Интервью со специалистами Лаборатории Касперского
Понятие «вирус» уходит в прошлое. На смену ему идёт «malware». Привычные нам вирусы — лишь часть современного ассортимента вредоносного ПО — adware, spyware, спам, диалеры, черви и так далее. Какие угрозы наиболее актуальны сейчас и чего нам стоит опасаться в ближайшее будущее?
Александр Гостев, старший вирусный аналитик ЛК:
Мы больше не рассматриваем понятия «вирус», «троянец», «бэкдор», «червь» как что-то отдельное друг от друга. Мир вредоносных программ эволюционирует в сторону «комбайнов» — malware, которые имеют в себе все вредоносные поведения сразу — эдакие вирусы-черви, ворующие вашу информацию и превращающие ваш компьютер в «зомби», в часть сети, через которую затем рассылается спам, новые вирусы или организуются атаки на сервера Интернет. Вот это и есть основная угроза сейчас и на ближайшее будущее.
Кстати, это может показаться странным, но «вирусы» вновь «входят в моду».
Фактически сейчас у них своеобразный период Ренессанса. Согласно нашим данным, «классические» вирусы в первом полугодии 2007 года продемонстрировали наибольший рост среди всех видов вредоносных программ — 237%! В первую очередь это связано с большой популярностью способа распространения вирусов при помощи съёмных флеш-накопителей. Семейство вирусов Win32.Autorun в 2007 году уже пополнилось более чем 200 новыми вариантами. Инциденты, связанные с заражёнными флэш-картами, в том числе и используемыми в фотоаппаратах, телефонах и mp3-плеерах, исчисляются сотнями.
Виталий Камлюк, ведущий вирусный аналитик ЛК:
В последнее время популярность набирают зомби-сети (множества заражённых компьютеров, управляемых с одного сервера). Технология создания зомби-сетей становится доступной рядовому пользователю (достаточно иметь некоторую сумму). Угроза, которую несут программы, загружаемые на компьютер жертвы — это кража логинов и паролей, номеров кредитных карт, несанкционированное использование ресурсов компьютера, например почтовая рассылка или атака на один из интернет-серверов, ведущие к большим затратам при оплате услуг доступа в интернет. Какие бы угрозы ни появились завтра, они всё равно будут там, где находится ценная информация или ценные физические ресурсы, поэтому пользователям следует задуматься о том, что для них является ценным, и проанализировать, как они это защищают.
Станислав Шевченко, руководитель антивирусной лаборатории ЛК:
Совершенно верно, «вирус» в качестве общего термина, характеризующего вредоносную программу, отходит в прошлое. Вирусов в классическом понимании этого слова встречается всё меньше, хотя вряд ли данный класс вредоносных программ исчезнет вовсе. В индустрии теперь всё чаще встречается термин «вредоносное ПО» (в русскоговорящей части) и «malware» (у англоговорящих). Этот термин определяет часть ПО, несущую в себе деструктивный функционал.
Какие основные характеристики носит сегодняшнее вредоносное ПО? Во-первых, это составной характер, иными словами практически не встречаются вредоносы, которые имеют только одно вредоносное поведение, как правило это совокупность вредоносных действий. Во-вторых, всё большее распространение получают программы, предназначенные для скачивания тех или иных компонент. Т. е. программы, которые управляются злоумышленником таким образом, что скачивают из интернета указанную вредоносную компоненту и затем активизируют именно её: сегодня это может быть программа-шпион, а завтра — троян, ворующий пароли к online-играм.
Наиболее актуальные вредоноcные программы сегодня — это группа троянских программ самых разных видов (виды троянов можно посмотреть на www.viruslist.ru [1]). Основной средой распространения вредоносных программ является Интернет, не стоит забывать об этом, и прежде чем подключиться к глобальной сети, обязательно следует принять необходимые меры защиты от потенциального деструктивного воздействия.
В последнее время наблюдается тенденция изменения качественного состава пользователей ПК. Если раньше это были во многом энтузиасты, которым было интересно разбираться в тонкостях работы ОС, лично делать апгрейд, листать технические форумы и так далее, то теперь люди покупают ПК как какие-нибудь утюги или миксеры. Не вникая в их внутреннее устройство. Многие из них лишь краем уха слышали про вирусы и совершенно не представляют, что такое файерволл. Не приведёт ли это к новым, гораздо более масштабным эпидемиям? Как защитить таких пользователей новой генерации, и как нам защититься от атак со стороны армии их заражённых машин? Неужели выход только один — принудительное встраивание антивирусов и подобных программ в ОС, как это пытается сейчас делать Microsoft?
