Виртуальное противостояние — кто победит?

На заре развития компьютерной индустрии мало кто мог предположить, что спустя сравнительно небольшое время в каждом доме будет свой персональный электронный помощник, которому многие из нас станут доверять свои финансы, личную переписку и многое другое.

Позднее, с лавинообразным ростом числа пользователей, в Сеть пришел бизнес, что привело к быстрому росту числа сетевых сервисов и услуг. Казалось бы, интернет-пользователи получили сплошные удобства. Но такое положение дел изменилось с приходом в Сеть криминала, который стал оплетать своими щупальцами Интернет.

Киберпреступность стала неотъемлемой частью Сети, вредоносный рынок динамично развивается. Темпы роста ранее не встречающихся вредоносных программ носят экспоненциальный характер, что отражено на графике, приведенном на рисунке:

Рост числа ранее не встречающихся вредоносных программ.
(Источник: «Лаборатория Касперского»)

Если ранее, когда вредоносные программы создавались студентами в свободное от учебы время, антивирусные компании играючи противостояли потоку зловредов, то с каждым годом это делать становится все сложнее и сложнее. В ближайшем будущем IT-Security-компании в состоянии противостоять увеличивающемуся потоку вредоносных программ, спаму и прочим проявлениям активности криминала. Но в сложившейся ситуации речь о том, что киберпреступность удастся искоренить, уже не идет. Вопрос лишь в том, удастся ли остановить постоянно увеличивающиеся темпы ее роста.

Камнем преткновения в острой борьбе стал пользователь, являющийся для преступников источником криминального дохода, который, по оценкам различных организаций, значительно превышает доходы антивирусной индустрии. К настоящему времени борьба достигла своего апогея.

Целью данной статьи является рассмотрение текущей ситуации — что предпринимает современные киберпреступники для противодействия IT-Security-компаниям, кто и как сможет повлиять на криминал в обозримом будущем.

• Противостояние киберкриминала и IT-Security-компаний
  • Пассивное противодействие
  • Активное противодействие
• Противостояние киберкриминала и других компаний
• Противостояние киберкриминала и государства
• Заключение

Противостояние киберкриминала и IT-Security-компаний

В настоящее время IT-Security компании фактически являются основной и едва ли не единственной силой, которая в состоянии успешно противодействовать киберкриминалу.

В непрекращающемся противостоянии злоумышленники постоянно изобретают новые и все более изощренные способы обхода существующих технологий, что приводит к разработке IT-Security индустрией новых способов защиты. Противостояние идет по своеобразной спирали, причем криминал не слепо «поднимает руки» перед новым технологиям защиты — каждая из них проходит скрупулезную проверку на «живучесть».

Громким подтверждением этому стал пример с компанией Blue Security и ее проектом «Blue Frog», который изначально позиционировался как успешное решение против спамеров. Первое время все действительно работало нормально — у некоторых пользователей «голубой лягушки» объемы нежелательной корреспонденции уменьшились на 25%. Через год проект успел стать костью в горле у спамеров, что и привело к его печальному концу: «голубая лягушка» была закрыта после серии мощнейших DDoS-атак.

В антивирусной индустрии тоже не все так просто — активность криминала проявляется как в «мелких укусах», так и в комплексном подходе к противодействию антивирусным средствам защиты.

В качестве примеров «мелких укусов» можно привести следующие приемы:

• Авторы червя Bagle отслеживали попытки доступа к вредоносному сайту со стороны антивирусных компаний и «подсовывали» им абсолютно чистый файл — чтобы антивирусные компании не получили их вредоносное «творение» для анализа. При обращении же по вредоносной ссылке обычного пользователя ему загружался вредоносный код.
• Авторы троянской программы Trojan-PSW.Win32.LdPinch отслеживают активность firewall'а. Когда сетевой экран выдает пользователю предупреждающее сообщение с вопросом, разрешить ли активность приложения, троянская программа отвечает утвердительно.
• Злоумышленники с завидной регулярностью проводят рассылки вредоносных программ под видом обновлений от имени антивирусных компаний с целью дискредитировать последних.

