Заразился компьютер? Нужно было ставить антивирус!
Заразился компьютер? Нужно было ставить антивирус!
За все хорошее приходится чем-то расплачиваться. И область высоких технологий — не исключение. «В нагрузку» к компьютерам и Интернету мы получили вирусы и спам...
Сегодня никто не может чувствовать себя в полной безопасности. И хотя борьбой с вирусами занимаются десятки организаций и компаний, а целая отрасль компьютерной индустрии разрабатывает антивирусные программы, защитные экраны и другие средства безопасности, пооложение остается серьезным. Напротив, вирусы становятся все вредоноснее, эпидемии — масштабнее, а финансовые потери растут. Неужели такое положение сохранится и впредь? Что делается для того, чтобы изменить ситуацию к лучшему? Как развиваются технологии защиты? Чтобы найти ответы на эти вопросы, мы решили проследить историю развития вирусных кодов, проанализировать текущую ситуацию и выяснить, что могут предложить поставщики антивирусных пакетов.
Печальная хронология
Компьютерные вирусы — почти ровесники компьютеров. Еще в 1949 г. отец вычислительной техники Джон фон Нейман описал саморазмножающиеся программы, напоминающие нынешних «вредителей». В 60-х годах на мэйнфреймах появились программы, клонирующие сами себя, а в 70-х был замечен первый сетевой вирус The Creeper, способный войти в сеть через модем и передать свою копию удаленному компьютеру. Для борьбы с ним был создан первый антивирус Reeper.
Массовое нашествие вредоносных кодов началось в 80-х годах с появлением ПК и ростом популярности Интернета, поскольку была создана благоприятная среда для создания вирусов, их размножения и распространения. Тогда, кстати, и родился термин «вирус». В 1984 г. его использовал выпускник университета Южной Калифорнии Фред Коэн в исследовании, посвященном угрозе со стороны самораспространяющихся кодов.
По его определению, вирус — это программа, которая «заражает» другие программы, добавляя в них способный модифицироваться код. Чтобы доказать, что такой код может проникнуть в любую систему с коллективным доступом к информации, несмотря на средства защиты, Коэн написал тестовый вирус. Оказалось, что ему потребовалось менее получаса, чтобы захватить контроль над компьютером, обойдя все технологии защиты.
Любопытно, что когда исследователь обратился за поддержкой в Национальный научный фонд США, то получил отказ, так как там эту тему сочли бесперспективной. Теперь, 20 лет спустя, весь мир расплачивается за чью-то ошибку.
Система DOS впервые подверглась серьезной атаке в 1986 г., когда вспыхнула эпидемия вируса Brain. Он распространялся через дискеты и заражал загрузочный сектор жесткого диска. Атака застала пользователей врасплох, так как мир еще не был готов к таким явлениям. Вскоре появились вирусы для ПК Macintosh, Unix-машин и мэйнфреймов IBM. В 1988 г. разразился первый кризис Интернета — сетевой червь Internet Worm заразил более шести тысяч компьютеров в США и практически парализовал работу Сети, завладев всеми ее ресурсами. Ведь в те времена антивирусы еще не были широко распространены, более того, многие специалисты вообще не верили в существование вирусов.
Следующий, 1989-й, год стал началом повальных вирусных эпидемий в России. Это послужило толчком к созданию отечественных антивирусных программ. Правда, тогда ПО этого класса не пользовалось особым спросом. «В первое время антивирусы не покупали, — вспоминает Сергей Антимонов, председатель совета директоров ЗАО «ДиалогНаука». — Первые серьезные покупатели появились только в 1995 г. Сейчас то же самое происходит с продуктами для борьбы со спамом. Видимо, требуется некоторое время для осмысления».
Последнее десятилетие прошлого века было богатым на события. В 1991 г. зарегистрирован первый полиморфный вирус, который, чтобы не быть обнаруженным, изменял сам себя. В 1992 г. появился первый вирус для ОС Windows. В следующие годы вирусописатели активно работали и изобрели множество оригинальных способов проникновения в систему. Год 1995-й запомнился тем, что тогда впервые был создан макровирус. Он «жил» в документах Microsoft Word и всего за месяц заразил множество ПК на всех континентах. В 1996 г. появился макровирус для Excel, а в 1998 г. — для Access. Годом позже вирусы добрались до электронной почты, и печально знаменитая Melissa почти мгновенно проникла на сотни тысяч компьютеров, рассылая себя через адресную книгу Outlook Express.
