Экономика без опасности
Автор: Илья Щуров VoyagerМожно долго говорить о противостоянии технологий "нападения" и "защиты" в информационной безопасности, но на самом деле речь всегда идет о противостоянии людей. Вредоносное ПО и антивирусы не борются друг c другом - они лишь делают то, для чего предназначены. И проблемы, связанные с ИБ, не только технические, но и во многом социальные, требуют анализа и поиска способов решения.
Предположительно штат 76service состоял из двух человек: один из них россиянин, скрывавшийся под ником 76, другой звался Exoric и был из Мексики. 76 занимался собственно кодом троянца, а Exoric разрабатывал веб-интерфейс.
Представители антивирусных компаний не устают напоминать журналистам и пользователям, что противостоят не кучке студентов-вирусописателей, занимающихся самоутверждением, а мощной преступной индустрии, в которой задействовано множество людей и крутятся немалые деньги и которая, в свою очередь, противостоит антивирусным компаниям. Дело поставлено на поток, объем вредоносного ПО растет как снежный ком, а в арсенале вирусописателей появляются все новые и новые технологии. "Количество записей в антивирусной базе каждый год примерно удваивается", - говорит Виталий Камлюк, старший вирусный аналитик "Лаборатории Касперского", - и это еще довольно осторожная оценка. Однако важны не только количественные, но и качественные характеристики эволюции мира компьютерной преступности. Сейчас он представляет собой сложную структуру, в которой собственно разработчики зловредного ПО - лишь одно из звеньев.
Исследователю из компании SecureWorks Дону Джексону (Don Jackson) удалось заглянуть в мир современного malware практически изнутри. Все началось в январе 2007 года, когда один знакомый попросил Дона посмотреть на странную "экзешку", непонятно как появившуюся на его компьютере. Файл (Джексон назвал его Gozi [Вообще-то, поначалу он назвал его pesdato (это слово встречается в коде), но когда узнал, что оно означает по-русски, переименовал
открытие]), оказался неизвестным на тот момент антивирусной науке (то есть zero-day) трояном, который перехватывал персональные данные, вводимые пользователем в веб-форме при работе с системами онлайн-банкинга. Потратив несколько дней на изучение "неведомой зверюшки", Джексон вышел на сайт 76service.com, встретивший его лаконичной формой для ввода логина и пароля. Это была словно нарисованная на холсте дверь, ведущая в неведомый мир владельцев Gozi.
Изучая форумы кардеров, Джексон наткнулся на группу HangUp Team (предположтельно располагающуюся в Архангельске), которая имела какое-то отношение к Gozi и 76service. Сделав несколько неудачных попыток получить тестовый доступ к сервису (провалившихся во многом из-за незнания русского языка), Джексон, в конце концов, раздобыл заветный "золотой ключик" через своего знакомого, расследовавшего деятельность HangUp Team. Дверь открылась.
Не возникнет ли ситуация, при которой мне придется тратить 99% ресурсов своего компьютера на работу антивируса и 99% трафика на обновление его баз?
- Сейчас обновления не столь большие. Антивирусные записи хранятся компактно, они не содержат в себе мегабайты кода. Движок построен так, что значительный рост числа записей не сильно влияет на скорость работы движка. База может быть гигантской, она может быть в сто раз больше, и скорость упадет незначительно.
То есть у этой технологии есть запас - скажем, лет на пять?
- Я думаю, что на больший срок. Проблема в другом: как справляться с этим потоком? Штат компании не может расти экспоненциально. Мы и не растем, это проигрышная стратегия - расти вслед за вирусным кодом. Мы разрабатываем технологии, которые позволяют обрабатывать весь этот вирусный поток. В ответ на автоматизацию процесса написания вирусов у нас есть своя автоматизация. Трояны сходят с "конвейера", мы их аккуратненько поднимаем и переносим на наш конвейер, где автоматически детектируем, не задействуя человеческие ресурсы.
Это понятно, но ломать не строить: запутывать код проще, чем распутывать, и т. д. Вы будете на шаг позади
- Нам просто нужно работать эффективнее, быть гораздо сильнее и умнее, чем они. У нас разные уровни: у вирусописателей технический уровень может быть ниже, чем у вирусного аналитика. Так или иначе, это подпольное предприятие, и все понимают, что оно временное. Там все-таки нет уверенности, как у настоящей индустрии, хотя мы и называем ее так из-за масштабов и довольно сложной структуры.
Владельцы 76service этим не занимались - точнее, могли не заниматься. Они в первую очередь предоставляли сервис и делали все на благо своих клиентов. Помимо базового комплекта, за небольшую плату они могли провести дополнительный анализ и просеивание информации - например, отобрать из всех поступающих данных только те, которые относились к клиентам определенного банка.
Все как в "большом мире". Не единичные "спецоперации" - атаки и взлом компьютеров, - а хорошо отлаженный механизм, конвейер и готовое "решение" (выражаясь современным бизнес-языком),