22.01.2004. АКТУАЛЬНЫЕ ВОПРОСЫ АНТИВИРУСНОЙ ЗАЩИТЫ ИНТЕРНЕТА

Б.А. ШАРОВ

ЗАО "ДиалогНаука" (Москва). Журнал "Управление защитой информации" № 1, 2003.

I. Современное состояние проблемы ин­формационной безопасности

Стремительное развитие информационных технологий, проникновение компьютерной техни­ки в самые "удаленные уголки" бизнеса, рост по­требности всего общества в высококачественных, быстрых и недорогих средствах передачи информа­ции обусловливают невиданную по скорости и мас­штабам "интернетизацию" нашей жизни. Исполь­зование информационных технологий в сочетании с возможностями быстрого доступа к необходимой информации во многом определяет эффективность деятельности организаций любого уровня - от ма­лого предпринимательства до общенациональных компаний и органов государственной власти.

Главным действующим лицом в этом разви­тии является Ее Величество Информация - и она постоянно предъявляет все новые и новые, все бо­лее жесткие требования к тем, кто ее создает, кто ее передает, кто ею пользуется. Эти требования связа­ны, прежде всего, с защитой информации на всех стадиях ее существования, поскольку с развитием компьютерных и сетевых технологий и ростом за­висимости всех сторон нашей жизни от качества и достоверности информации она становится самым ценным, самым важным и поэтому самым желан­ным объектом посягательств со стороны различно­го рода злоумышленников.

Уничтожение, изменение, хищение информа­ции всегда влечет за собой весьма серьезные отри­цательные последствия, которые очень часто мож­но назвать катастрофическими. Одним из видов субъектов, которые чаще всего выступают в обезли­ченном виде, но которые при этом своими действи­ями могут нанести любой организации непоправи­мый ущерб, являются компьютерные вирусы. Сра­зу оговоримся, что в данном случае, как и далее в статье, мы будем использовать этот термин приме­нительно ко всем видам вредоносных программ, которые в настоящее время распространяются по всемирной сети - и к вирусам как таковым, и к по­чтовым и сетевым червям, и к троянским програм­мам.

Необходимо также отметить, что помимо ком­пьютеров конечных пользователей, серверов в ло­кальных сетях, объектом вирусных атак становят­ся также и глобальные сети. Заражая отдельные ком-

пьютеры и целые сети, черви и троянские програм­мы начинают рассылать свои копии по электронной почте, многократно увеличивая нагрузку на отдель­ные почтовые серверы, пытаются подключиться к определенным Интернет-сайтам, фактически делая невозможным доступ к ним добросовестным пользо­вателям. В зависимости от алгоритмов, применяе­мых во вредоносных программах, подобные дей­ствия способны в кратчайшие сроки парализовать работу целых сегментов Интернета, как это произош­ло в конце января 2003 года во время эпидемии Ин­тернет-червя Slammer. С ростом зависимости дело­вой жизни во всем мире от информационных сетей и скорости передачи информации по ним подобные инциденты наносят все больший и больший урон деятельности самых различных категорий пользо­вателей и делают все более насущной проблему за­щиты как глобальных сетей общего пользования в целом, так и отдельных их сегментов.

П. Роль и место антивирусных программ в системе защиты информации

Традиционно считается, что для борьбы с раз­личными видами вирусов применяются антивирус­ные программы. Антивирусные средства постоян­но совершенствуются, не только ежедневно попол­няя свои базы определений известных вирусов, но и совершенствуя внутренние алгоритмы определения подозрительных объектов, которые могут оказаться неизвестными до данного момента вирусами. Час­то качество антивирусной программы определяется не количеством вирусных записей, присутствующих в базе, а качеством технологических решений, воп­лощенных в антивирусе, позволяющих выявлять вредоносные программы, до сих пор неизвестные соответствующей антивирусной лаборатории. Спо­собность создателей антивируса заглянуть в буду­щее, предположить возможные действия своего про­тивника - вируса, смоделировать его действия при проникновению в систему и тем самым предоста­вить более надежную защиту пользова­телю, во многом определяет успешность применения того или иного программ- , ного продукта в системе антивирусной защиты. Важным аспектом антиви­русной программы становится и спо­собность восстановить работоспо-

собность системы в случае, если вирус все-таки был пропущен на компьютер до того, как его описание было добавлено в базу.