В следующем году эта же идея, правда, существенно модернизированная, нашла воплощение в черве Love Letter, который парализовал работу электронной почты во всем мире. Тогда же отмечены первые масштабные DDoS-атаки на ряд известных Web-сайтов, вызвавшие отказ в обслуживании пользователей. В прошлом году появилось сразу несколько вирусов, которые распространялись не через электронную почту, а непосредственно через сетевые порты, используя брешь в системе безопасности Windows. Главная их особенность — огромная скорость распространения.
Следует отметить, что в те же дни были замечены первые признаки объединения создателей вирусов и спамеров. «Троянские» программы нового класса внедряли на зараженном компьютере прокси-сервер, который затем без ведома владельца ПК использовался для рассылки спама. Это опасное явление свидетельствует о нарастающей криминализации Интернета. Теперь вредоносные программы пишут не из хулиганских побуждений, а ради наживы — заработать можно, например, на рассылке спама или используя так называемое «шпионское» ПО.
Плачевная ситуация
Нынешний год оказался богатым на творческие находки вирусописателей. Так, активизировались вирусы-оборотни, выдающие себя за полезные программы, например за «заплатку» для Windows или за письмо из электронного магазина. Основная их цель — доступ к конфиденциальной информации пользователя, особенно к финансовой. Это явление получило название phishing («выуживание секретов»). По данным аналитической компании Gartner, полученным в результате опроса 5 тыс. человек, только в США годовые убытки от такого мошенничества составили 2,4 млрд. долл.
Появилось множество других «паразитов», например, червь, проникающий через открытый FTP-порт Windows, первые вирусы для 64-разрядных Windows-файлов, сотовых телефонов Nokia и системы PocketPC. В первой половине года компания Symantec обнаружила 4496 новых вирусов и червей — в 4,5 раза больше, чем годом ранее.
Более того, именно в 2004 г. были созданы два вируса — MyDoom и Netsky, которые привели к максимальному экономическому ущербу за всю 20-летнюю историю создания вредоносных программ. По данным аналитической компании mi2g, потери достигли астрономических сумм — 83 и 56 млрд. долл. соответственно. По оценке этой же компании, три вируса — MyDoom, Netsky и Sobig — нанесли во всем мире колоссальный ущерб: от 157 до 192 млрд. долл., т. е. среднем по 290 долл. на каждый Windows-ПК.
Другие аналитики приводят не менее устрашающие факты. Так, компания MessageLab, предоставляющая услуги проверки электронной почты, во II квартале этого года находила вирусы в 9% электронных писем, а в 2003 и 2002 г. — только в 0,5 и 0,3% писем соответственно.
О тревожных тенденциях говорят и в антивирусных компаниях. По словам Гарри Кондакова, главы российского офиса «Лаборатории Касперского», количество вредоносных программ, регистрируемых экспертами «Лаборатории», растет с каждым днем и исчисляется десятками за сутки. С ним согласен Ризан Фленнер, менеджер Computer Associates по продажам в Центральной и Восточной Европе. «Активность вирусописателей растет — мы регистрируем все больше червей, зловредных кодов, апплетов и программ-шпионов, — сказал он. — Это ПО не только нарушает безопасность и целостность данных, но и значительно снижает производительность ПК и пропускную способность сетей».
В чем же причина? Вроде бы все меры принимаются. Антивирусы постоянно совершенствуются, антивирусные базы регулярно обновляются, некоторые фирмы готовы при необходимости делать это ежечасно, пользователи становятся более образованными в вопросах безопасности. Но ситуация не улучшается. По мнению Сергея Антимонова, само явление «вирусописательства» очень сложное и мало исследованное, поэтому нужны какие-то более серьезные меры для того, чтобы остановить создателей вредоносных программ. «Очевидно, это проблема и междисциплинарная, и межведомственная, и международная», — уверен он. Нельзя также забывать о психологических мотивах. Например, в среде начинающих программистов (студентов и школьников) самым «крутым» считается тот, кто написал и распространил вирус. И лишь немногие из них знают, что такое действие подпадает под уголовное преследование в России и в других странах.
Сергей Антимонов положительно оценил прошлогоднее решение Microsoft создать фонд в размере 5 млн. долл. для борьбы с вирусописателями. «Учитывая колоссальные возможности Microsoft, уже само известие о появлении фонда способно охладить многие горячие головы», — заметил он, приведя в качестве примера арест 18-летнего подростка из Германии, автора вирусов Sasser и Netsky. Это «молодое дарование», возможно, сдали сокурсники в надежде на солидное вознаграждение.
