Угрозы информационной безопасности глазами экспертов

Алексей Доля

Вирусы, сетевые атаки, спам и другие угрозы информационной безопасности становятся все более серьезными. В сферу интересов преступников попадают новые платформы, сервисы и технологии. В результате понести серьезный финансовый убыток может не только крупная компания, но и любой домашний пользователь. О новых угрозах и тенденциях в сфере информационной безопасности нам рассказали Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского», и Александр Гостев, ведущий антивирусный аналитик «Лаборатории Касперского».

КомпьютерПресс: Какие новые вирусные угрозы вы можете выделить?

Евгений Касперский: Если говорить о совершенно новых вредоносных программах, то их, на самом деле, не так уж и много. Я бы даже сказал, что есть антивирусная индустрия, а есть вирусная индустрия, которая сейчас стабилизируется. То есть те незаконные методы, которыми злоумышленники научились добывать деньги, сейчас находятся в стадии «полировки».

 

Евгений Касперский

Евгений Касперский,
руководитель антивирусных исследований
«Лаборатории Касперского»

Александр Гостев: Из действительно новых угроз за этот год, наверное, можно вспомнить только вирус-шантажист GPCode, да и тот, по большому счету, был нам известен еще с декабря 2004 года.

 

Александр Гостев

Александр Гостев,
ведущий антивирусный аналитик
«Лаборатории Касперского»

Е.К.: Да, я не принимаю во внимание различные хулиганские вирусы, которые требуют, например, нажать одиннадцать клавиш…

А.Г.: …десятью пальцами…

Е.К.: …для того, чтобы вирус не отформатировал жесткий диск. Так вот, качественных скачков в вирусной индустрии не произошло, скорее имеет место скачок количественный. Это говорит о том, что все больше людей вовлекается в преступную деятельность посредством клавиатуры.

А.Г.: Зато атак типа распределенных, например отказ в обслуживании (DDoS), стало меньше.

Е.К.: Да, верно. DDoS-атак стало меньше, потому что, во-первых, выкуп, который обычно просят злоумышленники за прекращение атаки, легко отследить (несколько раз хакеров выслеживали и арестовывали спецслужбы, состоялся ряд громких процессов), а во-вторых, компании научились от DDoS-атак защищаться — более сильным аппаратным обеспечением, специальными средствами защиты, фильтрацией входящего трафика. То есть DDoS-атаки стали гораздо менее эффективными. Нас, например, атакуют постоянно — и что? Предположим, один сервер перестанет работать, но тут же включится его «зеркало».

А.Г.: Есть еще одна причина. Для DDoS-атаки нужна зомби-сеть, а сейчас использовать ее для таких целей — это все равно что забивать микроскопом гвозди. При помощи зомби-сетей теоретически можно заработать гораздо больше — например путем рассылки спама.

КП: Как далеко вирусная индустрия продвинулась в направлении угроз для мобильных платформ?

А.Г.: Очень правильная формулировка — мобильные платформы, потому что уже нельзя рассматривать только угрозы для мобильных телефонов или смартфонов как таковых. Я бы даже расширил это поле до игровых приставок, троянцы для которых появились недавно, — все-таки это тоже платформы: они могут объединяться в сеть и первые концептуальные троянцы для них уже существуют. Что же касается вирусов для обычных смартфонов, то за год вирусописатели не изобрели ничего нового. По большому счету, все существующие мобильные угрозы можно классифицировать следующим образом: черви (распространяющиеся с помощью технологий Bluetooth, WAP и MMS), обычные файловые черви и примитивные троянцы. Единственное, что произошло в текущем году — появились шпионы для смартфонов. Такие программы-шпионы контролируют все действия с телефоном: какие сообщения приходят и уходят, какие звонки производятся, какие веб-сайты посещает пользователь — вся эта информация собирается и отсылается злоумышленнику.

Е.К.: Я бы вообще перестал разделять угрозы для мобильных платформ на спам, вирусы и пр. Мне кажется, их нужно рассматривать в целом как угрозу для пользователей, как риск попасть в сети мошенников, преступников — кого угодно.

А.Г.: Если в течение двух лет это были исключительно наработки на будущее и концептуальные образцы, то в текущем году уже взят курс на коммерциализацию преступной деятельности.

