Об основных угрозах компьютерным сетям, вирусных тенденциях и степени безопасности различных операционных систем рассказывает Александр Гостев, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского».
PC WEEK/UE: Каковы ваши прогнозы касательно развития вредоносного ПО в текущем году?
Александр Гостев: Основной тренд, который будет досаждать нам в 2010 году – это изменение вектора заражения пользователей. Если еще 5 лет назад вирусы в основном распространялись через e-mail, то в 2005-2006 году, после обнаружения слабых мест в ОС Windows, электронная почта перестала пользоваться популярностью у преступников и в ход пошли атаки через уязвимости сетевых портов. Потом началась эпоха заражений через веб-сайты, в том числе и социальные сети – 60% всех заражений Сегодня происходит по причине работы с зараженными сайтами.
В настоящее время вирусописатели активно начинают осваивать файлообменные сети, например torrent-сети. Есть очень много причин того, почему происходит сдвиг в сторону распространения вирусов через пиринговые сети. Одна из главных связана с тем, что пользователи таких сетей очень часто отключают антивирусную программу, когда загружают пиратские программы, и вирусы попадают на компьютер с подобным нелегальным ПО. Несколько крупных эпидемий 2009 года было вызвано именно вирусами в торрентах. Это было замечено не только нами, но и самими вирусописателями, а значит подобных инцидентов станет гораздо больше.
Кроме того, произошел качественный скачок сложности ряда вредоносных программ. В будущем они станут еще сложнее, и здесь мы будем наблюдать очень жестокую борьбу между нами и ними. Со своей стороны антивирусная индустрия будет стремиться останавливать вирусы на максимально ранней стадии. Сейчас линия фронта у нас проходит на уровне веб-антивируса, файловый сканнер, который проверяет файлы на вашем компьютере – уже пройденный этап. Сегодня самое главное – не допустить заражения всеми доступными способами, не дать вирусу попасть в компьютер. И если мы будем двигаться именно в этом направлении, то вирусописатели направятся в противоположную сторону. Они постараются сделать так, чтобы компьютер уже невозможно было вылечить, если их вредоносы попали в компьютер– максимально сложно и невидимо закрепиться в системе, опуститься на самый низкий уровень. Собственно говоря, уже сейчас они опустились на такой технологический уровень операционной системы, что в большинстве случаев антивирус, даже зная о том, что компьютер заражен, вряд ли сможет вылечить систему.
Google Wave – это новый проект, который, по обещаниям самого разработчика, должен заставить нас перестать пользоваться электронной почтой и любыми другими социальными сетями. Как мы знаем, все, что делает Google, часто оказывается успешным. Компания собирается сделать универсальный комбайн, который предоставит возможности для совместной работы над рядом проектов. Несомненно, разработка интересная, у нее есть хорошее будущее, но она наверняка привлечет внимание вирусописателей.
Процесс распространения вирусов через Google Wave будет развиваться по классической схеме – все начнется со спам-рассылок, причем, первая спам-рассылка уже была зафиксирована примерно месяц назад. Потом начнутся фишинг-атаки, далее – уязвимости, поскольку без уязвимостей не бывает интернет-проектов. Ну, а затем начнется распространение вредоносного ПО. Если Google Wave станет основной, лидирующей темой социальных сетей этого года, все будет развиваться именно так.
В среде мобильных платформ уже проявились первые угрозы для iPhone и Android. Дальше ситуация будет развиваться в лучшую сторону для iPhone, но в худшую – для Android. Данный продукт сейчас активно выходит на рынок азиатских стран, в первую очередь, Китая, и это уже привлекло внимание китайских вирусописателей. Здесь позиции Android уступают iPhone с точки зрения защищенности, потому что сам процесс инсталляции новых приложений в эту операционную систему крайне прост – вы можете устанавливать их откуда угодно. Если вы пользуетесь «честным» iPhone, то можете ставить приложения только из Apple Store. Но если вы работаете с Android, то ставите ПО откуда угодно. Как известно, у Android также есть свой официальный магазин по распространению программного обеспечения. Но чтобы попасть туда, автору любой программы достаточно заплатить Google около 25 долларов. При этом не производится никакой проверки на вредоносность этого приложения. Все это приведет к наличию серьезных вирусных проблем в Android.
PC WEEK/UE: Чем объяснить отсутствие крупных вирусных эпидемий в среде ОС для мобильных платформ?
А. Г.: На самом деле, довольно крупные эпидемии вредоносных программ для Windows Mobile и Symbian уже были. В 2007 в Испании около 115 тысяч смартофонов подверглись заражению MMS-червем Worm.SymbOS.Comwar. В первой половине 2008 года произошло массовое распространение червя Worm.WinCE.InfoJack. А в 2009 году в Китае активно действовал червь Worm.SymbOS.Yxe, имевший цифровую подпись. Это лишь несколько примеров, которые показывают, что эпидемии случаются и на мобильных платформах.
