Анти-антивирусы Цифровая "борьба добра и зла" выходит на новый уровень

В начале этой недели специалист по компьютерной безопасности Алекс Вилер (Alex Wheeler) на своем ресурсе rem0te.com, посвященном проблемам этой самой безопасности или, проще говоря, хакерству, отчитался об итогах своих экспериментов с популярными антивирусными продуктами производства известной российской софтверной фирмы "Лаборатория Касперского".

В ходе экспериментов высокотехнологичному исследователю удалось найти то, что он искал - так называемую "дыру", или программную уязвимость, которая позволяет выполнить на компьютере, где работает антивирус, произвольный исполняемый код без ведома и согласия владельца компьютера. Произвольный исполняемый код подразумевает возможность выполнить любую программу, которая может осуществить любые действия - в сфере компьютерной безопасности в наши дни в первую очередь под такими действиями подразумевается захват контроля над системой, желательно незаметно для пользователя, чтобы эксплуатировать вычислительные ресурсы и интернет-канал компьютера-жертвы в корыстных целях.

Как наше издание уже писало, сложившиеся в последние годы хакерские традиции подразумевают, что "дырявой" в первую очередь должна быть операционная система Windows, а атака извне производится путем внешнего соединения по Интернету (если компьютер защищен, атака будет неудачной) или присылкой интернетчику на его почтовый адрес электронного письма с исполняемым вредоносным вложением. В большинстве случаев получателя надо заставить запустить это вложение, для чего применяется целый спектр методов, основанных на социальной манипуляции (из свежих примеров - вирус, обещающий при открытии вложения показать видеозапись поимки Осамы бин Ладена). Впрочем, некоторые вирусы паразитируют на почтовых клиентах от компании Microsoft, используя их собственные "дыры" - тогда заражение может произойти просто по факту получения письма.

После обнаружения той или иной дыры производитель уязвимой программы обычно выпускает обновление-"заплатку", которая дыру "закрывает". Такие обновления нужно всегда устанавливать по мере их выхода, потому что вслед за сообщениями о новой уязвимости как правило и появляются наиболее опасные вирусы, метящие как раз в тех, кто заплатку не установил - по недосмотру или по природной беспечности. Также опасны дыры в браузерах - хакеры могут создать специальную страницу, при заходе на которую браузер принимает от нее исполняемый код и запускает его. На такие страницы жертву сначала нужно как-нибудь заманить - для этого существует много способов, главным из которых остается рассылка спама с обещанием какой-нибудь порнографии (спам при этом, конечно, рассылается через уже зараженные компьютеры).

Таким образом, главными объектами массовых хакерских атак, целью которых ставится заполучение чужих мощностей и каналов связи, являются программы, в первую очередь отвечающие за соединение с внешним миром - сетевые службы ОС Windows, браузер, почтовый клиент, также фиксировались инциденты и с IM-клиентами. Если бы программы не умели обновляться, Интернет можно было бы похоронить, так как вирусы изничтожили бы все полезное в нем, доверху заполнив все системы механизмами для саморазмножения, рассылки спама, организации распределенных атак, показа баннеров недобросовестных фирм и прочей ненужной конечному пользователю функциональностью. Антивирусы бы повлиять на ситуацию вряд ли смогли, потому что первое, что делают многие вирусы, получив "власть" - блокируют антивирусы.

Однако Microsoft и другие игроки "честного" софтверного рынка преисполнены твердой решимостью бороться с сетевыми злоумышленниками, в честь чего в последние годы по мере активной компьютеризации населения планеты на разных уровнях принимаются всевозможные меры - ужесточается законодательство против цифрового криминала, организуются показательные судебные процессы, пойманным хакерам, спамерам и вирусописателям даются внушительные тюремные сроки. И, конечно, организовывается поточное производство всевозможных заплаток и "заплаток для заплаток", потому что дыры обнаруживаются регулярно и в чем угодно.

Компьютерная безопасность - защита от сетевого криминала и шпионажа - заявлена одной из приоритетных коммерческих и государственных областей деятельности во многих странах и прежде всего в США. Над ее укреплением теперь работает множество людей и организаций. Если антивирусное ПО борется со следствиями (когда вирус уже попал в компьютер), то усилия многочисленных кампаний направлены на борьбу с причинами, в том числе с одной из главных - невежеством населения в данном вопросе. Рядовым пользователям ПК постоянно напоминают, что не стоит полагаться на то, что компьютер будет просто стоять и работать - его надо обслуживать и защищать.

