В этом году традиционная международная конференция разработчиков антивирусного программного обеспечения Virus Bulletin проходила в Вене, Австрия. Обычно это мероприятие считается сугубо профессиональным, и журналистов там практически не бывает. В этом году «Лаборатория Касперского» пригласила на мероприятие двух представителей российской прессы.
Воспользуемся случаем и попробуем рассказать, что удалось узнать об индустрии противодействия зловредным программным продуктам, находясь некоторое время в центре событий.
Кстати, термин зловредные программы предпочитает использовать Евгений Касперский и, как нам кажется, термин очень ёмкий и понятный. В середине сентября в свет вышла книга Евгения Касперского, посвященная зловредным программам, истории их развития и противодействия им. Тираж книги не очень большой, но всем интересующимся темой вирусов и борьбе с ними можно смело рекомендовать её к прочтению. Книга написана простым языком, и поэтому будет понятна даже самому неподготовленному читателю. Повествование построено логично и изобилует реальными примерами из истории, что само по себе интересно и познавательно. Под термином «зловредное программное обеспечение» (или просто «зловред») в дальнейшем мы будем подразумевать вирусы, троянские программы и прочее так называемое malware (сокращенное от malicious software).
Наверное, одним из самых распространенных слухов относительно вирусов и борьбы с ними является тот, в котором говорится о том, что сами антивирусные компании занимаются созданием вирусов. Разумеется, когда выдалась такая возможность, вопрос был задан, а ответ — получен. Конечно, антивирусные компании не занимаются созданием вирусов. Во-первых, если бы кто-то себе такое позволил хотя бы раз, его репутации был бы нанесен непоправимый ущерб, и такая компания моментально исчезла бы с рынка. Во-вторых, антивирусные компании едва успевают справиться с имеющимися вирусами, когда им создавать свои собственные? И, в-третьих, если бы такое действительно было, то за столько лет хотя бы один факт, но давно бы всплыл, а этого не произошло. Поэтому все рассуждения на тему, что вирусы делают сами разработчики антивирусов, можно смело относить к разряду бреда.
В первых рядах защитников от зловредных программ стоят вирусные аналитики. Можно сказать, вирусные аналитики совмещают функции специалистов по программированию и по поддержке клиентов. В качестве программистов вирусные аналитики должны разбираться в тонкостях всех языков программирования и особенностях компиляторов, а в качестве специалистов по поддержке они общаются с клиентом, отвечают на его вопросы и помогают локализовать неизвестное вредоносное программное обеспечение удаленно.
Типичный сценарий работы вирусного аналитика примерно такой: клиент столкнулся с чем-то, что он считает подозрительным, возможно, это зловред, например, вирус. Клиент высылает подозрительный образец в виде файла вирусному аналитику. Подозрительный файл проверяется аналитиком всеми доступными способами, вплоть до полного дизассемблирования и анализа программы на самом низком уровне — уровне машинного языка. В результате анализа делается вывод, что присланный файл содержит известный вредоносный код, новый вредоносный код или файл чист и безопасен. В первом случае клиенту предлагаются стандартные процедуры борьбы со зловредом. Во втором случае сначала создается средство для уничтожения зловреда, вырабатываются процедуры борьбы с ним, инофрмация о новом зловреде вносится в антивирусные базы, а клиенту предлагается обновить базы антивируса через час. В последнем случае клиенту сообщается, что проблемы нет и можно спокойно продолжать работу.
В настоящее время так называемые вирусописатели занимаются своим делом исключительно в целях зарабатывания денег, причем сейчас это уже организованная преступность. Еще несколько лет назад было много вирусов, которые создавались просто из вредности, хотя часто вирусописатели заявляли, что пишут вирусы исключительно в целях самообразования или исследовательских. Сейчас с помощью вирусов похищается информация о банковских счетах, формируются так называемые зомби сети, и с их помощью осуществляются DDOS-атаки на серверы в интернете (DDOS — Distributed Denay Of Service, распределенная атака, вызывающая перегрузку системы и отказ в обслуживании клиентов). Разумеется, заказчик DDOS-атаки платит за её организацию реальные деньги. Зловреды распространяются разными способами, в частности, через спам в электронной почте, через поддельные сайты, через взломанные сайты, через украденное и взломанное программное обеспечение (так называемый warez). Поэтому, если вам предлагают что-то установить или скачать, лучше два раза подумать, действительно ли нужно соглашаться на предложение. Здраво оцените, не выглядит ли предложение подозрительным. Лучше быть немного параноиком, чем потом тратить время на избавление от зловредных программ. Возьмите за правило внимательно читать сообщения от программ, в которых вам предлагают согласиться с тем или иным действием, например, с установкой и запуском программы, только что скачанной с какого-либо сайта или полученной по почте. Внимательно смотрите на подозрительные ссылки, которые вам приходят с предложением их открыть или без комментариев. Любопытство в интернете порой наказуемо, и последствия не всегда могут обернуться «легким испугом». Большинство уловок вирусописателей при ближайшем рассмотрении не выглядят изощренными. Например, какой нормальный банк будет просить вас ввести данные вашей пластиковой карты, включая пин-код, для якобы установки новой системы защиты от хакеров? Или зачем на сайте, посвященном популярной MMORPG, нужно вводить ваш персональный логин и пароль от вашего игрового аккаунта? Если критически оценивать предложения, которые вам делают по почте или на сайтах, то потенциальных проблем будет гораздо меньше.
