Мнение эксперта

Антивирус Касперского
Купить Антивирус Касперского в магазине

В своем квартальном отчете от 7 августа 2007 года, Александр Гостев, являющийся ведущим аналитиком лаборатории Касперского, свел к минимуму рассмотрение различных современных вредоносных программ, отдав предпочтение детальному анализу некоторых проблем, возникающих то и дело в Интернете, а также провел обзор новых технологий и возможных уязвимых мест, подверженных наибольшему риску. Таким образом, формируется конкретная область задач, которые каждая современная компания, занимающаяся разработкой антивирусного ПО, должна научиться решать.

Наверняка тема событий, произошедших в конце апреля - начале мая 2007 года в Эстонии, остается одной из наиболее часто обсуждаемых на протяжении всего 2007 года. Так, эти события стали знамениты тем, что непосредственно после того, как митинг протеста против решения, накануне принятого правительством Эстонии о ликвидации памятника, воздвигнутого на одной из центральных площадей Таллинна в честь советских солдат, погибших во время Второй мировой войны в операциях по освобождению Эстонии, был грубо разогнан полицией города, множество серверов в зоне Интернета, относящегося к Эстонии, оказались под массированной DoS-атаке. И хотя в большей степени атака была направлена именно на государственные сайты - президента, эстонского парламента, министерств и полиции - осуществлялась перегрузка массовыми запросами компьютеров из всех уголков земного шара в гигантском количестве, по отношению к множеству других сайтов Эстонии также был осуществлен массовый взлом.

Политические силы Эстонии немедленно обвинили в происходящем спецслужбы РФ, и именно тогда на самом высоком государственном уровне впервые был использован термин "кибервойна". Эстонии обратилась за помощью к НАТО, призывая приравнять произошедшие кибератаки к военным акциям, и требуя предоставления военной защиты от угрозы, исходящей со стороны Интернета.

Но что же на самом деле имело место быть в сегменте Интернета, относящемся к России, в тот самый период времени? С началом столкновений эстонской полиции и протестующих демонстрантов, для многих российских пользователей практически единственной возможностью для выражения своего протеста в отношении действий правительства Эстонии была возможность сетевого протеста, который и выразился в виде DoS-атак. Так, некоторые веб-сайты и форумы в изобилии содержали различные программы, с помощью которых можно было послать бесчисленное количество запросов к любому из эстонских сайтов. Поэтому абсолютно любой человек, имеющий доступ к Интернету и желание выразить свой протест мог скачать одну из подобных программ и привести ее в действие со своего компьютера. С технологической точки зрения это является обыкновенным ботнетом, но с той разницей, что создан он был по обоюдному согласию, и владельцы компьютеров прекрасно знали и осознавали что именно они делают. Естественно, часть атаки была произведена именно с самых "настоящих" ботнетов, т.е. машин уже ранее зараженных, но мощность и возможности атаки ручной тоже нельзя недооценивать. Но в любом случае, если здесь все же применять термин "кибервойна", то по отношению к данному конкретному случаю это будет скорее действия партизанского отряда.

Эстонские службы так и не смогли представить никакие реальные свидетельства, которые доказывали бы причастность к произошедшему правительственных структур России. Но, даже несмотря на это, обсуждение проблемы "кибервойны", а также такого явления как "кибертероризм" теперь ведется по всему миру, причем не только в обществе экспертов компьютерных технологий, но и среди политиков и военных, а из уст специалистов звучат сценарии к самым настоящим компьютерным войнам. Обсуждение вопросов, касающихся кибртерроризма, происходит самым неадекватным образом по отношению к реальному положению вещей - слишком часто и в слишком больших количествах осуществляется публикация опасной информации, которая фактически предлагает читателю готовые сценарии для осуществления кибертерроризма. При этом "Лаборатория Касперского" изначально считает практику публикации и общественного обсуждения конкретных способов возможности вывода из строя тех ил иных объектов жизнедеятельности является недопустимой, поскольку подобного рода информация без сомнения может стать своеобразным толком для активизации деятельности различных экстремистских групп в попытке реализации одного из подобных сценариев.

Во втором квартале 2007 года произошло одно из наиболее заметных событий в плане развития мировых мобильных технологий - на рынок вышел мобильный телефон компании Apple - iPhone. Прогнозы аналитиков в отношении данного мобильного устройства весьма радужны и предполагается, что за полтора года продажи составят 13,5 миллионов экземпляров. Теперь, естественно, возникает вопрос о том, сыграет ли фактор очевидной популярности iPhone решающую роль для прекращения стагнации, которая наблюдается в мире вирусов мобильных технологий. По оценкам экспертов, iPhone может столкнуться с реальными вирусными проблемами уже в 2008 году: высока вероятность возникновения новых файловых вирусов, в факторе угрозы также находятся и троянские программы. Но по-настоящему представляют угрозу для многочисленных пользователей iPhone разнообразные уязвимые места, которые могут послужить путем для доступа злоумышленников к информации, хранящейся на телефоне.

