Перейти к контенту ↓


Virus Bulletin 2007, Вена
Специальный репортаж

Конференция Virus Bulletin долгое время оставалась закрытой тусовкой специалистов по компьютерной безопасности. А российских журналистов на ней, говорят, вообще никогда не было. Поэтому приглашение от Лаборатории Касперского в Вену на VB 2007 мы не могли не принять.

День первый

Перелет аэробусом А319 нашей скромной компании — двух представителей российских СМИ (приглашен был кроме меня ещё Павел Соколов из iXBT) и четырёх представителей ЛК — ничем не выделялся. Разве что порадовал полупустой салон самолета — видно, в Вену по утрам не многие хотят лететь. Мне вообще пришлось вставать в 5 утра, чтобы успеть из Подольска, где я сейчас обитаю, в Шереметьево. Зато путь от венского аэропорта до гостиницы Hilton Vienna, где и проходила конференция, произвел впечатление. Сразу бросаться ловить такси (30 евро), скажу я вам, не стоит. Потому как гораздо приятнее добираться до центра города специальным поездом САТ (City — Airport Train). Билет туда и обратно стоит всего 16 евро. А если вы купите карту туриста, то получите право ещё и на проезд в городском транспорте. Удобно и выгодно. Проход на платформу довольно необычный — из здания аэропорта надо спускаться на лифте. Сам поезд небольшой — вагона четыре, но зато двухэтажный, при этом никакой толчеи, куча свободных мест, кондиционер, ЖК-телевизор и прочие признаки цивилизации. Везде чисто, удобно и культурно. Прелесть даже в мелочах. Например, по всему вагону на полу прочерчена флуоресцирующая линия, так что даже в полной темноте, если что, на соседа не наткнетесь. Проводником-контролером у нас была молоденькая девушка чрезвычайной вежливости — по сравнению с ней наши кондукторы просто надзиратели концлагеря. В вагоне очень тихо — шум улицы внутрь почти не проникает. Но больше всего всех поразил удивительно плавный ход состава — мы пришли к едино­душному мнению, что в Австрии просто другие законы природы и поэтому местным железно­дорожникам удается делать безстыковые рельсы бесконечной длины. Вообще, после такого поезда смотреть на наши пригородные электрички просто противно.

Первое же впечатление от самого города — велосипеды, велосипеды и ещё раз велосипеды. Для них есть специальные дорожки на тротуарах и шоссе. Если зазеваешься и с непривычки заступишь за линию, разделяющую пешеходов и наездников, будь готов услышать раздраженные звонки и наблюдать неодобрительные взгляды. Для велосипедистов даже свои светофоры есть! Так что Вена — город велосипедистов.

А ещё нам показалось, что за весь день мы встретили только двух чисто­кровных австрийцев — исключительно любезная пожилая пара нам обстоятельно разъяснила, как найти улицу, где, как нам сказали в отеле, можно заказать на прокат смокинги для предстоящего официального ужина. Все остальные же, с кем нам довелось столкнуться, были откуда угодно, но не из Вены. Много тех, кого у нас бы назвали лицами кавказской национальности. Даже извечную шаурму продают в палатке прямо рядом с Хилтоном. А смокинги, например, нам подбирали явно восточно­европейские товарищи (поляки, кажется). А вот на качестве еды много­национальность Вены, похоже, не сказывается. Мясо, всевозможные шницели здесь готовят отменно, а словацкая девушка в кафе, куда мы зашли ближе к ночи, оказалась очень приветливой и приятной. Так что если ваша цель — скинуть пивной животик, то Вена явно не для вас. Его тут скорее нарастишь — местное разливное пиво весьма душевное, мы, например, особо прониклись маркой Ottakringer.