Александр Гостев:
Это очень верное наблюдение — качественный состав пользователей ПК значительно изменился за последние пять лет. И самые крупные вирусные эпидемии в истории Интернет уже состоялись — в 2003—2004 годах. Не будем забывать, что на Западе процесс развития Интернет и число пользователей значительно опережает Россию — так что все эти эпидемии «базировались» именно на той многомиллионной массе неопытных пользователей.
Сейчас стремительными темпами растёт Интернет-популяция Китая. По оценкам число пользователей Сети в этой стране уже превысило число пользователей в США. Как следствие — вал вредоносных программ, имеющих китайское происхождение и «локальные» эпидемии вирусов и червей. «Локальные» взято в кавычки, потому что они не выходят за пределы Китая, однако учитывая реальные масштабы этих эпидемий — понятно, что счёт идёт на миллионы зараженных систем. Принудительное встраивание антивирусов (или одного антивируса) не поможет. Как только появится некое универсальное решение, которое будет использовано, допустим, на 2/3 ПК в мире, оно моментально станет целью хакерских экспериментов, будет взломано, обойдено и т. д. Реальной защиты от вирусов предоставлено не будет, а у пользователей будет только ложное чувство защищённости. Способ решения проблемы, как мне кажется, только один — повышение уровня пользовательской грамотности. Необходимо писать, говорить, показывать и убеждать. Необходимы обучающие программы, в том числе начинающиеся ещё со школы. Пользователи должны знать о том, что их может ожидать в Сети, как всё устроено и как защитить себя.
Виталий Камлюк:
Да, действительно, уровень знаний устройства операционной системы и принципов работы ПО у пользователей падает. Может, кто-то и посчитает это положительной тенденцией — мол, могут сосредоточиться на своей основной деятельности, не связанной с информационными технологиями напрямую. Однако мы как специалисты в области ИБ знаем, к чему это приводит: этим начинают пользоваться кибермошенники. Почему сейчас так стремительно развивается фишинг (вид кибермошенничества с целью получения конфиденциальных данных пользователя)? Ответ прост — от фишинга нельзя защититься техническими средствами на 100%. Абсолютная защита от фишинга возможна лишь путём обучения пользователей, но как видно по темпам роста фишинговых страниц (как минимум удваивается каждый год), низкая компьютерная грамотность большинства современных пользователей открывает большие возможности для фишинговых экспериментов. Одно из решений — повышать уровень компьютерного образования пользователей. Лаборатория Касперского активно вносит в этот процесс свою лепту. Специалисты компании проводят регулярные образовательные встречи со студентами и школьниками. Понятно, что привить должный уровень компьютерной грамотности всем пользователям мира пока не удалось, поэтому разработчики систем ИБ работают и в другом направлении: разрабатывают более совершенные технологии, которые должны быть настолько независимы от пользователя, насколько это возможно.
Стоит ли включать антивирус в операционную систему? Наверное, стоит, это должен быть базовый простой продукт. Здесь хорошей аналогией является автомобиль — когда вы покупаете новую машину, у вас уже есть шины, однако вы легко можете их поменять, если считаете, что с другими вам ездить комфортнее и безопаснее. Так и с антивирусом — всегда должна быть альтернатива.
Многие на конференции Virus Bulletin [2] говорили, что будущее в борьбе с вирусами за проактивными, эвристическими технологиями. Но их уже сейчас предлагают многие производители антивирусов. Часто даже не вполне понятно, чем же отличаются разные антивирусы друг от друга. Как обычному пользователю разобраться в ассортименте антивирусных программ и выбрать ту, которая подходит именно ему?
