Многие слышали, что существует некая киберпреступность, а в мире идут «кибервойны». Но не каждый знает, что их фронт пролегает в полуметре от большинства из нас. Работая за компьютером, мы можем даже не догадываться, что он - полноценный участник таких «боевых действий».
Одно из основных видов оружия компьютерных злоумышленников - вирусы. Большинство владельцев ПК уверены, что их машина защищена, потому что на ней стоит антивирус. Только далеко не все такие программы хорошо справляются со своими обязанностями.
На что и как охотятся вирусы? Далеко ли зашла «гонка вооружений», которую давно ведут производители антивирусов и авторы вредоносных программ? Легко ли убедиться, что двери вашего ПК действительно заперты на надежный засов? Об этом - наш разговор с Александром МАТРОСОВЫМ, главой Центра вирусных исследований и аналитики российского представительства компании ESET. Ее антивирус NOD32 установлен на каждый третий компьютер в нашей стране.
Профессиональная киберпреступность
- Компания ESET совсем недавно открыла в России Центр вирусных исследований и аналитики. Чем он займется?
- Наша страна славится хорошей инженерной подготовкой, причем у российских инженеров очень широкий кругозор. Свои силы они могут применять как во благо, так и во вред. Исторически сложилось, что помимо страшных «русских хакеров» у нас есть много хороших специалистов по безопасности. Так что открытие нового центра - логичный шаг. В первую очередь он будет заниматься борьбой с «местными» вирусами, потому что есть ряд вредоносных программ, которые встречаются только в России.
- Что это за вирусы?
- Например, нашумевшие в последнее время программы-блокираторы. Они так или иначе блокируют нормальную работу с компьютером. А за то, чтобы вернуть ему работоспособность, требуют отправки платного СМС или перевода денег на электронный кошелек. Нельзя сказать, что это глобальная эпидемия, но в последнее время количество таких вирусов сильно возросло.
- Кто пишет такие вирусы?
- Новые технологии на этом поприще придумывают не школьники и не хакеры-недоучки, а серьезные профессионалы, которые тратят на это много времени.
- Зачем им это?
- Все делается из корыстных побуждений. Киберкриминал - это не студенты, которые делают что-то ради интереса. Это индустрия, в которой, как и в любой другой, есть различные группы людей, и каждая выполняет свою часть работы.
Например, одна из групп разрабатывает технологии. Причем эти люди могут даже не подозревать, чем занимаются. Им дали заказ, попросили написать программу. Они его выполнили, получили деньги. Сам программист не нарушает закон - он не распространяет вредоносный код, потому что в его продукте он вообще не содержится.
Уникальных экземпляров вирусов гораздо меньше, чем модификаций. Исходные тексты вредоносного кода продают на форумах, созданных преступниками для преступников. Их покупают, модифицируют и выпускают новые программы.
- Сколько зарабатывают на вирусах?
- Подсчитать сложно, потому что инциденты, о которых рассказывают СМИ, - лишь малая доля того, что происходит. Например, истории, которые случаются в крупных компаниях, как правило, замалчивают, потому что разглашать их вредно для бизнеса. В итоге все оценки очень приблизительные, но ясно, что в мировых масштабах речь идет как минимум о миллионах евро. К тому же на одном-единственном вирусе может держаться половина доходов всего киберкриминального бизнеса.
Компьютеры-зомби
- Как именно злоумышленники получают доход?
- Выгода может быть и прямой, и косвенной. Конечно, можно красть деньги напрямую. Скажем, существует большой класс вредоносных программ, которые выведывают информацию о банковских счетах - так называемые троянские программы, попадающие в класс вредоносных программ «Bankers». Когда вы заходите на сайт своего банка, вредоносная программа видит это и фиксирует информацию, которую вы вводите, включая пароль. В операционной системе он обычно хранится в открытом виде или слабо зашифрован, его легко вскрыть. Потом злоумышленники идентифицируются на сайте банка и осуществляют транзакцию.
Кстати, прошлой весной получил известность так называемый банковский вирус. Некоторые банкоматы, в том числе в России, были заражены вредоносной программой, которая собирала коды и номера кредитных карточек. Когда злоумышленник подходил к такому банкомату и набирал определенную комбинацию цифр, ему на чеке распечатывалась вся сохраненная информация.
Вообще вредоносных программ великое множество. Есть даже вирусы, которые нацелены на кражу персонажей онлайн-игр, - пару лет назад был вал таких программ. Зачем красть информацию о банковском счете, если можно украсть персонажа для популярной игры World of Warcraft и продать его с аукциона. Иногда это гораздо выгоднее, чем красть деньги со счетов, а ответственности почти никакой.
- Что за «косвенные способы» нажиться на вирусах?
- Мишенью могут быть вычислительные ресурсы компьютера. Такие зараженные машины называют «зомби», «ботами». Чаще всего они используются для атак на сайты и рассылки спама. Цели тех, кто их устраивает, могут быть очень разные - от вымогательства до сложной конкурентной игры. При этом пользователь даже не знает, что с его компьютера атакуют какой-нибудь сайт. Его машина может годами использоваться в нехороших целях.
- Какой был самый ужасный вирус в истории?
- Их было очень много. В свое время червь MSBlast наделал немало шума - он парализовал работу крупных компаний. Этот червь заставлял компьютер постоянно перезагружаться. Он создавался не для коммерческой выгоды, но нанес миллиардные убытки.
Недавний пример - руткит TDSS. Руткит - это технологии, которые позволяют вирусу укрепиться очень глубоко в системе. Так, чтобы пользователь не увидел запущенный процесс и не смог запустить антивирусную программу. Сейчас это самые сложные вирусы - их трудно обнаружить, трудно вылечить.
