Вход | Регистрация

Информационные технологии ::

Метки:

Наталья Касперская о вирусах: «Интернет если и умрет, то не сразу»

Я
   Волшебник
 
22.05.04 - 23:21
На последнем РИФе Наталья Касперская, президент «Антивирусной лаборатории Касперского», рассказала о последних тенденциях в развитии вирусов и борьбы с ними. Ее доклад «Вирусы и возможность кибервойны» мы и предлагаем вниманию наших читателей.



Последнее время мы наблюдаем очень неприятную тенденцию: вирусы превращаются в бизнес. Раньше считалось, что их пишут подростки или студенты, которые только начали изучать программирование и которым нужно какое-то самовыражение. К сожалению, сейчас по тем образцам, которые попадают к нам в лабораторию, мы видим, что это уже не так: большинство вирусов пишется профессионалами. И возникает вопрос – зачем? Мы установили несколько мотивов.

Понятно, что самый простой способ зарабатывания денег – это воровство различных паролей: начиная от паролей кредитных карт и заканчивая сетевыми паролями и паролями на подключение к компьютеру, с тем чтобы потом получать к данному компьютеру доступ. Большинство современных «червей» собирают именно такую информацию.

Другая область деятельности – это рэкет. Схема примерно такова: хакер или вирусописатель находит дыры в безопасности той или иной компании, засылает туда вирусы, проверяет, что там есть, после чего звонит руководителю и говорит: «Ну, док, $50 тыс. давай, и мы будем обеспечивать защиту. А если нет, то завтра в 15 часов дня на твой сервер начнется вирусная атака. И ты работать не сможешь месяц». За последний год я лично читала в прессе о трех таких случаях, и цифры, что интересно, все время одинаковые –почему-то каждый раз $50 тыс.

Следующее – это рассылка спама. Например, «червь» Sobig был первой программой своего класса, которая использовала спамерские методы. Он, собственно, и служит для того, чтобы находить open relays и потом использовать их как спам-машины.


Последнее «направление» – это заказные работы. Мы слышали о нескольких таких случаях, потому что к нам обращались государственные органы с просьбой помочь с технической экспертизой. Механизм такой: например, я хочу испортить бизнес конкурента. Я нанимаю вирусописателя, который создает такой вирус, «чтобы у моего конкурента ничего не работало». Обычно это месть, желание насолить бывшему работодателю и так далее. Кроме того, возможны и политические заказы, направленные против отдельной страны или отдельной личности. И я думаю, что такого рода бизнес будет расти.


Что происходит с авторами вирусов? Помимо возникновения смычки межу вирусописателями и спамерами, о которой мы уже говорили, происходит создание преступных сообществ. У них (вирусописателей – прим. ред.) есть собственные форумы. Большинство их них – закрытые, куда доступ получить практически невозможно. Тем не менее есть и открытые форумы, зайдя на которые можно понять, чем они занимаются. Существуют учебники по вирусописательству, если можно это так назвать, есть готовые инструменты для вирусописателей. Хотите программировать вирусы? Вас научат. Это уже сила, а не разрозненные люди.

Все чаще сочинители вирусов используют приемы социотехники, то есть всевозможные способы воздействия. Я бы сказала, что идет игра на тонких струнах души. Один из самых ярких случаев – знаменитый вирус I love you. «Я тебя люблю» – и миллионы людей кликнули и захотели узнать, кто же их любит. Другие примеры – заголовки типа «Важная информация», «Обязательно откройте это». Очень много так называемых «вирусных обманок», когда пишут: «Это очень важный вирус, и "лечилку" к нему ищите здесь». И люди кликают, открывают ссылку, а там никакая не «лечилка», а вирус. Другой пример вирусов-обманок – это рассказ о вирусе, который завтра всех убьет: «Вот я о таком вирусе узнал, там такая ссылка, ужас!». А по ссылке открывается либо в самом деле какой-то вирус, либо там просто ничего нет. И люди начинают рассылать это письмо своим друзьям. Оно расходится по Интернету. Потом обращаются к нам, а мы говорим, что это вообще не вирус как таковой. Скорее, это «мозговой» вирус, который распространяется из уст в уста.