Что касается комплексного подхода к противодействию антивирусным средствам защиты, то радикально нового в последнее время ничего не изобретено. Существующие способы противодействия можно разделить на две большие группы:

• пассивное противодействие;
• активное противодействие.

Пассивное противодействие

Пассивное противодействие заключается в использовании способов, затрудняющих анализ и/или детектирование вредоносного контента. Для этого существует множество подходов (динамически генерируемый код, полиморфизм и др.), но в подавляющем большинстве случаев авторы вредоносных программ не тратят время и средства на разработку подобных механизмов. Для достижения заветной цели они используют гораздо более простое решение — так называемые пакеры. Это утилиты, которые с помощью специализированных алгоритмов шифруют целевую исполняемую программу с сохранением работоспособности последней. Использование пакеров значительно облегчает задачу злоумышленников: чтобы антивирус перестал узнавать «в лицо» уже известный вредоносный код, автору нет нужды переписывать его заново, нужно просто перепаковать его неизвестным для антивирусной программы пакером. Результат достигается тот же, а затраты несоизмеримо меньше.

Как было сказано выше, подобным образом упаковываются в основном исполняемые файлы. Если представить в виде графика долю пакованных вредоносных программ относительно общего числа новых вредоносных программ, то мы получим результат, приведенный на рисунке:

Рост доли пакованных самплов
(погрешность определения пакованных неизвестными пакерами самплов менее 1%).
(Источник: «Лаборатория Касперского»)

Непрекращающийся рост доли запакованных самплов в общем потоке новых, не встречавшихся ранее, вредоносных программ свидетельствует об уверенности злоумышленников в эффективности использования пакеров.

Очевидно, что от использования известных антивирусным компаниям программ-упаковщиков не так много толка — оригинальный незащищенный вредоносный код в результате все равно будет получен антивирусным продуктом. Поэтому злоумышленники все чаще используют неизвестные противоборствующей стороне пакеры — готовые, модифицированные или разработанные самостоятельно. Рост числа ранее не встречавшихся вредоносных программ, запакованных с использованием неизвестных Антивирусу Касперского программ упаковки, также приведен на рисунке 2.

В последнее время все чаще встречаются так называемые «бутерброды», когда одна вредоносная программа упакована злоумышленниками сразу несколькими пакерами в надежде на то, что тот или иной антивирус не сможет распознать хотя бы одну из использованных программ упаковки. Рост доли таких «бутербродов» относительно общего числа новых пакованных вредоносных программ показан на рисунке:

Рост доли «бутербродов» относительно общего числа новых упакованных самплов.
(Источник: «Лаборатория Касперского»)

Для анализа упакованного вредоносного кода весьма эффективными оказались виртуальные машины и эмуляторы. Поняв это, авторы вредоносных программ ответили увеличением числа зловредов, которые используют программный код противодействия этим технологиям. Антивирусные компании, в свою очередь, ответили значительным усовершенствованием технологий защиты, что привело к новому витку противостояния…

Активное противодействие

Под активным противодействием антивирусным технологиям со стороны авторов вредоносных программ мы будем понимать действия вредоносных программ, которые мешают работе систем защиты во время своей работы. К активному противодействию относятся, например, противодействие обновлениям антивирусных продуктов, удаление средств защиты из памяти и на диске, сокрытие присутствия вредоносного кода в системе жертвы с помощью руткит-технологий и т.д.

Если представить в виде графика долю ранее не встречающихся модификаций вредоносных программ, осуществляющих активное противодействие антивирусным продуктам, то мы получим рисунок:

Рост доли новых модификаций вредоносных программ,
осуществляющих активное противодействие средствам защиты.
(Источник: «Лаборатория Касперского»)

Мало того, что постоянно увеличиваются темпы роста новых вредоносных программ (рис. 1), так еще растет суммарная доля вредоносных программ, оказывающих активное сопротивление антивирусам. И в первую очередь это относится к использованию авторами зловредов руткит-технологий для увеличения времени жизни вредоносного кода в пораженной системе: чем более скрытно распространяется вредоносный код, тем меньше шансов у него попасть в базы антивирусных компаний.