День второй

День открытия конференции начался со вступительного слова редактора журнала Virus Bulletin Helen Martin. Вообще говоря, это уже 17 конференция, организуемая журналом в разных странах мира при поддержке самых именитых спонсоров, а первая состоялась в далеком 1991 году в Jersey, Channel Islands. Доклады на VB, конечно, рассчитаны в первую очередь на профессионалов индустрии и крупных корпоративных заказчиков. Здесь анализируют развитие как вирусов, так и защитного ПО, делятся опытом, предлагают пути решения различных проблем и пытаются заглядывать в будущее. Первые доклады — Максима Шипки из MessageLabs и индуса Deok-young Jung из AhnLab — навели на тревожные мысли. В ситуации с вирусами последнее время явно прослеживается влияние криминала. Более того, вирусная индустрия сейчас стала подпольной. Вредо­носным ПО занимаются теперь не те, кто делает первые шаги в Visual Basic или хочет заявить о своих подвигах всему миру, а настоящие профессионалы, цель которых — получить нехилую прибыль и остаться незамеченными. Для этого налаживаются связи между теми, кто пишет вредо­носный софт, кто собирает данные пользователей, кто рас­про­стра­няет этот софт, кто в результате становится владельцем бот-сети, кто организует с помощью этой бот-сети фишинговые спам-рассылки, кто, наконец, организует получение купленных по ворованным кредиткам товаров ничего не подозревающими лохами — дропами. Полученные товары, разумеется, можно перепродать и получить вожделенную наличность. И это лишь одна из схем. Причем товарно-денежные отношения процветают и внутри самой схемы — трояны продаются так сказать оптовым дистрибьюторам, бот-сети продаются спамерам, полученные номера кредиток — тем, кто будет работать с дропами, и так далее. Всё это происходит очень тихо, можно сказать конспиративно — эти люди славы не ищут.

Но на пути сверх­прибылей этих товарищей стоят антивирусы, поэтому вирусо­писатели вырабатывают всё новые и новые методы обхода защиты. Например , авто­мати­зиро­ванное создание большого числа вирусов на базе одного движка. Так, 26 модификаций вируса Warezov были скомпилированы почти одновременно, а в свет выпускались с периодичностью примерно два вируса в час. Чтобы эффективно ловить такие вирусы, сигнатуры антивирусных программ тоже должны обновляться с не меньшей скоростью, что очень сложно сделать. В результате привычные сигнатурные методы выявления вирусов в одиночку просто не в состоянии предотвращать подобные эпидемии. Нужна много­слойная проактивная защита. То есть кроме обычного сигнатурного метода требуются механизмы, способные детектировать новые, неизвестные вирусы. Уже сегодня на антивирус, не обладающий подобными технологиями, нельзя положиться.

И ещё один важный момент. Современные вирусы сменили объект своей атаки. Если раньше это были, грубо говоря, все пользователи определенной ОС, то теперь целями всё чаще становятся конкретные лица или группы лиц. Например, известные и богатые люди, которых можно подоить, работники конкретной организации, которую заказали вирус­мейкеру, или даже игроманы, просиживающие сутки напролет в MMORPG-играх. Тут вирус­мейкер может убить сразу несколько зайцев. Получить деньги с владельца зараженной машины (например, за возврат украденного аватара) и мощную зомби-сеть, если удастся провести массированную атаку. А такая атака в случае с игроманами упрощается — многие из них готовы сами ставить на свои машины всевозможные непонятного происхождения NoCD-патчи, моды, тренеры, кряки, обновления и так далее. В результате может получиться бот-сеть, работающая кругло­суточно. Можно, наконец, просто воровать хорошо прокаченные аватары (по сути, логин и пароль к игре) для себя или перепродажи. Да что говорить, в этих играх уже и внутренний спам появился!

Но хватит про ужасы. Второй день изучения Вены принес ещё несколько открытий. Здесь потрясающе много всевозможных памятников. Если ходить по более-менее серьезным улицам, то они попадаются буквально через каждые 200 метров.

День третий

Очередные доклады и презентации ведущих специалистов по безопасности навели на мысль об одно­значной полезности данного меро­приятия. Люди здесь получают возможность не только обмениваться опытом, но и обращать внимание индустрии на проблемы, которые грядут в ближайшее время. Например, что делать с чрезвычайным разбуханием коллекций вирусных сэмплов? Уже сейчас огромное число гигабайт вирусов, проходящее сквозь руки антивирусных компаний и аналитиков, вызывает проблемы не только при обмене сэмплами, но даже при их хранении внутри компании. Более того, постоянно идет дублирование — один и тот же вирус попадает в базы по несколько раз. Специалисты даже предлагают создать общедоступную базу хэшей всех известных вирусов, чтобы каждая компания в любой момент времени могла выяснить, известен этот вирус или это что-то новое. Уже одно это могло бы уменьшить объем перегоняемой туда-сюда информации раза в два как минимум. Впрочем, и такое предложение не идеально, а потому вызвало на конференции бурное обсуждение — доклады ничуть не заформализованы и задавать вопросы, высказывать свои мнения можно не только после завершения выступления докладчика, но иногда даже перебивая его. Здесь, как говорится, все свои.

