Вопросы безопасности вверенных администраторам систем составляют определенную часть их рабочих обязанностей, и одной из важных процедур является установка и эксплуатация системы защиты от вирусов и шпионского программного обеспечения. По большей части это происходит так: выбрали определенную программу какого-либо разработчика, согласовали с руководством, купили, установили на серверах и клиентских системах, настроили получение обновлений и на этом успокоились. Дальше уже особых забот быть не должно, следи себе за журналами выбранного приложения на предмет появления угроз да проверяй правильность и регулярность работы механизмов обновления сигнатур зловредных программ.
В реальности, конечно же, все сложнее, и думаю, что любой системный администратор краем глаза все же поглядывает в интернет не только на предмет чтения новостей, но и в поисках информации о новых или малоизвестных типах угроз. Об одной очень интересной скрытой угрозе под названием «Риджин» сообщили аналитики компании Symantec, считающие эту новую опасность одной из наиболее серьезных изо всех виденных ими ранее. По их мнению, это чрезвычайно сложный программный код, который может дополняться и настраиваться в широком диапазоне возможностей с учетом атакуемой цели. Данная вредоносная система, а это именно система, а не отдельная программа, имеет свою особую инфраструктуру высокого качества разработки, что позволяет считать ее операционной системой внутри другой операционной системы. Да, именно так, ведь она даже имеет собственную внутреннюю виртуальную файловую систему, вдобавок еще и шифрованную. Формирующая систему «Риджин» базовая внутренняя инфраструктура способна длительное время собирать конфиденциальную информацию, оставаясь при этом незамеченной. «Риджин» размещает свои элементы в атакуемой системе во многих местах, в том числе и в незанятых логическими разделами секторах жесткого диска. И все это для сохранения полной незаметности работы на скомпрометированных системах. Ее набор средств для сокрытия следов объединяет в себе многие из наиболее продвинутых технологий, о которых нам известно на сегодня.
Не буду углубляться в описание этой вредоносной системы, к сожалению, ее возможности чрезвычайно широки. Уж больно все напоминает произведения научной фантастики, особенно тем, кто читал повести Марка Русиновича. Рекомендую заинтересовавшимся самостоятельно ознакомиться с отчетами Symantec и других компаний, задействованных в этой отрасли. Я со своей стороны хотел бы сказать следующее. Люди, которые пишут и поддерживают такой сложный и качественный код — явно не доморощенные хакеры. Их по большому счету вообще нельзя назвать взломщиками. Они работают в своем параллельном мире компьютерных систем, несомненно хорошо образованы, возможно даже имеют ученые степени, недаром все аналитики отмечают совершенство и качество кода, имеющего массу комментариев. И понятно, что такие системы, для того чтобы оставаться незамеченными при выполнении своих задач, используют неизвестные нам изъяны в программном обеспечении. И разумеется поддержанием и эксплуатацией такой модульной комплексной платформы, охватывающей наверняка все страны мира, занимаются системные администраторы, работающие на государственные структуры в течение длительного времени. А ответ на вопрос, какие это структуры, может подсказать диаграмма из отчета Symantec, на которой указаны подвергшиеся атаке страны, и где, конечно же, совершенно случайным образом отсутствуют США и основные европейские страны.