В настоящее время можно выделить три боль­шие области применения собственно антивирусных программ как средств защиты информации: это ра­бочие станции, это серверы, обслуживающие ком­пьютерные сети в компаниях и организациях, нако­нец, это крупные почтовые серверы в компаниях-провайдерах. До сих пор традиционно развивались антивирусные решения для рабочих станций - то есть, то, что обслуживало и защищало конечного пользователя. Изначально это объяснялось просто физическим отсутствием возможности работать в сети. Вирусы передавались на дискетах - передава­лись в большом количестве, но тем не менее масш­табы эти были несравнимы с теми, которые мы име­ем сейчас. Движение информации от компьютера к компьютеру было заранее смоделировано и всем известно - в основном это были магнитные носите­ли. Это и предопределяло широкое распростране­ние файловых и загрузочных вирусов. С появлени­ем сетей стали появляться сетевые вирусы-черви, которые использовали новые возможности для сво­его перемещения. Для антивирусных программ вста­ла задача защиты уже не отдельных станций, а це­лых сетей в масштабах предприятия, стали появлять­ся серверные антивирусные решения. По мере рос­та доступности Интернета появился новый способ распространения вредоносных программ - остава­лось только правильно спроектировать новый тип вируса, чтобы он не только попал на компьютер, но и заразил его и распространился дальше по всемир­ной паутине без чьей-либо посторонней помощи. Ви-русописатели быстро решили эту задачу, в большой степени используя электронную почту, а также уяз­вимости операционных систем, прежде всего Microsoft Windows. Однако параллельно стали по­являться и антивирусные программы, перекрываю­щие потоки на уровне почтовых серверов.

Не останавливаясь подробно на различных ухищрениях, к которым прибегают авторы вирусов, отметим только появление огромного количества троянских программ, которые используют подклю­чение пораженного компьютера к Интернету для передачи с него какой-либо информации по заранее установленному адресу, а также программ-люков, да­ющих злоумышленникам возможность доступа к ре­сурсам пораженного компьютера, опять же исполь­зуя подключение компьютера к Интерне-ji ту. Изменился и характер угроз, с кото­рыми сталкиваются пользователи - это теперь не столько потеря данных, которые при грамотном обращении с ними всегда могут быть восста­новлены, а, скорее, утечка важной,

конфиденциальной информации в третьи руки - утеч­ка незаметная, а потому еще более опасная. Факти­чески ущерб от подобных атак не поддается более или менее точным оценкам - порой компании даже не осознают, что их конфиденциальная информация является достоянием злоумышленников на другом конце света, а если это и обнаруживается, то чаще всего после наступления катастрофических послед­ствий. В этой связи можно предположить, что циф­ры, публикуемые различными исследовательскими организациями касательно ущерба, наносимого ви­русами всех типов частным и государственным ком­паниям, являются крайне заниженными и не отра­жающими реального положения вещей. По оценкам специалистов ЗАО "ДиалогНаука", доля почтовых червей, несущих вместе с собой опасный "груз" в виде троянских программ, которые после инфици­рования компьютера дают в той или иной степени доступ к нему третьим лицам, за последний год не­уклонно возрастает и в настоящее время достигает 50% общего количества подобного типа вердонос-ных программ.

Ш. Количественные оценки распростране­ния вирусов через Интернет

Таким образом, очевидно, что Интернет, и особенно электронная почта, становятся в настоя­щее время главной точкой приложения усилий по защите сетей и конечных пользователей от вирусов - именно как средство массового распространения вредоносных программ. Особенно выделяются на этом фоне почтовые черви массовой рассылки. Ис­пользуя данные, полученные Службой мониторин­га вирусной активности за последние 3 месяца, мож­но сказать, что из 26,2 миллионов вирусов, останов­ленных антивирусом Dr.Web на серверах крупней­ших провайдеров России, более 98% были почто­выми червями массовой рассылки, а из 20 самых распространенных вредоносных программ к этому типу относилось 14. Самыми распространенными на протяжении уже многих месяцев являются по­чтовые черви семейства Klez и Yaha. При этом обра­щает на себя внимание тот факт, что эпидемия Klez, продолжая оставаться самой крупной, связана толь­ко с одним видом червя этого семейства, в то время как создатели Yaha - группа индийских хакеров - по­стоянно создает новые виды вирусов этого семей­ства, которые получают не меньшее распростране­ние, чем предыдущие. Большое количество эпиде­мий последнего времени вызывалось червями, ко­торые, заражая компьютеры, помещали на жесткие диски троянские программы и программы-люки, причем эта тенденция становится все более замет­ной. Таким образом, совершенно наглядно проявля­ется стремление создателей вирусов использовать электронную почту как средство доставки вредонос-

