Куриная слепотаВ конце мая «Лаборатория Касперского» объявила о выявленном ею экстраординарном вредоносном ПО, получившем название Flame. Все ключевые признаки данной шпионской программы-руткита (высочайшие степень невидимости, качество кода, разнообразие функциональных возможностей и т. д.) указывают на то, что она является боевым «оружием кибервойны» из арсенала спецслужб технологически передовых государств. А значит, это продукт из того же ряда, что и обнаруженные в последние годы вредоносные программы Stuxnet и DuQu.

Никакого особо секрета в том, кто их делает, в общем-то нет. Расследования журналистов и экспертов по компьютерной безопасности ранее вполне аргументированно показали, что все перечисленные «зловреды» прочти наверняка сработаны совместными усилиями спецслужб США и Израиля. Теперь же, в силу специфики сложившейся в данный момент политической ситуации, в этом не остается никаких сомнений.

В мае--июне 2012 г., т.е. накануне осенних выборов президента США, госадминистрация Барака Обамы сочла полезным подчеркнуть избирателям «крутизну» своего лидера еще и демонстрацией того, как лихо он сражается с врагами Америки на полях невидимой кибервойны. Явно с такой целью в центральные американские газеты «Нью-Йорк Таймс» и «Вашингтон пост» некие «неназываемые официальные лица» практически одновременно слили информацию о том, что все эти шпионско-боевые программы – и Stuxnet, и DuQu, и Flame – создали и пустили в дело АНБ, ЦРУ и спецслужбы Израиля.

Организовано все было якобы исключительно ради срыва усилий Ирана в области его ядерных программ. Правда, в конце концов, следы проникновения упомянутых шпионско-диверсионных программ стали обнаруживаться на сотнях тысяч компьютеров по всему миру. Но здесь, впрочем, речь пойдет не о побочных эффектах кибервойн, а о том, что они наглядно проявили неэффективность антивирусного ПО.

Следует особо подчеркнуть, что ни Stuxnet, ни DuQu, ни Flame, годами работая в компьютерах своих жертв, не были выявлены НИ ОДНИМ из стандартных средств защиты всей мировой антивирусной индустрии, насчитывающей около 40 компаний. Каждая из этих вредоносных программ была обнаружена аналитиками индустрии безопасности лишь после того, как какой-нибудь важный клиент обратился к антивирусным специалистам с особо важной для него просьбой — разобраться с непонятными и странными явлениями, происходившими в его компьютерах.

Когда о «новоявленной» угрозе Flame первой объявила «Лаборатория Касперского», прочие фирмы АВ-индустрии по обыкновению также стали поднимать свои архивы, анализировать давно имеющиеся у них в наличии образцы этой программы и разрабатывать собственные средства

выявления, лечения и противодействия. Но при этом практически никто из них не пожелал дать развернутый и обоснованный ответ на естественный вопрос пользователей антивирусного ПО: почему столь огромная (размером около 20 Мбайт) и откровенно шпионская программа могла работать в их «защищенных» компьютерах абсолютно незамеченной на протяжении столь длительного времени (по некоторым признакам, еще с 2007 г.)?

Чуть ли не единственным заметным представителем антивирусной индустрии, решившим затронуть эту неприятную для обсуждения тему, оказался Микко Хиппонен, главный специалист финской антивирусной компании F-Secure.

Он признал, что у них давно имелись образцы Flame, однако автоматизированный процесс выявления угроз не позволил им понять, что же представляет собой эта программа. И поскольку то же самое произошло и во всех прочих подобных компаниях, то, по мнению Хиппонена, Flame стал примечательным провалом и для их F-Secure, и для всей антивирусной индустрии. А главный его вывод о том, почему такое произошло, сводится примерно к следующему: просто военные разведслужбы с их мощным государственным бюджетом работают лучше, чем антивирусные программы коммерческого уровня.

Развернутая аргументация Хиппонена на данный счет хотя и выглядит, быть может, для кого-то достаточно убедительно, все же, к сожалению, совершенно не объясняет суть произошедшего. Ведь в истории антивирусных провалов уже известно немало случаев, когда массовая «слепота» программ компьютерной защиты не имела никакого отношения к творениям спецслужб.

