Вирусы, как известно, бессмертны. Это единственная форма жизни, ДНК которой устроена таким образом, что вирусы не погибают от старости, а только от внешних причин. Ущерб, который вирусы нанесли человечеству, не поддается исчислению. Медики придумывают все новые виды лекарств. В свою очередь вирусы мутируют и учатся обходить защиту.
Такая же гонка вооружений идет на компьютерном фронте. Первая зловредная самокопирующаяся программа появилась в 1981 году. С тех пор эволюция компьютерных вирусов шла семимильными шагами. Они научились зомбировать компьютеры, даже занимаются шантажом и обчищают банковские счета.
На что и как охотятся вирусы? Как далеко зашла «гонка вооружений», которую давно ведут производители антивирусов и авторы вредоносных программ? Об этом – наш разговор с руководителем Центра вирусных исследований и аналитики компании ESET Александром МАТРОСОВЫМ. Антивирус этой компании NOD32 установлен на каждый третий компьютер в РФ.
Тридцатилетняя война
– Кто побеждает в войне – вирусы или антивирусы?
– Это бесконечное противостояние брони и снаряда. Разрабатывается как оборонительное оружие, так и оружие нападения. Кто побеждает, сказать сложно. Новые технологии на этом поприще придумывают не школьники и не хакеры-недоучки, а серьезные профессионалы, которые тратят на это много времени. Это делается из корыстных побуждений.
– Насколько доходны компьютерные злодеяния?
– Оценки очень разные. Ясно – дело кормит и денег там хватает. Киберпреступники – не сборище голодных студентов, которые решили подработать. В этой сфере работают вполне состоявшиеся бизнесмены. Суммы, вращающиеся на этом рынке, позволяют преступникам объединяться в крупные группы и вести свою деятельность профессионально. Они вкладывают большие средства в совершенствование технологической базы, которая у них есть, во вредоносное программное обеспечение.
Это индустрия, в которой, как и в любой другой, есть различные группы людей, и каждая выполняет свою часть работы. Например, одна из групп – разрабатывает технологии. Причем эти люди могут даже не подозревать, чем занимаются. Им дали заказ, попросили написать «то-то и то-то». Они его выполнили, получили деньги. Сам программист не нарушает закон – он не распространяет вредоносный код, потому что в его продукте он вообще не содержится.
Уникальных экземпляров вирусов гораздо меньше, чем модификаций. Исходные тексты вредоносного кода продают на форумах, созданных преступниками для преступников. Их покупают, модифицируют и выпускают новые программы.
– Можно ли написать вирус, который невозможно обезвредить, – своего рода компьютерный СПИД?
– К счастью, пока это невозможно. Любой вирус можно вылечить – конечно, если он напрочь не убивает всю систему и не наносит повреждений «железной» составляющей.
– Компьютерные вирусы становятся все изощреннее. Каким хитроумным трюкам они научились в последнее время?
– Например, у вас есть банковский счет и вы управляете им с компьютера, через Интернет. Представьте, вы заходите на официальный сайт платежной системы. Если компьютер заражен вирусом, он может сделать так, что вы вбиваете цифры – и видите на сайте свой лицевой счет, а на самом деле он чужой. Вирус подменяет счет, а вам показывает ложные данные. В итоге вы переводите деньги на счет злоумышленника.
– Сейчас много разговоров о сетях компьютеров-зомби. Так называемых ботнетах. Обычно их используют для атак на сайты. В такой сети может быть до нескольких миллионов компьютеров. Причем владельцы даже не подозревают, что их машины используют злоумышленники. Откуда в мире берутся такие масштабные ботнеты?
– Есть специальные группы, которые занимаются тем, что на их сленге называется «продажа инсталла». То есть – установки вредоносного ПО на компьютеры пользователей. Стоимость 1 тысячи инсталлов в США и Канаде – 150–250 долларов. Причем речь не просто о том, что вредоносная программа установлена, а о том, что она отправила преступникам информацию, что она проинсталлировалась. Идет контроль, что бот в течение нескольких часов остается живым на этой машине. Это нужно, чтобы злоумышленники, которые реализуют системы инсталлов, не обманывали тех, которые ее продают. Чтобы вор у вора шапку не украл.
