Дэвид Рэнд: Дэвид Рэнд — директор Trend Micro по технологиям. В его задачу входит исследование технологий и поиск новых путей технологического развития компании. За последние несколько лет угрозы, сопряженные с безопасностью Internet и данных, многократно возросли и приобрели новые качества. В беседе с корреспондентом Computerworld Россия Рэнд рассказал об этих изменениях, а также о путях борьбы с угрозами.

— Какие угрозы в Internet сегодня наиболее распространены и какие из них наиболее опасны?

Сегодня существуют по-настоящему сложные угрозы, которые реализуются не только через вредоносные программы. При этом разнообразие угроз и уровень их сложности возрастает. В конце 80-х годов новые типы угроз появлялись не слишком часто. Но в последние годы, и в особенности в последние несколько месяцев наблюдается взрывной рост различных типов угроз. Отчасти — в ходе естественной эволюции, роста квалификации реализующих их специалистов. Отчасти — как форма реакции на действия индустрии безопасности. Чем совершеннее наши продукты, тем изощреннее становятся действия злоумышленников.

Что касается конкретных типов угроз — сегодня это не просто вирусы, которые, кстати сказать, очень хорошо продуманы и реализованы. Мы приближаемся к моменту, когда для каждого целевого компьютера будет изготавливаться уникальный экземпляр вредоносной программы. Обратите внимание еще вот на что. За последние пять лет спам, к примеру, рассылался большей частью с зараженных компьютеров. Вот темпы роста числа этих компьютеров: 2,19 млн в 2005 году, 4,2 млн - в 2006, а в 2007 уже 10 млн компьютеров использовались для рассылки спама. Мой прогноз на 2008 год — от 20 до 100 млн компьютеров. Число компьютеров, зараженных программами для внешнего управления, сейчас грубо оценивается примерно в 175 млн. Вы спрашиваете, какие угрозы наиболее опасны? Вот эти зараженные компьютеры. Только в России в марте 2008 года насчитывалось около 800 тыс. управляемых злоумышленниками компьютеров.

— Количество зараженных ПК, по данным Trend Micro, не растет монотонно. В январе их было почти 630 тыс., в феврале – всего 462 тыс. Схожая картина – и в прошлом году. Чем объясняются периодические спады числа зараженных компьютеров?

Несколькими причинами. Во-первых, Microsoft периодически выпускает обновления, так что некоторые компьютеры избавляются от занесенного кода. Кроме того, меняются потребности злоумышленников. Иногда они используют компьютеры для рассылки спама, иногда для организации атак "отказ в обслуживании", иногда еще для чего-то. При этом они используют изощренные технологии. Скажем, в декабре 2006 года между Тайванем и Китаем был поврежден подводный кабель в результате сильного землетрясения. Число активных зараженных компьютеров из Китая, с 2 млн моментально упало до нуля. Но в течение 15 минут преступники наладили работу своей сети уже на базе машин в Восточной Европе. Эти люди имеют очень высокую квалификацию и обладают огромными ресурсами.

? Вы можете назвать самые "продуктивные страны" в части создания вредоносных программ?

Не хотелось бы использовать это слово, но самый "качественный" код мы получаем с Украины. Что касается количества вирусов — здесь наиболее продуктивен Китай, но их программы не всегда хорошо написаны. Из-за ошибок иногда результаты работы этих программ непредсказуемы.

Следует подчеркнуть, что пять-десять лет назад основной целью вредоносных программ было уничтожение данных или выведение из строя оборудования. Сейчас цель — приобрести втайне от пользователя контроль над компьютером и удерживать его как можно дольше. Так что ситуация, на мой взгляд, усложнилась.

? Какие меры можно противопоставить этим угрозам?

Индустрия безопасности должна измениться. Но не только. Как определить, что компьютер заражен? Следует глубже вовлечь Internet-провайдеров в процесс выявления вредоносной активности. Если провайдер видит характерный трафик, не следует ли ему, по крайней мере, проинформировать своего клиента о том, что его компьютер заражен? Я убежден, что это должно стать обязательным требованием. Не ожидаю, что провайдеры станут заниматься такого рода вещами бесплатно, так что плата за доступ в Internet возрастет, но незначительно. Если в работе злоумышленников будут использоваться, как я уже говорил, уникальные вредоносные программы, то их нельзя будет выявлять с помощью сигнатур. Потребуется исследовать их поведение. Поэтому мне кажется, что провайдеры должны сообщать пользователям, что творится в их сетях. Это будет наилучшим способом защиты в будущем.

