«В нагрузку» к компьютерам и Интернету мы получили вирусы и спам...
Сегодня никто не может чувствовать себя в полной безопасности. И хотя борьбой с вирусами занимаются десятки организаций и компаний, а целая отрасль компьютерной индустрии разрабатывает антивирусные программы, защитные экраны и другие средства безопасности, пооложение остается серьезным. Напротив, вирусы становятся все вредоноснее, эпидемии — масштабнее, а финансовые потери растут. Неужели такое положение сохранится и впредь? Что делается для того, чтобы изменить ситуацию к лучшему? Как развиваются технологии защиты? Чтобы найти ответы на эти вопросы, мы решили проследить историю развития вирусных кодов, проанализировать текущую ситуацию и выяснить, что могут предложить поставщики антивирусных пакетов.
Печальная хронология
Компьютерные вирусы — почти ровесники компьютеров. Еще в 1949 г. отец вычислительной техники Джон фон Нейман описал саморазмножающиеся программы, напоминающие нынешних «вредителей». В 60-х годах на мэйнфреймах появились программы, клонирующие сами себя, а в 70-х был замечен первый сетевой вирус The Creeper, способный войти в сеть через модем и передать свою копию удаленному компьютеру. Для борьбы с ним был создан первый антивирус Reeper.
Массовое нашествие вредоносных кодов началось в 80-х годах с появлением ПК и ростом популярности Интернета, поскольку была создана благоприятная среда для создания вирусов, их размножения и распространения. Тогда, кстати, и родился термин «вирус». В 1984 г. его использовал выпускник университета Южной Калифорнии Фред Коэн в исследовании, посвященном угрозе со стороны самораспространяющихся кодов.
По его определению, вирус — это программа, которая «заражает» другие программы, добавляя в них способный модифицироваться код. Чтобы доказать, что такой код может проникнуть в любую систему с коллективным доступом к информации, несмотря на средства защиты, Коэн написал тестовый вирус. Оказалось, что ему потребовалось менее получаса, чтобы захватить контроль над компьютером, обойдя все технологии защиты.
Любопытно, что когда исследователь обратился за поддержкой в Национальный научный фонд США, то получил отказ, так как там эту тему сочли бесперспективной. Теперь, 20 лет спустя, весь мир расплачивается за чью-то ошибку.
Система DOS впервые подверглась серьезной атаке в 1986 г., когда вспыхнула эпидемия вируса Brain. Он распространялся через дискеты и заражал загрузочный сектор жесткого диска. Атака застала пользователей врасплох, так как мир еще не был готов к таким явлениям. Вскоре появились вирусы для ПК Macintosh, Unix-машин и мэйнфреймов IBM. В 1988 г. разразился первый кризис Интернета — сетевой червь Internet Worm заразил более шести тысяч компьютеров в США и практически парализовал работу Сети, завладев всеми ее ресурсами. Ведь в те времена антивирусы еще не были широко распространены, более того, многие специалисты вообще не верили в существование вирусов.
Следующий, 1989-й, год стал началом повальных вирусных эпидемий в России. Это послужило толчком к созданию отечественных антивирусных программ. Правда, тогда ПО этого класса не пользовалось особым спросом. «В первое время антивирусы не покупали, — вспоминает Сергей Антимонов, председатель совета директоров ЗАО «ДиалогНаука». — Первые серьезные покупатели появились только в 1995 г. Сейчас то же самое происходит с продуктами для борьбы со спамом. Видимо, требуется некоторое время для осмысления».
Последнее десятилетие прошлого века было богатым на события. В 1991 г. зарегистрирован первый полиморфный вирус, который, чтобы не быть обнаруженным, изменял сам себя. В 1992 г. появился первый вирус для ОС Windows. В следующие годы вирусописатели активно работали и изобрели множество оригинальных способов проникновения в систему. Год 1995-й запомнился тем, что тогда впервые был создан макровирус. Он «жил» в документах Microsoft Word и всего за месяц заразил множество ПК на всех континентах. В 1996 г. появился макровирус для Excel, а в 1998 г. — для Access. Годом позже вирусы добрались до электронной почты, и печально знаменитая Melissa почти мгновенно проникла на сотни тысяч компьютеров, рассылая себя через адресную книгу Outlook Express.
В следующем году эта же идея, правда, существенно модернизированная, нашла воплощение в черве Love Letter, который парализовал работу электронной почты во всем мире. Тогда же отмечены первые масштабные DDoS-атаки на ряд известных Web-сайтов, вызвавшие отказ в обслуживании пользователей. В прошлом году появилось сразу несколько вирусов, которые распространялись не через электронную почту, а непосредственно через сетевые порты, используя брешь в системе безопасности Windows. Главная их особенность — огромная скорость распространения.
Следует отметить, что в те же дни были замечены первые признаки объединения создателей вирусов и спамеров. «Троянские» программы нового класса внедряли на зараженном компьютере прокси-сервер, который затем без ведома владельца ПК использовался для рассылки спама. Это опасное явление свидетельствует о нарастающей криминализации Интернета. Теперь вредоносные программы пишут не из хулиганских побуждений, а ради наживы — заработать можно, например, на рассылке спама или используя так называемое «шпионское» ПО.
Плачевная ситуация
Нынешний год оказался богатым на творческие находки вирусописателей. Так, активизировались вирусы-оборотни, выдающие себя за полезные программы, например за «заплатку» для Windows или за письмо из электронного магазина. Основная их цель — доступ к конфиденциальной информации пользователя, особенно к финансовой. Это явление получило название phishing («выуживание секретов»). По данным аналитической компании Gartner, полученным в результате опроса 5 тыс. человек, только в США годовые убытки от такого мошенничества составили 2,4 млрд. долл.
Появилось множество других «паразитов», например, червь, проникающий через открытый FTP-порт Windows, первые вирусы для 64-разрядных Windows-файлов, сотовых телефонов Nokia и системы PocketPC. В первой половине года компания Symantec обнаружила 4496 новых вирусов и червей — в 4,5 раза больше, чем годом ранее.
Более того, именно в 2004 г. были созданы два вируса — MyDoom и Netsky, которые привели к максимальному экономическому ущербу за всю 20-летнюю историю создания вредоносных программ. По данным аналитической компании mi2g, потери достигли астрономических сумм — 83 и 56 млрд. долл. соответственно. По оценке этой же компании, три вируса — MyDoom, Netsky и Sobig — нанесли во всем мире колоссальный ущерб: от 157 до 192 млрд. долл., т. е. среднем по 290 долл. на каждый Windows-ПК.
Другие аналитики приводят не менее устрашающие факты. Так, компания MessageLab, предоставляющая услуги проверки электронной почты, во II квартале этого года находила вирусы в 9% электронных писем, а в 2003 и 2002 г. — только в 0,5 и 0,3% писем соответственно.
О тревожных тенденциях говорят и в антивирусных компаниях. По словам Гарри Кондакова, главы российского офиса «Лаборатории Касперского», количество вредоносных программ, регистрируемых экспертами «Лаборатории», растет с каждым днем и исчисляется десятками за сутки. С ним согласен Ризан Фленнер, менеджер Computer Associates по продажам в Центральной и Восточной Европе. «Активность вирусописателей растет — мы регистрируем все больше червей, зловредных кодов, апплетов и программ-шпионов, — сказал он. — Это ПО не только нарушает безопасность и целостность данных, но и значительно снижает производительность ПК и пропускную способность сетей».
В чем же причина? Вроде бы все меры принимаются. Антивирусы постоянно совершенствуются, антивирусные базы регулярно обновляются, некоторые фирмы готовы при необходимости делать это ежечасно, пользователи становятся более образованными в вопросах безопасности. Но ситуация не улучшается. По мнению Сергея Антимонова, само явление «вирусописательства» очень сложное и мало исследованное, поэтому нужны какие-то более серьезные меры для того, чтобы остановить создателей вредоносных программ. «Очевидно, это проблема и междисциплинарная, и межведомственная, и международная», — уверен он. Нельзя также забывать о психологических мотивах. Например, в среде начинающих программистов (студентов и школьников) самым «крутым» считается тот, кто написал и распространил вирус. И лишь немногие из них знают, что такое действие подпадает под уголовное преследование в России и в других странах.
Сергей Антимонов положительно оценил прошлогоднее решение Microsoft создать фонд в размере 5 млн. долл. для борьбы с вирусописателями. «Учитывая колоссальные возможности Microsoft, уже само известие о появлении фонда способно охладить многие горячие головы», — заметил он, приведя в качестве примера арест 18-летнего подростка из Германии, автора вирусов Sasser и Netsky. Это «молодое дарование», возможно, сдали сокурсники в надежде на солидное вознаграждение.
