Виртуальное противостояние: кто победит?

Юрий Машевский

Каждый пользователь персонального компьютера если не сталкивался с компьютерными угрозами, то по крайней мере слышал о них.

Всего несколько лет назад на вопрос, кто за этим стоит, ответить было просто: энтузиасты с больным самолюбием, проводящие все свободное время за компьютером и создающие вредоносные программы с целью утвердиться в среде аналогичных «специалистов».

Сейчас все гораздо сложнее. Наряду с взрывным ростом Интернета интенсивно развивается сфера соответствующих услуг (интернет-магазины, финансовые услуги, игровой бизнес и многое другое). Сеть обеспечила пользователя инструментами, которые обладают несомненными удобствами и помогают ему сэкономить массу времени. За короткий срок человечество успело стать зависимым от компьютерных технологий. Но, к сожалению, все хорошее в какой-то момент если и не заканчивается, то заставляет задуматься, а так ли все хорошо? Криминал очень быстро проник вслед за бизнесом на сетевые просторы.

Эпоха студентов-энтузиастов осталась далеко позади. Пришло время профессионалов, которые стали создавать киберкриминальные группы с целью выкачивания средств из доверчивых пользователей Сети (как это происходит, можно прочитать, например, по адресу: http://www.viruslist.com/ru/analysis?pubid=201579944). С увеличением активности киберхулиганов и повышением уровня их подготовленности растет число и сложность вредоносных программ, что требует все более высокой скорости реакции со стороны антивирусной индустрии. Это подтверждают и данные графика, представленного на рис. 1.

 

Среднее число детектирующих записей, ежедневно добавляемое в антивирусные обновления

Рис. 1. Среднее число детектирующих записей,
ежедневно добавляемое в антивирусные обновления
(источник: «Лаборатория Касперского»)

Как видите, увеличение числа новых угроз носит экспоненциальный характер, что косвенно свидетельствует об усложнении ситуации. К сожалению, в настоящее время отсутствуют факторы, способные изменить данную тенденцию.

Так кто же победит во все обостряющемся год от года противостоянии? Именно на этот вопрос мы и попытаемся ответить в настоящей статье. В ней также будут рассмотрены наиболее интересные методы защиты и нападения, которые используются по обе стороны баррикад.

Для начала давайте определимся, что является камнем преткновения.

И с той, и с другой стороны борьба идет за пользователя. Ведь именно он является для злоумышленников источником получения криминального дохода, который, по оценкам различных организаций, уже значительно превысил доходы всей антивирусной индустрии в целом.

В настоящее время всем уже понятно, что победить киберпреступность не удастся. Речь идет лишь о том, чтобы остановить волну вредоносного контента, захлестнувшую Сеть.

Компании, специализирующиеся на средствах ИТ-безопасности, на протяжении долгого времени практически в одиночку пытаются защитить пользователей. Но с каждым годом обеспечивать безопасность все труднее. Криминальные элементы все быстрее осваивают новые средства коммуникации. Например, злоумышленникам потребовалось чуть больше года, чтобы вредоносные программы для мобильных устройств прошли весь тот путь, что и их компьютерные аналоги. За год были освоены Symbian, Windows Mobile и J2ME, написаны черви и троянские программы. Уже сейчас MMS-трафик и обычный почтовый трафик имеют одинаковый уровень зараженности. И это при наличии лишь нескольких ITW-вредоносных программ для мобильных устройств!

Тот факт, что уровень грамотности в области безопасности у владельцев мобильных телефонов значительно ниже, чем у компьютерных пользователей, позволяет предположить, что произойдет массовое распространение вредоносных программ на мобильных телефонах. А в том, что это случится, сомневаться не приходится — это вопрос ближайшего времени. Если учесть, что современная преступность мотивирована в основном экономическими аспектами своей деятельности, то можно утверждать, что лавинообразный рост числа троянцев и червей придется на момент повсеместного внедрения мобильного банкинга, о запуске пилотных проектов по использованию которого уже объявил целый ряд крупнейших сотовых операторов в десятках ведущих стран мира.