Я всё время говорю — вирусы, вирусы, а на самом деле эра вирусов в чистом виде давно закончилась. Сейчас корректно использовать термин malware (malicious software, или вредо­носное ПО, как предлагает Е. Касперский), поскольку сегодня вирусы — это лишь одна составляющая всего много­образия деструктивного ПО. Черви, кейлоггеры, шпионы, трояны, рекламное ПО — всё не перечислить.

Кстати, вы знаете, что в 1988 году небезызвестный Питер Нортон сказал, что компьютерные вирусы — это такая же легенда, как аллигаторы в нью-йоркской канализации? А ведь первый настоящий (умеющий скрываться от обнаружения и размножаться) вирус для IBM PC появился в январе 1986 года. Два брата из Пакистана Basit и Amjad Alvi сумели засунуть в загрузочный сектор 5-дюймового 360-кило­байтного флоппи-диска исполнимый код. После загрузки с такой дискеты вредо­носная программа (вирус называли разными именами — Lahore, Pakistani, Brain-A и др.) оказывалась загружена в память, после чего записывала свою копию на все остальные дискеты, которые вставлялись в зараженный компьютер. Попутно менялась метка дискеты — вирус называл ее (c) Brain, и в коде вируса шло прославление этих пакистанских товарищей. Своего они, кстати, добились — в историю таки вошли. В том числе и оригинальным способом решения поставленной задачи — исходный бут-сектор дискеты не удалялся, а перемещался в другое место, после чего эти секторы помечались как битые, в результате к настоящему загрузочному сектору имел доступ только вирус. Если же какая-то программа пыталась считать бут-сектор, то вирус перехватывал INT 13 и подсовывал ей вместо себя оригинальный загрузчик. Так что программа DEBUG не могла обнаружить ничего подозрительного.

День последний

Вена — потрясающий город. Сюда надо приезжать недели на две и ходить, ходить по музеям, паркам и просто улицам. Исторический центр города — это вообще музей под открытым небом. А знаменитый Stephansdom — грандиозен. Порой интересно наблюдать, как история пересекается с современностью. Например, здесь помимо карет — традиционного развлечения туристов — ездят трамвайчики довольно антикварного вида, а рядом — суперсовременные, у которых пол вагона поднимается над бордюром тротуара буквально сантиметров на пять. То есть никаких ступенек практически нет, и вход в такой трамвай для инвалида, старика или ребенка абсолютно не вызывает проблем. Куда там помещаются колеса, я так и не понял.

На авто­дорогах есть специальная полоса с надписью BUS, по которой можно ездить только общественному транспорту. Судя по тому, что обычных машин я на ней ни разу так и не заметил, наказание за нарушение правил тут как минимум смертная казнь.

Метро в Вене (U-bahn, вход обозначается на улицах буквой U) несильно отличается от московского. Разве что для того, чтобы открылась дверь в вагоне, надо либо потянуть за ручку, либо нажать кнопку. Кресла стоят не вдоль вагона, а поперек, как у нас в автобусах. А вот проход в метро прикольный — нет никаких турникетов. Если ты добропорядочный гражданин, то купишь билет за 1,7 евро и при входе на платформу проком­постируешь его в специальном автомате. Ну, или проездной купишь. Но если ты заяц, но ничто не мешает ехать на халяву. Говорят, правда, что тут обитают контролеры, но нам они не попадались. Впрочем, по слухам о приходе контролера чуть ли не объявляют заранее, так что знание немецкого не помешает.

К сожалению, по музеям и прочим заведениям, где каждый турист обязан отметиться, походить особо не удалось ввиду довольно насыщенной программы конференции. Даже с учетом того, что в последний день мы почти на все доклады забили, побывав только на круглом столе с представителями ФБР (и, в общем, зря — ничего особо интересного они так и не сказали), посетить удалось немного. Да и то фактически галопом. Поэтому и расскажу об этом коротко.