Виталий Камлюк:
Выбор антивируса — непростое занятие. Специалисты антивирусных компаний видят одни и те же тенденции в мире компьютерных угроз и соответствующим образом разрабатывают средства защиты. Просто у кого-то это получается эффективнее. На мой взгляд, важнейший критерий — уровень обнаружения вредоносных программ. Иначе зачем антивирус? Очевидная сегодня тенденция — сочетания методов и подходов для того, чтобы достичь максимальной эффективности. Очень важной, например, остаётся скорость реакции компании на новые угрозы. Но всё равно не будет надёжной защита, если используется только сигнатурный метод. Так же, как нельзя защититься одной проактивной защитой, какой бы сильной она не была. Грамотное сочетание методов, простой интерфейс, гибкие настройки (от простых до сложных), удобное управление (для корпоративных решений), оперативная и всегда доступная техническая поддержка на родном языке, ну и, естественно, лёгкость программы — она должна быть незаметной, не мешать вам работать обычном режиме. Выбирая, можно ориентироваться на тесты антивирусов. Есть ряд международных тестовых лабораторий, которые регулярно сравнивают антивирусные программы по разным параметрам, тот же Virus Bulletin регулярно проводит тестирования. Есть ещё очень известные австрийский AV-comparatives.org [3] и немецкий AV-Test.org [4], в России как их аналог позиционирует себя anti-malware.ru [5]; кроме того, антивирусный софт тестируют все популярные компьютерные журналы. Наконец, у всех антивирусных компаний есть пробные бесплатные версии продуктов — поэтому лучше всего установить и просто попробовать поработать недельку-другую на разных программах — и тогда всё станет очевидно.
Николай Гребенников, заместитель директора департамента инновационных технологий:
При выборе программы защиты следует руководствоваться двумя основными критериями: качеством защиты и тем, насколько высокий уровень защиты пользователю требуется. При этом уровень защиты формируется из нескольких составляющих, оценить их можно так:
- конечно, необходимо смотреть на уровень детектирования и время реакции продукта, для этого лучше всего анализировать результаты независимых тестов, таких как AV-comparatives.org [3], AV-Test.de [6] (подробнее о сигнатурных тестах [7] (PDF));
- далее следует проанализировать качество «проактивной» составляющей антивирусного продукта; к сожалению, существует мало тестов для анализа проактивных защит, но в качестве примера можно указать тест www.av-comparatives.org/seiten/ergebnisse/HIPS-BB-SB.pdf [8];
- лечение заражённой машины, противодействие активному руткиту, качество самозащиты — примеры не менее важных для антивируса характеристик, которым, к сожалению, авторы тестов уделяют мало внимания. Хотя очевидно, что если вредосносная программа может одной строчкой кода удалить антивирус, то самые лучшие показали уровня детектирования и времени реакции у данного антивируса уже не спасут пользователя от заражения. Практически единственный сайт, который в настоящее время занимается проведением подобных тестов — www.antimalware.ru [9];
- при выборе комплексного продукта следует проанализировать дополнительные компоненты продуктов, такие как сетевой экран и система защиты от спама. Независимые тесты антиспамовой составляющей персональных продуктов защиты нам неизвестны, поэтому единственным советом здесь может быть проверка работы этого компонента на собственным почтовом ящике во время тестового использования продукта. Что касается сетевого экрана, то существует хороший сайт [10], занимающийся сравнением качества защиты исходящего трафика с помощью тестов на утечки. Хорошие показатели в данном тесте позволяют говорить о том, что сетевой экран является не просто «довеском» к антивирусу, а представляет собой реальный дополнительный слой защиты, который может предотвратить, например, отправку конфиденциальных данных пользователя злоумышленникам даже в случае, если антивирус не остановил троянскую программу.
Что касается второго критерия — баланса между уровнем защиты и удобством работы пользователя, то здесь пользователь сам для себя должен определить то количество времени и сил, которые он готов потратить на защиту. В зависимости от этой оценки он может установить несколько средств защиты и выбрать разные режимы работы в них. Например, интерактивный режим работы с уведомлением о множестве потенциально опасных действий требует большого внимания и знаний пользователя, но и может обеспечить практически 100% защиту. С другой стороны, для большинства пользователей автоматический режим работы является оптимальным, так как от большинства угроз система защитит пользователя без каких-либо усилий с его стороны. Что касается выбора комплекса средств защиты, то я рекомендую читателям прочитать документ Securing Microsoft Windows (part II) [11] (PDF), опубликованный совсем недавно одним из экспертов в области безопасности — Guillaume Kaddouch.
Сейчас много говорят про фишинг. Фишинг-фильтры встроены и в браузеры и в файерволлы. Но действительно ли это так актуально для нашей страны, где онлайн-банкинг интересует незначительный процент населения?