Е.К.: Теперь все будет зависеть от того, сколько преступникам удастся заработать на создании мобильных вирусов и рассылке спама. Если суммы будут сопоставимы с тем, что мошенники зарабатывают в Интернете, эту часть вирусной индустрии ждет большое будущее.

КП: С точки зрения эксперта, есть ли разница между выпуском вакцины для обычных вирусов и для мобильных угроз?

А.Г.: С точки зрения эксперта — разницы нет. Используются немного разные технологии, но в целом для нас, например, это просто применение различных инструментов для добавления сигнатур в антивирусные базы.

КП: Много ли существует вирусов, которые распространяются посредством MMS? Насколько актуален совместный проект с ОАО «ВымпелКом», в рамках которого «Антивирус Касперского» проверяет MMS-сообщения на наличие вредителей?

А.Г.: Проблема здесь, скорее, не в количестве: вирусов всего несколько, но распространяются они очень активно. Я, например, в последний месяц регулярно получаю запросы от пользователей, заразившихся червем Comwar. Более того, один из наших партнеров, путешествуя на яхте, каким-то образом получил Comwar на мобильный телефон.

Е.К.: Количество вредоносных кодов, присутствующих в MMS-трафике, конечно, несравнимо с числом паразитов в почтовом трафике, но, тем не менее, не равно нулю. По сообщениям ОАО «ВымпелКом», в почтовом трафике перехватываются троянские программы, а это означает, что система работает! Если крупные мобильные операторы в России внедрят подобные системы, останется только одна проблема — защитить трафик внутри сети.

КП: Насколько опасны программы-шпионы?

Е.К.: Все зависит от того, насколько ценна информация, хранящаяся у вас на компьютере. Если вы используете компьютер только для игры в тетрис или в пинбол — красть у вас нечего. А вот в случае, если у вас имеется какая-либо виртуальная, интеллектуальная собственность или данные личного характера, то опасность при заражении программой класса spyware возрастает многократно. Стоимость потерь в таком случае может во много раз превышать стоимость самого компьютера и установленных на нем программ. С этой точки зрения шпионы гораздо опаснее, нежели другие программы.

КП: А куда тогда исчезли антишпионские компании?

Е.К.: о том, что подобное может произойти, мы говорили еще два года назад. Компании либо были скуплены, либо просто прекратили свое существование, не выдержав конкуренции полноценных решений. На мой взгляд, антишпионские компании исключительно искали инвесторов. Технологически же большинство из них не представляло никакой ценности.

А.Г.: Добавлю: они оказали индустрии медвежью услугу. В программах, созданных такими компаниями, был реализован примитивнейший уровень детектирования, известный всем еще в 80-х годах прошлого века. Увидев подобное, создатели шпионских и рекламных программ начали внедрять в свои «продукты» полноценные вирусные технологии: к примеру, использование руткитов. Компании, занимавшиеся защитой от шпионов, оказались совершенно бессильны — они просто не знали, что делать с такими вредоносными программами. Фактически, антишпионские компании просто «разогрели» рынок adware и spyware, оставив антивирусные компании разбираться с новыми сложными угрозами в этой области.

КП: Что вы можете сказать о проактивности?

Е.К.: Проактивный метод не нов — такие технологии известны уже очень давно и базируются на поведении программ. Они появились в конце 1980-х годов и постепенно сошли на нет. Причин тому несколько. Во-первых, пользователю приходилось отвечать на различные вопросы и быть экспертом; а во-вторых, как и в случае со spyware, вирусописатели начали создавать вирусные технологии, обходящие проактивную защиту. На тот момент сигнатурных методов было вполне достаточно для комфортной и безопасной работы.

Как вообще работают проактивные методы? Они позволяют останавливать целые классы вредоносных программ, причем таких, которые еще не известны антивирусным компаниям и не могут быть обнаружены сигнатурным методом. Существует два проактивных метода — это эвристики, которые эмулируют выполнение программы и смотрят, какие действия выполнила бы данная программа при запуске; второй — это поведенческие блокираторы, которые блокируют программу по фактическому исполнению.

Мне кажется, что проактивность стала популярной в последние два-три года, причем в первую очередь о ней заговорили компании, которые не справляются с потоком входящей информации. В результате проактивность стала просто модной. Проактивная защита, которая присутствует в продуктах «Лаборатории Касперского», — безусловно, сильный компонент, но, тем не менее, в некотором смысле дань моде.