Постепенно, на фоне периодически сотрясающих мир крупных хакерских скандалов, громких атак, разорительных вирусных эпидемий и всплесков спамерской активности, общество начинает осознавать важность цифровой защищенности. Этим, конечно, не преминула воспользоваться корпорация Microsoft, которая минувшей весной объявила, что хватит собирать разрозненные заплатки для разных программ - нужно свести все проблемы в одну систему, с помощью которой комплексно их решать. Так как проблемы часто вызваны недочетами самой Microsoft, она же вызвалась их и ликвидировать, для чего в скором времени пообещала создать особый сервис Windows OneCare, за который, конечно же, надо будет заплатить. На этой неделе Microsoft уточнила, что единый сервис будет разным для индивидуальных и корпоративных клиентов - администраторам сетей и владельцам серверов нужно будет использовать Microsoft Client Protection, бета-версия которого обещана к концу года. В целом, Microsoft за год сделала заметные шаги в сторону освоения нового для нее рынка антивирусного ПО, на котором традиционно доминируют другие производители - такие, как Symantec, McAfee, Trend Micro и уже упомянутая "Лаборатория Касперского".

Вирусами всегда считались откровенно вредоносные и способные к размножению программы, однако какое-то время назад появились новые разновидности "заразы", которые, с одной стороны, не являются классическими вирусами, с другой стороны, не приносят никакой пользы, хотя часто о своей несомненной пользе нагло врут. Это spyware ("шпионы"), adware ("баннерные спамеры"), а также всяческие "трояны" (они появились давно), объединенные ныне под общим понятием malware - "вредоносные программы". Казалось бы, было бы логично, если бы с ними боролись те самые антивирусы, но их производители еще не успели толком адаптироваться к вновь сложившейся ситуации, поэтому пользователю приходится отдельно бороться с вирусами, отдельно со "шпионами", отдельно с троянами (каковую проблему и собралась решать Microsoft с помощью OneCare).

Тем не менее, в силу того, что внимание к вопросам защиты отдельных сетей, операционных систем, браузеров и почтовиков существенно повысилось, вирусописателям и хакерам стало сложнее "работать" - цифровых "лохов" становится все меньше, юзеры все активнее огораживаются файрволами, лепят везде, где можно, заплаты и проверяют все поступившие из Интернета файлы антивирусными средствами во избежание заражения.

И тут-то хакеры (и специалисты по безопасности) и увидели новое поле для вредоносной деятельности - подразумевается, что пока исполняемый файл не запущен, содержащийся в нем код не активируется. Неисполняемые файлы (содержащие, например, графику, звук или другие данные "непрограммного" характера - в том числе архивы, содержащие вложенные файлы) теоретически вообще не могут быть заражены. Исходя из этого пользователь выстраивает свое "охранное" поведение - например, считается, что графические или музыкальные файлы на вирусы проверять нет смысла, так как в них не может быть исполняемого кода или даже если он откуда-то и взялся, запуститься у него шансов нет.

В последние годы ставится под сомнение даже это утверждение - например, ставились эксперименты по эксплуатации "дырявых" медиаплейеров с помощью зараженных mp3-файлов, ходят слухи о "критичных" уязвимостях форматов .jpg и .bmp, но массовых эпидемий такого рода зафиксировано не было (если бы уязвимости носили действительно критичный характер, эпидемии обязательно бы произошли). Тем не менее, эксперименты на эту тему продолжаются, и именно антивирусные программы сейчас стали объектом пристального внимания "исследователей". Исследователи ищут такие "дыры", которые вызывали бы выполнение произвольного кода при проверке файла на наличие в нем вирусов. И находят.