Ну, и вирусы в архивах. В этом случае вирус запакован архивом, и к нему дается пароль: «Вот тебе, пожалуйста, пароль, ты его введи, сам распакуй и запусти». Самообслуживание полное. Удивительно, что примерно 40% людей запускают! Причем раньше пароли были текстовые, а сейчас они обычно в jpeg-формате.




# Изменение позиции Название вредоносной программы Доля в общем числе вирусных иницидентов
1 1 I-Worm.Moodown.b (NetSky.b) 52,78%

2 -1 I-Worm.Mydoom.a 12,45%

3 New I-Worm.NetSky.d 8,98%

4 - I-Worm.Mydoom.e 5,45%

5 New I-Worm.NetSky.q 2,90%

6 -3 I-Worm.Swen 2,37%

7 New PSW-Worm 2,31%

8 New I-Worm.Mydoom.g 2,30%

9 6 I-Worm.NetSky.c 1,65%

10 New I-Worm.Bagle.i 0,75%

Другие вредоносные программы     8,06%




Таблица 1
Я привожу вирусную десятку с нашего сайта (см. табл.1). Лидирует вирус My.Doom. Вообще сейчас по Сети ходят в основном «черви» (см. илл. 1, 2). Это очень модная тенденция. На конец 2002 года «червей» было 89%, троянских программ – 4%, а собственно вирусов (файловых, загрузочных, макровирусов) – 7%. А в 2003 картина изменилась в сторону увеличения [доли] сетевых «червей». То есть собственно вирусов сейчас – 2%. Хотя это не совсем корректная статистика, потому что «троянцев» отдельно выделять нельзя: большинство червей сейчас содержат их в себе. И непонятно, то ли это червь с троянцем, то ли троянец в черве. Мы их относим к сетевым «червям», поэтому доля последних – подавляющая. Поэтому то, чем вы рискуете заразиться сейчас, – это сетевые «черви», путешествующие по Интернету, для которых Сеть – самая благоприятная среда распространения.







Илл. 1






Илл. 2


Что касается тенденций, первая – это рост охвата. Ареал распространения вирусных эпидемий сейчас – планета Земля. Все чаще и чаще мы видим глобальные эпидемии. Раньше мы говорили о вирусе из России. Помню, лет семь назад «Диалог-Наука» говорили: «Ну, да, Касперские что-то ловят, а мы зато лучше всех ловим российские вирусы». Но сейчас российских вирусов просто не существует. Их и тогда не было. Все время идут эпидемии. С начала года прошло 16 пандемий. 12 из них было в феврале. Абсолютный мировой рекорд за все времена. В конце января началась эпидемия вируса My.Doom, и потом один за другим выходили My.Doom A, B, C и т.п., затем пошли три вируса Netsky, Jouce и так далее. Наши вирусные аналитики ночевали на работе. Это было совершенно ужасно. К счастью, как раз тогда мы запустили круглосуточную антивирусную поддержку, иначе бы мы просто не выдержали эти эпидемии. Сейчас наблюдается некоторое затишье. Видимо, весна, – люди стали немного меньше писать вирусы.


Скорость распространения также изменилась – мы уже говорим не о днях, а о часах. Поэтому мы выпускаем апдейты каждые три часа и думаем переходить на ежечасовые. Для пользователей это довольно мучительно. Тем не менее, к сожалению, это становится необходимостью.


Вирусы используют смешанные способы инфицирования: троянец в черве – это общее место. Все чаще появляются вирусы, которые используют SMTP-технологии, вирусы занимаются DDoS-атаками, которые рассылают спам… Вообще, сейчас понятие вируса становится таким широким, что уже сложно создавать какую-то градацию. А главное, их количество все время увеличивается. Сейчас частота появления новых вирусов во время эпидемий – до 100 в день. И очень неприятно, особенно для нас, разработчиков антивирусных программ, что вирусописатели каждый раз изобретают новые трюки. И потому эвристические программы, отслеживающие новые вирусы по некоторым признакам, к сожалению, в последнее время работают все хуже и хуже. Против червей они вообще практически бессильны. Поэтому единственный способ обезопасить свой компьютер – это постоянные обновления.


