Ваш город: Москва
Новые вирусы и новые "дыры". Интервью с Евгением Касперским.
TanaT: Евгений, вы не могли бы немного прояснить ситуацию с бестелесными червями: в какой форме они существуют, каковы их принципы действия и на что они способны?
Евгений Касперский: Бестелесные черви впервые появились летом 2001 года, когда была зарегистрирована вспышка эпидемии печально известного CodeRed. Смысл этого типа вредоносных программ наглядно объясняется его названием. В отличие от "одноклассников", бестелесные черви в процессе заражения и распространения не используют ни временных, ни постоянных файлов. Они пробираются на компьютеры через бреши в системах безопасности и существуют исключительно в виде пакетов данных, передаваемых по коммуникационным каналам, или в виде программного кода в памяти зараженного компьютера.
Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского"
TanaT: Много ли бестелесных червей существует на сегодняшний день?
Евгений Касперский: Парадоксально, но количество известных бестелесных червей абсолютно непропорционально уделяемому им вниманию, хотя и заслуженному. Известно всего лишь несколько модификаций CodeRed и недавно нашумевший, печально известный Slammer.
TanaT: То есть на сегодня существует два различных бестелесных вируса (Code Red и Slammer) и несколько их клонов. Я правильно понял?
Евгений Касперский: Точно.
TanaT: Бестелесные черви - это повод беспокоиться за будущее? Они открывают что-нибудь новое и сверх опасное для мира Глобальной Сети? Или это всего лишь очередной виток эволюции вредных кодов?
Евгений Касперский: Как я сказал выше, несмотря на малочисленность популяции бестелесных червей, ее опасность трудно переоценить. Главная проблема заключается в том, что скорость распространения этих червей гораздо выше, чем скорость реакции антивирусных компаний. Черви данного типа распространяются со скоростью Интернета, то есть такой "замедлитель" распространения вирусных эпидемий как человек не присутствует в цепочке распространения вируса (не надо запускать зараженный файл, не надо кликать по вложению и т. п. - вирус запускает себя сам в момент проникновения на компьютер-жертву). Скорость же реакции антивирусников - это скорость работы человеческого ума и пальцев, стучащих по клавиатуре, а эта скорость значительно уступает молниеносным интернет-эпидемиям бестелесных червей.
Таким образом, даже если в качестве решения скрестить обычный антивирус с брандмауэром и проверять на вирусы пакеты, которые будут поступать на компьютер, всё равно "пилюля" от антивирусников выйдет позже того момента, когда распространится новый бестелесный вирус. Это именно та "инфекция", которая способна парализовать Интернет за считанные минуты. Самое красноречивое подтверждение такому заключению - январская эпидемия Slammers.
На сегодняшний день профилактика, пожалуй, остается самым надежным средством противостояния подобным угрозам: своевременная установка заплаток для брешей, через которые бестелесные черви заражают компьютеры; соответствующая настройка межсетевых экранов корпоративного уровня и прочие мероприятия по улучшению устойчивости корпоративной сети. Тем не менее, нужно отдавать себе отчет в том, что это решение не абсолютно, брешей в системах безопасности очень много, а отследить всю информацию о них крайне сложно. Проблема защиты от бестелесных червей, действительно, очень актуальна.
TanaT: Не могли бы вы рассказать о новых технологиях, которые вирусописатели применяют в своих кодах? К примеру, недавний червь Sobig для увеличения эффективности своего распространения использовал спам-технологии. Есть ли еще какие-нибудь примеры?
Евгений Касперский: Прежде всего, я хотел бы уточнить. Червь для своего распространения не использовал спамерских технологий, в его коде нет ничего, что позволяло бы об этом говорить. Однако анализ технических возможностей этой вредоносной программы и темпы его распространения позволяют нам предположить, что его автор был знаком с технологией рассылки спама и с большой долей вероятности воспользовался спамерскими способами для рассылки своего сетевого червя.