Mpack. Современные вредоносные программы в процессе их создания все чаще становятся ориентированы на использование тех или иных уязвимых мест с целью максимально эффективного проникновения в систему. Так, середина июня ознаменовалась для общественности массовым распространением вредоносных программ, источниками которых явились тысячи итальянских сайтов. Впоследствии, за несколько дней было выявлено около шести тысяч серверов, относящихся к итальянскому сегменту Интернета, на страницах которых обнаружился специальный html-код, добавленный злоумышленниками. Вид кода был примерно таким:

<iframe src='адрес' width=5 height=5> </iframe>

Такая конструкция кода знакома специалистам и является вполне типичной, когда дело касается использования эксплойтов уязвимых мест различных браузеров. Технология внедрения подобного кода не так уж и сложна. Существует специальный набор эксплойтов, которые настроены на использование уязвимых мест популярных операционных систем и браузеров Интернет. Первым делом злоумышленник устанавливает подобный набор на свой сайт, после чего, с целью привлечь на свой ресурс как можно больше пользователей, он стремится к получения доступа к чужим сайтам, где для этих целей зачастую использует аккаунты, ранее украденные при помощи троянской программы. Впоследствии на все страницы этих сайтов добавляется тэг iframe, который и приводит на изначально зараженный сайт, где размещаются эксплойты, что в итоге зачастую приводит к установке в систему программы типа Trojan-Downloader, что позволяет последующую загрузку различных вредоносных программ.

Неожиданностью стало то, что Mpack был использован за пределами России, поскольку создан он был в России и предназначался изначально для России с ее многочисленными хакерами. Авторы Mpack некогда активно участвовали как в работе по созданию, так и поддержке троянской программы под названием LdPinch. Стоит отметить, что в настоящее время черный рынок располагает несколькими подобными наборами эксплойтов, которые в разы превосходят Mpack по пробиваемости.

Главной проблемой является то, что когда дело касается авторов подобных программ, практически исключается возможность привлечения их к уголовной ответственности, поскольку теоретически все они занимаются лишь тем, что собирают опубликованные на тысячах сайтов, связанных с обеспечением информационной безопасности, эксплойты и объединяют их в единый набор, но не несут ответственности за его последующее использование. И вот на таких этапах и происходит очередное столкновение с той самой проблемой о публикации информации о различных уязвимых местах того или иного программного продукта, является ли это полезным, или же несет слишком большой вред.

Современных киберзлоумышленников привлекают также и мобильные технологии. Так, в середине мая было зафиксирована новая троянская программа для мобильных сразу в трех исполнениях - Trojan-SMS, SymbOS и Viver, занимающиеся рассылкой платных sms на номера premium-аккаунтов, после чего со счета владельца пострадавшего телефона снимается та ил иная сумма денег с последующим перечислением на счет, определенный злоумышленником. Существует вероятность, что данная проблема, набирающая все большие обороты в России, актуальна и для зарубежных стран. Вслед за вирусами для мобильных устройств большую популярность получил антивирус для смартфона, который препятствовал бы проникновению опасных программ в телефон. Основные события, которые отражены в данном отчете, имевшие место во втором квартале 2007 года, предоставляют большую пищу для дальнейших размышлений, но не могут в полной мере дать конкретный ответ на вопрос о направлении движения вирусно-информационных угроз, наводняющих современный мир. Старые, проверенные годами, способы нанесения информационного урона являются эффективными даже для использования по отношению к совершенно новым разработкам ОС, сервисам и типам мобильных устройств, и злоумышленники продолжают вносить разнообразные усовершенствования в свои программы, возвращаясь к "истокам" и вводя новые витки развития в одни из самых ранних способов. Так, второй квартал 2007 года отличается от аналогичного периода 2004 года разве что тем, что теперь в распространении вирусов более активно используются системы мгновенных сообщений, тогда как электронная почта в этом отношении постепенно отходит на второй план, а также с развитием онлайн-игр резко увеличилось число троянских программ. При этом, угрозы берут не качеством, а количеством, не становясь "умнее", но от этого не теряя в силе. Развитие идет в экстенсивном пути и до сих пор непонятно, какой фактор обусловит глобальное изменение вирусных и информационных угроз будущего.

Тем временем, в сравнении с несколькими годами ранее, антивирусные компании добились значительного улучшения технологий активной защиты, что сводит "жизнь" большинства новоиспеченных вредоносных программ к часам и редко - к нескольким дням. Что же касается прогнозов в области деятельности киберзлоумышленников на ближайшее время, то они по большей вероятности будут разрабатывать вес новые методы внедрения вредоносных программ в те области технологий, где антивирусная защита еще не может быть осуществлена на достаточно качественном уровне, либо вообще невозможна. В основном это касается различных онлайновых игр и блогов, а также может затронуть системы мгновенного обмена сообщениями и создать ряд проблем во всех процессах, касающихся файлообменных сетей.