И если раньше противодействие оказывалось единицам антивирусных продуктов, то сейчас без труда можно встретить вредоносные программы, уничтожающие средства защиты десятками и даже сотнями.

Несмотря на предпринимаемые криминалом меры, антивирусные компании достаточно быстро разработали и внедрили механизмы защиты среды выполнения (что уже сказалось на снижении темпов роста программ, осуществляющих противодействие антивирусам), а вслед за этим и механизмы противостояния руткитам.

Ответом криминала на защиту антивирусами своей среды выполнения стали вредоносные программы с входящими в их состав драйверами: задачу уничтожения антивирусов выполнял уже не обычный пользовательский код, а код режима ядра, который имеет все привилегии для контроля системы. В качестве последнего примера подобной вредоносной программы можно привести Email-Worm.Win32.Bagle.gr.

Параллельно с этим сетевая преступность пытается атаковать и на других фронтах. Например, авторы червя Warezov наращивают скорость выпуска модификаций своего червя; сокращается время появления эксплоита после выхода соответствующего патча; вредоносными программами постоянно обживаются новые среды обитания.

В качестве успехов антивирусной индустрии можно привести постепенное сокращение интереса к почтовому трафику со стороны авторов вредоносных программ. Сейчас в криминальном мире считается малоэффективным распространять свои поделки через еще недавно модную для использования в этих целях электронную почту, т.к. зловреды оперативно перехватываются и детектируются еще до окончания их массовой рассылки. Однако авторы вредоносных программ не собираются с этим мириться, и уже имеет место рост популярности распространения вредоносных программ через web.

Сетевая преступность постоянно наращивает свой натиск на IT-Security-компании. Возрастающий криминальный доход позволяет киберкриминалу привлекать высококвалифицированные кадры и постоянно разрабатывать новые технологии атак. Потенциал IT-Security-компаний в ближайшие несколько лет позволит успешно противостоять натиску, хотя делать это будет все сложнее. Что будет дальше — покажет время.

Противостояние киберкриминала и других компаний

Устав от непрекращающихся нападок со стороны сетевых преступников как на собственную инфраструктуру, так и на своих клиентов, компании, еще вчера выступавшие в роли жертв, сегодня начинают «показывать зубы» криминалу. Если 2004-2005 года можно с уверенностью назвать годами тотальной криминализации Сети, сопровождающейся взрывным ростом числа новых вредоносных программ, то 2006 год стал годом, когда бизнес начал уделять киберкриминалу должное внимание.

В качестве красноречивого примера можно привести финансовые организации, которые самостоятельно стали на путь затруднения жизни кибепреступникам. В прошедшем году банки поголовно ввели различные методы усиленной регистрации — от одноразовых паролей до биометрической авторизации, — что весьма озадачило злоумышленников при разработке новых вредоносных программ, направленных на атаку финансовых структур.

В различных программных продуктах все чаще можно встретить online-уведомления о выходе патча, но, к великому сожалению, на выход обновления гораздо оперативнее реагируют злоумышленники, чем пользователи. Также постепенно уменьшается время реакции разработчиков на выпуск патча.

Противостояние киберкриминала и государства

Государство обладает, пожалуй, самыми мощными возможностями для противодействия киберкриминалу, но, в то же время, является самым медленнодействующим участником противостояния. Момент, когда ситуацию можно было взять под контроль, был безнадежно упущен.

В настоящее время преступность в Сети приняла такие масштабы, что у властей просто не хватает ресурсов, чтобы заниматься хотя бы ощутимой частью всех совершаемых преступлений. Для правоохранительных органов оказалось весьма трудной задачей действовать в условиях, когда преступность не ограничена пределами одного государства (киберпреступники могут держать сервера в одной стране, атаковать пользователей в другой, сами находиться в третьей), а сетевая инфраструктура позволяет злоумышленникам действовать молниеносно при условии сохранения анонимности.

Более того, маховик государственной системы очень медлителен. На принятие решений и согласований у органов власти уходит драгоценное время, и к моменту начала расследования злоумышленники уже успевают сменить свое местоположение, сменив несколько хостингов.