Я бы не хотел превращать наш разговор в описание вирусных технологий, поэтому позволю себе ограничиться лишь несколькими примерами. Во-первых, это Slammer (или Helkern), который нарушил спокойствие пользователей Интернет в январе этого года. Этот червь незаметно проникал на компьютеры через брешь класса "переполнение буфера" (Buffer Overrun) в системе безопасности Microsoft SQL Server. Другой, более ранний пример - червь Opasoft, который заражал компьютеры под управлением Windows 95/98/ME, используя коммуникационные порты (порт 137 и 139), применяемые в Windows-сетях для обмена информацией.
TanaT: Сейчас многие обеспокоены новой версией червя Tanatos. Согласно данным "Лаборатории Касперского" червь "обладает опасной деструктивной функцией заражения файлов на жестком диске компьютера". В более подробном описании сказано: "Данная версия вредоносной программы обладает рядом опасных функций. В частности, она способна заражать исполняемые файлы многих программ, хранящихся на жестком диске, а также спровоцировать утечку конфиденциальной информации с зараженного компьютера". Можете объяснить подробно: разве червю не все равно, какой программе принадлежит тот или иной исполняемый файл?
Евгений Касперский: На сегодняшний момент существует не так много сетевых червей, которые умеют заражать исполняемые файлы. Алгоритм процедуры заражения сложный, и у каждой вредоносной программы - свой. Так, Tanatos, например, ищет определенное имя файла и, найдя его, заражает соответствующий файл. То есть заражению подвергаются только определенные исполняемые файлы.
TanaT: Некоторое время назад стояла большая шумиха по поводу червя Fizzer. Чем вызвана такая популярность этого представителя компьютерной "фауны"?
Евгений Касперский: В общем-то, это классический сетевой червь, распространяющийся по каналам Интернет. Многовекторность, то есть использование нескольких различных способов распространения, - это его отличительная, однако не уникальная особенность. Помимо рассылки по электронной почте, данная вредоносная программа содержала процедуры рассылки через P2P-сеть KaZaA. Кроме того, Fizzer обладал функциональностью backdoor-программы: мог установить клавиатурного "жучка" и троянца для удаленного управления зараженным компьютером. Антивирусные специалисты вовремя проинформировали пользователей о потенциальной угрозе, что в результате не позволило червю нанести серьезного ущерба. По нашей статистике он был четвертым в мае по количеству заражений в сети, однако с большим отрывом от тройки лидеров (после Sobig (22%), Lentin (16%) и Klez (15%) он следовал со всего лишь 0,7% от общего числа заражений).
TanaT: В феврале 2003 года по СМИ прокатилась информация, что вы и некоторые другие антивирусные эксперты заранее знали об опасности вирусов, использующих бреши в защите ПО и размножающихся без "помощи" пользователя. По слухам, вы не только знали, но и специально скрывали эту информацию, чтобы не натолкнуть вирусмейкеров на новое оружие. Это действительно так?
Евгений Касперский: Давайте разделять факты и идеи. В вопросе затрагивается две серьезные проблемы, которые необходимо осветить отдельно. Прежде всего, да, мы действительно давно знали о возможности подобных эпидемий, но сознательно не раскрывали методов их практической реализации, чтобы не стать невольными учителями вирусописателей. Вместо этого мы многократно предупреждали пользователей об угрозе и предлагали конкретные идеи по ее предотвращению.
Мы и сейчас знаем о новых реальных способах реализации глобальных вирусных эпидемий с тяжелыми последствиями, но информируем о них только узкий круг ИТ-специалистов, то есть тех, кто может решить проблему прежде, чем она станет глобальной. Например, разработчиков программного обеспечения, в котором обнаружена серьезная брешь в системе безопасности. К сожалению, в Сети есть много несознательных личностей, которых подобная информация, стань она публичной, спровоцировала бы на очередные кибер-"подвиги".
Другая сторона вопроса - заявление компании Symantec, что они действительно зарегистрировали растущие обороты эпидемии, но вовремя не оповестили об этом общественность. Если это правда, то это, конечно, малоприятный факт в деятельности компании, занимающейся безопасностью.