Злоумышленники находятся в постоянном поиске все более изощренных способов обмана (читай: социального инжиниринга) пользователей, разрабатывают все более эффективные способы сокрытия вредоносного кода, а также методы противодействия средствам защиты пользователей.

В ответ на это антивирусная индустрия создает новые средства защиты, что вынуждает преступников инициировать новые разработки и т.д. Подобная борьба напоминает процесс усовершенствования брони и снаряда: для новой брони нужно разрабатывать новые снаряды и т.д. Причем криминал не желает безоговорочно капитулировать перед новыми технологиями защиты — каждая из них проходит скрупулезную проверку на живучесть. Красноречивым примером этого является случай с компанией Blue Security и ее проектом Blue Frog, который изначально позиционировался как успешное решение против спамеров. Первое время все действительно работало: у ряда пользователей «Голубой лягушки» объемы нежелательной корреспонденции уменьшились на 25%. За год проект стал костью в горле у спамеров, что и привело к его печальному концу: «Голубая лягушка» была закрыта после серии мощнейших DDoS-атак.

Если же говорить о комплексном подходе к борьбе против антивирусной индустрии, то в последнее время злоумышленники чаще всего используют:

  • упаковку вредоносного кода неизвестными алгоритмами, что приводит к невозможности антивируса «заглянуть» внутрь файла с целью поиска вредоносного контента;
  • Rootkit-технологии, целью которых является сокрытие вредоносного кода в системе, что значительно увеличивает время его жизни;
  • прочие методы, направленные на уничтожение средств защиты пользователей.

Упаковка исполняемых объектов с помощью специализированных программ-пакеров применяется для затруднения анализа и/или детектирования творений криминальных элементов. Пакер — это утилита, которая с помощью специализированных алгоритмов шифрует целевую исполняемую программу с сохранением работоспособности последней. Использование пакеров значительно облегчает задачу злоумышленников: чтобы антивирус перестал узнавать уже известный вредоносный код, автору нужно просто перепаковать его неизвестным для антивирусной программы архиватором. Результат достигается тот же, а затраты несоизмеримо меньше. Доля упакованных вредоносных программ относительно общего числа новых вредоносных программ показана на рис. 2.

 

Рост доли упакованных сэмплов; погрешность определения упакованных неизвестными пакерами сэмплов — менее 1%

Рис. 2. Рост доли упакованных сэмплов;
погрешность определения упакованных
неизвестными пакерами сэмплов — менее 1%, %
(источник: «Лаборатория Касперского»)

Из рисунка видно, что в последнее время среди упакованных объектов увеличивается количество неподдерживаемых антивирусом пакеров, что вполне понятно: от использования известных антивирусным компаниям программ-упаковщиков толку мало — оригинальный незащищенный вредоносный код в результате все равно будет получен антивирусным продуктом.

В последнее время все чаще встречаются своеобразные «бутерброды», когда одна вредоносная программа упакована злоумышленниками сразу несколькими пакерами в надежде на то, что тот или иной антивирус не сможет распознать хотя бы одну из примененных программ упаковки. Рост доли таких «бутербродов» относительно общего числа новых упакованных вредоносных программ показан на рис. 3.

 

Рост доли «бутербродов» относительно общего числа новых упакованных сэмплов

Рис. 3. Рост доли «бутербродов»
относительно общего числа новых
упакованных сэмплов, %
(источник: «Лаборатория Касперского»)

Антивирусная индустрия ответила повышением эффективности своих эмуляторов, методов эвристического детектирования и внедрением систем проактивной защиты, которые в текущей фазе противостояния уже успели доказать свою эффективность.

Что касается Rootkit-технологий и уничтожения средств защиты на компьютере пользователя, то криминал уделяет серьезное внимание этим подходам, что подтверждается данными, приведенными на рис. 4.

 

Рост доли новых модификаций вредоносных программ, осуществляющих активное противодействие средствам защиты

Рис. 4. Рост доли новых модификаций вредоносных программ,
осуществляющих активное противодействие средствам защиты, %
(источник: «Лаборатория Касперского»)

Как видно из этого рисунка, Rootkit-технологии все чаще применяются злоумышленниками. Более того, несмотря на то что доля программ, уничтожающих средства защиты на компьютере пользователя, сократилась незначительно, в целом количество вредоносных программ продолжает увеличиваться. И если раньше противодействие оказывалось единицам антивирусных продуктов, то сейчас можно встретить вредоносные программы, уничтожающие средства защиты десятками и даже сотнями.

В ответ антивирусные компании довольно быстро разработали и внедрили механизмы противодействия таким программам. Многие антивирусные продукты сейчас имеют в своем составе антируткит-технологии и средства защиты собственного окружения.

Об успехах антивирусных компаний свидетельствует постепенное снижение интереса к почтовому трафику со стороны злоумышленников. Сейчас в криминальном мире считается уже малоэффективным распространять вредоносные программы через электронную почту, что еще совсем недавно было модно, поскольку их оперативно перехватывают и детектируют еще до окончания массовой рассылки. Однако авторы вредоносных программ не собираются с этим мириться — уже отмечается многократный рост количества случаев распространения подобных программ через Web.

Постоянно увеличивающийся доход криминала позволяет ему привлекать высококвалифицированных специалистов и постоянно разрабатывать новые технологии атак. И хотя потенциал компаний, специализирующихся на информационной безопасности, позволит в ближайшие несколько лет успешно противостоять натиску злоумышленников, делать это будет все сложнее.

Неоценимую помощь в борьбе с киберкриминалом могли бы оказать правоохранительные органы. И такие меры в ряде стран уже принимаются: созданы специализированные полицейские подразделения, задачей которых является борьба с сетевой преступностью; ужесточается законодательство, что находит отражение в увеличении сроков давности исков и ответственности за киберпреступления.

К сожалению, государство, обладая самыми мощными средствами для противодействия киберпреступникам, является и самым медлительным участником противостояния. Момент, когда ситуацию можно было взять под контроль, уже безнадежно упущен. В настоящее время преступность в Сети приняла такие масштабы, что у властей не хватает ресурсов, чтобы расследовать хотя бы часть всех совершаемых преступлений. Правоохранительным органам очень трудно работать в условиях, когда преступники не ограничены пределами одного государства (они могут держать серверы в одной стране, атаковать пользователей в другой, а сами находиться в третьей), к тому же сетевая инфраструктура позволяет злоумышленникам действовать молниеносно при условии сохранения анонимности. Государственная машина из-за своей медлительности не может быстро реагировать на действия преступников: зачастую к началу расследования злоумышленники успевают изменить свое местоположение, сменив несколько хостингов.

Хотелось бы надеяться, что со временем ситуация изменится в лучшую сторону, пока же криминал вообще не замечает, что правоохранительные органы пытаются с ним бороться, а принимаемые меры не приносят хоть сколько-нибудь заметных улучшений.

***

В настоящее время противостоять киберпреступникам в состоянии лишь компании, специализирующиеся на информационной безопасности. Периодически внедряемые новые технологии защиты пока справляются с постоянно усиливающимся натиском злоумышленников, которые становятся все более организованными и технически подготовленными.

К сожалению, преступность в Сети уже не исчезнет. Она здесь всерьез и надолго. Улучшить ситуацию могло бы создание единого фронта борьбы с киберпреступностью, но этого, скорее всего, в ближайшем будущем не произойдет по целому ряду причин, обсуждение которых выходит за рамки данной статьи.

Но чего точно не стоит ожидать в ближайшем будущем — так это победы криминала. Противостояние продолжается...

 

В начало В начало

КомпьютерПресс 3'2007

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует