– Эксперты называют 2006 год «самым киберпреступным» в истории Интернета. Чего добились хакеры в мире и в России?
– Раньше хакеры и вирусописатели были исключительно компьютерными хулиганами. Но в 2002–2005 годах все большая часть вредоносных программ создавалась в корыстных целях. Об этом периоде можно говорить как о времени становления массовой компьютерной преступности по всему миру.
Чем «белее» зарплаты, тем острее будет стоять проблема воровства денег с персональных банковских счетов
Преступники искали новые способы наживы в Сети, применяли разные методы разработки и распространения своих изделий, которые иногда вызывали глобальные эпидемии.
В 2006 году криминальный бизнес в Сети можно считать сформировавшимся. Практически полностью отсутствуют глобальные инциденты – многие виновники эпидемий прошлых лет обнаружены и изолированы от общества. Новые не стремятся составить им компанию. Но безопаснее Интернет не становится – непрерывно растет количество и качество троянских программ и червей, созданных с откровенно преступными намерениями.
Появление новых технологий и сервисов в Сети неизбежно привлекает внимание компьютерного криминала – и таким образом появляются новые методы воровства денег, мошенничества и вымогательства при помощи хакерских атак и вредоносных программ. Так, в 2006 году обнаружена первая троянская программа, самостоятельно отправляющая SMS-сообщения с мобильных телефонов, при этом сообщения отправляются на платный номер. Зафиксировано несколько троянских программ, которые шифруют файлы пользователя и затем требуют выкуп за программу-расшифровщик. Появился также новый вид интернет-мошенничества – взлом онлайновых брокерских контор, использование их баз данных и средств для накрутки акций на биржах. Схема получила название pump and dump.
Одновременно происходит техническая модернизация вирусных программ. Они становятся более сложными, используют различные методы скрытия себя от антивирусных программ (технологии «руткит», шифрование и мутирование своего кода), противодействуют антивирусным программам, блокируют их работу и т.д. В общем, делают все возможное, чтобы остаться незамеченными в системе как можно дольше.
– Создание вирусных программ – это полноценный бизнес? Справедливо ли утверждение, что большинство троянов сейчас изготавливают в коммерческих целях?
– Безусловно да. Подавляющее большинство современных троянских программ – откровенно коммерческие. Они, во-первых, воруют информацию. Особенно часто – коды доступа к банковским счетам, коды персонажей многопользовательских ролевых игр и прочую информацию, которую можно использовать в корыстных целях. Во-вторых, используют ресурсы компьютеров, например для рассылки спама. В-третьих, блокируют доступ к информации (например, шифруя ее) и требуют выкупа за ее возвращение. Способов нелегального обогащения в Сети становится все больше.
– Как действуют зомби-сети?
– Термин «зомби-сеть», или «ботнет» (botnet), имеет в основе слово bot, которое пришло к нам из времен популярности IRC – средства текстового общения в компьютерной сети. Во времена IRC очень популярными были так называемые боты – специальные программы, которые присутствовали под отдельными никами на каналах IRC и могли выполнять определенные действия в ответ на запросы, поступающие к ним от пользователей канала. Тогда они использовались для автоматического распространения популярных программ или выдачи определенного рода справочной информации.
На этой идее основаны современные зомби-сети. Зомби-сеть состоит из некоторого количества так называемых зомби-машин – компьютеров, зараженных определенной троянской программой, которая позволяет выполнять по команде определенные действия, заложенные в программу автором. Зараженный компьютер сам устанавливает сетевое соединение с определенным в троянской программе сервером (как правило, это IRC-сервер) и ждет команды от хозяина бот-сети.
Чем больше компьютеров заразилось троянской программой, тем больше зомби-машин попадает в распоряжение хозяина зомби-сети. Все, что нужно хозяину, – это подключиться к IRC-серверу, зайти на определенный канал и отправить текстовое сообщение. Бот-машины читают это сообщение, анализируют его и выполняют определенные действия, в случае если распознают в сообщении известную им команду. Зомби-машины могут рассылать спам через определенный почтовый сервер, вести DoS-атаки на определенный хост, собирать и передавать конфиденциальные данные с зараженной машины и т. д.
Подготовленные зомби-сети могут быть проданы любому желающему за хорошие деньги. Стоимость конкретной зомби-сети сильно зависит от страны, от пропускной способности канала. В среднем – 300 долларов за тысячу зараженных машин. Все это стимулирует развитие такой технологии в криминальных кругах.
Для устранения угрозы от зомби-сети или обнаружения хозяина необходимо прежде всего определить, откуда происходит управление этой сетью, и попытаться перекрыть возможность передавать команды зомби-машинам. Это понимают и создатели зомби-сетей. Они пытаются создавать децентрализованные зомби-сети, позволяющие использовать не единый центр, отдающий команды (например, определенный IRC-канал), а передавать команды от одной зараженной машины к другой путем прямого сетевого подключения.
– Доходность ботнетов можно оценить?
– Цифру назвать очень сложно – они не платят налогов и не сообщают никаких данных о своих «финансовых результатах». Оценить оборот криминального бизнеса в Сети можно по результатам успешных расследований, которые закончились арестами. Иногда подобная информация проскакивает в новостях, иногда также сообщается о размерах сумм, которые компьютерные преступники успели наварить. Основываясь на этих данных и на количестве нераскрытых инцидентов, боюсь, что оборот интернет-преступников измеряется миллиардами долларов ежегодно. Не удивлюсь, если эта цифра превышает оборот всей антивирусной индустрии
– Как вы оцениваете объем рынка антивирусных программ в России?
– Мы оцениваем его как 70–80 млн долларов в ценах конечных пользователей.
Подавляющее большинство современных троянских программ – откровенно коммерческие |
– По нашим оценкам, доля «Лаборатории Касперского» на российском антивирусном рынке составляет около 40%. В ценах конечных пользователей – данный метод оценки распространен в антивирусной индустрии – это порядка 30 млн долларов.
– Чем для обычного пользователя опасны трояны и adware?
– Ущерб от проникновения вируса в домашний компьютер или компьютерную сеть предприятия может быть совершенно разным: от незначительного увеличения размера исходящего трафика (если внедрен троянец, рассылающий спам) до полного отказа работы сети или потери жизненно важной информации. Он также зависит от целей троянской программы и от наличия в компьютере информации, за которой троянец охотится.
Прямого денежного ущерба от adware нет – она лишь мешает пользователю жить и работать, засоряя экран рекламными баннерами. Иногда adware оказывается несовместимой с уже установленными программами, что может привести к неработоспособности системы, но такие случаи достаточно редки.
Также с помощью adware отслеживаются предпочтения пользователя, и не только предпочтения. Программа собирает IP-адреса, версию установленной ОС и браузера, запросы, посещаемые ресурсы и т. д. Все собранные данные так или иначе используются при проведении маркетинговых исследований и показе таргетированной рекламы (понятно, что ее КПД гораздо выше). И подобный подход в последнее время становится все популярнее.
– Реально ли защитить личный ящик от спама?
– Самая лучшая защита – это спам-фильтр. Установите у себя на компьютере защиту от спама или заведите почтовые ящики на защищенных от спама почтовых серверах. Это самая простая и надежная рекомендация.
Единственное, в чем надо убедиться, это в качестве выбранного спам-фильтра. Слишком жестко настроенный фильтр может задержать важные личные и деловые письма, приняв их за спам. Вряд ли такой эффект обрадует. Поэтому при выборе антиспам-модуля надо обратить внимание на его характеристики и репутацию производителя.