В плане пользователей все обстоит тоже неблагополучно. С одной стороны, растет число пользователей-непрофессионалов, которые очень плохо разбираются в компьютерах. Сейчас примерно 70% домашних десктопов не защищено антивирусом. И это увеличивает риски распространения всякой заразы. С другой стороны, в 90% крупных компаний используют антивирусы. В бизнесе среднего масштаба этот процент существенно ниже.


И с источниками обновления все обстоит ровно так же: в крупных компаниях обновления происходят, как правило, ежедневно – в банках и серьезных учреждениях стоят апдейты. В среднем бизнесе обновления происходят два-три раза в неделю. По домашним пользователи у нас статистики нет, и делать какие-то выводы можно только по графику распространения эпидемии.

Вот пример того, как должна была бы развиваться эпидемия My.Doom, если бы 90% пользователей были защищены (см. ниже). Итак, первое – это резкое начало эпидемии. Затем несколько дней должно уйти на то, чтобы люди установили у себя «лечилки», и потом эпидемия должны была бы пойти на спад.



 



Как должна развиваться эпидемия, если 90% пользователей защищены
Реальная картина


Что в реальности происходило с My.Doom? Эпидемия бушевала несколько недель не утихая. А потом количество заражений продолжало увеличиваться. Значит, люди не обновляют антивирусы. Причем, по нашей статистике, было много людей, компьютеры которых заражались снова и снова.


Еще одна категория пользователей, но она отстоит отдельно, – это национальные правительства. На мой взгляд, сейчас, коль скоро вирусы становятся глобальными, то, безусловно, они создают угрозу безопасности страны и в этом смысле становятся проблемой для государства. Какой тип вируса может создавать проблему? Это всевозможные политические вирусы, которые имеют политическую окраску, или содержат политические тексты, или направлены против политических деятелей. Это шпионские программы, которые извлекают секретные данные из компьютеров чиновников. Например, нам однажды прислали бюджет Украины с вирусом. Как Украина защищает свои бюджеты – просто удивительно!


Такие вирусы – помеха работоспособности систем. Например, печально известный вирус Lamer практически на девять часов парализовал работу Интернета Южной Кореи. 80% серверов лежало все это время. В принципе такая атака не исключается и в будущем.


И, наконец, кибертерроризм – направленные атаки: либо на страну, либо на отдельные регионы. Учитывая неспокойную обстановку в мире, мы вполне можем ожидать прихода вирусов из горячих точек. Об этом надо думать. Как следствие, вполне возможно, что виденное нами раньше лишь в «ужастиках» про кибервойны станет реальностью. Что же делать, чтобы этого не случилось? Существуют всего три способа защиты: технические, юридические и общественные. Я хочу отдельно рассмотреть все субъекты воздействия.


На уровне государства необходима разработка и принятие соответствующих законов, как против вирусов, так и против вирусописателей и людей, которые распространяют вирусы. Такие законы есть не везде. Я думаю, что в будущем поддержка национальных производителей антивирусов будет становиться все более и более актуальной. Необходимо создание национальных операционных систем. Это путь Китая. Сейчас Китай – самое «продвинутое», на мой взгляд, государство с точки зрения борьбы с вирусами. Там существует специальное учреждение - антивирусная полиция. Китай – единственная страна в мире, где ведется государственная антивирусная база. Там начата разработка собственной национальной операционной системы, что применительно к вопросам национальной безопасности, безусловно, правильно. Для поддержки IT-индустрии создаются коалиции. У нас в России пока коалиции против вирусов не существует.

С точки зрения отдельных компаний, во-первых, надо сказать, что все крупные вендоры проблему вирусов уже осознали. Например, Microsoft сейчас купил технологию румынского производителя антивируса и собирается предоставлять плагины всем антивирусным вендорам. Так что вполне возможно, что вы будете получать возможность антивирусной защиты уже на уровне операционных систем. Вам будет достаточно лишь выбрать один из предлагаемых движков. Cisco также осознала эту проблему, и я знаю, что они тоже занимаются встройкой в свои серверы средств безопасности.


