На службе у бизнеса
Игорь Ашманов, ответственный секретарь национальной коалиции против спама:
- Есть давнишняя байка, будто вирусы пишут для самоутверждения аутичные подростки с сексуальными комплексами. То есть опасное уголовное преступление совершается якобы для забавы и бесплатно. Я не думаю, что это вся правда. Есть и другие причины.
Во-первых, демонстрация профессионализма для получения другой грязной хакерской работы, уже за деньги. Во-вторых, консолидация хакеров и спамеров, развитие "бизнеса". Вирусы активно используются для захвата пользовательских машин и рассылки спама с них. Это большой бизнес (десятки миллионов долларов в год как минимум). И, наоборот, вирусы рассылаются спамерскими методами для ускорения их распространения.
В-третьих, тестирование боевых технологий. Хакерам надо тренироваться, и не только им. В любой крупной спецслужбе есть отдел кибервойн. Там пишутся в том числе и боевые вирусы. А в лабораторных условиях, даже в рамках крупной организации, воспроизвести реальную интернет-обстановку нельзя. Так что я уверен, что по поводу "запуска в обращение" хотя бы некоторых из последних нашумевших вирусов писались заявления на имя директора департамента наподобие "...в целях тестирования степени защищенности российских (американских) европейских сетей прошу разрешить полевое тестирование неразрушающего вируса почтового типа ВЛП-137...".
Профилактика появления вирусов возможна. Разработчики антивирусных программ - суперпрофессионалы, их исследовательские лаборатории обеспечивают круглосуточную реакцию. Этого было бы достаточно, чтобы в разы понизить вирусную активность и избежать таких эпидемий, что мы видим сегодня. Но дело в том, что пользователи почти не используют антивирусы. Скажем, в начале эпидемии Mydoom все ведущие производители выпустили обновления баз в течение 1-3 часов. А вирус крепчал еще две недели. Почему? Где же он размножался все это время? А вот где: по разным оценкам, сейчас антивирусы установлены на 30-50 процентах всех машин, если считать и пиратские версии. Но обновления антивирусных баз регулярно делаются лишь на 10-20 процентах из них. Таким образом, свежие антивирусы, по моим оценкам, есть на 5-10 процентах от всех машин в мире. Комментарии излишни. И "заплатки" на известные дыры в программах не скачиваются месяцами, несмотря на громогласные предупреждения. Если люди в большинстве не моют руки перед едой, чего удивляться распространению холеры? Почтовые вирусы распространяются в основном за счет "чайников" и идиотов. Чтобы запустить Mydoom, нужно очень постараться (открыть приложение к письму, распаковать архив, запустить программу) - и все равно возникла эпидемия. Так что профилактика - это просвещение и повсеместная установка антивирусных программ.
Чего боятся черви
Евгений Касперский, руководитель антивирусных исследований лаборатории Касперского:
- Есть ряд причин, толкающих авторов вирусов на создание и распространение вредоносных программ. Во-первых, обычное юношеское хулиганство, вызванное стремлением к самоутверждению на основе достигнутого интеллектуального уровня. Период склонности к компьютерному хулиганству довольно непродолжителен, но подрастают новые, что придает этому процессу перманентный характер. Условие жизнеспособности компьютерного хулиганства - его анонимность и отсутствие ответственности за свои действия. К сожалению, современная сеть при отсутствии какого-либо контроля за деятельностью пользователей как нельзя лучше приспособлена для реализации деструктивных задач. И пока это не будет устранено, проблему не решить.
Другая причина создания вирусов - мошенничество: незаметное управление пораженным компьютером, воровство паролей доступа в Интернет, электронных денег и даже кодов доступа к персональным банковским счетам. Наконец, в последнее время появилась еще категория вредоносных программ: коммерческие вирусы, создающиеся с целью захвата подключенных к сети компьютеров. Эти машины используются затем для рассылки спама.
Однако распространение вирусов может быть значительно осложнено, если пользователи Интернета будут следовать элементарным правилам компьютерной гигиены. Их всего три (не считая "нулевого": присутствия на компьютере антивирусной программы).
Первое. Обеспечение антивирусной программы самыми актуальными базами данных. При пользовании Интернетом их обновление необходимо производить не менее одного раза в день (а желательно - круглосуточно с интервалом в три часа). Программа может делать это автоматически, а сами обновления компактны.
Второе. Знания и опыт антивирусных экспертов позволяют обнаружить опасность еще до того, когда она превратится в реальную угрозу. Рассылка предупреждений о вирусных угрозах, доступная на сайте любой антивирусной компании, сообщит о возможных атаках.
Третье. Большинство самых опасных вирусов попадает на компьютер жертвы, используя какую-нибудь "дыру" в программах, поэтому пользователь ничего не замечает. Производители программ регулярно выпускают так называемые "патчи", которые закрывают для вирусописателя возможную лазейку. Эти патчи доступны в Интернете для владельцев легального ПО.
Ищи особые приметы
Дмитрий Лозинский, создатель знаменитого антивируса AIDSTEST:
- Первые компьютерные вирусы появились скорее всего от любопытства - интересно было реализовать идею простейшей модели размножения. Соответственно, занимались этим довольно грамотные программисты. Хотя и не самые грамотные - у тех просто не было времени на подобные развлечения.
Сейчас ситуация коренным образом изменилась - чтобы изготовить вирус, особая грамотность не нужна, поскольку появилось огромное количество пособий по изготовлению вирусов и в Интернете, и в печатном виде. Первое такое издание в нашей стране появилось еще в 1991 году (П.Л. Хижняк. "Пишем вирус и антивирус"). Эта книжка породила десятки очень похожих и абсолютно безграмотных вирусов (серия Khizhnjak). Более того, сейчас существует большое количество "генераторов вирусов", при помощи которых новый вирус может изготовить кто угодно.
Современные эпидемии являются, строго говоря, не вирусами, а сетевыми или почтовыми червями. Термин "вирус" основывался именно на подобии биологическим вирусам - внедрении чуждого "генетического материала" в живую клетку-программу. Здесь же происходит "расползание" программы по компьютерам, подключенным к сети Интернет.
Объединение гигантского множества компьютеров в единую сеть породило совершенно новые возможности не только вредоносного, но и "коммерческого" использования вирусов (червей). С их помощью часто рассылаются программы, позволяющие удаленно управлять зараженным компьютером. В частности, такие программы позволяют рассылать спам - рекламные письма, полностью скрывая истинный источник их рассылки. Очень похоже, что последняя эпидемия Mydoom преследовала именно эти цели - получить огромное множество "зомбированных" компьютеров.
Сейчас главное в борьбе с вирусами - как можно быстрее включить "особые приметы" нового вируса и метод лечения от него в базу данных антивирусной программы и сделать обновленную базу доступной для всех пользователей. При современных скоростях распространения вирусов по миру важна чуть ли не каждая минута. Кроме того, при опознании важно максимально использовать их групповые свойства. В первую очередь, важно заранее уметь определить все порождения конкретного генератора вирусов. В этом случае антивирусная программа заранее будет готова к эпидемии, вызванной подобным вирусом. Например, в момент появления вируса AnnaKournikova, вызвавшего довольно серьезную эпидемию в мире, DrWeb уже опознавал его, но под групповым именем VBS.Sst.
Кроме того, очень помогают так называемые "эвристические" методы опознания вирусов. Они заключаются в том, что антивирусная программа детально анализирует код программы и пытается обнаружить в нем действия, характерные для вирусов. При обнаружении достаточного количества таких действий программа объявляется "подозрительной", что часто помогает своевременно обнаруживать новые вирусы.
Оценивая взаимные шансы в борьбе с вирусами, следует учитывать, что подавляющее большинство людей, работающих на компьютерах, имеют весьма приблизительное представление о том, что такое компьютер. Большинству просто невозможно объяснить, что антивирусные базы необходимо регулярно обновлять. Поэтому абсолютно необходимо иметь антивирусную защиту непосредственно в Сети, особенно на почтовых серверах. Думаю, что необходимо в законодательном порядке заставить всех владельцев почтовых серверов установить на них антивирусные программы.