространяется, можно и раньше. Если мы знаем, что вирус приходит с конкретного адреса электронной почты, мы советуем блокировать все письма с этого адреса. Если мы знаем, что этот вирус использует для своего распространения конкретный порт, мы предлагаем закрыть данный порт с помощью брандмауэра. Если этот вирус может выполнять вредоносные действия только на операционных системах, на которых не установлено конкретное обновление, мы предлагаем это обновление установить. И так далее...

Таким образом мы можем защитить сеть от вируса или от иной угрозы еще до того, как выпустим средство ее устранения. И мы стараемся реализовать эту защиту способом, который наиболее удобен для системных администраторов. В результате пользователи, применившие разработанную нами политику, не будут атакованы этим вирусом или червем. Предоставление клиентам политик защиты при появлении новых угроз — услуга, носящая название Outbreak Prevention Service

Но политика — это временная мера. Само же средство устранения вируса или червя мы гарантированно предоставим через два часа после его появления, и сейчас мы единственная компания, которая предоставляет такую гарантию: ни MсAfee, ни Symantec ее не дают. Эту гарантию можно приобрести на условиях Service Level Agreement, то есть, если мы не соблюдаем условия гарантии, мы должны выплачивать штрафы. Услуга предоставления гарантированного средства устранения вируса или червя носит название Virus Respond Service (час или два гарантии). А после этого системному администратору потребуются файлы с сигнатурой вируса, чтобы найти и устранить вирус на всех компьютерах сети. Мы используем их во всех наших продуктах, на всех брандмауэрах, на файловых и почтовых серверах, на десктопах, на мобильных устройствах. Такая услуга, требующаяся в конце жизненного цикла вируса, именуется Damage Control Service. Именно на этом этапе все компании тратят наибольшее количество денег, но самая затратная составляющая в борьбе с вирусами — не покупка антивирусного ПО, а очистка абсолютно всех компьютеров от вирусов. Чтобы облегчить работу системных администраторов, мы рассылаем средства защиты на все компьютеры сети с помощью агента Damagre Control Agent. Данная процедура легко контролируется, а протоколируется и управляется она из единого центра на сервере. Если в сети есть аппаратные брандмауэры, например Cisco или PIX, мы можем общаться непосредственно с ними и заблокировать адреса электронной почты, с которых приходит вирус, или просканировать письма на почтовых серверах разных производителей.

Другая часть проблемы — это аппаратно-программные комплексы, обслуживающие сети из нескольких тысяч компьютеров и занимающиеся сканированием. Если они обнаруживают, что, к примеру, антивирусная база на сервере устарела, то доступ к серверу закрывается до тех пор, пока не будет получено необходимое обновление.

КП: Таким образом, пользователи будут вынуждены применять указанные политики?

Д.П.: Безусловно. Но делается это под контролем системного администратора. Банки, финансовые компании, военные ведомства, киностудии  — у всех есть свои секреты, которые нужно охранять, хотя политики могут быть достаточно гибкими — в связи с этим хочу отметить, что вопросы безопасности — это вопросы не только технические, но и психологические.

В целом мы ставим своей целью сделать распространение и обновление ПО для защиты данных незаметным для пользователей, да и многие системные администраторы предпочитают держать пользователей в неведении относительно проблем безопасности и их устранения, поскольку за безопасность корпоративных компьютеров отвечает именно системный администратор. Если же пользователь после работы сядет за домашний компьютер, то тут он уже не должен пребывать в неведении, поскольку он сам отвечает за безопасность этого компьютера.

Кроме того, мы не можем рассчитывать на то, что старшее поколение пользователей будет достаточно образованно в вопросах безопасности. Какой наиболее распространенный пароль, как вы думаете? Правильно, «password». А также имя жены, кличка собаки... Невозможно объяснить всем пользователям, что нельзя иметь такой пароль или что не следует посещать порносайты, поскольку они источник вредоносного ПО, а следовательно, и реального ущерба.

Это так же сложно, как убедить их в том, что большая часть денег в мире — это просто числа в компьютерах, а вовсе не реальные купюры и монеты. Пользователи просто не сопоставляют компьютеры и реальную жизнь и не переносят в реальную жизнь опыт, приобретенный за компьютером. Возможно, следующее поколение пользователей изначально привыкнет к правилам безопасности, к паролям, к электронным паспортам.