Конечно, антивирусные вендоры работают. Но, во-первых, интегрированные решения заявляют многие, но мало у кого они есть. Они важны в первую очередь в случае смешанных угроз. Важна скорость реакции и, как следствие, круглосуточная работа лаборатории, установка антивирусов на магистралях. Магдебургский университет в марте протестировал скорость реакции антивирусных компаний на вирусы. Были выбраны четыре новых «червя» и суммированы результаты: количество часов, после того как реально вирус появился, время, спустя которое вендор выпустил свою лечащую программу. Минимальный показатель – шесть часов, максимальный – двадцать семь.

И потому в конечном итоге я бы все-таки хотела сделать оптимистичный вывод. Интернет если и умрет, то не сразу. Но, к сожалению, вирусы и спам тоже не собираются сдаваться, и мы видим плохую тенденцию. Хорошая новость – интернет-угрозам можно противостоять: есть и технические, и юридические методы. Но в первую очередь для этого нужно объединяться. Последнее требует усилий как индустрии, так и государств, правительств, что очень труднодостижимо.

http://webinform.ru/analyst/1131.html
 
  Рекламное место пустует
   Патриот России
1 - 23.05.04 - 01:33
Хлопцы, цэ ж не проблэма. Дык и рэцэпты вже ёсць.
«единственный способ обезопасить свой компьютер – это постоянные обновления. » ЗА ГРОШЫ !!!! У Касперских.
«Сейчас примерно 70% домашних десктопов не защищено антивирусом. » Це ж якия грошы прападаюць!

«, вполне возможно, что виденное нами раньше лишь в «ужастиках» про кибервойны станет реальностью. » Реальностью стало все ! И сапоги скороходы – машины, и ковер- самолет, и меч «семь голов с плеч» -атомная бомба, ВИЧ. Так что кибервойны – просто детские шалости по сравнению с реальностью.

«На уровне государства необходима разработка и принятие соответствующих законов, как против вирусов, так и против вирусописателей и людей, которые распространяют вирусы. »
«Сейчас Китай – самое «продвинутое», на мой взгляд, государство с точки зрения борьбы с вирусами. Там существует специальное учреждение - антивирусная полиция. Китай – единственная страна в мире, где ведется государственная антивирусная база. Там начата разработка собственной национальной операционной системы, что применительно к вопросам национальной безопасности, безусловно, правильно. Для поддержки IT-индустрии создаются коалиции. »

Какие проблемы. «Жители деревня Хатынь выхади на рэгистрация!» Ах, ну нельзя же так! Хорошо. Вспомним римлян с их «Разделяй и влавствуй! ».  Тоже некрасиво? А притча о Вавилонской башне? Нормально? Ну вот и класс. Осталось решить простой вопрос. А боги кто? А можно еще пару вопросов про Китай? Всё, все.  Больше не буду задавать лишние вопросы.

«И потому в конечном итоге я бы все-таки хотела сделать оптимистичный вывод. Интернет если и умрет, то не сразу.» Хлопцы, не дапусцим гэтага! Все за антывирусам!!! Хто паследний? А может сходить детям мороженого купить? Жене цветы? Это разве мой сервер падает, я терплю милионные убытки? Черт, и кредит за хрущевку давит. Не, каму надо – той пусць и плаце. А я без интернета праживу.
Кстати, неполученная прибыль и убытки это разве одно и тоже?

Волшебнику: Христос говаривал типа: «Господи, даруй им, ибо не ведают они, что творят! » Но Вы ведь умный человек!
   Волшебник
 
2 - 23.05.04 - 01:47
(1) Вот еще
Нагорная проповедь: http://www.mista.ru/nagornaya.htm
Из Нового завета: http://www.mista.ru/nov_zavet.htm

Извините, что пока в старом дизайне. Попозже переформатирую.
   Demiurg
 
3 - 23.05.04 - 14:06
Вообщето (1) прав. Это даже не маркетинг Касперских, которые куплены MS, а просто откровенное насилие и впаривание своех низкокачественной продукции.
   Demiurg
 