TanaT: Как вы думаете, а что произошло в Symantec? Ведь не каждый день эта компания признается в собственных ошибках…
Евгений Касперский: Я не располагаю информацией о том, что действительно случилось в Symantec, могу только предположить. На мой взгляд, в Symantec произошла серьезная накладка в работе информационного отдела компании, который по ошибке выдал некорректную информацию. В частности, было сказано, что компания якобы знала за некоторое время о том, что пошла эпидемия. На самом деле, наиболее вероятным было следующее: так называемые сетевые "липучки" (специальные сервера, которые мониторят атаки в Сети) в какой-то момент начали фиксировать рост SQL-запросов. Но это рабочий момент в рутинном анализе вирусной активности в Сети любой антивирусной компании, большое количество запросов необязательно свидетельствует о начале эпидемии. Мы, например, тоже зафиксировали это. Вообще, ежедневно регистрируются сотни подозрительных вещей в Сети, все они анализируются специалистами. Публичной становится информация после экспертного анализа, и лишь та, которая действительно важна для безопасности пользователей. Ведь если сигнализировать о рутине, то когда "придет настоящий волк", никто не поверит. Похоже, информационный отдел Symantec хотел похвастаться тем, что якобы раньше всех узнал об опасности, а получилось некрасивая ситуация: раз знал, зачем молчал? Поэтому и пришлось потом признать свою оплошность. Есть другой вариант развития событий: представители информационного отдела просто перепутали SQL-червя с SQL-эксплоитом, то есть с собственно примером использования этой SQL-дыры. Информация об этом эксплоите была опубликована в Сети задолго до появления червя и была известна всем, и Symantec в том числе.
TanaT: Не хотелось бы вас задеть, но все-таки, наверное, каждый может утверждать после какой-то катастрофы: "Я знал об этом, но никому не говорил". Можете прокомментировать?
Евгений Касперский: В действительности, мы не только знали, но и говорили. В 2001 г. мы неоднократно заявляли об опасности бестелесных червей и других способов глобальных атак, которые способны поставить Интернет на колени. В период 2002-2003 мы бессчетное количество раз твердили о потенциальной опасности. Кто-то смеялся, кто-то обвинял в паникерстве. И вдруг в октябре прошлого года случилась "первая ласточка" - атака на "хребет" Интернета. В январе "взорвался" Slammer. Первое событие замедлило всемирную сеть на 6%, второе на 25%. Дальше будет хуже, ящик Пандоры открыт. И причина такого развития событий в полной анархии, поглотившей Интернет.
TanaT: Есть ли какие-нибудь способы профилактики этой угрозы?
Евгений Касперский: Решение, как я уже неоднократно говорил, - безопасный, не анонимный Интернет. Интернет - это публичная сеть, такая же как автодороги, например. Представьте, если бы сейчас отменили все ПДД, права, знаки…Я, вы и практически все вокруг ездили бы, как и прежде. А какой-нибудь десятый или даже сотый процент автовладельцев воспользовался бы ситуацией и начал просто "хулиганить". Так вот, из-за этого маленького процента ездить нам с вами стало бы не просто небезопасно, а невозможно. И никакая профилактика бы не помогла.
TanaT: Под "не анонимным Интернетом" вы понимаете статические идентификационные номера?
Евгений Касперский: Я предпочитаю использовать антоним "неанонимности" - персонифицированность. Этот термин предусматривает несение субъектом ответственности за противоправные действия, причем для идентификации субъекта необходимо использовать его личный, максимально защищенный электронный "паспорт". Последнее вполне можно назвать синонимом "статических идентификационных номеров" :)
TanaT: Может ли быть такая ситуация, что создан "незаметный" вирус, размножающийся через уязвимости в ПО, без каких бы то ни было вредоносных эффектов? То есть он спокойно "ходит по планете", никого не трогает и никто его не замечает.
Евгений Касперский: Уже само его "хождение по планете" и есть вредоносный эффект. Возьмите, к примеру, СodeRed или Slammer. Они ведь ничего не уничтожали и не похищали. Они просто "ходили". Но "ходили" так, что своим избыточным трафиком перекрывали международные каналы передачи данных. То есть любой "незаметный" вирус будет замечен по мере нарастания эпидемии.