Наш мир — это мир пользователей. Даже в большой компании мы имеем дело с домашними пользователями: у работников есть дома компьютеры и Интернет, и все чаще — быстрый Интернет. В мире существует много задач, которые решаются с помощью скоростного Интернета.

КП: Довольно часто в корпоративных сетях ограничения, связанные с безопасностью, таковы, что нормальное выполнение пользователями своих служебных обязанностей становится практически невозможным. Мне приходилось наблюдать случаи, когда из-за ограничений безопасности копирование файла с компьютера на компьютер потребовало участия пяти сотрудников и тридцати минут, равно как и случаи, когда для запуска приложения требовалось ввести пять паролей. Системные администраторы любят перестраховываться и запрещать почти все. Однако пользователи зачастую нарушают правила безопасности, например сообщают друг другу пароли, чтобы выполнять свои обязанности. Есть ли проверенный способ облегчения жизни таким пользователям?

Д.П.: Да, людям нужно много свободы, чтобы просто работать. И прямая обязанность руководителя информационной службы — обеспечить необходимый уровень безопасности, сохранив при этом удобство применения системы, приемлемое для пользователей.

Конечно, это проблема не только его, но и самих пользователей. Антивирусы, антиспамовое ПО, анти-SpyWare, антифишинговое ПО — сложные продукты, но пользователь не должен этого замечать. Мы приняли за правило, что типичный пользователь — тот, который ничего не читает и не изучает, а просто жмет на клавиши, устанавливая продукт. И мы должны обеспечить таким пользователям уровень надлежащей безопасности, который, как мы считаем, их устроит.

Приведу простой пример. Вы имели дело с брандмауэром Zone Alarm?

КП: Конечно.

Д.П.: А что, по-вашему, должен делать пользователь Zone Alarm, когда он получает сообщение о том, что какая-то неизвестная ему библиотека хочет получить доступ в Интернет? Откуда ему знать, что именно делать? И когда такой брандмауэр надоест ему со своими дурацкими вопросами, он его просто отключит. Поэтому наши продукты позволяют осуществлять любые сколь угодно тонкие настройки, но при этом имеют набор настроек по умолчанию для всех известных продуктов и типичных случаев.

Я тружусь в антивирусной индустрии все полтора десятка лет ее существования. Я работал с Питером Нортоном, в компаниях McAfee и Cybermedia и с уверенностью могу сказать, что Trend Micro выпускает наилучшие в плане удобства применения продукты. Их используют Конгресс США, ЦРУ, компании «Боинг», «Крайслер», «Тойота». На личных рабочих станциях у сотрудников этих компаний могут применяться продукты других производителей, в основном Symantec, а в корпоративных сетях они применяют решения от Trend Micro.

КП: Каковы, по вашему мнению, самые распространенные ошибки, совершаемые системными администраторами и CIO при организации защиты корпоративных информационных ресурсов от вредоносного ПО?

Д.П.: Самая типичная ошибка системного администратора или даже руководителя информационной службы — это ложная уверенность в собственных знаниях, в том, что нужно и чего не нужно делать. Производители средств защиты и операционных систем тратят миллионы долларов на исследования новых угроз и на основе полученных знаний выпускают обновления своих продуктов. Системный администратор, не устанавливающий эти обновления, считает, что он самый умный, но это заблуждение подчас обходится компании недешево.

КП: Какие типы компаний являются основными потребителями ваших продуктов и услуг в нашей стране?

Д.П. В основном это крупные и средние предприятия. Однако в последнее время мы стали обращать внимание и на предприятия малого бизнеса  — именно эта категория предприятий сейчас активно развивается в вашей стране. Сегодня все новые продукты и услуги Trend Micro, появляющиеся за рубежом, практически одновременно становятся доступными в России, а для клиентских частей корпоративных продуктов уже имеются русские версии.

КП: Большое спасибо за интересную беседу. Мы желаем вашей компании успехов на российском рынке.

КомпьютерПресс 10'2005


Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует