Итоги Итоги - Итоги № 35 (2012)

Скажу больше, угрозы становятся все более направленными, создаваемыми под конкретный объект поражения. Технологии сегодня таковы, что возможна генерация именно вашей версии вируса. И только вашей. Этакий «кастомизированный» вирус. Если раньше новое вредоносное ПО достаточно быстро попадало в антивирусную лабораторию, где его препарировали и готовили противоядие, то теперь ваш собственный вирус лежит себе на компьютере и никуда оттуда не уходит. Следовательно, в лабораторию так быстро, как раньше, уже не попадет и отловить его традиционными методами очень трудно.

— Чем отличается мой «кастомизированный» вирус от зловредного ПО «общего назначения»?

— Специалисты относят такие угрозы к классу Advanced Persistent Threat (АPT), что означает: вредоносное ПО находится в вашем компьютере долгое время, изучает вашу инфраструктуру, ищет программное обеспечение с незакрытыми уязвимостями, собирает информацию из заданных источников, по мере необходимости загружает с командного сервера дополнительные модули для шпионажа или осуществления каких-либо действий.

— То есть антивирусный пакет, даже лицензионный, уже не гарантирует «чистоты» компьютера пользователя?

— Нет, не так. Для таких вирусов используются другие методы борьбы, в частности репутационное сканирование. Например, наше антивирусное ПО, сканируя компьютер, сверяется с постоянно обновляемой базой всех запускаемых файлов в мире.

— Вообще всех-всех?

— Вообще всех. Любых. Как хороших, так и плохих. Когда мы проверяем, что за файл пытается загрузиться на ваш компьютер, мы не лезем в его нутро, а анализируем по базе, запускался ли он уже где-либо, и если запускался, то насколько часто и в связи с чем. Если это, например, исполняемый код Microsoft Word, то высока вероятность того, что он постоянно исполняется на разных компьютерах во всем мире. А если это приложение, которое до этого никто никогда в мире не запускал, это будет сигналом, что дело нечисто.

— Правы, видимо, те специалисты, которые говорят, что пользователь и не подозревает, какая бурная жизнь кипит на его компьютере. Некая программа изучает его, чтобы создать вредоносное ПО. Другая ищет документы к готовящемуся контракту. Еще одна — электронные письма в интересах политических противников... Как ведут себя эти программы при встрече с себе подобными на компьютере пользователя?

— Вы имеете в виду классическую ситуацию: Штирлиц идет по коридору и встречает Бормана? Не думаю, что об этих вирусах можно написать шпионский роман. По крайней мере, сегодня. По сути, есть всего два способа проникнуть извне в ваш компьютер. Первый — использовать какие-нибудь уязвимости, то есть ошибки тех, кто разрабатывает программы для этого устройства. С этим борется защитное ПО, которое нужно установить и регулярно обновлять. Второй — разрешение владельца. Вирус в явном виде задает вопрос «Можно загрузиться?», а вы по собственной глупости отвечаете на него положительно.

— Если таких глупых в Интернете огромное количество, может быть, дело не в скудоумии пользователей, а что-то надо поправить в «консерватории»?

— Назовите это социальной ответственностью, смысл от этого не меняется. Вот, говорят, какие у нас безответственные мобильные операторы: человек сообщил мошенникам свой номер мобильного телефона, у него деньги со счета списывают, а операторы не принимают решительных мер. Но, помилуйте, в цифровом мире номер мобильника — это доступ к вашей конфиденциальной информации. Сообщить его кому-то в Интернете — это примерно так же, как если бы вас остановили на улице и попросили написать паспортные данные. И это ощущение опасности — как сегодня боязнь потерять паспорт — должно сидеть в подсознании.

— Иными словами, стопроцентной гарантии, что ничего недоброго не случится, не дает сегодня ни один производитель средств информационной защиты?

— У нас есть средства, на которые мы даем гарантию. Это довольно дорогие инструменты корпоративного уровня: если защитное ПО пропускает угрозу, компания пользуется нашими услугами бесплатно в течение определенного периода времени.

— А частный пользователь, получается, ведет неравный бой с мощным и хорошо организованным преступным бизнесом, на который работают классные математики и специалисты по социальной инженерии. Не кажется ли вам, что налицо некоторое поражение в правах человека по сравнению с офлайном, где государства заявляют о том, что безопасность граждан является их зоной ответственности?

— Не совсем так. Государство ловит хулиганов, пристающих к прохожим, и на реальных, и на виртуальных улицах. Просто на офлайновых улицах мест, куда можно ходить, больше, чем тех, куда нельзя. В онлайновом мире пока несколько по-другому. Но и угрозы разные. В реале вы можете потерять жизнь, а в виртуале некоторое количество денег или информацию, но с вашим здоровьем, слава богу, все будет хорошо. Пока. К сожалению, мы уже стоим на пороге таких компьютерных преступлений, которые будут иметь гораздо большее влияние на действительность, чем кража информации или денег.

— Это вы про Stuxnet, Flamer или последнюю находку по «фамилии» Gauss, которую также отнесли к разряду кибероружия, произведенного государством?

— Про них точно неизвестно, кто их создал и с какой целью...

— Как же! Газета Washington Post сообщила, а Интернет растиражировал: Flamer — это продукт спецслужб США и Израиля, направленный против исламского государства-изгоя.

— Я в работе домыслы не использую, предпочитаю основываться на официальной информации. Это может быть и промышленный шпионаж. Вирус Flamer написан же для обычных компьютеров с целью снятия данных с видеокамер, микрофонов и так далее, то есть в чистом виде для сбора информации. Где могут стоять такие компьютеры? Везде. Поэтому ограничивать зону действия Flamer только политическим госзаказом не совсем корректно, на мой взгляд.

— Говорят, что по объему вложенных ресурсов потянуть его способно только государство...

— Я считаю, что на уровне частного коммерческого шпионажа это тоже вполне могло быть реализовано. Думаю, государственный след появился в этой истории потому, что цели вируса не очень понятны. Если бы он обнаружился на каком-нибудь авиазаводе, то сразу бы закричали: «Это происки конкурентов!» А почему он оказался там, где оказался, то есть в госорганизации, а не на авиазаводе? Потому что распространялся по неизвестному алгоритму и попал туда, где была дырка в ПО. Как говорится, вор грабит квартиру, в которой открыта форточка. Если это оказалась квартира генпрокурора, будет шум, а если булочника — никто об этом не узнает.

— Иными словами, Flamer — это, может быть, не диверсия, а шпионаж, и вовсе не в атомной отрасли и не по заказу государства?