Безусловно, количество мобильных вредоносных программ для альтернативных платформ значительно меньше, чем число вредоносов для персональных компьютеров под управлением ОС Windows. В мобильном сегменте пока нет одной ярко выраженной платформы-лидера (как Windows на ПК), поэтому злоумышленники с 2008 года выбрали несколько другой вектор атак – примитивные J2ME-троянцы, которые работают как на смартфонах под управлением Symbian и Windows Mobile, так и на обычных мобильных телефонах с поддержкой J2ME.
PC WEEK/UE: Насколько новая ОС Windows стала более безопасна в сравнении с Vista?
А. Г.: Разработчиками Microsoft были предприняты несколько успешных шагов для того, чтобы сделать Windows 7 более безопасной. В частности, был улучшен контроль над учетными записями пользователей (UAC), появилась возможность шифрования данных на флеш-приводах с помощью BitLocker, введен новый механизм администрирования пользовательских политик AppLocker. Однако принципиальных изменений в плане защиты от многочисленных типов вредоносного ПО и хакерских атак не произошло. Увы, надеяться на то, что с появлением Windows 7 угрозы исчезнут, не приходится.
Хотелось бы добавить, что Windows 7 гораздо ближе к Vista, чем к XP. При этом более 90% вредоносных программ, написанных для Windows XP, прекрасно чувствуют себя и под Windows Vista. Однако главная проблема – не сама операционная система, а уязвимости в приложениях сторонних производителей (например, в продуктах Adobe и т. д.). Кроме того, снизить нынешний уровень «популярности» сложного вредоносного ПО (руткитов и т.п.) реально помогут только следующие действия: переход на 64-разрядные системы и выполнение принципа «запускаются только подписанные программы». Этот принцип прекрасно работает и в Windows Vista, не только в Windows 7.
PC WEEK/UE: Можно ли утверждать, что системы Linux лучше защищены от вирусов в сравнении с Windows?
А. Г.: Это утверждение не соответствует истине. Если посмотреть на процент уязвимостей, например, Ubuntu Linux и других операционных систем, особой разницы не будет – бреши есть везде. Вопрос лишь в популярности той или иной ОС. Когда Ubuntu начнут использовать 90% пользователей, мы увидим ту же самую картину – черви, поддельные антивирусы и мошенничество. Кстати, для того, чтобы обманывать людей при помощи тех же фишинговых сайтов, заставлять их отправлять SMS, не нужно заражать компьютер – здесь все построено исключительно на человеческом факторе, на социальной инженерии. А от того, с какой операционной системой работает пользователь, он более защищенным не станет.
PC WEEK/UE: Какие основные тенденции можно отметить в антивирусной индустрии?
А. Г.: В среде антивирусных компаний происходит один весьма важный процесс – мы начинаем использовать так называемые cloud-технологии. Все компании намерены разрабатывать облачные системы безопасности, те, кто этого не сделает, рано или поздно «уйдут со сцены». Технология крайне перспективна, с одной стороны она позволяет защищать пользователей, с другой – создает ряд новых проблем, связанных со злоупотреблением интеллектуальной собственностью антивирусных компаний. Ведь если есть некое облако, которое отдает некие данные, значит, их можно украсть.
Если раньше мы сталкивались с тем, что некоторые люди воровали наши антивирусные базы и сигнатуры, то сейчас не исключено появление компаний и людей, которые будут воровать «детекты» из облака. Украсть детектирующий модуль из облака гораздо проще, чем украсть антивирусные базы. Это проблема, которая касается всей индустрии, и решения которой мы пока не знаем.
Еще один важный тред в антивирусной индустрии: консолидация различных игроков на этом рынке для противостояния актуальным угрозам. Так, для борьбы с вирусом Kido была создана группа Conficker Working Group, то есть началась консолидация не только антивирусной индустрии, но и других органов – это очень хороший пример. Я думаю, подобная схема, когда задачи ИТ-секьюрити возлагаются не только на антивирусные компании, но и на образовательные учреждения, на провайдеров, на регулирующие органы в сети Интернет, плюс тесное сотрудничество с правоохранительными органами, способна дать весьма хороший эффект и перспективы у подобного сотрудничества весьма широкие.
PC WEEK/UE: Расскажите о наиболее эффективных на сегодня методиках борьбы с вирусами
А. Г.: Если говорить о перспективе на последующих 2-3 года, то мы не собираемся отказываться ни от сигнатурных технологий антивирусной борьбы, ни от проактивных, ни от поведенческих. Могу только сказать, что мы собираемся активно усиливать поведенческие методы. Если в сигнатурных и эвристических технологиях проводится анализ содержимого тем или иным образом, то сейчас мы взяли курс на анализ поведения файлов в системе.
В текущей версии системы у нас уже есть поведенческий анализатор, мы планируем его всячески улучшать. Однако от сигнатур и эвристик мы отказываться не собираемся, и, как показывает практика, простейший сигнатурный метод оказывается наиболее быстрым и эффективным. Есть такая красивая аналогия по поводу сосуществования старых и новых технологий: появление airbag в машинах не отменяет необходимости пристегиваться с помощью обычного ремня безопасности.