Юстас-Алексу

Архив

Предлагаем вашему вниманию интервью, взятое нашим редактором Алексеем Узуевым у руководителя отдела антивирусной разработки "Лаборатории Касперского" Евгения Касперского и генерального директора компании Натальи Касперской.

   - Вирусы (злые программы, способные к размножению) обычно наносят ущерб своим жертвам, но не приносят прямой выгоды своим создателям или третьим лицам. С другой стороны, злые программы, приносящие выгоду своим "владельцам", обычно оформлены как "троянские кони" и не способны к размножению.
   В то же время сущности, обладающие обоими качествами сразу, потенциально, кажется, более опасны.
   Например, недавно пришло сообщение о макровирусе Caligula, способном к размножению посредством инфицирования документов Microsoft Word, захватывающем связки закрытых ключей PGP и подгружающем их на удаленный ftp-сервер.
   Е.К.: В этом вирусе нет ничего экстраординарного. Обычный макровирус. Он берет PGP-ключи, создает файл и по ftp отправляет хозяину. Вот и все. Таких вирусов, ворующих информацию с компьютеров, масса. Я даже не знаю, какой привести пример. Самый яркий, пожалуй, - это так называемые backdoor-утилиты. Первой из них была Back Orifice. После того как такая программа попадает на компьютер, с ним можно делать все, что угодно. Работает она следующим образом. При запуске в Сеть по некоему адресу посылается сигнал: "Я здесь, и я активна". Если в это время хозяин данной программы наблюдает за этим адресом, то увидев, что на каком-то удаленном компьютере программа активизировалась, он начинает действовать. Диски пораженного (именно пораженного, а не зараженного) локального компьютера как бы "шарятся" в глобальную Сеть. Чем там потом их смотрят - "Эксплорером" или "Нортоном", - неважно. Главное - открыть диски. Почему-то такие вирусы появились лишь в прошлом году, ближе к концу. Раньше возможности Интернета использовались довольно пассивно, то есть вирусы просто размножались и передавались с компьютера на компьютер случайным образом: через зараженные письма, файлы. Однако начиная с конца прошлого года вирусы-троянцы все активнее используют Интернет по "прямому" назначению. Последний яркий пример - вирус Happy99.
   О том, что еще можно сделать в Интернете, я распространяться не хочу, хотя у нас в "Лаборатории" исследования ведутся постоянно. Мы должны быть на шаг впереди, и мы знаем, что появится следующим. Уже сейчас у нас лежат отлаженные элементы, которые еще не включены в программы, потому что пока не нужны. Но мы знаем, что они пригодятся. Лишь только появится соответствующий вирус - выпустим новый апдейт, как, допустим, в случае с Excel CALL. Это была очень громкая дыра: при помощи довольно тривиального трюка можно взломать компьютер одним письмом. Приходит письмо, вы загружаете присоединенный к нему файл Excel, и ваш компьютер становится открытым, вот и все: Это очень мощное средство, и мы сами его нашли. Мы проводили исследования, искали, каким способом вирус может проникнуть в систему, и обнаружили этот способ, причем сообщили об этом в Microsoft. Там дыру закрыли, но все равно такие штуки начали появляться. Microsoft поместила патч в Service Pack, но кто же ставит заплатку в тот же день, когда сообщается о ее выходе?

   - Хорошо ли изучена вирусологами угроза "враждебных программных агентов"? Насколько она серьезна?
   Е.К.: Насколько исследована угроза программных агентов, зависит от фирм, занимающихся разработкой антивирусных программ. Я думаю, что моя команда находится здесь на лидирующих позициях. Угроза агентов очень серьезна. Наше счастье заключается в том, что вирусы пишут неопытные молодые люди. Если пара-тройка хороших специалистов решит написать интернетовский вирус-агент, то Интернет закроется через два часа. Был серьезный случай десять лет назад с небезызвестным Робертом Моррисом: у человека не хватило мозгов понять, что вирусы писать нехорошо, но хватило - чтобы создать такого монстра. К счастью, такое случается редко, ведь вирусописаки - это сплошное пацанье.

   - Но ведь Моррис к личной выгоде не стремился, а если кто-то захочет получить ценную информацию?
   Е.К.: Да, червь Морриса был чисто экспериментальным вирусом. А завладеть информацией - действительно реально. Можно взломать процентов 90 подключеных к Интернету компьютеров. Но такого человека, который бы это сделал, не найдется. Хотят-то многие, и время от времени пытаются. Сейчас очень активны испанские вирусописатели, но у них не получается, не хватает знаний. А когда знания появятся, когда придет опыт, они перестанут писать вирусы, так что здесь все находится в естественном равновесии.

