|
|
|
Антивирусные средства : Теория |
|
22.01.2004. АКТУАЛЬНЫЕ ВОПРОСЫ АНТИВИРУСНОЙ ЗАЩИТЫ ИНТЕРНЕТА
Б.А. ШАРОВ ЗАО "ДиалогНаука" (Москва). Журнал "Управление защитой информации" № 1, 2003. I. Современное состояние проблемы информационной безопасности Стремительное развитие информационных технологий, проникновение компьютерной техники в самые "удаленные уголки" бизнеса, рост потребности всего общества в высококачественных, быстрых и недорогих средствах передачи информации обусловливают невиданную по скорости и масштабам "интернетизацию" нашей жизни. Использование информационных технологий в сочетании с возможностями быстрого доступа к необходимой информации во многом определяет эффективность деятельности организаций любого уровня - от малого предпринимательства до общенациональных компаний и органов государственной власти. Главным действующим лицом в этом развитии является Ее Величество Информация - и она постоянно предъявляет все новые и новые, все более жесткие требования к тем, кто ее создает, кто ее передает, кто ею пользуется. Эти требования связаны, прежде всего, с защитой информации на всех стадиях ее существования, поскольку с развитием компьютерных и сетевых технологий и ростом зависимости всех сторон нашей жизни от качества и достоверности информации она становится самым ценным, самым важным и поэтому самым желанным объектом посягательств со стороны различного рода злоумышленников. Уничтожение, изменение, хищение информации всегда влечет за собой весьма серьезные отрицательные последствия, которые очень часто можно назвать катастрофическими. Одним из видов субъектов, которые чаще всего выступают в обезличенном виде, но которые при этом своими действиями могут нанести любой организации непоправимый ущерб, являются компьютерные вирусы. Сразу оговоримся, что в данном случае, как и далее в статье, мы будем использовать этот термин применительно ко всем видам вредоносных программ, которые в настоящее время распространяются по всемирной сети - и к вирусам как таковым, и к почтовым и сетевым червям, и к троянским программам. Необходимо также отметить, что помимо компьютеров конечных пользователей, серверов в локальных сетях, объектом вирусных атак становятся также и глобальные сети. Заражая отдельные ком- пьютеры и целые сети, черви и троянские программы начинают рассылать свои копии по электронной почте, многократно увеличивая нагрузку на отдельные почтовые серверы, пытаются подключиться к определенным Интернет-сайтам, фактически делая невозможным доступ к ним добросовестным пользователям. В зависимости от алгоритмов, применяемых во вредоносных программах, подобные действия способны в кратчайшие сроки парализовать работу целых сегментов Интернета, как это произошло в конце января 2003 года во время эпидемии Интернет-червя Slammer. С ростом зависимости деловой жизни во всем мире от информационных сетей и скорости передачи информации по ним подобные инциденты наносят все больший и больший урон деятельности самых различных категорий пользователей и делают все более насущной проблему защиты как глобальных сетей общего пользования в целом, так и отдельных их сегментов. П. Роль и место антивирусных программ в системе защиты информации Традиционно считается, что для борьбы с различными видами вирусов применяются антивирусные программы. Антивирусные средства постоянно совершенствуются, не только ежедневно пополняя свои базы определений известных вирусов, но и совершенствуя внутренние алгоритмы определения подозрительных объектов, которые могут оказаться неизвестными до данного момента вирусами. Часто качество антивирусной программы определяется не количеством вирусных записей, присутствующих в базе, а качеством технологических решений, воплощенных в антивирусе, позволяющих выявлять вредоносные программы, до сих пор неизвестные соответствующей антивирусной лаборатории. Способность создателей антивируса заглянуть в будущее, предположить возможные действия своего противника - вируса, смоделировать его действия при проникновению в систему и тем самым предоставить более надежную защиту пользователю, во многом определяет успешность применения того или иного программ- , ного продукта в системе антивирусной защиты. Важным аспектом антивирусной программы становится и способность восстановить работоспо- собность системы в случае, если вирус все-таки был пропущен на компьютер до