ного кода, а уязвимости самой распространенной операционной системы - для заражения компьюте­ров. Попутно заметим, что в этих условиях возрас­тают и требования к антивирусным программам -они должны не только обнаруживать и пресекать проникновение в систему самих почтовых червей, но и распознавать их опасный груз - программы-люки и "троянцев".

В связи с распространением почтовых червей хотелось бы остановиться на следующем аспекте. Использование антивируса пользователем рабочей станции - вещь вполне естественная и никем не ста­вящаяся под сомнение. Человек, безусловно, заин­тересован в сохранении своих данных, работоспо­собности своего компьютера, поэтому он использу­ет все доступные ему для этого средства. Аналогич­но можно оценить и задачи системных администра­торов, которые обязаны защитить свои сети от про­никновения в них вирусов. Однако если подняться этажом выше и оценить потребности в антивирусах тех, кто предоставляет услуги по доступу в Интер­нет, -тут, порой, наблюдается прямо противополож­ная картина. Эти компании в большинстве своем по­лучают свои прибыли от оплаты трафика их клиен­тами. Естественно, лишний трафик - лишние день­ги, отсюда - отсутствие материальной заинтересо­ванности многих провайдеров защищать от вирусов почтовые ящики и сети своих клиентов. Сами же Интернет-провайдеры, используя в основном UNIX-системы, практически никак не страдают от обилия вирусов в сети. Наибольшую заинтересованность проявляют пока компании, специализирующиеся на предоставлении услуг бесплатной почты - для них антивирусная защита становится первейшей зада­чей. В качестве примера можно привести соглаше­ние, заключенное ЗАО "ДиалогНаука" с крупнейши­ми Иинтернет-холдингами Mail.Ru, "Яндекс" и "Рос-бизнесконсалтинг", которые взяли на вооружение ан­тивирусное решение Dr.Web ЗАО "ДиалогНаука" для защиты своих почтовых серверов на базе Linux и FreeBSD.

IV. Необходимость комплексного подхода к вопросам антивирусной защиты Интернета

Логика подсказывает, что, перекрыв каналы распространения вредоносных программ, можно существенно снизить вирусную нагрузку на конеч­ных пользователей. То есть, установив антивирус­ную защиту на почтовых серверах, мы добиваемся перехвата вирусного потока на дальних подступах к тем системам, на которые он нацелен. Практика по­казывает, что результаты такой политики превосхо­дят порой все ожидания. В частности, до конца ав­густа 2002 года специалистами ЗАО "ДиалогНаука" фиксировалось в сутки до 20000-30000 писем, зара­женных червем Klez, на серверах нескольких круп-

нейших Интернет-компаний. Однако после того как Dr. Web встал на защиту почтового трафика крупней­шего российского Интернет-холдинга Mail.Ru, объе­мы ежедневного присутствия Klez в почте на упо­мянутых выше почтовых серверах уменьшились в 5 раз. В настоящее время эпидемия этого червя по­немногу затухает, хотя до полного его исчезновения еще очень далеко. По сравнению с 450 тысячами вирусов в сентябре 2002 года сегодня ежедневно ан­тивирусы ЗАО "ДиалогНаука" фиксируют уже толь­ко 195-200 тысяч экземпляров Klez ежедневно. Со­ответственно сократилось и распространение этого червя по миру, хотя он по-прежнему остается самым многочисленным среди всех почтовых червей.

Вывод, который отсюда напрашивается, весь­ма очевиден: провайдеры услуг Интернет просто обязаны взять на себя заботу о чистоте всемирной сети, защитив свои серверы антивирусными про­граммами. Это, безусловно, часто будет входить в противоречие с их коммерческими интересами, од­нако тут, как нам представляется, государство могло бы сыграть определенную роль, поскольку сервис, предоставляемый этими компаниями, напрямую зат­рагивает интересы всего общества. Подобно тому, как антивирус на персональном компьютере - это дело чести любого пользователя, это защита не толь­ко его данных, но и деловой репутации, так и анти­вирусная защита почтового трафика должна быть обязанностью любой компании, которая так или иначе предоставляет услуги электронной почты.