В прошлом году самой громкой угрозой был червь Conficker. Он создал огромную сеть «зомбированных» компьютеров - пока выявлено около 10 миллионов зараженных машин. Представляете, какая это вычислительная мощь? Атаки, исходящей от такой сети, не выдержит никакой интернет-ресурс.
- Часто ли ловят вирусописателей?
- Интернет не имеет границ, а законодательство в каждой стране разное. Поэтому нет глобального органа, который бы занимался расследованием инцидентов, связанных с вирусами. И это очень большое упущение для мира в целом - громкие инциденты трудно расследовать.
Правда, антивирусные компании постепенно стали объединяться в группы. В частности, появилась группа по расследованию инцидента с Conficker, в которую входит и наша компания. Группа, в том числе, занимается поиском людей, которые этот вирус написали, и мониторингом того миллионного ботнета, который они создали.
- Что удалось выяснить?
- Найти создателей червя Conficker трудно - там много ниточек, некоторые ведут и в Россию, некоторые - в Китай. Выяснили одно - этот вирус разрабатывался группой людей, которые находились в разных странах. Провести расследование очень сложно, в том числе из-за юридических препонов.
Переговоры об унификации законодательства в разных странах велись давно, но в этой области больших успехов пока нет. Шаги к сближению слишком малы.
Бесплатный сыр
- Правда ли, что вирусом можно заразиться, даже не запуская зараженные файлы, а всего лишь открыв страничку в Интернете?
- Безусловно. Вы просматриваете сайты, используя программу-браузер. Она, как и любая программа, может содержать уязвимости. Тем более что современные браузеры - очень сложные системы, в них содержится не только код производителя, но и сторонние модули.
Если они уязвимы, им можно навязать выполнение вредоносного файла или документа. Он запишет вредоносный код в систему, этот код начнет скачивать другой вредоносный код... Короче говоря, можно заразиться чем угодно, просто зайдя на интернет-страницу. Причем бывали случаи, когда злоумышленники взламывали вполне легальные, респектабельные сайты и внедряли в них свой вредоносный код.
Еще один популярный в последнее время способ заражения - ложные кодеки. Вы заходите на ресурс любопытного содержания, пытаетесь посмотреть видеоролик, а вам сообщают, что у вас нет нужной программы - и вы увидите ролик, только если поставите ее, скачав с сайта. Не все пользователи имеют высокую компьютерную грамотность, и иногда это воспринимают как призыв к действию: нужно поставить программу - значит, нужно.
- Есть ли другие способы подхватить вирус, не догадываясь об этом?
- Например, через автозагрузку на флеш-картах. Вы вставляете брелок в зараженный компьютер, вытаскиваете - и он уже содержит вредоносную программу. Потом эта флешка вставляется в десятки других компьютеров...
Интересная тема - мобильные вирусы. Сейчас очень развито СМС-мошенничество. Буквально в конце января мне тоже пришла эсэмэска: «Вам онлайн-открытка». Безусловно, я с помощью специальной программы скачал эту открытку и был на 99% уверен, что это троян, отправляющий платные СМС с вашего номера. Так и оказалось.
Мобильный телефон есть практически у каждого. Получив такое сообщение, человек может даже не знать о существовании мобильных вирусов. У него может даже не быть компьютера. Но он нажмет на ссылку, перейдет на вредоносный сайт и скачает эту программу.
- Как компьютерному «чайнику» выбрать хороший антивирус?
- Есть независимые организации, которые проводят специальные тестирования. Пользователь может выбирать по разным критериям, для каждого они свои. Насколько антивирус загружает систему, эффективна ли защита, насколько он популярен?
Наш продукт удовлетворяет самых искушенных пользователей: мы не требовательны к ресурсам, но предоставляем эффективную защиту. Мы с самого начала участвуем в тестах и занимаем самые высокие позиции. Наша эвристика наиболее продвинутая среди конкурентов, у нас наименьшее число ложных срабатываний. У конкурентов доходит до смешного: в конце января один антивирус ругался буквально на весь Интернет - везде видел трояны.
- Чем плохи бесплатные антивирусы?
- Представьте, что вы покупаете программу, но без постоянных обновлений она по большей части бесполезна. Чтобы разрабатывать обновления, нужны высококвалифицированные специалисты - а они дорого стоят. К тому же производители антивирусов не заинтересованы в том, чтобы конкуренты имели доступ к их базам, потому что это их главная интеллектуальная собственность.
К примеру, штат ESET в России - около 80 человек. И это не считая Центра вирусных исследований и аналитики, в котором будут работать специалисты очень высокого уровня. Вирусный аналитик - это не просто программист, а любознательный человек, который любит поковыряться внутри кода. Его задача - производить вскрытие вредоносных программ. Для этого нужен огромный багаж знаний, потому что вирусы пишутся на самых разных языках программирования и выглядят абсолютно по-разному. И человек должен разбираться, как на всех вообще платформах выполняется вредоносный код.
- Значит, «свободные» антивирусы - это типичный «бесплатный сыр»?
- Пользоваться ими можно. Только нужно понимать, что для производителей они - способ продвижения платного продукта. К примеру, урезанная версия антивируса - бесплатная, а расширенная продается за деньги. Получаете ли вы адекватную защиту в бесплатной версии или это рекламный трюк, чтобы заполучить пользователей?
Бесплатный антивирус может быть просто сканером и не защищать компьютер в реальном времени. Может только обнаруживать вирусы, но не лечить. Он может реже обновляться: платные антивирусы обновляют базы раз в несколько часов, а бесплатные - могут и раз в неделю.
Более того, обновления бывают разные - есть просто обновления по расписанию, а есть экстренные, они приходят, как только появилась серьезная угроза. У бесплатных антивирусов этого может не быть.