TanaT: Не кажется ли Вам, что вредные коды, распространяющиеся через "дыры" в ПО, открывают новый аспект в применении вирусов в реальных войнах? К примеру, если бы одна сторона гипотетического конфликта вовремя перевела свои базы данных с MS SQL Server на какую-нибудь другую СУБД, то она бы стала неуязвима для Helkern. То есть эффект бумеранга, когда вредный код, выпущенный в Сеть, поражает и свои приложения и чужие, будет ликвидирован.
Евгений Касперский: Теоретически это возможно, но практически - маловероятно. Можно представить, конечно, изолированное тоталитарное государство без союзников и с жесткой дисциплиной в области централизованной ИТ-политики. Но в реальной жизни я такого не встречал.
TanaT: Евгений, скажите, пожалуйста, а при анализе вирусов вы пользуетесь своими собственными инструментами или известными отладчиками и дизассемблерами? Может у вас есть свои ноу-хау инструменты?
Евгений Касперский: И то, и другое. Мы используем и разнообразные отладчики (например, "SoftICE"), используем и достаточно известный дизассемблер "IDA". Помимо этих инструментов мы активно используем и собственные утилиты, очень помогающие нам "вскрывать" и анализировать обнаруженные вредоносные программы. Однако распространяться о том, что это за утилиты, на каких принципах они действуют, мне бы не хотелось. Считайте это нашим профессиональным секретом.
TanaT: Помимо Helkern, хотелось бы обсудить с вами еще одну новость: скоро появится (уже появилась вторая бета-версия) Microsoft Office 2003, а он, судя по прогнозам, будет активно использовать XML. Многие волнуются, что в этом случае антивирусам станет намного сложнее отлавливать и детектировать макровирусы (так как XML достаточно демократичен, он не регламентирует никаких правил и ограничений на макросы). Можете успокоить или угроза действительно реальная?
Евгений Касперский: После выхода беты Office 11 (Office 2003) антивирусные компании, что называется, схватились за головы. Изменение формата документов Office в XML означало, что для отлова макро-вируса в документе надо сканировать весь документ от начала до конца. То есть все мегабайты документа с первого по самый сто-какой-то. Представляете, какая будет производительность у антивирусных программ?
К чести Microsoft надо сказать, что они серьезно отнесли к возникшей проблеме и учли важность добавления необходимой информации о наличии макросов в заголовок XML-документов. Зная внимательность и ответственность Microsoft в отношении подобных рабочих моментов, я смею надеяться, что они будут строго следовать данному улучшенному формату.
TanaT: То есть пользователи могут спать спокойно?
Евгений Касперский: Спать спокойно с надеждой на лучшее.
TanaT: Очевидно, что ПО без ошибок и уязвимостей не бывает. Многие "дыры" еще не открыты и для них не существует сервис паков. Получается, что если вирусмейкер "откопает" брешь в защите раньше производителя и напишет вирус, то любой пользователь, какое бы хорошее антивирусное ПО он ни использовал, будет просто-напросто беззащитен?
Евгений Касперский: Такое развитие событий нельзя исключать. Да, теоретически можно создать вирус, использующий брешь без патча, и который обходит антивирусные программы, поскольку на момент запуска вируса они просто не знают о такой угрозе.
Однако я бы не стал устраивать по этому поводу паники. Во-первых, для того, чтобы обнаружить новую дыру и написать соответствующий вирус, нужна соответствующая квалификация, а у вирусописателей ее попросту нет. Ведь в основном, это подростки, а их вирусы - сомнительный способ самореализации в период полового созревания. Во-вторых, на страже безопасности пользователей стоят сотни высококлассных экспертов по всему миру, задача которых - отслеживать возможные бреши в системах безопасности собственного ПО и выпускать соответствующие патчи. Тем не менее, в конце мая все-таки случился первый прецедент, когда для обнаруженной за два месяца до этого дыры в системе безопасности была написана вредоносная программа, а патча еще не существовало. Это был троянская программа StartPage, которая запускала себя абсолютно незаметно для пользователя, используя для этого брешь "Exploit.SelfExecHtml" в системе безопасности Internet Explorer. К счастью, StartPage является довольно безопасной программой. Среди ее побочных действий - модификация стартовой страницы Internet Explorer на сайт "взрослого" содержания. Естественно, мы оперативно разработали защиту и сообщили Microsoft об опасности. Хочется верить, что этот случай останется уникальным. В общем, будем надеяться на лучшее... но готовиться к худшему.
