Компьютерра - Журнал "Компьютерра" №710 Страница 8

Эта ситуация заставляет задуматься над фундаментальным вопросом устойчивости нашей цивилизации. Взгляд, представленный в теме, кажется довольно мрачным даже мне самому: мы будем говорить о том, что есть объективные экономические причины текущего плачевного состояния дел в сфере безопасности, а значит, изменить ситуацию только техническими средствами нельзя. Причины кроются не в технологиях, а в людях; технологии лишь позволили этим причинам проявиться. Но как тогда быть? Мы хорошо (пожалуй, слишком хорошо) знаем, что любая попытка воспитать "нового человека" обречена на неудачу. Надежда на то, что грядущие поколения будут относиться к безопасности компьютерных систем не так, как мы, довольно призрачна.

Одна из ключевых проблем состоит в том, что безопасность является общественным благом, и чтобы эффективно им распоряжаться, люди должны уметь договариваться друг с другом. История показывает, что в принципе это возможно: например, используя общие дороги, мы ездим по правой стороне, и даже иногда соблюдаем правила дорожного движения. Однако большинство договоренностей носит локальный характер, и их действие в лучшем случае ограничено масштабами одного государства, - в Англии и Японии люди ездят по левой стороне и горя не знают.

Проблема безопасности Интернета носит глобальный характер - и этим она похожа на проблему экологии или мирового терроризма. Ни одна из них в данный момент не решена.

Существует ли "инстинкт самосохранения" у человечества как целого? Может ли этот инстинкт взять верх над личной выгодой "здесь и сейчас"? Вряд ли мы скоро получим ответы на эти вопросы: цивилизация никогда не была столь глобальной, и у нас нет исторического опыта, на основе которого можно бы делать какие-то выводы. Но именно от ответов на них зависит, возникнут ли общественные институты, которые смогут эффективно решать такие проблемы.

Впрочем, может быть, все не так уж и мрачно. Наверное, со временем мы привыкнем не доверять программируемой технике. Расплачиваться будем наличными, пароли записывать на бумажках, важные письма отправлять обычной почтой.

Приспособимся, в общем. Мир перестанет быть глобальным, и все будет как раньше. Должно же что-то затормозить экспоненциальный рост прогресса, наблюдаемый последние несколько десятков лет?

Экономика без опасности

Автор: Илья Щуров Voyager

Можно долго говорить о противостоянии технологий "нападения" и "защиты" в информационной безопасности, но на самом деле речь всегда идет о противостоянии людей. Вредоносное ПО и антивирусы не борются друг c другом - они лишь делают то, для чего предназначены. И проблемы, связанные с ИБ, не только технические, но и во многом социальные, требуют анализа и поиска способов решения.

ДОСЬЕ

Предположительно штат 76service состоял из двух человек: один из них россиянин, скрывавшийся под ником 76, другой звался Exoric и был из Мексики. 76 занимался собственно кодом троянца, а Exoric разрабатывал веб-интерфейс.

Представители антивирусных компаний не устают напоминать журналистам и пользователям, что противостоят не кучке студентов-вирусописателей, занимающихся самоутверждением, а мощной преступной индустрии, в которой задействовано множество людей и крутятся немалые деньги и которая, в свою очередь, противостоит антивирусным компаниям. Дело поставлено на поток, объем вредоносного ПО растет как снежный ком, а в арсенале вирусописателей появляются все новые и новые технологии. "Количество записей в антивирусной базе каждый год примерно удваивается", - говорит Виталий Камлюк, старший вирусный аналитик "Лаборатории Касперского", - и это еще довольно осторожная оценка. Однако важны не только количественные, но и качественные характеристики эволюции мира компьютерной преступности. Сейчас он представляет собой сложную структуру, в которой собственно разработчики зловредного ПО - лишь одно из звеньев.

Исследователю из компании SecureWorks Дону Джексону (Don Jackson) удалось заглянуть в мир современного malware практически изнутри. Все началось в январе 2007 года, когда один знакомый попросил Дона посмотреть на странную "экзешку", непонятно как появившуюся на его компьютере. Файл (Джексон назвал его Gozi [Вообще-то, поначалу он назвал его pesdato (это слово встречается в коде), но когда узнал, что оно означает по-русски, переименовал открытие]), оказался неизвестным на тот момент антивирусной науке (то есть zero-day) трояном, который перехватывал персональные данные, вводимые пользователем в веб-форме при работе с системами онлайн-банкинга. Потратив несколько дней на изучение "неведомой зверюшки", Джексон вышел на сайт 76service.com, встретивший его лаконичной формой для ввода логина и пароля. Это была словно нарисованная на холсте дверь, ведущая в неведомый мир владельцев Gozi.

Изучая форумы кардеров, Джексон наткнулся на группу HangUp Team (предположтельно располагающуюся в Архангельске), которая имела какое-то отношение к Gozi и 76service. Сделав несколько неудачных попыток получить тестовый доступ к сервису (провалившихся во многом из-за незнания русского языка), Джексон, в конце концов, раздобыл заветный "золотой ключик" через своего знакомого, расследовавшего деятельность HangUp Team. Дверь открылась.

Из беседы с Виталием Камлюком, старшим вирусным аналитиком "Лаборатории Касперского".

Не возникнет ли ситуация, при которой мне придется тратить 99% ресурсов своего компьютера на работу антивируса и 99% трафика на обновление его баз?

- Сейчас обновления не столь большие. Антивирусные записи хранятся компактно, они не содержат в себе мегабайты кода. Движок построен так, что значительный рост числа записей не сильно влияет на скорость работы движка. База может быть гигантской, она может быть в сто раз больше, и скорость упадет незначительно.

То есть у этой технологии есть запас - скажем, лет на пять?

- Я думаю, что на больший срок. Проблема в другом: как справляться с этим потоком? Штат компании не может расти экспоненциально. Мы и не растем, это проигрышная стратегия - расти вслед за вирусным кодом. Мы разрабатываем технологии, которые позволяют обрабатывать весь этот вирусный поток. В ответ на автоматизацию процесса написания вирусов у нас есть своя автоматизация. Трояны сходят с "конвейера", мы их аккуратненько поднимаем и переносим на наш конвейер, где автоматически детектируем, не задействуя человеческие ресурсы.

Это понятно, но ломать не строить: запутывать код проще, чем распутывать, и т. д. Вы будете на шаг позади…

- Нам просто нужно работать эффективнее, быть гораздо сильнее и умнее, чем они. У нас разные уровни: у вирусописателей технический уровень может быть ниже, чем у вирусного аналитика. Так или иначе, это подпольное предприятие, и все понимают, что оно временное. Там все-таки нет уверенности, как у настоящей индустрии, хотя мы и называем ее так из-за масштабов и довольно сложной структуры.

Увиденное за дверью стало для Джексона полной неожиданностью. Gozi оказался не внутренней разработкой взломщиков, созданной для своих нужд. Не предназначался троян и для продажи. Он был основой сервиса, своебразного криминального магазина самообслуживания. Пользователь системы, имеющий аккаунт, мог подписаться на доступ в течение месяца к информации, поступающей с каких-то Gozi-инфицированных машин по цене от $1000 за штуку. Войдя в систему, пользователь видел список "своих" троянов и мог анализировать полученные от них "передачи". Насколько удачным оказывался "улов" и как клиент преобразовывал украденные данные в деньги - было уже проблемой подписчика. Чаще всего подписчики продавали добытые сведения на черном рынке тем людям, которые непосредственно занимались снятием денег со счетов и покупкой товаров, и реже использовали эти сведения самостоятельно.

Владельцы 76service этим не занимались - точнее, могли не заниматься. Они в первую очередь предоставляли сервис и делали все на благо своих клиентов. Помимо базового комплекта, за небольшую плату они могли провести дополнительный анализ и просеивание информации - например, отобрать из всех поступающих данных только те, которые относились к клиентам определенного банка.

Все как в "большом мире". Не единичные "спецоперации" - атаки и взлом компьютеров, - а хорошо отлаженный механизм, конвейер и готовое "решение" (выражаясь современным бизнес-языком), допускающее четкое разделение труда и создание длинных цепочек потребления. На примере Gozi и 76service мы видим развитие теневой экономики malware. Борьба с киберпреступностью будет неэффективна до тех пор, пока не будут учитываться свойства этой экономики.