того, как его описание было добавлено в базу. В настоящее время можно выделить три большие области применения собственно антивирусных программ как средств защиты информации: это рабочие станции, это серверы, обслуживающие компьютерные сети в компаниях и организациях, наконец, это крупные почтовые серверы в компаниях-провайдерах. До сих пор традиционно развивались антивирусные решения для рабочих станций - то есть, то, что обслуживало и защищало конечного пользователя. Изначально это объяснялось просто физическим отсутствием возможности работать в сети. Вирусы передавались на дискетах - передавались в большом количестве, но тем не менее масштабы эти были несравнимы с теми, которые мы имеем сейчас. Движение информации от компьютера к компьютеру было заранее смоделировано и всем известно - в основном это были магнитные носители. Это и предопределяло широкое распространение файловых и загрузочных вирусов. С появлением сетей стали появляться сетевые вирусы-черви, которые использовали новые возможности для своего перемещения. Для антивирусных программ встала задача защиты уже не отдельных станций, а целых сетей в масштабах предприятия, стали появляться серверные антивирусные решения. По мере роста доступности Интернета появился новый способ распространения вредоносных программ - оставалось только правильно спроектировать новый тип вируса, чтобы он не только попал на компьютер, но и заразил его и распространился дальше по всемирной паутине без чьей-либо посторонней помощи. Ви-русописатели быстро решили эту задачу, в большой степени используя электронную почту, а также уязвимости операционных систем, прежде всего Microsoft Windows. Однако параллельно стали появляться и антивирусные программы, перекрывающие потоки на уровне почтовых серверов. Не останавливаясь подробно на различных ухищрениях, к которым прибегают авторы вирусов, отметим только появление огромного количества троянских программ, которые используют подключение пораженного компьютера к Интернету для передачи с него какой-либо информации по заранее установленному адресу, а также программ-люков, дающих злоумышленникам возможность доступа к ресурсам пораженного компьютера, опять же используя подключение компьютера к Интерне-ji ту. Изменился и характер угроз, с которыми сталкиваются пользователи - это теперь не столько потеря данных, которые при грамотном обращении с ними всегда могут быть восстановлены, а, скорее, утечка важной, конфиденциальной информации в третьи руки - утечка незаметная, а потому еще более опасная. Фактически ущерб от подобных атак не поддается более или менее точным оценкам - порой компании даже не осознают, что их конфиденциальная информация является достоянием злоумышленников на другом конце света, а если это и обнаруживается, то чаще всего после наступления катастрофических последствий. В этой связи можно предположить, что цифры, публикуемые различными исследовательскими организациями касательно ущерба, наносимого вирусами всех типов частным и государственным компаниям, являются крайне заниженными и не отражающими реального положения вещей. По оценкам специалистов ЗАО "ДиалогНаука", доля почтовых червей, несущих вместе с собой опасный "груз" в виде троянских программ, которые после инфицирования компьютера дают в той или иной степени доступ к нему третьим лицам, за последний год неуклонно возрастает и в настоящее время достигает 50% общего количества подобного типа вердонос-ных программ. Ш. Количественные оценки распространения вирусов через Интернет Таким образом, очевидно, что Интернет, и особенно электронная почта, становятся в настоящее время главной точкой приложения усилий по защите сетей и конечных пользователей от вирусов - именно как средство массового распространения вредоносных программ. Особенно выделяются на этом фоне почтовые черви массовой рассылки. Используя данные, полученные Службой мониторинга вирусной активности за последние 3 месяца, можно сказать, что из 26,2 миллионов вирусов, остановленных антивирусом Dr.Web на серверах крупнейших провайдеров России, более 98% были почтовыми червями массовой рассылки, а из 20 самых распространенных вредоносных программ к этому типу относилось 14. Самыми распространенными на протяжении уже многих месяцев являются почтовые черви семейства Klez и Yaha. При этом обращает на себя внимание тот факт, что эпидемия Klez, продолжая оставаться самой крупной, связана только с одним видом червя этого семейства, в то время как создатели Yaha - группа индийских хакеров - постоянно создает новые виды вирусов этого семейства, которые получают не меньшее распространение, чем предыдущие. Большое количество эпидемий последнего времени вызывалось червями, которые, заражая компьютеры, помещали на жесткие диски троянские программы и программы-люки, причем эта тенденция становится все более заметной. Таким образом, совершенно наглядно проявляется стремление создателей вирусов использовать электронную почту как средство доставки вредонос- ного кода, а уязвимости самой распространенной операционной системы - для заражения компьютеров. Попутно заметим, что в этих условиях возрастают и требования к антивирусным программам -они должны не только обнаруживать и пресекать проникновение в систему самих почтовых червей, но и распознавать их опасный груз - программы-люки и "троянцев". В связи с распространением почтовых червей хотелось бы остановиться на следующем аспекте. Использование антивируса пользователем рабочей станции - вещь вполне естественная и никем не ставящаяся под сомнение. Человек, безусловно, заинтересован в сохранении своих данных, работоспособности своего компьютера, поэтому он использует все доступные ему для этого средства. Аналогично можно оценить и задачи системных администраторов, которые обязаны защитить свои сети от проникновения в них вирусов. Однако если подняться этажом выше и оценить потребности в антивирусах тех, кто предоставляет услуги по доступу в Интернет, -тут, порой, наблюдается прямо противоположная картина. Эти компании в большинстве своем получают свои прибыли от оплаты трафика их клиентами. Естественно, лишний трафик - лишние деньги, отсюда - отсутствие материальной заинтересованности многих провайдеров защищать от вирусов почтовые ящики и сети своих клиентов. Сами же Интернет-провайдеры, используя в основном UNIX-системы, практически никак не страдают от обилия вирусов в сети. Наибольшую заинтересованность проявляют пока компании, специализирующиеся на предоставлении услуг бесплатной почты - для них антивирусная защита становится первейшей задачей. В качестве примера можно привести соглашение, заключенное ЗАО "ДиалогНаука" с крупнейшими Иинтернет-холдингами Mail.Ru, "Яндекс" и "Рос-бизнесконсалтинг", которые взяли на вооружение антивирусное решение Dr.Web ЗАО "ДиалогНаука" для защиты своих почтовых серверов на базе Linux и FreeBSD. IV. Необходимость комплексного подхода к вопросам антивирусной защиты Интернета Логика подсказывает, что, перекрыв каналы распространения вредоносных программ, можно существенно снизить вирусную нагрузку на конечных пользователей. То есть, установив антивирусную защиту на почтовых серверах, мы добиваемся перехвата вирусного потока на дальних подступах к тем системам, на которые он нацелен. Практика показывает, что результаты такой политики превосходят порой все ожидания. В частности, до конца августа 2002 года специалистами ЗАО "ДиалогНаука" фиксировалось в сутки до 20000-30000 писем, зараженных червем Klez, на серверах нескольких круп- нейших Интернет-компаний. Однако после того как Dr. Web встал на защиту почтового трафика крупнейшего российского Интернет-холдинга Mail.Ru, объемы ежедневного присутствия Klez в почте на упомянутых выше почтовых серверах уменьшились в 5 раз. В настоящее время эпидемия этого червя понемногу затухает, хотя до полного его исчезновения еще очень далеко. По сравнению с 450 тысячами вирусов в сентябре 2002 года сегодня ежедневно антивирусы ЗАО "ДиалогНаука" фиксируют уже только 195-200 тысяч экземпляров Klez ежедневно. Соответственно сократилось и распространение этого червя по миру, хотя он по-прежнему остается самым многочисленным среди всех почтовых червей. Вывод, который отсюда напрашивается, весьма очевиден: провайдеры услуг Интернет просто обязаны взять на себя заботу о чистоте всемирной сети, защитив свои серверы антивирусными программами. Это, безусловно, часто будет входить в противоречие с их коммерческими интересами, однако тут, как нам представляется, государство могло бы сыграть определенную роль, поскольку сервис, предоставляемый этими компаниями, напрямую затрагивает интересы всего общества. Подобно тому, как антивирус на персональном компьютере - это дело чести любого пользователя, это защита не только его данных, но и деловой