4 - 23.05.04 - 14:06
своех=своей
   Патриот России
5 - 24.05.04 - 01:25
(2)Посмотрел. Спасибо. Только боюсь за BorisG. Ну наверняка же без согласования с владельцем авторских и иных прав разместили. Опять Бориску кошмары ночью будут мучать, что ходит по сайтам с ересью и предают его анафиме! Интересно Ваше мнение, "кто более матери-истории ценен" - "заветы" или книги по 1С?
   Патриот России
6 - 24.05.04 - 03:38
Извините, что несколько не в тему. Но есть радостная новость для BorisG - закрыли сайт www.1c.pzu.ru. Теперь по этой ссылке хостер живет.
   Demiurg
 
7 - 24.05.04 - 12:31
(6) почему ты его не любишь (всмысле испытываешь неприязнь)?
   Патриот России
8 - 24.05.04 - 23:16
(7)Боже упаси! Какая неприязнь? Но коль сложилось такое мнение, объяснюсь. 1.BorisG, видно невооруженным глазом, является хорошим спецом. 2. Достаточно известен в 1С-совских кругах. 3. Как и я, и любой другой человек, он имеет определенные недостатки. Почему же он?
Мне кажется, что быть аппонентом  у лоха – себя не уважать, а Борис спец. Критиковать неизвестного, всеравно, что разговаривать самому с собой или проводить митинг на кухне. Очень важно: BorisG хочет выглядеть в глазах общественности лучше, чем есть на самом деле. В нем много внутренних неурегулированных противоречий, над  которыми  я и подшучиваю. Например: благородство и жадность, квалификация и невоспитанность и т.д. И последнее и главное. ПРОТИВНО смотреть как на форуме многие корчат из себя благородных, прогибаясь под 1С. «Нападая» на BorisG или Волшебника, я ставлю своей целью показать, что не все просто и однозначно. Есть альтернативные мнения. Мне интересна моя роль шута, хулигана или оппозиции, если угодно. Интересно наблюдать за реакцией посетителей форума, когда я, критикуя Бориса или Волшебника, смеюсь им в лицо, и НИКТО даже не попытался меня урезонить.

И еще. Я сам знаю, что я не праведник. У меня очень много недостатков. Могу перечислить некоторые. Я никогда не буду покупать продукты MS, Касперского, Базы Законов. Я буду покупать МР3 и МР4 файлы. Я – антиглобалист.
Если кратко, то все.
   Волшебник
 
9 - 25.05.04 - 00:06
(8) И меня посчитали... :)
   afk
10 - 25.05.04 - 02:09
(6) сайт живет и здравствует
 
  Рекламное место пустует
   Патриот России
11 - 25.05.04 - 08:41
Приношу всем свои извинения за дезинформацию. Но когда 24.05.04 я пытался зайти на сайт, я попадал на станичку какого-то хостера Gold..... Тысяча извинений!!!!
   VladZagorsky
12 - 28.05.04 - 07:16
Интернет не умрет никогда...  Он будет развиваться, изменяться... Это будет уже не тот Инет, который есть сейчас, но он будет!!!
   ИВМ35
13 - 28.05.04 - 09:50
ура! все в точку...
у меня тут вопрос вскочил: КОГДА же будет выпущен Касперский с логотипом "1С-Совместимо!!!" ???
Это-ж одному Богу известно, какие мучения я терплю при обновлении...
Да всё в масках, всё... настроил, как учили...
правда, есть один выход - убить ЕГО перед обновлением МД, стартовать ЕГО перед выползом в Инет...
   Demiurg
 
14 - 28.05.04 - 10:06
(13) может у тебя каспер считает вирусом 1С :)
   ИВМ35
15 - 28.05.04 - 10:12
14. хм.. вполне... причем всё делается молча! гени[т]альная прога 1С-ина!
и нет ей равных по заполнению всех ресурсов компа и его закоулков ДО ОТКАЗА!
и тоже молча...
блин..
так и живу (с) дворник Тихон "12 стульев"
   ИВМ35
16 - 28.05.04 - 10:19
+15 - виноват, ошибся с (с) - это вроде-б Кучер Воробьянинова с "милюковскими" очками с золотыми дужками: "Носить стыдно и бросить жалко... Так и живу"


Список тем форума
 
Закон Брукера: Даже маленькая практика стоит большой теории.
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Ветка сдана в архив. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует