Журнал "Компьютерра" №710
Шрифт:
Впрочем, может быть, все не так уж и мрачно. Наверное, со временем мы привыкнем не доверять программируемой технике. Расплачиваться будем наличными, пароли записывать на бумажках, важные письма отправлять обычной почтой.
Приспособимся, в общем. Мир перестанет быть глобальным, и все будет как раньше. Должно же что-то затормозить экспоненциальный рост прогресса, наблюдаемый последние несколько десятков лет?
Экономика без опасности
Автор: Илья Щуров Voyager
Можно долго говорить о противостоянии технологий "нападения" и "защиты" в информационной
Представители антивирусных компаний не устают напоминать журналистам и пользователям, что противостоят не кучке студентов-вирусописателей, занимающихся самоутверждением, а мощной преступной индустрии, в которой задействовано множество людей и крутятся немалые деньги и которая, в свою очередь, противостоит антивирусным компаниям. Дело поставлено на поток, объем вредоносного ПО растет как снежный ком, а в арсенале вирусописателей появляются все новые и новые технологии. "Количество записей в антивирусной базе каждый год примерно удваивается", - говорит Виталий Камлюк, старший вирусный аналитик "Лаборатории Касперского", - и это еще довольно осторожная оценка. Однако важны не только количественные, но и качественные характеристики эволюции мира компьютерной преступности. Сейчас он представляет собой сложную структуру, в которой собственно разработчики зловредного ПО - лишь одно из звеньев.
Исследователю из компании SecureWorks Дону Джексону (Don Jackson) удалось заглянуть в мир современного malware практически изнутри. Все началось в январе 2007 года, когда один знакомый попросил Дона посмотреть на странную "экзешку", непонятно как появившуюся на его компьютере. Файл (Джексон назвал его Gozi [Вообще-то, поначалу он назвал его pesdato (это слово встречается в коде), но когда узнал, что оно означает по-русски, переименовал открытие]), оказался неизвестным на тот момент антивирусной науке (то есть zero-day) трояном, который перехватывал персональные данные, вводимые пользователем в веб-форме при работе с системами онлайн-банкинга. Потратив несколько дней на изучение "неведомой зверюшки", Джексон вышел на сайт 76service.com, встретивший его лаконичной формой для ввода логина и пароля. Это была словно нарисованная на холсте дверь, ведущая в неведомый мир владельцев Gozi.
Изучая форумы кардеров, Джексон наткнулся на группу HangUp Team (предположтельно располагающуюся в Архангельске), которая имела какое-то отношение к Gozi и 76service. Сделав несколько неудачных попыток получить тестовый доступ к сервису (провалившихся во многом из-за незнания русского языка), Джексон, в конце концов, раздобыл заветный "золотой ключик" через своего знакомого, расследовавшего деятельность HangUp Team. Дверь открылась.
Из беседы с Виталием Камлюком, старшим вирусным аналитиком "Лаборатории Касперского".
Не возникнет ли ситуация, при которой мне придется тратить 99% ресурсов своего компьютера
– Сейчас обновления не столь большие. Антивирусные записи хранятся компактно, они не содержат в себе мегабайты кода. Движок построен так, что значительный рост числа записей не сильно влияет на скорость работы движка. База может быть гигантской, она может быть в сто раз больше, и скорость упадет незначительно.
То есть у этой технологии есть запас - скажем, лет на пять?
– Я думаю, что на больший срок. Проблема в другом: как справляться с этим потоком? Штат компании не может расти экспоненциально. Мы и не растем, это проигрышная стратегия - расти вслед за вирусным кодом. Мы разрабатываем технологии, которые позволяют обрабатывать весь этот вирусный поток. В ответ на автоматизацию процесса написания вирусов у нас есть своя автоматизация. Трояны сходят с "конвейера", мы их аккуратненько поднимаем и переносим на наш конвейер, где автоматически детектируем, не задействуя человеческие ресурсы.
Это понятно, но ломать не строить: запутывать код проще, чем распутывать, и т. д. Вы будете на шаг позади…
– Нам просто нужно работать эффективнее, быть гораздо сильнее и умнее, чем они. У нас разные уровни: у вирусописателей технический уровень может быть ниже, чем у вирусного аналитика. Так или иначе, это подпольное предприятие, и все понимают, что оно временное. Там все-таки нет уверенности, как у настоящей индустрии, хотя мы и называем ее так из-за масштабов и довольно сложной структуры.
Увиденное за дверью стало для Джексона полной неожиданностью. Gozi оказался не внутренней разработкой взломщиков, созданной для своих нужд. Не предназначался троян и для продажи. Он был основой сервиса, своебразного криминального магазина самообслуживания. Пользователь системы, имеющий аккаунт, мог подписаться на доступ в течение месяца к информации, поступающей с каких-то Gozi-инфицированных машин по цене от $1000 за штуку. Войдя в систему, пользователь видел список "своих" троянов и мог анализировать полученные от них "передачи". Насколько удачным оказывался "улов" и как клиент преобразовывал украденные данные в деньги - было уже проблемой подписчика. Чаще всего подписчики продавали добытые сведения на черном рынке тем людям, которые непосредственно занимались снятием денег со счетов и покупкой товаров, и реже использовали эти сведения самостоятельно.
Владельцы 76service этим не занимались - точнее, могли не заниматься. Они в первую очередь предоставляли сервис и делали все на благо своих клиентов. Помимо базового комплекта, за небольшую плату они могли провести дополнительный анализ и просеивание информации - например, отобрать из всех поступающих данных только те, которые относились к клиентам определенного банка.
Все как в "большом мире". Не единичные "спецоперации" - атаки и взлом компьютеров, - а хорошо отлаженный механизм, конвейер и готовое "решение" (выражаясь современным бизнес-языком), допускающее четкое разделение труда и создание длинных цепочек потребления. На примере Gozi и 76service мы видим развитие теневой экономики malware. Борьба с киберпреступностью будет неэффективна до тех пор, пока не будут учитываться свойства этой экономики.