Подозрение у пользователя должны вызывать такие вещи, как внезапное снижение производительности вашего компьютера — откройте менеджер задач (task manager, комбинация клавиш: Ctrl+Shift+Esc) и посмотрите, что за программы или процессы забирают ресурсы вашего CPU. Не исключено, что у вас завелся троян и ваш компьютер уже участвует в DDOS-атаке на какой-нибудь сервер в интернете в составе зомби сети.
Нетрудно заметить, что основная опасность вирусов заключается в беспечности пользователей компьютеров, имеющих выход в интернет. На втором месте по счету, но не менее опасные из-за того, следуют ошибки в программном обеспечении, так называемые «дырки», которые используют злоумышленники. Реальность такова — статистика показывает, что около 15% компьютеров, имеющих доступ в интернет, не обладают даже самой простой защитой от вирусов, а установленное на них программное обеспечение, включая операционную систему, не обновлялось официальными патчами. А ведь один такой компьютер в корпоративной сети — и защита всей инфраструктуры уже под серьёзной угрозой! Домашних пользователей это тоже касается, потому как, попав на один из компьютеров домашней сети, современный компьютерный червь будет искать другие лазейки в ресурсах, казалось бы, неуязвимых из интернета, пытаясь пробраться в системы, но уже из самой домашней сети. А ведь антивирусное программное обеспечение защищает пользователя не только от него самого, но и от последствий наличия тех самых возможных «дырок» в программном обеспечении. Причина такого бедственного положения — слабая информированность пользователей или их беспечность. Установить троянца на незащищенный антивирусом компьютер можно массой способов, и его владелец может даже не знать, что компьютер используют в преступных целях. Самое печальное, что антивирусной защитой порой пренебрегают даже люди, работающие в ИТ-индустрии. Представьте, что происходит в отраслях, где люди не «на ты» с компьютером?
Проблема усугубляется и тем, что созданием зловредных программ занимаются и профессионалы, уровень знаний которых позволяет им зарабатывать дополнительные легкие криминальные деньги. Вирусописатели применяют различные методы оптимизации и повышения эффективности своих продуктов. Например, они стали активно применять системы автоматизации с элементами, аналогичными применяемым при промышленном производстве, в результате чего новые модификации вирусов можно создавать очень быстро. Это опасно тем, что скорость реакции антивирусных компаний на новые виды вирусов не может быть ежесекундной, а значит, возможна ситуация, когда вирус какое-то время будет действовать и распространяться в сети, а защиты против него не будет. На конференции приводился пример подобного вируса, модифицированные версии которого выходили с постоянно сокращающимся интервалом времени. Менее чем за шесть часов вышло более 25 разновидностей вируса, каждая из которых имела новую сигнатуру, а промежуток между последними шестью версиями был менее пяти минут. Распространение вируса шло через массовые зомби сети волнами. Этот пример наглядно показывает, что традиционные методы борьбы с вирусами, применяющие базы с сигнатурами уже не столь эффективны при борьбе с такими программами, прежде всего, из-за задержек во времени. В настоящее время самым перспективным направлением является так называемая проактивная защита (proactive defense).
Суть проактивной защиты в следующем: система производит полный мониторинг деятельности приложений на компьютере пользователя и постоянное резервное копирование состояния операционной системы и установленных программ. Проактивная защита информирует пользователя о подозрительных действиях, и, если возникнет необходимость, будет произведен так называемый «откат» на точку, когда система была безопасна и стабильна. В настоящее время эффективность проактивной защиты находится на уровне 90%, то есть антивирус может не обновлять свою базу сигнатур и обеспечивать довольно стойкую защиту компьютера. Разумеется, эффективнее комбинированная защита, когда используются все доступные методы. Также не стоит забывать об обязательном применении файерволов (firewalls), если нужна действительно комплексная защита.