Чтобы наглядно проиллюстрировать сформу­лированную выше идею, приведем данные, полу­ченные нами от японских партнеров. Созданный ими с использованием технологии Dr.Web антивирус используется в настоящее время в ряде крупных ком­паний, он установлен уже на десятках тысяч компь­ютеров домашних пользователей в Японии. Цент­рализованная система вирусного мониторинга, со­бирающая информацию об обнаруженных вирусах со всех клиентов, дает в режиме реального времени полную картину присутствия тех или иных вирусов в Интернет-пространстве. Эти данные показывают, что японцам "российское" засилие почтовых червей незнакомо, а если и знакомо, то это дела давно ми­нувших дней. Практически все провайдеры услуг Интернета используют у себя антивирусную защи­ту, поэтому почтовые черви практически никогда не фигурируют в первых строчках вирусных отчетов, которые мы получаем из Японии, - они не добира­ются до рабочих станций пользователей. Думается, здесь есть о чем задуматься всем, кто так или иначе связан с предо­ставлением Интернет-услуг в Россий­ской Федерации.

В свете вышесказанного есть еще один важный аспект, который

хотелось бы затронуть. В последнее время доста­точно часто приходится слышать от представителей некоторых компаний, работающих в области анти­вирусной безопасности, заявления о том, что Ин­тернету в его нынешнем виде не сегодня - завтра наступит конец именно вследствие непрерывного роста числа вирусных атак, не только наносящих ущерб отдельным пользователям, но и парализую­щих порой глобальные сети. Причина подобного состояния вещей видится авторам подобных выска­зываний в том, что пользователи имеют возможность анонимного доступа в сеть. Как следствие - возмож­ность безнаказанных атак как на отдельные компь­ютеры, так и на серверы и целые сегменты глобаль­ных сетей. В качестве примера часто приводится по­трясшая в январе 2003 года мир ранее упомянутая нами эпидемия "бестелесного" червя Slammer.

Нам представляется, что подобная аргумен­тация нисколько не соответствует реальному поло­жению вещей. С одной стороны, данные, получае­мые Службой мониторинга вирусной активности ЗАО "ДиалогНаука", не дают основания говорить о сколько-нибудь значительном росте общего числа вирусов в почтовых потоках Рунета или о росте его относительной зараженности. Количество разновид­ностей вирусов, ежедневно останавливаемых на по­чтовых серверах, защищенных антивирусом Dr. Web (а речь идет о сотнях тысячах вирусов в сутки), мо­жет колебаться в пределах 20-30% от среднего зна­чения, но тенденции к увеличению этого числа не наблюдается. Безусловно, существуют эпидемичес­кие вспышки, когда зараженность почтового трафи­ка увеличивается, однако это скорее временные яв­ления, вслед за которыми наблюдается относитель-

ное затишье.

С другой стороны, нельзя не отметить тот факт, что абсолютное большинство вирусов - как самых простых, так и самых сложных и опасных -используют для своего распространения бреши в системах безопасности операционных систем или прикладного программного обеспечения, устране­ние которых всегда являлось первейшей обязаннос­тью системных администраторов. Эпидемия червя Slammer - ярчайшее тому доказательство, обнажив­шее серьезную проблему с безопасностью во мно­гих крупных сетях. Вместе с тем данная эпидемия абсолютно никак не связана с анонимностью тех, кто первоначально запустил этот вирус. Причина бы­строго распространения червя практически по все­му земному шару - банальная беспечность систем­ных администраторов, вовремя не поставивших пре­грады на пути подобной атаки.

Распространению вирусов в настоящее вре­мя способствует пока еще довольно легкомыслен­ное отношение большого числа пользователей все­мирной сети к средствам антивирусной защиты. Нам представляется, что организованные усилия не по ужесточению контроля за пользователями Интерне­та, а по популяризации средств компьютерной безо­пасности дадут гораздо больший эффект в деле борь­бы за чистоту World Wide Web, причем не только на уровне частных пользователей, но и на уровне тех, кто предоставляет услуги по доступу в Интернет и по пользованию электронной почтой. Думается, этот путь гораздо больше соответствует характеру и духу Интернета, да и общей философии развития совре­менных информационных технологий.