Тот самый Алекс Вилер уже не первый месяц мучает разные антивирусы, пытаясь создать такой "невинный с виду" файл, который бы приводил к критичной ошибке (в первую очередь это так называемое "переполнение буфера") антивирусной программы при попытке той прочитать информацию о свойствах проверяемого объекта. Вилеру ранее удалось "вскрыть" несколько малораспространенных антивирусных средств, а накануне ему наконец-то попалась "крупная рыба" - уязвимым оказался один из базовых модулей целой серии продуктов "Лаборатории Касперского". Выяснилось, что популярные российские антивирусы "ломаются", если им подсунуть особым образом сконструированный "архив" в формате .cab (это стандарт архива, применяющийся в дистрибутивах Windows) - происходит переполнение буфера и выполнение заложенного в cab-файле произвольного кода. Такой "архив" можно, например, прислать жертве по почте (для большей конспирации предварительно упаковав в другой архив - антивирусы умеют их распаковывать), рассчитывая на то, что жертва при получении произведет антивирусную проверку файла (проверка может быть и автоматизированной, что еще более усугубляет ситуацию).

Спустя считанные дни после появления отчета Вилера, датированного 3 октября, "Лаборатория" выпускает заплатку, закрывающую дыру, и в этот же день появляется сообщение об обнаруженной критичной дыре в серии продуктов мирового лидера антивирусного рынка - компании Symantec (владельца бренда Norton). "Дыра" проявляет себя при работе с web-интерфейсом "движка" Symantec Antivirus Scan Engine, который используется при удаленном управлении антивирусной защитой, что позволяет проводить атаки на корпоративные сети. Symantec признала серьезность проблемы и также срочно выпустила обновление, призвав всех своих покупателей незамедлительно его установить.

Таким образом, по выражению исследовательской фирмы Yankee Group, антивирусные программы представляют из себя "низко висящий плод" для хакеров, теснимых усиливающимися охранными инициативами государств и бизнеса. Соответственно, с новой остротой встает вопрос о качестве антивирусов и о разнице между заявляемыми и реальными их возможностями.

Здесь уместно вспомнить скептическое отношение к "Лаборатории" многих российских специалистов, обвиняющих ее в преднамеренном искажении данных о вирусных угрозах с целью популяризовать свои продукты. Этим летом проблема качества продуктов "Лаборатории" нашла отражение в разногласиях, возникших у ее менеджмента и редакции старейшего отечественного компьютерного журнала "Мир ПК".

Журнал в своем июльском выпуске выступил с критикой в адрес "Лаборатории" после того, как представители коллектива журнала выявили случаи неадекватной реакции "Антивируса Касперского" на некоторые вирусы и adware. Также известны случаи, когда антивирус определял как вирусы "нормальные" программы.

"Все мы настолько привыкли доверять авторитетным борцам с вирусной опасностью, что даже не заметили, как средства диагностики и нейтрализации компьютерных "микробов" постепенно превратились в самостоятельную угрозу нашей безопасности. Активная пропаганда "Лаборатории Касперского", направленная на борьбу с конкурентами и опирающаяся на агрессивную диагностику, создала у пользователей иллюзию защиты", - говорится в поступившем в "Ленту.Ру" сообщении редакции журнала. Как пишет "Мир ПК", "Антивирус Касперского" не только предпочитает пограничные компьютерные угрозы трактовать как настоящие вирусы, но и принципиально не может обнаруживать вирусы определенной природы. При отсутствии внешнего контроля антивирусные компании начинают злоупотреблять своим влиянием на пользователей для решения задач развития собственного бизнеса. С возникновением в последнее время класса условно опасных программных механизмов (riskware), часто диагностируемых как вирусы, некоторые ничего не подозревающие компании по воле разработчиков антивирусов стали все чаще попадать в "черный" список, отмечают сотрудники журнала.

Сигнализируя об опасной бесконтрольности борцов с вирусами и хаоса в диагностировании угроз, "Мир ПК" выступил за создание Национального центра антивирусной безопасности и введение по аналогии с фармацевтической промышленностью государственного надзора за продукцией таких компаний. Впоследствии "Мир ПК" опубликовал детальное исследование недостатков продуктов "Лаборатории" и сферы антивирусного ПО в целом, которое вызвало резко негативную реакцию со стороны производителей "Антивируса Касперского". В редакции журнала отмечают, что согласились предоставить компании возможность выступить с опровержением, однако его не последовало.

Таким образом, проблема компьютерной безопасности, которая еще считанные годы назад не считалась у нас в стране (и чуть большее время назад - в мире) за серьезную проблему, усугубляется и демонстрирует самые необычные сюжетные повороты. Цифровая "борьба добра и зла", как выясняется, не сводится к простой установке везде, где возможно, файрволов, спам-фильтров и резидентных антивирусных мониторов.

Сергей Рублёв