Тут стоит упомянуть еще одну проблему. Конечно, неплохо бы использовать одновременно разные системы антивирусной защиты, так как решения от разных компаний могут иметь свои сильные стороны, а комбинация продуктов может быть эффективнее. Но, к сожалению, в реальной жизни практически невозможно использовать одновременно два антивируса. Впрочем, некоторые компании, в частности «Лаборатория Касперского», поддерживают совместную работу с конкурирующими продуктами. По крайней мере, подобная кооперация встречается в защитных решениях уровня предприятия. Одной из причин нежелания делать свои продукты совместимыми считается то, что для защиты персонального рабочего места достаточно решения от одного вендора, а комплексная защита на основе продуктов разных производителей будет избыточной. Возможно, в настоящее время это действительно так, но что будет завтра?
В основе каждого антивирусного продукта лежит так называемый движок. Движок — это среда, осуществляющая управление защитными программами. Одни защитные программы анализируют сигнатуры и сравнивают их с имеющейся базой. Другие проводят анализ кода (эвристика), третьи — обеспечивают проактивную защиту. Взаимодействие защитных программ между собой, взаимодействие антивируса с операционной системой компьютера и с пользователем посредством интерфейса — всё это и обеспечивает движок.
Антивирусные движки некоторых компаний-разработчиков можно встретить и в других продуктах. Например, движок, разработанный «Лабораторией Касперского», приобрел целый ряд компаний, среди которых антивирусные вендоры и Microsoft.
Всегда было интересно, а как тестируют антивирусы? До недавнего времени это делалось примерно так: фиксировалась версия антивирусов, и их запускали в среде с вирусами, и смотрели на эффективность борьбы с вредоносным кодом. Понятно, что тот вендор, у которого была самая обширная и оперативно расширяемая база сигнатур, и становился победителем. Но в современных условиях сигнатурная база это не всё, что нужно для успешной борьбы со зловредными проявлениями. Поэтому с 2007 года принято решение, что в тестах будут применять лишь проактивную защиту. Как раз на прошедшей конференции все заинтересованные стороны обговаривали детали условий тестов. Тестирования эффективности антивирусов проводятся незаинтересованной стороной, и в результате выявляется некий лидер. Понятно, что победитель использует результаты тестов в маркетинговых целях.
На чем зарабатывают деньги антивирусные вендоры? Вроде бы ответ очевиден — на продаже антивирусных продуктов, тем не менее, интересно знать, кто основной потребитель? Вопреки ожиданию, ведущие аналитики «Лаборатории Касперского» ответили, что нет, не корпоративный сектор нам приносит основной доход, а рынок решений для конечного пользователя. Разумеется, разговор велся в контексте мировых продаж. В России, конечно, больший доход приносят продажи корпоративных решений.
Что касается положения «Лаборатории Касперского» в мировом табеле о рангах (в плане объемов продаж), то по оценке самих аналитиков компании, это примерно 9-е место с тенденцией к усилению позиций. По их мнению, занять третью позицию в мировом табеле о рангах вполне по силам для «Лаборатории Касперского» уже в ближайшие три года. Зато разрыв между третьим и вторым местами колоссален. Поэтому подобраться к лидерам будет сложнее. А кто лидеры? Это Symantec и McAffe. Отметим, что данный табель немного условен, так как в нем не учитываются компании, работающие только для корпоративного сектора, потому что там своя специфика. Скажем, британская антивирусная компания Sophos занимает около 90% рынка Великобритании. Впрочем, борьба на рынке идет довольно нешуточная, а в свете того, что в этот сектор вышла компания Microsoft, конкуренция только усилится. Нам, как потребителям антивирусных продуктов, это только на руку.
Попробуем резюмировать итоги конференции и впечатления, полученные в процессе общения с вирусными аналитиками. Если говорить кратко, то ощущение такое, что все довольно плачевно. Конечно, борьба идет и, зачастую, очень эффективно, но бороться не становится легче, наоборот, борьба ожесточается. Пессимистичный прогноз таков: если ситуация с наплевательским отношением к наличию антивирусной защиты у большинства пользователей не изменится в лучшую сторону, будет только хуже. Если пользователи станут более осторожны, то ситуация улучшится. Как говорится, если нельзя устранить угрозу полностью, нужно научиться жить рядом с ней.
Огромное число незащищенных компьютеров в интернете создают очень благоприятную среду для распространения вредоносных программ. Доверчивость пользователей, усиливаемая слабой осведомленностью о методах преступников, способствует мошенничеству и приносит убытки в миллиарды долларов в год. Так что же делать? Видимо, нужно взять на вооружение девиз: предупрежден — значит, защищен. Компаниям необходимо заниматься просветительской деятельностью, то есть информировать пользователей о возможных опасностях и элементарных способах предотвращения заражения вирусом или утери ценной информации.
Можно рассчитывать на то, что раз Microsoft создала собственный центр противодействия зловредным программам, то ситуация в целом может улучшиться. Возможно, это и так, но вряд ли стоит ожидать мгновенных изменений на рынке. Конечно, если бы Microsoft встроила антивирусную защиту в свои операционные системы и не позволяла бы компьютерам выходить в интернет без активации этой защиты, то результат мог бы превзойти ожидания. Но не факт, что Microsoft захочет навязывать собственный антивирус — зачем дразнить антимонопольные органы? Как вариант, Microsoft могла бы взять на себя функции дистрибутора антивирусной защиты и могла бы предлагать пользователям выбор среди нескольких антивирусов. Но такой сценарий очень сложен в реализации и имеет слабые места, которыми незамедлительно воспользуются вирусописатели.
Может быть, нужно переходить на другие операционные системы, где не такого разгула зловредных программ? Это не поможет. Распространенность вирусов в среде Windows — это плата за гибкость этой среды. Хотим ли мы закрытые и очень безопасные системы, которые бы ограничивали нашу свободу? Скорее всего, нет, а, значит, еще долгое время будет идти ожесточенная борьба между создателями вредоносного ПО и антивирусными компаниями. А в любой альтернативной ОС, как только она становится достаточно популярной, моментально появляются свои вирусы и мошенники. За примерами далеко ходить не надо, достаточно посмотреть новости о MacOS, и будет заметно, что с ростом популярности компьютеров от Apple, активизировались и вирусописатели под эту среду.
PS
Традиционный подраздел о городе. Вена запомнилась многим. В частности, запахом, — это запах навоза. По центральной части города в большом количестве разъезжают кареты, запряженные лошадьми. Отсюда и специфичный запах. В целом Вена понравилась. На вид это типичный европейский город, но со своими отличительными чертами. Прежде всего, это, конечно, имперский стиль. Величественные дворцы, массивные здания, памятники императорам и полководцам, двуглавые орлы и готические соборы.
Все это прекрасно уживается с хорошими дорогами, современными зданиями, ухоженными парками, удобным общественным транспортом и прекрасной кухней. Да-да, кухня в Вене очень хорошая и близка нам по духу. Тут вам предложат настоящий шницель и хорошее пиво или бокал вина. Традиционный венский кофе — меланж, по сути, капучино, обязательно со стаканом холодной воды, и не менее традиционный яблочный штрудель. Повсеместно в центральной части города расположены небольшие кофейни и ресторанчики. Вооружившись путеводителем, можно найти улочку, где жил и умер василиск, найти кофейню госпожи Хавелки, где собирается литературный бомонд или проследовать в довольно пафосное кафе «Централь», где Ленин с Троцким строили планы на будущее.
Передвигаться по городу можно пешком. А можно воспользоваться такси или общественным транспортом, самый примечательный вид которого, это, пожалуй, U-Bahn (У-Бан или метро).
В У-Бане на входе нет контроллеров. Никаких — ни автоматических, ни в виде сотрудников. Правда, говорят, периодически контроллеры появляются в вагонах, и проверяют билеты. Билет на одну поездку стоит 1,70 евро, недешево, но если покупать месячный проездной, то будет хорошая скидка. Плюс в Австрии, как и вообще в Европе, развита система бонусов для студентов, детей с родителями и детей с сопровождающими их взрослыми. Вагоны в венском метро шире, чем в московском, поэтому диваны для пассажиров расположены, как в автобусах, — поперек. Интересной особенностью являются полуавтоматические двери в вагонах. Закрываются двери автоматически, а открываются — только если пассажир дернет за ручку или нажмет специальную кнопку (в зависимости от типа вагона). Подобного рода оптимизация распространена — на трамваях и вагонах скоростного поезда до аэропорта стоят фотоэлементы, и если никого нет у дверей — они автоматически закрываются или не открываются.
Обратите внимание на камеры видеонаблюдения, они повсюду, что способствет безопасности
Вена славится своим самым старым в Европе зоопарком, который еще и самый современный, а также самым старым в Европе и до сих пор исправно функционирующим колесом обозрения.
Отметим также и то, что в Вене очень многие говорят по-русски. Русская речь слышна довольно часто, причем по-русски говорят не только приезжие и иммигранты, но и коренные жители. Судя по всему, к нам там довольно хорошо относятся в целом, как к жителям России. Тем большую симпатию вызывает Австрия и Вена.
В Вене находится мемориал воинам Красной армии, погибшим в боях за освобождение города от нацистов. Этот мемориал в прекрасном состоянии, за ним явно ухаживают и никуда переносить не собираются.
аналитикам «Лаборатории Касперского»:
Виталию Камлюку, Алексею Гостеву и Андрею Никишину
Особая благодарность Светлане Новиковой