Microsoft делает ход конем
Многие специалисты обвиняют в нынешней плачевной ситуации именно Microsoft. С ними трудно не согласиться. Будучи монополистом на рынке настольных ОС, Microsoft явно не уделяет достаточно внимания вопросам безопасности. Тактику обнаружения и последующего латания дыр в Windows и других программах трудно назвать эффективной. Например, сотрудники организации Internet Storm Center провели любопытное исследование, подсчитав, сколько может «прожить» незащищенный компьютер, подключенный к Интернету. Оказалось, что в этом году до первой атаки в среднем проходит лишь 20 мин (в прошлом году было 40 мин). Такое сокращение времени «жизни» вызывает серьезную тревогу. Ведь этих 20 мин явно не хватит для того, чтобы найти и загрузить на ПК все нужные «заплатки» Microsoft или антивирусные базы (если на компьютере установлено соответствующее ПО).
Под давлением общественности Microsoft начинает менять отношение к безопасности продуктов, переходя от обещаний к делу. Например, этим летом компания выпустила сервисный пакет SP2 для Windows XP с дополнительными средствами защиты, а в прошлом году купила румынскую антивирусную компанию GeCAD с намерением создать собственную бесплатную службу или продукт для защиты.
Хотя конкретные планы или продукты еще не объявлены, это событие взволновало антивирусную индустрию. Многие помнят, что случилось с Netscape, когда Microsoft занялась браузерами. Не постигнет ли такая судьба и антивирусные компании? Некоторые ведущие игроки не считают, что есть причины для беспокойства. Например, в «Лаборатории Касперского» одобряют планы Microsoft. «Мы приветствуем любые меры, направленные на повышение уровня защищенности пользователей, — сказал Гарри Кондаков. — Существующий в настоящий момент высочайший уровень вирусной угрозы требует объединения усилий крупных поставщиков». Что касается бизнеса, то здесь «Лаборатория» не видит для себя опасности: компания имеет собственные уникальные технологии распознавания и удаления вирусов и поэтому способна составить конкуренцию даже
Microsoft.
Другие игроки настроены менее оптимистично. Как отметил Сергей Антимонов, выход Microsoft на антивирусный рынок может вызвать его серьезный передел. «Cейчас в мире 600 млн. компьютеров работают под управлением ОС Windows, — объяснил он. — Многие пользователи могут выбрать «родной» для этой среды антивирус. Все зависит от того, какие типы антивирусных продуктов — для рабочих станций, серверов, периметра сети — выпустит Microsoft и какой уровень услуг предоставит».
Это мнение разделяют специалисты из США. Подавляющее большинство реселлеров, принявших участие в опросе CRN, считают, что данный шаг Microsoft создаст угрозу антивирусным компаниям, но пойдет на пользу конечным пользователям, поскольку корпорация сможет интегрировать средства защиты с ОС. Правда, специалисты не очень верят обещаниям сделать эти средства бесплатными и опасаются, что мы будем вынуждены их покупать.
Типы вредоносных программ
• Вирус. «Живет» и размножается внутри зараженной системы, присоединяясь к другим программам или документам (в этом случае вредоносный код называют макровирусом). Когда происходит исполнение программы, то одновременно исполняется и вирусный код. Распространяются вирусы путем переноса зараженной программы или документа на другой компьютер.
• Червь. В отличие от вируса является автономной программой и поэтому «живет», не присоединяясь к другому коду. Вносит изменения в ОС, чтобы исполняться при загрузке компьютера. Для распространения черви либо используют «дыры» в защите компьютеров либо осуществляют какие-то обманные действия, вынуждающие пользователей запустить вредоносный код.
• Троянский конь. Подобно вирусу присоединяется к другим программам и совершает те или иные деструктивные действия. Чтобы распространяться, трояны «подделываются» под какие-либо полезные программы.
• Потайной вход. Открывает доступ к системе в обход нормальной процедуры аутентификации. Существуют два типа потайных входов. Первый работает как троян, второй — как червь.
• Программа-шпион. Собирает и отправляет информацию о пользователе — от адресов любимых сайтов (в лучшем случае) до номеров кредитных карт (в самом плохом). Работает и распространяется как троян.
Источник: Компьютерная энциклопедия Wikipedia (en.wikipedia.org).
Сегодня спрос на антивирусное программное обеспечение растет повсеместно: в западных странах, в Восточной Европе, в России…
Перспективный рынок
Спрос на антивирусы растет даже в условиях общего спада расходов на ИТ, наблюдаемого на Западе. По оценке компании IDC, именно этот тип программ в основном покупают пользователи, когда решают приобрести средства защиты. В 2002 г. объем мирового рынка антивирусов составил 2,2 млрд. долл., что на 31% больше, чем годом ранее. В IDC уверены, что рост продолжится и в 2007 г. объем рынка достигнет 4,4 млрд. долл. Причина бума очевидна — пользователи вынуждены защищаться от всякой «нечисти», поэтому и расходы на безопасность увеличиваются.
Ситуация в Восточной Европе повторяет общемировые тенденции. По данным британской компании Canalys, во II квартале нынешнего года объем рынка систем информационной безопасности (аппаратные и программные средства) составил 404 млн. евро, что на 33% больше, чем в 2003 г. 60% этой суммы приходится на долю межсетевых экранов и антивирусов. В секторе антивирусных программ в этом регионе лидирует Symantec (57% рынка), далее следуют Trend Micro, Computer Associates и McAfee.
Отечественный рынок средств защиты тоже на подъеме. Как подчеркнул Сергей Антимонов, председатель совета директоров ЗАО «ДиалогНаука», в последнее время наблюдается заметный приток новых клиентов. Очевидно, это связано с серьезными вирусными эпидемиями, которые прокатились по миру в текущем и прошлом годах.
Есть и другие тенденции. По словам Гарри Кондакова, главы российского офиса «Лаборатории Касперского», все большей популярностью пользуются комплексные решения, объединяющие межсетевой экран, систему обнаружения вторжений (intrusion detection systems), антивирус, сканер электронной почты, фильтр для Web и другие программы. Кроме того, растет интерес к системам ИБ со стороны предприятий СМБ, поэтому ведущие разработчики выпустили специальные линейки продуктов для этого сектора.
Но активнее всего антивирусные пакеты внедряются крупными предприятиями. Гарри Кондаков объясняет это тем, что в секторе СМБ пока процветает пиратство. А в крупном бизнесе картина иная — руководители предприятий внимательнее относятся к вопросам ИБ и для ее обеспечения отпускают необходимые средства. Кроме того, по словам Сергея Антимонова, антивирусное ПО пользуется спросом и у государственных организаций.
Львиная доля оборота на корпоративном рынке — обновление лицензий. Например, в «Лаборатории Касперского» обновление ПО приносит более 60% объема продаж. Впрочем, как отмечает Ризан Фленнер, менеджер Computer Associates по продажам и партнерам в Центральной и Восточной Европе, на рынке СМБ превалируют продажи новых лицензий.
Несмотря на увеличение спроса, конкуренция на рынке антивирусов остается весьма острой. «С каждым годом борьба становится все жестче, — сказал Гарри Кондаков. — Наиболее серьезное соперничество мы испытываем на корпоративном рынке». В сегменте домашних пользователей у «Лаборатории Касперского» прочное положение. Здесь доля компании составляет 75—80%. Сергей Антимонов также считает, что острота конкуренции зависит от сегмента рынка. Например, в области комплексных антивирусных решений для крупных предприятий соперничают такие «киты» индустрии, как Symantec, McAfee, Computer Associates, Trend Micro и Sophos. Кстати, две последние компании работают только на корпоративном рынке.
Но и отечественные разработчики не сидят сложа руки, а стараются потеснить зарубежных вендоров. Например, «Лаборатория Касперского» связывает дальнейшее укрепление рыночных позиций с более агрессивным продвижением решений именно в корпоративный сегмент.
Не просто продажа коробок
Основная особенность рынка антивирусного ПО состоит в том, что спрос сильно зависит от текущей «эпидемиологической» ситуации. «Востребованность антивирусов резко возрастает во время масштабных эпидемий, например таких, как нашествие вируса Mydoom в феврале этого года», — объяснил Гарри Кондаков. — Правда, в большей степени это относится к секторам индивидуальных пользователей и СМБ». Видимо, здесь все еще живут по принципу «пока гром не грянет...».
Не следует забывать и о том, что антивирусы решают лишь часть задачи по защите данных. Поэтому поставщики стараются дополнить это ПО другими продуктами. Например, Computer Associates выпускает законченное решение, которое помимо антивируса включает межсетевой экран и систему предупреждения вторжений.