TanaT: Расскажите, пожалуйста, о недавно проведенном Ассоциацией Документальной Электросвязи совещании с участием крупнейших компаний-провайдеров. Какую роль там играла "Лаборатория Касперского"?
Евгений Касперский: За последнее время АДЭ предпринимает шаги по решению сразу нескольких проблем в существующем кибер-пространстве России. Во-первых, это вопрос о безопасности в сети, во-вторых - проблема спама. "Лаборатория" в свое время выступила инициатором встречи по проблеме безопасности. Ассоциация откликнулась на нашу идею, пригласив на беседу представителей ИТ-компаний и государственных структур, а также специалистов по информационной безопасности. Встреча оказалась полезной, была организована рабочая группа по разработке документов проекта, которые носят образовательный и рекомендательный характер. Хочется верить, что они помогут российским предприятиям и государственным структурам правильно выстроить защиту собственной информации и минимизировать, таким образом, вероятность успешной атаки. Надеюсь, что совместными усилиями мы сможем снизить уровень активности вредоносных программ в сети. Что же касается проблемы спама, то, действительно, планируется организовать встречу с провайдерами интернет-услуг. Надеюсь, что и это проект АДЭ получит дальнейшее развитие.
TanaT: А в чем на практике выльется сотрудничество ИТ-компаний и госструктур? Какие есть возможные варианты и идеи? Вы обмолвились "была организована рабочая группа по разработке документов проекта, которые носят образовательный и рекомендательный характер". Значит ли это, что будут выработаны лишь рекомендательные документы или за словом "проект" стоит что-то действительно реальное?
Евгений Касперский: Проект только начался и, в настоящий момент речь идет именно о создании ряда "рекомендательных" и "образовательных" документов. Но вы зря недооцениваете их значение. Для многих государственных и коммерческих структур он может стать "руководством" по обеспечению безопасной работы в Интернет. Прекрасно, когда в компании или организации есть отдел информационной безопасности, и его сотрудники обеспечивают бесперебойную работу всей информационной сети. Однако, к сожалению, это далеко не везде и не всегда так. Многим компаниям и государственным структурам не хватает опыта самостоятельно организовать свою безопасность, а средства на приглашение специалистов по ИТ-консалтингу не всегда есть. В результате предприятия и организации становятся жертвами атак кибер-преступников и хулиганов, а вместе с ними часто страдают и их клиенты, которые могут быть вовсе не связаны с Интернет. Пример - эпидемия "Slammer" (другое название Helkern) в январе: тогда в некоторых странах какое-то время не работали банки, не предоставляли услуги телефонные операторы. Сетевой червь нарушил жизнь тысяч людей, которые не могли снять деньги с карты или дозвониться. А случиться могут и более серьезные вещи.
В рабочей группе сегодня работают настоящие специалисты в области безопасности, которые вместе, аккумулируя собственный опыт, пытаются выработать комплекс мер по организации безопасности информации, в том числе и некие стандарты пользования каналами передачи данных. Не думаю, что в качестве главной цели проекта нужно рассматривать физическое изменение Интернета. Это высокобюджетный и технологически сложный процесс. Я неоднократно говорил, мы не специалисты по организации параллельных сетей, и это не наша задача. Но антивирусные эксперты могут привлечь к проблеме внимание Интернет-сообщества, поделиться собственным опытом, повысив тем самым общий уровень просвещенности в сфере компьютерных технологий и, надеюсь, не допустить полной деградации интернета.
TanaT: Спасибо, что потратили время и ответили на наши вопросы. Удачи вам и всего доброго!
© 1998-2023 fcenter.ru | Россия
© 1998-2023 fcenter.ru | Россия