Microsoft делает ход конем
Многие специалисты обвиняют в нынешней плачевной ситуации именно Microsoft. С ними трудно не согласиться. Будучи монополистом на рынке настольных ОС, Microsoft явно не уделяет достаточно внимания вопросам безопасности. Тактику обнаружения и последующего латания дыр в Windows и других программах трудно назвать эффективной. Например, сотрудники организации Internet Storm Center провели любопытное исследование, подсчитав, сколько может «прожить» незащищенный компьютер, подключенный к Интернету. Оказалось, что в этом году до первой атаки в среднем проходит лишь 20 мин (в прошлом году было 40 мин). Такое сокращение времени «жизни» вызывает серьезную тревогу. Ведь этих 20 мин явно не хватит для того, чтобы найти и загрузить на ПК все нужные «заплатки» Microsoft или антивирусные базы (если на компьютере установлено соответствующее ПО).
Под давлением общественности Microsoft начинает менять отношение к безопасности продуктов, переходя от обещаний к делу. Например, этим летом компания выпустила сервисный пакет SP2 для Windows XP с дополнительными средствами защиты, а в прошлом году купила румынскую антивирусную компанию GeCAD с намерением создать собственную бесплатную службу или продукт для защиты.
Хотя конкретные планы или продукты еще не объявлены, это событие взволновало антивирусную индустрию. Многие помнят, что случилось с Netscape, когда Microsoft занялась браузерами. Не постигнет ли такая судьба и антивирусные компании? Некоторые ведущие игроки не считают, что есть причины для беспокойства. Например, в «Лаборатории Касперского» одобряют планы Microsoft. «Мы приветствуем любые меры, направленные на повышение уровня защищенности пользователей, — сказал Гарри Кондаков. — Существующий в настоящий момент высочайший уровень вирусной угрозы требует объединения усилий крупных поставщиков». Что касается бизнеса, то здесь «Лаборатория» не видит для себя опасности: компания имеет собственные уникальные технологии распознавания и удаления вирусов и поэтому способна составить конкуренцию даже
Microsoft.
Другие игроки настроены менее оптимистично. Как отметил Сергей Антимонов, выход Microsoft на антивирусный рынок может вызвать его серьезный передел. «Cейчас в мире 600 млн. компьютеров работают под управлением ОС Windows, — объяснил он. — Многие пользователи могут выбрать «родной» для этой среды антивирус. Все зависит от того, какие типы антивирусных продуктов — для рабочих станций, серверов, периметра сети — выпустит Microsoft и какой уровень услуг предоставит».
Это мнение разделяют специалисты из США. Подавляющее большинство реселлеров, принявших участие в опросе CRN, считают, что данный шаг Microsoft создаст угрозу антивирусным компаниям, но пойдет на пользу конечным пользователям, поскольку корпорация сможет интегрировать средства защиты с ОС. Правда, специалисты не очень верят обещаниям сделать эти средства бесплатными и опасаются, что мы будем вынуждены их покупать.
Типы вредоносных программ
Вирус. «Живет» и размножается внутри зараженной системы, присоединяясь к другим программам или документам (в этом случае вредоносный код называют макровирусом). Когда происходит исполнение программы, то одновременно исполняется и вирусный код. Распространяются вирусы путем переноса зараженной программы или документа на другой компьютер.
Червь. В отличие от вируса является автономной программой и поэтому «живет», не присоединяясь к другому коду. Вносит изменения в ОС, чтобы исполняться при загрузке компьютера. Для распространения черви либо используют «дыры» в защите компьютеров либо осуществляют какие-то обманные действия, вынуждающие пользователей запустить вредоносный код.
Троянский конь. Подобно вирусу присоединяется к другим программам и совершает те или иные деструктивные действия. Чтобы распространяться, трояны «подделываются» под какие-либо полезные программы.
Потайной вход. Открывает доступ к системе в обход нормальной процедуры аутентификации. Существуют два типа потайных входов. Первый работает как троян, второй — как червь.
Программа-шпион. Собирает и отправляет информацию о пользователе — от адресов любимых сайтов (в лучшем случае) до номеров кредитных карт (в самом плохом). Работает и распространяется как троян.
Источник: Компьютерная энциклопедия Wikipedia (en.wikipedia.org).
Продолжение следует