Но угрозы исходят не только из Internet. Сегодня в мире получили большое распространение цифровые фоторамки. И мы обнаружили в одной из партий таких фоторамок весьма совершенную троянскую программу — они поставлялись с этой программой прямо с завода. Достаточно подключить рамку к компьютеру — и вы заражены. Была ли это спланированная акция или рамки были заражены вредоносным кодом случайно, мы не знаем. Так что защита от угроз сегодня не сводится лишь к тому, чтобы избегать опасных сайтов или вовремя устанавливать заплаты.

Кроме того, иногда пользователи сами заражают свои компьютеры — если можно так сказать, за вознаграждение. Человек обнаруживает интересный видеоролик, но для того чтобы его воспроизвести, нужно загрузить определенный кодек. Кодек содержит троянскую программу. От таких вещей в принципе невозможно защититься. Если человек хочет посмотреть ролик, он проигнорирует все предупреждения антивирусных программ. Я это постоянно наблюдаю на примере собственной дочери. Нам следует учитывать это и продолжать искать новые способы защищать Internet в целом.

— Насколько я знаю, многие российские провайдеры широкополосного доступа блокируют доступ к внешним SMTP-серверам. Сильно ли это помогает в борьбе со спамом?

Безусловно, это один из самых эффективных способов. Можно было бы завтра остановить спам — если бы так делали все провайдеры. К сожалению, в России это практикуют не все. Вчера через одного российского провайдера было отправлено 660 млн спам-сообщений.

? Не думаете ли вы, что во многих случаях для безопасности следовало бы использовать компьютеры, где программы хранятся на дисках, защищенных от записи, или даже в постоянной памяти?

Существуют два варианта реализации этого способа. Первый,как вы сказали, хранить программы на защищенных от записи носителях. Второй вариант ? так называемый one-time computing. Это означает, что вы имеете статический образ системы и загружаете его на диск каждый день. Даже если система заражается, на следующий день она вновь чиста. Это эффективный способ, но, к сожалению, одно из преимуществ персонального компьютера — гибкость, которая достигается благодаря возможности запускать различные программы. Для многих указанный способ подошел бы, но не для всех. Впрочем, лично мне очень по душе идея использования защищенных от записи носителей. Безусловно, это очень бы помогло.

? Какая операционная система вам кажется наиболее защищенной?

По последним данным, Linux. Однако не существует полностью защищенной операционной системы или операционной среды в том случае, когда сами пользователи разрушают созданную систему защиты. Между удобством использования и безопасностью всегда приходится искать компромисс.

Одна из вещей, о которых вы не спросили — это безопасность данных. Как вы знаете, утечки случаются все чаще и чаще. А пользователи не уделяют этой проблеме должного внимания. "Ну что такого может быть ценного в моем компьютере?", — думают они. Я однажды был у своего зубного врача и заметил, что он работает в Internet, не пользуясь антивирусом. Я попросил одного из своих друзей проверить его систему. Она оказалась заражена. Врач сказал: "Ну и что, там нет ничего ценного". Я возразил: "Погоди. Там мой адрес, номер кредитной карты, реквизиты счетов для страховой компании и ключ ко всему — мой номер социального страхования". И тут он побледнел... Многие не осознают, что в их компьютерах хранятся не разрозненные данные, а их сочетание, которое имеет ценность для злоумышленников. Но даже и разрозненные данные могут представлять ценность. Некоторые образцы нового вредоносного кода сканируют компьютер на предмет наличия изображений с большим количеством телесных тонов и выгружают эти изображения своим хозяевам. Предположим, молодой человек сделал несколько откровенных фотографий своей девушки. Этим людям все равно, чьи они — такими фотографиями можно торговать и они окажутся на платном фотосайте. Так что безопасность данных — серьезная проблема. И мы не можем на сегодняшний день дать удовлетворительного ответа на вопрос — как обеспечить необходимый доступ к данным и в то же время сберечь их от злоумышленников? Вот проблемы, которые предстоит решать в ближайшие три-пять лет. И здесь мы вновь возвращаемся к вопросу о провайдерах. Если из авиаконструкторского бюро похитят данные разработки нового самолета, ущерб может достигнуть сотен миллионов долларов. А если провайдер знал, что в этом бюро есть зараженный компьютер, не должен ли он нести часть ответственности? Это сложные правовые вопросы, на которые сегодня нет ответов, но к следующему десятилетию их предстоит найти.

? Не кажется ли вам, что широко распространенная практика автоматической загрузки обновлений для системных и прикладных программ рискованна?