Зловредные коды становятся все изощреннее, а число типов атак растет не по дням, а по часам. Естественно, усложняются и средства защиты. Поэтому их продвижение должно сопровождаться консультациями, внедрением и сопровождением. Это играет на руку партнерам антивирусных компаний, так как на оказании услуг можно заработать гораздо больше, чем на продаже коробок. Но для того, чтобы заниматься такой деятельностью, требуются специально подготовленные специалисты. Поставщики уделяют этому вопросу особое внимание. «Наши партнеры проходят такое же обучение по технологиям и продажам, как и сотрудники компании-поставщика», — рассказал Ризан Фленнер. Этот подход себя оправдывает. Ведь от качества сервиса, предоставляемого партнерами, зависит репутация вендора.
В «ДиалогНауке» также считают консалтинг и поддержку клиентов важными компонентами бизнеса и следят за квалификацией партнеров. «Требования по уровню подготовки и количеству сертифицированных специалистов зависят от партнерского статуса», — сообщил Сергей Антимонов. Специальные знания необходимы, поскольку круг обязанностей партнеров постоянно расширяется. Так, недавно компания возобновила услугу «скорая антивирусная помощь», в рамках которой партнеры обнаруживают и удаляют вредоносные программы, тестируют и восстанавливают работоспособность файловой системы, устанавливают и настраивают антивирусные пакеты, системы для блокирования спама, ревизоры дисков и персональные межсетевые экраны. А вскоре будет предлагаться годовое антивирусное сервисное обслуживание, предусматривающее анализ состояния компьютеров и сети, разработку политики антивирусной защиты, выбор и установку антивирусов, их обслуживание и регулярный мониторинг сети.
Комплексные меры
Очевидно, что расходы на защиту от вирусов растут, антивирусные программы становятся все более совершенными, пакет услуг постоянно расширяется. Но информационная безопасность не повышается. Даже наоборот. Что же делать?
По мнению Гарри Кондакова, для решения этой проблемы необходим комплексный подход. Нельзя в один момент устранить вирусы, спам и навсегда пресечь хакерскую деятельность. Но это вполне достижимо, если реализовать комплекс мероприятий по противодействию информационным угрозам. Работать надо в двух направлениях: программно-аппаратном, то есть неодушевленном, и социальном, отвечающем за человеческий фактор.
В отношении оборудования и ПО нужно повысить уровень безопасности, заложенный еще на стадии разработки продукта. Кроме того, необходимо максимально упростить функционал программ, оставляя только необходимые пользователям возможности. Ведь из богатого набора возможностей современных офисных приложений реально используется от силы десятая часть, в то время как остальной код превращается в лазейки для вирусов. Особое внимание следует уделять вопросам обеспечения ИБ при создании программ и оборудования, предназначенных для работы в сети. Они должны быть защищены в максимальной степени. Например, в качестве альтернативы переполненному вирусами Интернету можно создать параллельную защищенную сеть, предназначенную исключительно для делового общения и не связанную с Интернетом. Пользователям такой сети будет гарантирована безопасность соединения.
Что касается «человеческого фактора», то здесь требуются серьезные меры для борьбы с киберхулиганством. Только введение строгих правил и ограничений на работу в Интернете и обязательная авторизация всех пользователей позволят четко определить источник угрозы, найти виновных и привлечь их к ответственности.
В то же время «законопослушных граждан» Интернета нужно обучать и просвещать. Это поможет предотвратить многие нештатные ситуации, причиной которых становятся несоблюдение элементарных правил «компьютерной гигиены» или некомпетентность. Ведь именно люди бывают самым слабым звеном в системе безопасности. Вирусные атаки обычно происходят по одному и тому же сценарию, но пользователи продолжают не задумываясь открывать неизвестно от кого пришедшие файлы.
Государственные органы также не должны оставаться сторонними наблюдателями. Давно назрела необходимость в принятии новых законов против киберпреступлений. А обществу в лице родителей, учителей и СМИ следует учить граждан, особенно молодых, что можно делать, а что нельзя. «Только объединяя усилия государств, бизнеса и граждан, можно добиться успеха», — сформулировал общую идею Сергей Антимонов. Следует заметить, что во всем мире уже идет активная работа. Например, в нашей стране в рамках Ассоциации документальной электросвязи создается «Меморандум о противодействии распространению вирусов и спама». В США в этом году была начата реализация серьезного проекта по противодействию компьютерному терроризму в рамках новой общественно-государственной структуры (www.US-CERT.gov). «Нечто подобное нам следует создать и в России, — считает Сергей Антимонов. — Новая структура обязательно должна работать в кооперации с аналогичными организациями, созданными в США и в других странах». Ведь вирусы не имеют национальности. Это — международная проблема.