Где посадки?
– Год назад огромной угрозой были блокираторы компьютеров. Эти вирусы прекращали работу компьютера или мобильного телефона, порой шифровали всю информацию. И выводили на экран сообщение: хотите продолжить работу, вернуть свои данные, вышлите платное СМС на короткий номер. Сейчас удалось победить блокираторы?
– Они и сейчас распространены. Причем, как показывает практика, значительная часть пострадавших от вируса в такой ситуации действительно пытаются отправить СМС. Это – психологическая атака, социальная инженерия, тут ничего нового не придумали. Скажем, 98% людей, которые получат письмо со своим начальником в адресатах и цель-файл с названием «премии за квартал», а потом следующее письмо: «Ой, Вася, извини, ошибся, удали, пожалуйста, мое письмо», откроют этот файл посмотреть. А при открытии – заразят компьютер вирусом. Но есть угрозы и посерьезнее.
– Какие именно?
– Представляете, какие возможности открываются у киберпреступников с точки зрения развития современных технологий – умные холодильники, умные микроволновки, умный дом. Представляете себе программу-блокиратор для холодильника, которая, чтобы тот открылся, требует отослать СМС? А кушать-то хочется.
Умные холодильник и телевизор, которые общаются с другими устройствами через беспроводные сети, – это уже реальность. Не исключаю, скоро придется писать антивирусы для автомобилей. Это серьезно, потому что вредоносная программа может нанести ущерб жизни людей. В автомобилях – все больше электроники, соответственно, – программ. Они управляют десятками узлов и систем машины. Пока что достаточно функциональными компьютерами оснащены только дорогие автомобили высокого класса, но тем не менее.
– Часто ли ловят вирусописателей?
– Интернет не имеет границ, а законодательство в каждой стране разное. Поэтому нет глобального органа, который занимался бы расследованием инцидентов, связанных с вирусами. И это очень большое упущение для мира в целом – громкие инциденты трудно расследовать.
Инциденты, о которых рассказывают СМИ, – лишь малая доля того, что происходит. Например, истории, которые случаются в крупных компаниях, как правило, замалчивают, потому что разглашать их вредно для бизнеса. В итоге все оценки очень приблизительные, но ясно, что в мировых масштабах речь идет как минимум о миллионах евро. К тому же на одном-единственном вирусе может держаться половина доходов всего киберкриминального бизнеса.
– В России киберпреступностью занимается Управление К Министерства внутренних дел. Если преступления расследуются – где посадки?
– Это больная тема. Например, недавно в Новосибирске рассматривалось судебное дело. Речь шла о краже почти 10 миллионов долларов у известной британской платежной системы. Но человека осудили всего на пять лет условно! Объясняя это тем, что он якобы возместил весь ущерб истцу и к нему не было претензий.
Но что значит «вернул»? Он уже обналичил украденные деньги, и в лучшем случае получил 60–70% от украденной суммы. Где он взял остальное? Ведь речь идет о сумасшедших деньгах, которые человек, работающий за 30 тысяч рублей в месяц, явно не мог заработать. Видимо, это было не единственное его преступление. И таким людям дают пять лет условно! Естественно, этот человек работал не в одиночку. И его сообщники в других странах получили вполне реальные сроки. Мне сложно понять, почему у нас такого не происходит.
Наверное, это комплексная проблема. Дело и в законодательстве, и в том, что судья, который слушает данное дело, не специализируется на делах подобного рода. Вообще бывает, что сами судьи плохо разбираются в компьютерах. То, что человек украл каким-то образом деньги через компьютер, – сложно для понимания.
Бесплатный сыр
– Допустим, компьютер несколько лет работал без антивируса. Понятно, там может быть любая зараза. Сможет антивирус вылечить такой компьютер или нужно переустанавливать систему?
