допускающее четкое разделение труда и создание длинных цепочек потребления. На примере Gozi и 76service мы видим развитие теневой экономики malware. Борьба с киберпреступностью будет неэффективна до тех пор, пока не будут учитываться свойства этой экономики.
В настоящий момент сайт 76service.com не открывается, а троян Gozi детектируется основными антивирусами. Но это трудно назвать победой: в середине марта 2007 сайт тоже на время закрывался, но спустя буквально несколько дней он появился вновь, переехав на хостинг где-то в Гонконге и выпустив новую версию трояна. Вполне вероятно, что сейчас функционирует аналогичный сервис, работающий на другом домене и использующий очередную модификацию трояна, сигнатура которого еще не добралась до антивирусных баз. Может быть, он перехватывает данные и с вашего компьютера всякий раз, когда вы вводите свой платежный пароль в Яндексе.
Падди работает в одиночку и может потратить на тестирование только тысячу часов в год. У Брайана есть доступ к полному исходному коду Windows, десятки кандидатов наук в подчинении, контроль за исследовательскими коммерческими компаниями, прямой доступ к CERT и соглашение об обмене информацией с компетентными службами Англии и США. Кроме того, он имеет возможность посылать консультантов на стратегически важные объекты (например, в сфере энергетики и телекоммуникаций), дабы объяснять сотрудникам этих объектов, как им лучше защищать свои системы. Допустим, что Брайан и его подчиненные тратят в общей сложности 10 миллионов часов в год на тестирование.
Через год Падди найдет одну ошибку, тогда как Брайан найдет сто тысяч. Однако вероятность того, что Брайан нашел ту же ошибку, что и Падди, равна 10%. Через десять лет он найдет ее - но за это время Падди найдет еще девять, и вряд ли Брайан будет к тому моменту знать их все. Более того: отчеты Брайана об ошибках станут литься таким потоком, что Microsoft просто перестанет обращать на них внимание.
Ross Anderson, "Why Information Security is Hard - An Economic Perspective"
"Продолжающаяся разработка MPack свидетельствует о том, что преступники вовсю используют преимущества онлайнового мира для получения прибыли, - пишет исследователь компании Symantec Хон Ло (Hon Lau) в корпоративном блоге. - В компьютерной преступности риск быть пойманным очень мал; еще меньше риск физической опасности Поэтому неудивительно, что новые типы атак и апдейты к существующим продолжают появляться".
Есть и гораздо более дешевые решения - 2040 долларов за штучку (TrafficPro). Есть конструкторы (такие как Pinch), позволяющие с помощью интуитивно понятного интерфейса настроить все параметры будущего трояна (протокол обратной связи, способ автозапуска, вид деятельности, метод кодирования, необходимость отключения антивирусного ПО и т. д.). Есть удобные системы, позволяющие рассылать спам и заражать форумы, работающие на самых разных
движках.
Порог вхождения в индустрию компьютерной преступности снизился до минимума. Открытые форумы взломщиков можно найти с помощью Google, а чтобы выйти на виртуальную "большую дорогу" и начать "зарабатывать" реальные деньги, достаточно иметь несколько десятков долларов стартового капитала. В то же время техническое оснащение взломщиков вполне сопоставимо с техническим оснащением антивирусных компаний.
"Аналогичная ситуация с правоохранительными органами, - Скотт цитирует Джима Малони (Jim Maloney), бывшего CSO Amazon.com, в настоящий момент - владельца собственный консалтинговой компании. - До тех пор, пока не поступит достаточно информации от множества жертв и не станет ясно, что речь идет об одной большой проблеме, необходимых для ее решения ресурсов просто никто не выделит".
С другой стороны, распределенная структура преступных корпораций и длинные "цепочки потребления" позволяют "размазывать" риски по всем участникам этого рынка - точно так же, как в наркобизнесе. Разделение труда приводит к повышению устойчивости всей системы. Для наркомафии арест одного наркокурьера - все равно что слону дробинка. Так и арест одного разработчика трояна не затронет "клиентов" его сервиса, и через какое-то время аналогичный сервис появится в другом месте и с участием других людей.
Ландфехр (Landwehr) описывает попытки правительства США разобраться с проблемой "лимонного рынка" в мире компьютерной безопасности, начатые в середине 1980-х. Во-первых, речь идет об исправлении схемы государственного тестирования и сертификации ПО (о так называемой "Оранжевой Книге", "Orange Book"), но это исправление лишь породило новые проблемы. Желание менеджеров упростить процесс сертификации самого свежего софта привело к тому, что производителям было достаточно показать, что процесс начат, хотя зачастую он так никогда и не заканчивался. Также возникали проблемы взаимодействия с системами союзников - Англии, Германии и пр.
Регулирование значительно улучшилось, когда неудачи рыночного механизма в индустрии информационной безопасности стали ясны. Евросоюз принял документ "Network Security Policy", который установил общеевропейский ответ на атаки на информационные системы. Это послужило началом применения экономических мер при планировании государственного управления. Другой пример: комментарии правительства Германии по поводу инициативы Trusted Computing. Они сильно повлияли на Trusted Computing Group, заставив ее согласиться с принципами членства, исключающими дискриминацию небольших предприятий. Недавно Еврокомиссия высказывала свои соображения об экономических последствиях механизмов безопасности Windows Vista.