Музей бабочек — абсолютно не при­меча­тельная местная досто­при­меча­тель­ность. Бабочек мало, в основном — какие-то серенькие, зато очень душно и жарко. Бабочкам хорошо — посетителям плохо. Cafe Central — приятное пафосное место. Попили неплохой кофе с отличным яблочным штруделем. Ещё одна легенда — литературное кафе Hawelka, существующее ещё с 18 века, но особенно популярное в начале 20-го. В нем до сих пор сохранилась соответ­ствующая атмосфера на стенах висят афиши концертов и вернисажей того времени. Известное место встречи местной богемы. Говорят, здесь лучший кофе в Вене. Действительно очень хороший кофе, а заведение душевное. Стены с ободранными обоями, старинная деревянная мебель густо-густо покрыта художественной гравировкой типа Здесь был Вася на разных языках. Колесо обозрения в местном парке культуры и отдыха — древнейшее колесо в мире. Уже более 100 лет — один из символов Вены. Сейчас это не только аттракцион, но и музей, ресторан, фотосалон, магазин сувениров. Стоит прокатиться — вся Вена как на ладони. А внутри вагончика, в котором вы поднимаетесь на высоту порядка 65 метров, панорамные фотографии города с расшифровкой наиболее интересных объектов.

Вот, собственно, и все. Душная Москва встретила бешеными толпами народа, пытающимися вломиться в автобус Шереметьево — Речной вокзал, и наглыми таксистами, желающими получить штуку за 15-минутную поездку, так что здесь всё как обычно…


Интервью со специалистами

Понятие вирус уходит в прошлое. На смену ему идет malware. Привычные нам вирусы — лишь часть современного ассортимента вредо­носного ПО — adware, spyware, спам, диалеры, черви и так далее. Какие угрозы наиболее актуальны сейчас и чего нам стоит опасаться в ближайшем будущем?

Александр Гостев, старший вирусный аналитик ЛК
Мы больше не рассматриваем понятия вирус, троянец, бэкдор, червь, как что-то отдельное друг от друга. Мир вредо­носных программ эволюци­онирует в сторону комбайнов — malware, которые имеют в себе все вредо­носные поведения сразу — эдакие вирусы-черви, ворующие вашу информацию и превращающие ваш компьютер в зомби, в часть сети, через которую затем рассылается спам, новые вирусы или организуются атаки на серверы интернета. Вот это и есть основная угроза сейчас и на ближайшее будущее.

В последнее время наблюдается тенденция изменения качественного состава пользователей ПК. Люди покупают ПК как какие-нибудь утюги или миксеры, не вникая в их внутреннее устройство. Не приведет ли это к новым, гораздо более масштабным эпидемиям?

Александр Гостев

Это очень верное наблюдение — качественный состав пользователей ПК значительно изменился за последние пять лет. И самые крупные вирусные эпидемии в истории интернета уже состоялись — в 2003-2004 годах. Не будем забывать, что на Западе процесс развития интернета и число пользователей значительно опережает Россию — так что все эти эпидемии базировались именно на той много­миллионной массе неопытных пользователей.

Сейчас стремительными темпами растет интернет-популяция Китая. По оценкам, число пользователей Сети в этой стране уже превысило число пользователей в США. Как следствие — вал вредо­носных программ, имеющих китайское происхождение и локальные эпидемии вирусов и червей. Локальные в кавычках, потому что они не выходят за пределы Китая, однако, учитывая реальные масштабы этих эпидемий, понятно, что счет идет на миллионы зараженных систем.

Принудительное встраивание антивирусов (или одного антивируса) не поможет. Как только появится некое универсальное решение, которое будет использовано, допустим, на 23 ПК в мире, оно моментально станет целью хакерских экспериментов, будет взломано, обойдено и т. д. А у пользователей будет ложное чувство защищенности.

Способ решения проблемы, как мне кажется, только один — повышение уровня пользовательской грамотности. Необходимо писать, говорить, показывать и убеждать. Пользователи должны знать о том, что их может ожидать в Сети, как всё устроено и как защитить себя.

Сейчас много говорят про фишинг. Фишинг-фильтры встроены и в браузеры и в файерволлы. Но действительно ли это так актуально для нашей страны?