– Смотря какой антивирус вы купили. Вообще говоря, если на компьютере не было антивируса и там долго функционировало большое количество вредоносных программ, то самой системе может быть нанесен серьезный ущерб. Она может быть повреждена таким образом, что даже антивирусная программа после установки не будет правильно функционировать.
Антивирус может не установиться, может не запуститься какая-нибудь его подсистема. Может блокироваться получение обновлений. Понимаете, даже если вы установите антивирус и вылечите все вирусы, система может быть настолько повреждена, что антивирус будет работать неправильно, и пользователь будет думать, что во всем виноват этот самый антивирус. Поэтому в таком случае лучше переустановить систему, потому что даже с помощью антивируса не удастся решить все проблемы.
– Существует некоторое количество свободных антивирусов. За них не просят денег. Это типичный «бесплатный сыр»?
– Скажу так. Если у пользователя стоит выбор: использовать бесплатный антивирус или никакой, лучше поставить хотя бы бесплатный. Это лучше, чем ничего. Но бесплатные антивирусы отражают только простые угрозы. К примеру, несложно вылечить троянскую программу, которая не заражает файлы, а просто порождает в системе некоторый процесс и небольшие модификации.
Но если это сложный вирус, который заражает системные драйвера и вносит существенные модификации? Тут производителю антивирусов нужны очень квалифицированные специалисты. Они – достаточно дорогие. Нужно иметь большой и квалифицированный центр исследований и разработок.
Не скажу, сколько стоит весь центр, но зарплата каждого квалифицированного специалиста с опытом работы в антивирусной сфере – более 100 тысяч рублей в месяц. Это в России. За рубежом речь идет о 3 тысяч евро и выше. В Англии – от 7 тысяч евро. А таких специалистов нужна сотня.
К примеру, штат ESET только в России – около 100 человек. И это не считая «Вирусной лаборатории», в которой работают специалисты очень высокого уровня в области информационной безопасности. Проблема еще и в том, что некоторые угрозы носят региональный характер. К примеру, для США совершенно неактуальны вредоносные программы, которые похищают аккаунты в «Одноклассниках» и «ВКонтакте». Потому что большинство американцев эти сайты просто не знают и, даже зайдя на них, не поймут, что это за сайты и на каком они вообще языке. В мировом масштабе вредоносная программа может быть совершенно несерьезной, и ее обнаружение и исследование отодвинут на последний план. А в масштабе одной страны она может быть крайне серьезной – и региональная лаборатория платного антивируса обработает ее в первую очередь.
– Как изменятся и вирусы, и антивирусы через 5–10 лет?
– Ландшафт угроз будет меняться. Самое любопытное, появляется все больше угроз не только для обычных пользователей, но и для корпораций. Недавно произошел инцидент, связанный с киберпреступной «группой анонимов», которые сначала осуществляли атаку на платежные системы – в поддержку WikiLeaks. А потом – на американскую компанию HBGary, которая взаимодействовала с американскими спецслужбами, осуществляла по всему миру консалтинг по IT-безопасности. У них были очень серьезные эксперты в вирусологии.
Бизнес этой компании был убит в течение недели. Я не знаю, что там точно произошло, но официальная версия такова. Компания осуществляла расследование, искала участников группы анонимов и якобы нашла. О чем было публично заявлено. После чего у компании взломали локальную сеть, и через мобильные устройства – в частности через iPad одного из сотрудников – был получен доступ к корпоративной почте. В Интернет выложили все разработки этой компании, переписку за всю историю ее существования. Естественно, в ней присутствовала информация о том, как и с кем компания сотрудничала, с какими спецслужбами по всему миру вела переговоры. Это сделали с компанией, которая профессионально занимается безопасностью!
Я подозреваю, что таких случаев, сложных, многоуровневых, многозвенных целевых атак станет только больше. Причем из-за того, что в СМИ стала просачиваться информация об успешных целевых атаках и об ущербе, который они наносят, заинтересованных лиц тоже будет все больше.