Она может быть рискованной. Это зависит от реализации, а также от состояния инфраструктуры Internet. Последняя имеет ряд уязвимостей, которые могут сделать каналы передачи данных очень ненадежными в плане подлинности контрагента. Например, BGP-инъекция (Border Gateway Protocol — протокол динамической маршрутизации, является одним из главных механизмов, обеспечивающих функционирование Internet. - А.Я.) позволяет подменить фактически любой сайт, любой IP-адрес на планете, поскольку у Internet нет центрального управляющего органа.

? А если обратиться к одному и тому же адресу из разных сетей, например, из России и США, и сравнить результаты?

Я могу обеспечить вам одинаковые результаты для обоих названных мест так, что все будет выглядеть безупречно ? с помощью прозрачного прокси-сервера. Вот, кстати, весьма специфичный пример. Компьютеры, подключенные к сети AOL, не могут рассылать спам, так как этот провайдер блокирует обращения к 25-му порту (по протоколу передачи почты SMTP. — А.Я.). Преступники объявили часть адресного пространства AOL своим собственным и разослали с этих адресов немыслимое количество спама. А затем привели данные маршрутизации в исходное состояние. И против этого нельзя защититься. Такую вещь можно обнаружить в момент, когда она происходит, но после того, как убран анонс нового маршрута, все снова выглядит так, как будто ничего не было. Этот вид атак на инфраструктуру начинает набирать обороты. Мы пытаемся бороться с этим на уровне рабочей группы Internet Engineering Task Force.

Безопасна ли загрузка обновлений из Internet? Если протокол хорош и используется стойкое шифрование, то да. Но на сегодня мы имеем, как я говорил, 175 млн компьютеров, управляемых злоумышленниками. Какой шифр устоит перед их объединенной вычислительной мощью?

В качестве примера еще одной новой угрозы можно привести комбинированные атаки, когда человеческие ресурсы используются для прохождения тестов на распознавание искаженных цифр и букв CAPTCHA при автоматизированной подписке на услуги почты для рассылки спама. Мы наблюдали процесс, когда согласованное взаимодействие роботов и группы операторов в Индии позволяло злоумышленникам регистрировать тысячи учетных записей в час.

— Антивирусные компании объединены общим делом. Отличается ли конкуренция между ними от конкуренции между другими компаниями?

Мы широко сотрудничаем, хотя и неформально. Не забывая о своем бизнесе, мы одновременно отдаем себе отчет в том, что есть общие высокие цели. Я предпочел бы, конечно, чтобы все мы имели доступ к одной и той же информации одновременно... но в любом случае, наша конкуренция отличается от конкуренции продовольственных магазинов и уж особенно конструкторских бюро, которые никогда не стали бы делиться друг с другом информацией. И мы весьма уважаем друг друга.

? Как насчет сотрудничества со спецслужбами?

Трудный вопрос. Они хотят абсолютной защиты, но с лазейкой для них самих. В целом нет, у нас отсутствует постоянное сотрудничество с какими-либо конкретными ведомствами. И здесь, кстати говоря, возникает следующая проблема: как удостовериться, что вы имеете дело именно с правоохранительным органом, а не с кем-либо еще - даже при личном общении, например, если дело происходит в малознакомой вам стране?

— Как вы оцениваете уровень осведомленности пользователей о существующих угрозах и их способность адекватно оценивать эти угрозы и противостоять им?

Потому-то я здесь и нахожусь, что этот уровень явно недостаточен. Мы живем в непростое время, и необходимо разъяснять людям, чем и когда они рискуют. Многие думают, что возможность выйти в Internet и получить почту свидетельствует о том, что с компьютером все в порядке. Они считают, что вирусы проявляют свою активность заметным образом, в частности, уничтожая данные. Между тем многие не подозревают о реальности использования программ, перехватывающих нажатия клавиш. В феврале мой финансовый консультант с тревогой сообщил мне о ряде фактов несанкционированного снятия денег с моего счета. Когда мы выяснили, в чем дело, оказалось, что мой консультант использовал популярный сервис GoToMyPC.com, чтобы получить доступ к компьютеру в своем офисе. С сервисом было все в порядке, но на компьютере, которым он воспользовался, стоял регистратор клавиатурного ввода. В итоге в течение суток с моего счета сняли 25 тыс. долл., чтобы оплатить покупки на Amazon.com. Какую еще информацию успели получить обо мне злоумышленники — на этот вопрос консультант не смог ответить. В ближайшие пять-десять лет потребуется искать новые способы борьбы с такими вещами. Вот почему мы продолжаем беседовать с компаниями о безопасности их инфраструктуры.

Безопасность - это не коробка и не приложение, это процесс. Вы должны хорошо представлять все риски, сопряженные с хранением и обработкой данных.

Поделитесь материалом с коллегами и друзьями