Например, одним из первых приходит на память достопамятный казус с «руткитом Sony», случившийся в начале 2005 г. Эта история показала, что крупная транснациональная корпорация, не имеющая никакого опыта применения шпионских вредоносных программ, оказалась вполне способной уже одной своей массой обезоружить всю АВ-индустрию. Чтобы защитить музыку от копирования, аудиодиски фирмы Sony заражали компьютеры руткитом, который портил драйвер устройства, собирал и отсылал шпионскую информацию о владельце да еще и создавал скрытый канал для проникновения в компьютер. Причем он был «невидим» абсолютно для всех коммерческих средств защиты на рынке до тех пор, пока его не обнаружил независимый исследователь Марк Руссинович. Каким образом столь позорный конфуз мог произойти буквально со всеми антивирусами и персональными брандмауэрами, никто по существу разъяснить публике так и не сумел.

Другой наглядный пример того же рода – широко известные ныне «противоугонные» программные средства типа Computrace, LoJack и им подобные, зачастую на низком уровне встраиваемые в компьютеры еще на заводском конвейере или на этапе предпродажи. Сама бизнес-модель этих приложений, незаметно докладывающих через Cеть серверам слежения о своем местоположении, подразумевает, что они совершенно «не видны» для стандартных антивирусных средств и межсетевых экранов... Значит, по сути, это вполне типичная шпионская программа, но только «установленная законно» и потому как бы не замечаемая средствами защиты.

Иными словами, и перечисленные примеры программ, и созданный спецслужбами новейший образец под названием Flame (выполняющий множество разведовательных функций — от перехвата нажатий клавиш и снимков экрана до управления микрофонами, видеокамерами и Bluetooth-устройствами) – все они ведут себя в компьютере, как типичные шпионы. Но при этом никак не выявляются, т.е. от «Систем эвристического анализа» и «Выявления проникновений», входящих в состав антивирусных комплексов, на самом деле толку практически никакого. А реально работает там лишь сканирование кодов на предмет известных сигнатур: выявлять «запрещенные» и игнорировать «законные».

Именно этим, скорее всего, и объясняется феноменальная способность Flame и ей подобных программ-шпионов оставаться невидимыми.

Установлено, что вредоносные программы спецслужб ведут себя как вполне законные приложения и не прибегают к каким-то изощренным средствам маскировки. Объясняется это обычно тем, что все модули шпионских и вредительских программ имеют валидные криптографические подписи вполне уважаемых в мире фирм-разработчиков, которым по умолчанию принято доверять. Как именно шпионам удавалось добывать ключи-сертификаты для изготовления подлинных сигнатур, — дело темное, и оно вряд ли когда-нибудь прояснится.

А вот особого рассмотрения в данном контексте заслуживает механизм наращивания функциональности шпионской программы Flame. У нее основной модуль проникновения имеет размер около 6 Мбайт, а вместе с подгружаемыми через Интернет расширениями он разрастается до внушительных 20 Мбайт. Самое же интересное в том, что механизм апдейтов здесь осуществляется через стандартные процедуры обновления ОС Windows.

С технической точки зрения все это реализовано разработчиками Flame в высшей степени профессионально и даже, нужно признать, талантливо. Однако погружение в криптографические подробности нынешних шпионских технологий далеко выходит за рамки данной статьи. Но все же – во избежание недоразумений – следует подчеркнуть вот что: восстановленный антивирусными аналитиками механизм апгрейдов Flame не дает никаких оснований утверждать, будто корпорация Microsoft сама предоставила разработчикам шпионской программы доступ к своим строго защищенным механизмам обновления ОС Windows.

Впрочем, хорошо известно, что общая картина взаимоотношений Microsoft с АНБ США выглядит весьма неоднозначно.

С одной стороны, имеются совершенно элементарные правила безопасности. Например, все знают, что лису ни в коем случае нельзя привлекать для охраны курятника. Просто потому, что куры – еда для лисы. А если нечто подобное все же почему-то сделано, будет совсем уж глупо удивляться тому, что из курятника станут регулярно пропадать птички-обитатели.

С другой стороны, все знают, что АНБ США – шпионская организация, главными задачами которой являются разведывательная добыча и анализ информации в электронном виде, т.е. шпионаж – это хлеб АНБ. Однако в середине 2000-х гг. корпорация Microsoft официально сообщила, что привлекла специалистов АНБ для «укрепления защиты» своих программных продуктов. Но при этом, что интересно, она не раскрыла, в чем именно данное «укрепление» заключается. После подобного маневра только слепой способен не заметить взаимосвязи между тем, что шпионские программы АНБ годами работают в операционных системах Microsoft как родные и без проблем продолжают заражать даже полностью обновленные версии Windows 7.

Подобному феномену всеобщей наивности как нельзя лучше подходит такое название, как «куриная слепота».

Купить номер с этой статьей в PDF
2786