   - Но ведь это равновесие может и нарушиться?
   Е.К.: Может. Для таких ситуаций существуем мы.

   - Но вам же не хватит тех самых двух часов?
   Е.К.: Ну и что. Еще через два часа Интернет поднимем. Но в принципе паралич компьютерных сетей, вызванный вирусной атакой, вполне возможен.

   - А что опаснее: вирусы, так сказать, широкого профиля или предназначенные для взлома отдельной системы?
   Е.К.: Более опасны все-таки всеядные вирусы, размножающиеся независимо от условий. Если от целенаправленного удара страдает одна компания, один компьютер, то вирусы, которые распространяются широко, приносят больше вреда.

   - Но может быть целенаправленные атаки эффективнее?
   Е.К.: Понимаете, все эти вирусы и "троянцы" пишутся детьми. У такого дитяти цель, как правило, одна: получить халявный доступ в Интернет. 80 процентов агентов предназначены для того, чтобы красть пароли доступа. Естественно, организации, подвергнувшиеся атаке, несут убытки, но не думаю, что очень большие.

   - А бывает, что фирма, пережившая атаку, не сообщает об этом?
   Е.К.: Конечно, бывает. Более того, я уверен, что большинство случаев остаются незамеченными. Но такие целенаправленные удары могут быть подготовлены и осуществлены только сотрудником фирмы, который знает, где какие компьютеры находятся, под какими именами, через что нужно вломиться и на какие кнопки нажимать после того, как вломился. Нам периодически присылают подозрительные файлы, найденные на персональных компьютерах - домашних или служебных, и нередко оказывается, что это действительно была атака. И чаще всего атака бывает нецеленаправленной.

   - Сколько вирусов-агентов известно и какой потенциальный ущерб они могут нанести?
   Е.К.: Известны десятки вирусов. Причем они еще делятся на подклассы: те, которые воруют пароли dial-up, те, которые воруют пароли AOL либо утилиты администрирования, и т. д. Их много, и воруют они самые разные вещи, иногда я даже не могу определить, какие именно. Но все это детские игры. Вот только что было два "троянца", причем в России они очень широко распространились. Когда они отсылали информацию, в одном из них указывался ложный адрес ustas@berlin.de. То есть "Юстас-Алексу", такие вот забавы.

   - А кража ключей PGP - это не шаг к чему-то более серьезному?
   Е.К.: Да нет, там все то же самое, только воруют не пароли для dial-up, а ключи. Что злоумышленник будет с ними делать? Где найдет почту, которая подписана этими ключами? В миллионах гигабайтов трафика? Бред.

   - То есть никакого прогресса в написании вирусов нет?
   Е.К.: Почему нет? Начиная с середины прошлого года, все активно полезли в Интернет: первый вирус под Java, первый вирус на скриптах, первый HTML-вирус. Все идет к тому, что появятся полноценные Интернет-черви и мы столкнемся с довольно серьезной проблемой. Как, к примеру, защититься от таких червей, если использовать Microsoft Exchange, я не знаю. Единственный способ - это "пропатчить" Exchange. Где "пропатчить" - мы знаем. Microsoft в курсе, и они, кстати, довольно оперативно реагируют на такие сообщения. О том, что найдена дырка в Excel, мы оповестили Microsoft в середине ноября, а пресс-релиз, сообщавший о решении проблемы, появился 10 декабря. Меньше месяца для такой компании - это очень оперативно. Сейчас мы показали им еще одну дырку, но пока она не закрыта - молчим.
   Есть одна тонкая деталь, связанная с продуктами Microsoft. Если Microsoft исправляет какую-то ошибку в системе безопасности, это не означает, что ошибка перестает существовать. Это связано с тем, что продукты Microsoft довольно масштабны и их много. Предположим, что есть некая дыра, через которую можно пролезть в компьютер. Да, исправляется ошибка в данном приложении, но для того, чтобы действительно закрыть дыру, нужно поменять все. И это нужно учитывать. Например, в Internet Explorer есть система проверки безопасности при загрузке HTML-файлов: если модуль ActiveX содержит какую-то плохую инструкцию, система выдает предупреждение. Если в Microsoft Word появляется макрос, Word также начинает "орать". Так вот, макровирус может "вырубить" защиту ActiveX, а ActiveX может отключить защиту от макросов. То есть если отключена одна из систем, то вторая отключается "на ать-два". Вот в этом как раз слабость систем безопасности Microsoft: из одного продукта можно отключить функции безопасности другого. Если бы этого не было, мы бы могли спать спокойно.
   Задача по обеспечению безопасности компьютерных систем вообще очень сложна: нужно обезопаситься от всех возможных угроз, причем продукты могут быть настолько интегрированы, что полной гарантии безопасности все равно не будет.