репутации, так и антивирусная защита почтового трафика должна быть обязанностью любой компании, которая так или иначе предоставляет услуги электронной почты. Чтобы наглядно проиллюстрировать сформулированную выше идею, приведем данные, полученные нами от японских партнеров. Созданный ими с использованием технологии Dr.Web антивирус используется в настоящее время в ряде крупных компаний, он установлен уже на десятках тысяч компьютеров домашних пользователей в Японии. Централизованная система вирусного мониторинга, собирающая информацию об обнаруженных вирусах со всех клиентов, дает в режиме реального времени полную картину присутствия тех или иных вирусов в Интернет-пространстве. Эти данные показывают, что японцам "российское" засилие почтовых червей незнакомо, а если и знакомо, то это дела давно минувших дней. Практически все провайдеры услуг Интернета используют у себя антивирусную защиту, поэтому почтовые черви практически никогда не фигурируют в первых строчках вирусных отчетов, которые мы получаем из Японии, - они не добираются до рабочих станций пользователей. Думается, здесь есть о чем задуматься всем, кто так или иначе связан с предоставлением Интернет-услуг в Российской Федерации. В свете вышесказанного есть еще один важный аспект, который хотелось бы затронуть. В последнее время достаточно часто приходится слышать от представителей некоторых компаний, работающих в области антивирусной безопасности, заявления о том, что Интернету в его нынешнем виде не сегодня - завтра наступит конец именно вследствие непрерывного роста числа вирусных атак, не только наносящих ущерб отдельным пользователям, но и парализующих порой глобальные сети. Причина подобного состояния вещей видится авторам подобных высказываний в том, что пользователи имеют возможность анонимного доступа в сеть. Как следствие - возможность безнаказанных атак как на отдельные компьютеры, так и на серверы и целые сегменты глобальных сетей. В качестве примера часто приводится потрясшая в январе 2003 года мир ранее упомянутая нами эпидемия "бестелесного" червя Slammer. Нам представляется, что подобная аргументация нисколько не соответствует реальному положению вещей. С одной стороны, данные, получаемые Службой мониторинга вирусной активности ЗАО "ДиалогНаука", не дают основания говорить о сколько-нибудь значительном росте общего числа вирусов в почтовых потоках Рунета или о росте его относительной зараженности. Количество разновидностей вирусов, ежедневно останавливаемых на почтовых серверах, защищенных антивирусом Dr. Web (а речь идет о сотнях тысячах вирусов в сутки), может колебаться в пределах 20-30% от среднего значения, но тенденции к увеличению этого числа не наблюдается. Безусловно, существуют эпидемические вспышки, когда зараженность почтового трафика увеличивается, однако это скорее временные явления, вслед за которыми наблюдается относитель- ное затишье. С другой стороны, нельзя не отметить тот факт, что абсолютное большинство вирусов - как самых простых, так и самых сложных и опасных -используют для своего распространения бреши в системах безопасности операционных систем или прикладного программного обеспечения, устранение которых всегда являлось первейшей обязанностью системных администраторов. Эпидемия червя Slammer - ярчайшее тому доказательство, обнажившее серьезную проблему с безопасностью во многих крупных сетях. Вместе с тем данная эпидемия абсолютно никак не связана с анонимностью тех, кто первоначально запустил этот вирус. Причина быстрого распространения червя практически по всему земному шару - банальная беспечность системных администраторов, вовремя не поставивших преграды на пути подобной атаки. Распространению вирусов в настоящее время способствует пока еще довольно легкомысленное отношение большого числа пользователей всемирной сети к средствам антивирусной защиты. Нам представляется, что организованные усилия не по ужесточению контроля за пользователями Интернета, а по популяризации средств компьютерной безопасности дадут гораздо больший эффект в деле борьбы за чистоту World Wide Web, причем не только на уровне частных пользователей, но и на уровне тех, кто предоставляет услуги по доступу в Интернет и по пользованию электронной почтой. Думается, этот путь гораздо больше соответствует характеру и духу Интернета, да и общей философии развития современных информационных технологий. |