Александр Гостев:
Согласно последним данным, только три крупнейших российских банка — имеют около 300 000 пользователей систем онлайн-банкинга. Не стоит забывать и о том, что множество российских пользователей используют различные электронные платёжные системы, например WebMoney, Яндекс.Деньги и т. д. Скажем так, среди моих знакомых — крайне малый процент НЕ пользуется Интернетом для осуществления тех или иных платежей. Так что проблема действительно очень актуальна, и фишинг-атаки на российских пользователей с каждым днём всё множатся и становятся всё опасней. Если раньше их было несколько за год, то сейчас буквально каждую неделю мы фиксируем подобные инциденты. Самый свежий пример — фишинг-атака на клиентов крупного российского банка, которая, помимо прочего, имела своей целью и установку троянской программы-шпиона на атакуемые компьютеры. А тут же обычный фишинг-фильтр браузера или файрволла не спасает — необходима полноценная антивирусная защита.
В борьбе со спамом периодически делаются попытки привлечь на сторону пользователей государственные структуры. Дабы законодательно запретить рассылки мусорной корреспонденции. Успехи, правда, пока не впечатляют. Но, может быть, действительно нужно гораздо более активное взаимодействие как пользователей, так и производителей защитного ПО с законодательной и исполнительной властью? Хотели бы вы о чём-то попросить государство?
Александр Гостев:
Да, хотелось бы внесений изменений в Уголовный Кодекс РФ, в части статей о создании и распространении вредоносных программ.
Существующая процедура предусматривает возбуждение уголовного дела и начало расследования ТОЛЬКО при поступлении заявления от пострадавшего пользователя. Многие ли из пользователей, в случае обнаружения у себя вируса, идут в милицию писать заявление? А им там ещё зададут вопросы — а какой ущерб был нанесён, сколько и чего вы потеряли? Как оценить ущерб от кражи паролей к вашему ящику электронной почты? В ряде стран Западной Европы и США правоохранительные органы приступают к расследованию и поиску злоумышленников просто по факту вирусной эпидемии и поэтому там есть значительные успехи в этом деле. В России же судебные процессы над авторами (настоящими авторами) вредоносных программ, распространявшихся сотнями тысяч, я даже и не вспомню. Как правило, по «компьютерным статьям» привлекаются якобы хакеры, укравшие пароль на доступ в Интернет у соседа при помощи клавиатурного шпиона. И всё. Настоящие киберпреступники остаются безнаказанными.
Зачастую и компании, занимающиеся информационной безопасностью и правоохранительные органы владеют массой информации, которая может привести к обнаружению авторов вирусов, но сделать с ней ничего не могут — так как нет юридической основы для возбуждения дела — заявления от пострадавших…
Microsoft как-то в лице Билла Гейтса пообещала искоренить спам. Насколько я могу судить, у антивирусных компаний, защищающих сервисы типа mail.ru, это получается пока гораздо удачнее. Теперь нам предлагают встроенные в систему защитные механизмы — Windows Firewall, Windows Defender, Live OneCare. Не приведёт ли это к тому, что пользователи будут отказываться от сторонних продуктов и в результате их защита только ухудшится?
Виталий Камлюк
Как любит говорить Евгений Касперский: «Microsoft делает и продаёт операционные системы и делает это успешно. Мы делаем антивирусы и это то, в чём мы преуспели.» Пользователи сами сделают свой выбор самого достойного решения, нам лишь остаётся сохранять и поддерживать свой экспертный статус. Думаю, это справедливо и для других компаний, производящих ПО.
Как вы оцениваете прошедшую конференцию Virus Bulletin — насколько это мероприятие полезно для индустрии в целом? В чём вообще смысл подобных форумов?
Александр Гостев:
Эта конференция, прежде всего, призвана помочь в обмене опытом между экспертами разных антивирусных компаний (и прочих компаний IT-security). Участие в ней позволяет сравнить проблемы, возникающие у коллег, и способы их решения. В целом очень хорошо видно, что антивирусная индустрия по-прежнему остаётся очень интересным сообществом, которое как бы функционирует на двух уровнях — жёсткой конкуренции при помощи маркетинговых технологий и тесного сотрудничества на уровне идей, технологий и информационного обмена. Проблемы у всех схожи — борьба с китайскими троянцами, атаки на пользователей онлайн-игр, вал вредоносных программ, способы автоматизации процессов анализа вредоносного кода.
Виталий Камлюк:
Конференция Virus Bulletin прошла с отдельной пользой для тех, кто умеет находить крупицу ценной мысли в большом объёме разнообразной информации. В целом такие мероприятия безусловно являются полезными, поскольку на них встречаются все те люди, которые каждый день работают над созданием более совершенных систем защиты информации. Общение этих людей, обмен мнениями, открытые высказывания прогнозов и обсуждение проблем являются двигателем, способствующем развитию всей индустрии.