В настоящее время государственные структуры напоминают скорее жертву, чем реального борца с киберпреступниками. В качестве подтверждения этого можно привести ряд примеров, которые широко освещались во многих СМИ:

• Практически каждый крупный международный политический конфликт выливается в противостояние между киберхулиганами конфликтующих стран, что находит свое отражение во взломах государственных сайтов противоборствующих сторон. Так было в конце 2005 года, когда политические дебаты на тему территориальной принадлежности рыбопромысловых вод вылились в противостояние между хулиганами Перу и Чили; так было во время последнего Ливано-Израильского конфликта, когда еженедельно страдали десятки израильских, ливанских и американских сайтов. Противостояние кибервандалов Японии и Китая, США и Китая носит постоянный характер. Причем практически все выяснения отношений, отражающиеся на государственных сетевых ресурсах, остаются безнаказанными со стороны государств.
• Несогласие злоумышленников с деятельностью того или иного государственного органа выливаются зачастую в DDoS-атаку против него или иные злонамеренные действия. Так было с МИД Японии осенью 2006 года, когда DDoS-атака была проведена в знак протеста посещения официальными лицами «милитаристского» храма; так было с сайтами шведских органов власти в начале лета 2006 года — в знак протеста против борьбы с пиратством.
• Государственные структуры зачастую рассматриваются как источник получения эксклюзивных данных, которые потом можно выгодно реализовать на черном киберкриминальном рынке либо использовать при проведении тех или иных атак. В качестве красноречивого примера можно привести РосФинМониторинг (Российская служба финансового мониторинга, регистрирующая единовременные операции на суммы, превышающие $20000), компьютерную систему которого, по словам замглавы ведомства, пытаются взломать ежедневно. По словам чиновника, злоумышленников интересует поступающая информация о клиентах банков.

Осознав, наконец, масштабность и серьезность действий киберпреступников, власть пытается изменить ситуацию и, хоть и с опозданием, но начинает предпринимать определенные шаги:

• для облегчения взаимодействия и увеличения скорости реакции правоохранительных органов различных стран предпринимаются попытки создания e-Интерпола;
• на прошедшем летом 2006 года региональном форуме ASEAN было принято решение о создании общей сети оповещения о преступлениях, связанных с компьютерами, распространения рекомендаций по противодействию и другой аналогичной информации;
• летом 2006 года сенат США ратифицировал присоединение к Европейскому соглашению по борьбе с киберпреступностью, которое уже подписали несколько десятков стран;
• в ряде стран обсуждаются предложения по ужесточению действующего законодательства (Россия, Великобритания и др.).

По словам государственных чиновников, принимаемые меры окажут значительную помощь в борьбе с киберпреступностью и терроризмом и помогут быстрее раскрывать преступления. Безусловно, со временем так и будет, но пока криминал вообще не замечает, что с ним пытаются бороться на государственном уровне. Его реакцию можно охарактеризовать как полное игнорирование того, что с ним пытаются бороться на этом фронте. Принимаемые меры не приносят сколь-нибудь заметных улучшений. Радует одно — маховик государственной машины начал раскручиваться, и раскручиваться в правильном направлении.

Заключение

В настоящее время эффективное противодействие сетевой преступности в состоянии оказывать лишь IT-Security-компании. Но ситуация непрерывно ухудшается, причем с увеличением темпа. Каждый последующий год защищаться становится все сложнее.

Киберпреступность становится все более организованной и консолидированной. Что же касается нашей стороны баррикад, то здесь, увы, наблюдается разобщенность. Антивирусные, государственные и иные компании делятся информацией друг с другом очень неохотно, что зачастую приводит к потере драгоценного времени и лишь затрудняет расследование инцидентов и принятие адекватных мер.

Безусловно, исправить ситуацию еще возможно, но для этого нужно предпринять немалые усилия. Наряду с разработкой и внедрением новых технологий защиты необходимо выступление единым фронтом всех участников борьбы с киберкриминалом, способных повлиять на ситуацию.