   - То есть дыры - не только следствие количества строк кода, но и собственные просчеты Microsoft?
   Е.К.: Это недочеты сценария. Возможно, все это в конце концов будет исправлено, но пока приходится жить с тем, что есть.

   - Антивирусная защита и лечение - это замечательно, но с момента появления до момента обнаружения вируса (или другой злой программы) неизбежно проходит время. Какие еще средства гигиены актуальны и действенны? Установка программ только с оригинальных носителей? Цифровые подписи вендоров на файлах, распространяемых через Сеть? Что-то еще?
   Е.К.: Не надо ничего брать на халяву. Если не пользоваться нелегальным софтом, если не таскать из Интернета всякие приблуды, если аккуратно работать с файлами Word и Excel, то вероятность появления вируса в вашем компьютере близка к нулю. Если вы таскаете из Интернета что ни попадя, если вы приносите диски с Митинского рынка, вам категорически нужен антивирус.
   Что еще можно порекомендовать? Можно установить "AVP Инспектор", который будет информировать, что появилось нового на компьютере. Других реальных мер по защите придумать не могу. Хотя если вы установили себе Windows и больше ничего не копируете, никаких файлов из Интернета не запускаете, не обмениваетесь документами, то антивирус вам, пожалуй, не нужен (как и компьютер. - А.У.).

   - Но ведь сейчас очень развита индустрия shareware, программы из Интернета качают все?
   Е.К.: Кроме меня. Более того: у меня даже Word и Excel не установлены - по причинам личной безопасности: А так - обязательно нужен антивирус. Ведь был же в прошлом году вирус CIH, который по 26-м числам гробил BIOS. Он пошел по миру как раз через игрушки, распространявшиеся по Интернету.
   Не далее как сегодня мне прислали коммерческий софт, который распространялся в Интернете, - и в инсталляторе был этот вирус.

   - Насколько я могу судить по пресс-релизам, в России сейчас не очень активно пишутся вирусы.
   Е.К.: Пишутся, но вяло. Сейчас самые опасные вирусы приходят из Испании и Южной Америки. Видимо, у них прошла компьютеризация. Из Китая вирусов стало меньше, как ни странно. У нас раньше писались вирусы активнее, я думаю, что у народа появились сейчас другие способы самовыражения. Вирусы ведь пишут, если нечем заняться. Раньше их писали школьники, студенты, теперь они деньги зарабатывают. Хотя сейчас, после кризиса, возможен новый всплеск.

   - Есть ли у вас способы обнаружения источников вирусов?
   Е.К.: Есть. Обнаруживали и закрывали.

   - А вам это нужно?
   Е.К.: Ну, иногда какой-нибудь вирусописатель так достанет: Он вычисляется и ликвидируется. Как вирусописатель.

   - А у вас в команде нет бывших вирусописателей?
   Е.К.: Нет, мне они не нужны. Сам я никогда вирусы не писал и другим не рекомендую.

   - Webmoney объявила о начале торговли продуктами AVP через свою систему. Как впечатления, как продажи и что вы вообще думаете о перспективности расчетов через Сеть?
   Н.К.: На самом деле продажами через Сеть мы начали заниматься только что. У нас в стране с ними существуют известные трудности. На российском рынке, честно говоря, я не вижу перспектив для продаж в онлайне, по крайней мере, сейчас. Тем более что мы можем продавать через Сеть только простые продукты, а, например, сетевые версии требуют поддержки, которую мы считаем очень важной.
   А с Webmoney пока даже цифр конкретных нет, по крайней мере, они совершенно несущественны. Но мы сейчас рассчитываем на серьезные продажи через Интернет на Западе. Мы договорились с американским партнером, что будем продавать наши продукты на двух сайтах: европейском - для стран Европы и Азии, и американском - для всего остального мира. На каждом из них будет выложено четыре версии на разных языках.