Александр Гостев
Согласно последним данным, только три крупнейших российских банка имеют около 300 000 пользователей систем онлайн-банкинга. Не стоит забывать и о том, что множество россиян используют различные электронные платежные системы, например WebMoney, Яндекс.Деньги и т. д. Так что проблема действительно очень актуальна и фишинг-атаки на российских пользователей с каждым днём всё множатся и становятся всё опасней. Если раньше их было несколько за год, то сейчас буквально каждую неделю мы фиксируем подобные инциденты. Самый свежий пример — фишинг-атака на клиентов крупного российского банка, которая помимо прочего имела своей целью и установку троянской программы-шпиона на атакуемые компьютеры. А тут обычный фишинг-фильтр браузера или файерволла не спасает — необходима полноценная антивирусная защита.

Может быть, нужно решение на государственном уровне?

Александр Гостев
Да, хотелось бы внесений изменений в Уголовный кодекс РФ, в части статей о создании и рас­про­стра­нении вредо­носных программ. Существующая процедура предусматривает возбуждение уголовного дела и начало расследования ТОЛЬКО при поступлении заявления от пострадавшего пользователя. Многие ли из пользователей, в случае обнаружения у себя вируса, идут в милицию писать заявление? А им там ещё зададут вопросы — а какой ущерб был нанесен, сколько и чего вы потеряли? Как оценить ущерб от кражи паролей к вашему ящику электронной почты?

Многие на конференции Virus Bulletin говорили, что будущее в борьбе с вирусами за проактивными, эвристическими технологиями. Но их уже сейчас предлагают многие производители антивирусов. Часто даже не вполне понятно, чем же отличаются разные антивирусы друг от друга. Как обычному пользователю разобраться в ассортименте антивирусных программ и выбрать ту, которая подходит именно ему?

Николай Гребенников, заместитель директора департамента инновационных технологий

При выборе программы защиты следует руководствоваться двумя основными критериями качеством защиты и тем, насколько высокий уровень защиты пользователю требуется. При этом, уровень защиты формируется из нескольких составляющих, оценить их можно так:

  1. необходимо смотреть на уровень детектирования и время реакции продукта, для этого лучше всего анализировать результаты независимых тестов, таких как www.av-comparatives.org [1], www.av-test.de [2] (подробнее о сигнатурных тестах можно прочитать здесь: www.av-comparatives.org/seiten/ergebnisse/AVTW.pdf [3]);
  2. далее следует проанализировать качество проактивной составляющей антивирусного продукта, к сожалению, существует мало тестов для анализа проактивных защит, но в качестве примера можно указать тесты www.antimalware.ru/index.phtml?part=compare&anid=emulation [4] и www.av-comparatives.org/seiten/ergebnisse/HIPS-BB-SB.pdf [5];
  3. лечение заражённой машины, противодействие активному руткиту, качество самозащиты — примеры не менее важных для антивируса характеристик, которым, к сожалению, авторы тестов уделяют мало внимания. Хотя очевидно, что если вредо­носная программа может одной строчкой кода удалить антивирус, то самые лучшие показали уровня детектирования и времени реакции у данного антивируса уже не спасут пользователя от заражения. Практически единственный сайт, который в настоящее время занимается проведением подобных тестов — www.antimalware.ru;
  4. при выборе комплексного продукта следует проанализировать дополнительные компоненты продуктов, такие как сетевой экран и система защиты от спама. Независимые тесты антиспамовой составляющей персональных продуктов защиты нам не известны, поэтому единственным советом здесь может быть проверка работы этого компонента на собственном почтовом ящике во время тестового использования продукта. Что касается сетевого экрана, то есть хороший сайт, занимающийся сравнением качества защиты исходящего трафика с помощью тестов на утечки [6]. Хорошие показатели в данном тесте позволяют говорить о том, что сетевой экран является не просто довеском к антивирусу, а представляет собой реальный дополнительный слой защиты, который может предотвратить, например, отправку конфиден­циальных данных пользователя злоумышленникам, даже в случае, если антивирус не остановил троянскую программу.

Что касается выбора комплекса средств защиты, то я рекомендую читателям прочитать документ Securing Microsoft Windows (part II) [7] (PDF, 285 КБ), опубликованный совсем недавно одним из экспертов в области безопасности Guillaume Kaddouch.


Редакция благодарит Лабораторию Касперского [8] за организацию поездки.




Темы