Кроме того, проактивность не означает стопроцентной защиты. Вирусописатели способны разработать вредоносную программу, которая пробьет любую проактивную защиту, — и в этом случае борьба все равно сводится к реактивной защите. И чем быстрее будет действовать реактивная защита, тем лучше будут защищены пользователи.

За разработку проактивной системы отвечает группа инженеров, и не в последнюю очередь это происходит потому, что проактивную защиту нельзя разработать один раз и оставить как есть. Постоянно происходят какие-то изменения, модуль необходимо поддерживать в актуальном состоянии, а также решать вопрос с ложными срабатываниями — у любой проактивной системы есть побочные эффекты: либо более надежная защита и большой процент ложных срабатываний, либо меньшее количество ложных срабатываний, но менее надежная защита.

Перспектив у проактивной защиты не так много. С ней опять может произойти то же самое, что и в старые добрые времена DOS, когда антивирусные компании не смогли выпускать проактивные системы, которые были бы настолько умными, чтобы пользователь не выключал их сразу. Факторы, которые влияют на судьбу проактивной защиты, — это дружелюбность к пользователю и активность вирусописателей, которые всегда могут придумать что-то новенькое, чтобы обойти проактивную защиту.

КП: Можете выделить какие-нибудь тенденции в угрозах для Linux?

Е.К.: Здесь большую роль играет популярность той или иной системы. Если *nix-системы станут ближе к народу и будут применяться более активно — появление соответствующего количества угроз для них неизбежно. Если же все останется как сейчас, нашествия вирусов ожидать не стоит, поэтому пользователи таких систем будут в гораздо большей безопасности, нежели пользователи широко распространенных ОС.

КП: Сколько сигнатур вы сегодня ловите?

Е.К.: Сейчас мы выпускаем около 200 новых сигнатур (процедур обнаружения и удаления вредоносных программ) в день. Недавно у нас был своего рода юбилей — мы добавили в базы данных 200-тысячную сигнатуру. Год назад мы добавляли в наши базы 150 вирусов в день, два года назад — 100, три года назад недельное кумулятивное обновление в 500 вирусов было редкостью.

КП: Каков ваш прогноз угроз на ближайшие два года?

Е.К.: Стабилизация криминального интернет-бизнеса, адаптация вредоносных программ под проактивные технологии ведущих антивирусных компаний и платформу Microsoft Windows Vista, освоение новых методов воровства информации или грабежа населения с появлением новых сервисов. Фактически ничего нового. Нет особых причин для какого-то прорыва. Проще говоря, «бабахнуть» может все что угодно, но вероятность этого мала. Степень опасности вирусных угроз для смартфонов будет зависеть от доступности смартфонов для населения. Если смартфоны станут дешевыми, возрастет их популярность; а чем больше популярность — тем выше угроза для конкретных технологий.

А.Г.: Что касается новейших сервисов типа Skype, то здесь ситуация тоже не является критической. Сначала будут первые пробы пера, концепты, а потом и коммерческие вирусы. В любом случае, мы готовы к такому развитию событий.

Мне кажется, что троянские программы будут одноразовыми — попали в компьютер, отработали и исчезли. Пользователь может даже не узнать, что ПК был заражен троянской программой. Сейчас это направление становится очень популярным, примером чему является GPCode. Кроме того, вирусописателям приходится все больше изощряться, чтобы придумать методы обхода антивирусных программ, — таким образом, можно ожидать очень активного использования брешей браузеров, ОС, антивирусных программ.

Е.К.: Стоит отметить совершенствование методов социального инжиниринга — пользователи все-таки обучаются и шанс, что они «купятся» на простую угрозу, уменьшается.

КП: Что бы вы хотели пожелать читателям?

Е.К.: Проблема безопасности компьютерных систем становится все более актуальной. Она привлекает внимание не только компаний, специализирующихся на разработке защитного ПО, но и лидеров индустрии, которые имеют большой опыт в разработке программного обеспечения. Я очень надеюсь, что все вместе мы сможем сделать Интернет более безопасным и в результате получим не просто компьютер в каждом доме, а безопасный компьютер.

КП: Спасибо, что уделили нам время и так подробно ответили на все наши вопросы. Всего хорошего вам и вашей компании!

 

В начало В начало

КомпьютерПресс 10'2006