Если же пользователь не может установить или использовать спам-фильтр по какой-то причине, то есть несколько рекомендаций – простых, из разряда общей компьютерной гигиены, но тоже эффективных. Во-первых, не давайте своим почтовым ящикам простые имена. Никаких masha@домен, misha@домен и прочие. Пусть в имени ящика будут цифры, небуквенные символы вроде подчеркиваний и дефисов. Во-вторых, для регистрации на форумах, покупок в интернет-магазинах и прочего заводите отдельные дополнительные почтовые ящики и настраивайте с них переадресацию на основной. Если откуда-то повалит спам, то вы просто удалите этот ящик, и все. Заодно будете знать, что этот конкретный форум/магазин не заботится о безопасности своих пользователей. В-третьих, никогда не отвечайте на спам. Ваш возмущенный ответ получит не спамер, а спамерский робот, который автоматически выставит в спам-базе галочку: это ящик живой и активный. После чего вы получите гораздо больше спама, чем обычно.
Наконец, никогда не открывайте вложения в письмах от незнакомого адресата. Там может быть вирус или другой зловред, который возьмет на себя контроль над вашей машиной и начнет рассылать с нее спам.
– Насколько актуальны для России проблемы атак на интернет-банки и воровства денег со счетов?
– Подобные атаки в России пока не самая актуальная тема – по причине непопулярности данного сервиса в России. Но по мере интернетизации России, с течением времени (чем дальше мы от 1998 года, тем больше доверие к банкам и тем больше вкладчиков) чем «белее» зарплаты и чем чаще они переводятся на банковскую карту, тем острее будет стоять проблема воровства денег с персональных банковских счетов.
Если же говорить о воровстве денег с интернет-кошельков, то это одна из самых популярных тем российских хакеров. Воровали, воруют и будут воровать, и чем дальше, тем в больших объемах.
– С хакерами вообще можно эффективно бороться?
– Естественно. Помогает антивирусная защита достаточной надежности. Второе – здравый смысл. Не следует открывать подозрительные вложения от незнакомых людей или автоматически кликать на каждую ссылку, присланную неизвестно кем. Третьим и наиболее эффективным методом борьбы могли бы стать полицейские меры, но с этим ситуация пока не очень позитивная. Одна из причин – многие интернет-преступления совершаются за пределами страны проживания преступника. У Интернета нет границ и паспортного контроля. Для расследования подобных инцидентов необходима совместная работа полицейских подразделений разных стран – и на этом все заканчивается...
– Существуют ли примеры, когда компании, производящие антивирусное ПО, сами запускали вирусные программы?
– Таких примеров в индустрии не было.
– Российская и международная индустрии вирусов отличаются друг от друга?
– По ряду причин наиболее криминогенные зоны Сети имеют свою специализацию. Например, основной источник зловредных программ Китай в основном поставляет троянские программы, ворующие виртуальных персонажей и виртуальную собственность из сетевых игр. Испаноговорящие страны и Бразилия в основном специализируются на банковских троянских программах. В России же в основном производятся троянские программы для рассылки спама, многочисленны атаки на интернет-кошельки и также троянцы, которые воруют всю доступную информацию о пользователе – от электронного адреса и номера ICQ до кодов доступа к интернет-ресурсам.
– Каковы основные тенденции развития виртуальных угроз?
– Угрозы становятся все более и более многочисленными и более совершенными. Соответственно, эволюционируют и средства защиты – они должны уметь защищать от новых типов угроз, ставить барьер на пути технически более сложных атак.
– С кем вам выгоднее работать – с частными лицами или с корпоративными клиентами?
– Своей задачей мы видим защиту компьютерного сообщества от вредоносных программ, хакерских атак и спама, и в этом смысле все пользователи для нас одинаково важны.
– Крупный бизнес тоже страдает от хакерских атак?
– Информационное пространство стало глобальным. Границы стираются. Меняются и представления о корпоративной сети. Раньше объект защиты был очевиден – периметр сети, представляющий собой четкую границу безопасного пространства. Сегодня мы имеем дело с множеством взаимопроникающих и пересекающихся периметров отдельных подсетей, сетевых узлов и просто устройств. Корпоративная сеть перестала быть статичным закрытым образованием, ее состав и границы изменяются. Мы разработали свою концепцию защиты предприятий Open Space Security. В феврале она была анонсирована в России, а в марте - в Германии, в рамках выставки CeBIT. Нужен новый подход к защите корпоративной сети, в котором безопасное рабочее пространство больше не ограничено стенами офиса.