Система, накрывающая хакера
АрхивИнтервью с Евгением Касперским
Начнем с тривиального вопроса. Что новенького в мире вирусов, чего нам ждать еще?
- Тут интересно копнуть историю. Началось все с exe-вирусов. Потом, в 1994-96 годах - засилье макровирусов. Потом пошли скрипты. И вот теперь снова вернулись exe-вирусы - Klez, Sircam, BadTrans и прочие. Что будет дальше, зависит не от нас, а от вирусописателей - это как мода. И, конечно, от Microsoft. Они сейчас уделяют очень большое внимание безопасности - их ведь тоже не радует, что Windows атакуют со всех сторон, вирусы гуляют по Интернету, пролезая в майкрософтовские дыры. Компания устраивает тусовки, на которые приглашает вирусных экспертов и спрашивает: «Что сделать еще, чтобы этой дряни было меньше, а вам, антивирусникам, было жить проще?». В Windows ХР уже есть много того, что осложняет жизнь вирусам, но это не значит, что через две версии Windows все дыры будут ликвидированы и вирусы исчезнут. Нет, они адаптируются к новым условиям и полезут через незалатанные прорехи.
Не планирует ли Microsoft включить антивирус в свою систему?
- Неофициально, по имеющейся у нас информации, - не собирается. Они то думают об этом, то не думают, то снова думают, но пока не собираются. Microsoft выпускает готовые продукты. А антивирус - это сервис. Когда Microsoft встраивает в свою систему новую функцию, соответствующий сегмент рынка обычно умирает. Но я этого не боюсь, тут совершенно другой бизнес. Вы пользуетесь какой-то программой, она работает, но немного хуже, чем аналог. Будете ли вы менять ее на этот аналог? Работает - и хорошо. Неприятности, которые вы получаете, работая с не очень качественным продуктом, сравнимы с неприятностями, которые вы получите при переходе на новый, чуть более качественный, продукт. С антивирусами все просто - лечит-не лечит, и здесь мы можем конкурировать. Мы лечим. Если выйдет антивирус от Микрософта, все хакеры начнут его просто валить, и людям все равно придется обращаться в третьи компании, которые занимаются именно антивирусной поддержкой и разработкой.
Как должна выглядеть ОС, хорошо защищенная от вирусов?
- Песнь про три слова, сольное выступление в двух частях, в российской прессе ранее не исполнялось.
Почему вирусы живут в Windows и не живут в мобильных телефонах (пока)? Почему Интернет все больше и больше загаживается вирусами, а макровирусов стало меньше? Есть три условия, которые определяют возможность существования вирусов в операционной среде и их массовость. Для начала - «вирусное» определение ОС: это среда, которая позволяет запускать на выполнение другие программы. Не та, функционал которой четко описан кнопками, режимами и т. д., а та, в которой могут появиться другие программы, расширяющие функционал родительской среды. Eхе-файлы в Windows, макросы в Word, скрипты в Lotus Notes.
Первое условие - массовость операционной среды, второе - документированность, третье - незащищенность.
Windows широко распространена, количество вирусов известно какое. OS/2 не столь популярна - и вирусов гораздо меньше. Есть ОС, которые существуют в двадцати инсталляциях, и там вирусов вообще нет. Для того, чтобы появился вирус, ОС должна «накрыть» хотя бы одного хакера.
Без документации по конкретной ОС черта с два вы напишете вирус. Пример - мобильные телефоны. В принципе уже можно что-то написать, но документации нет.
Любая современная ОС, где есть вирусы, незащищена, и попытки защитить Windows безуспешны. А, к примеру, в Java, где есть sandbox - вирусов всего три, и все три нерабочие.
Если все три условия соблюдаются, то в среде будут, вернее, уже есть вирусы. Их количество зависит только от популярности данной ОС. Если взять Интернет как операционную среду, чем популярнее она становится, тем больше там этого хлама - Интернет «накрывает» все больше и больше хакеров.
Огорчает, что количество зараженной вирусами информации растет быстрее, чем количество полезной информации. Интернет вскоре превратится в помойку, куда приличному человеку будет стыдно пойти. Возникает идея об альтернативной сети, которая будет безопасна. Такое в принципе реально, безопасные сети существуют, например, сеть обслуживания кредитных карточек. Да, могут прийти с пистолетом и попросить пин-код, но это не так часто происходит, и это откровенная уголовка. А вирусы и троянцы - это все-таки хулиганство, и если для того, чтобы совершить данное хулиганство, требуется уголовное преступление, я думаю, количество вирусов и троянцев упадет в несколько тысяч раз. Как это сделать? Мне на ум приходит только одно: персональная идентификация каждого пользователя, типа кредитной карточки. Ведь для того, чтобы сильно уменьшить количество преступлений (я не говорю «прекратить», все равно будут), достаточно с гарантией 99% отлавливать всех, кто их совершил. Но мы без работы все равно не останемся, останется процент, просто этот процент будет гораздо более сложным.
От вышеуказанных трех условий никуда не уйти. Непопулярные или недокументированные ОС нам не интересны. Остается третье - защита. Все приложения работают под очень строгими законами. Любое приложение может делать только то, что ему разрешено. Новых приложений появиться не может. Получается не компьютер в своем теперешнем виде - достаточно гибкая среда, которую вы можете видоизменять по собственному желанию, - а этакий железный шкаф с кнопками; их можно нажимать, но шаг вправо-влево - побег, расстрел. В результате возникает система, которой никто не будет пользоваться. Представьте себе автомобиль, который едет строго по правилам: если видит знак ограничения скорости, притормаживает, на переходе всегда пропускает пешеходов вне зависимости от их количества и состояния (трезвости). Вы купите такой автомобиль? Нет. Данная система заведомо обречена на непопулярность.
Любое новшество всегда ведет к тому, что его начинает использовать криминальная часть общества. Можно ли сделать так, чтобы преступники не использовали автомобиль? Нельзя. Компьютер? Нельзя. Точка. С этим надо не то чтобы смириться, от этого надо защищаться.
Можно ли создать вирус, который нельзя обнаружить?
- Нет. Любой вирус - это алгоритм, имеет свои алгоритмические особенности, и вот через эти-то особенности мы его и достанем. Можно не заметить вирус, если он не распространяется. Но если он некорректно модифицирует приложение и оно свалится, либо наш инспектор заорет, что файл изменился, мы его достанем. А если он лежит год и не активен, то зачем он нам нужен? Базу только засорять.
Обмениваются ли информацией антивирусные компании?
- Да, обязательно, раз в месяц. Существует договоренность: мы собираем всю информацию, которая свалилась на нас за месяц, и рассылаем ее по всем антивирусным компаниям. Это именно сами вирусы, а работают с ними компании самостоятельно. Соответственно, мы получаем от них то же самое. Скажу честно, мы поставляем информации больше, чем получаем. Последняя наша отправка была 50 мегабайт в архиве, а оттуда приходит 10-20 мегабайт…
Это значит, что они не все вирусы ловят или что-то придерживают?
- …или что-то придерживают. Но об этом не будем.
Всегда ли удается вылечить файл?
- Сейчас больше всего не вирусов, а троянцев, которые внедряются в систему, сидят тихонько и либо мониторят ваши действия, чтобы стащить пароли/логины, либо ждут приказа от хозяина, чтобы сотворить какую-нибудь пакость. Вот этих надо сразу убивать. Есть вирусы, которые лечатся довольно легко, здесь мы включаем лечение и все исправляем. Есть вирусы, которые тоже лечатся легко, но портят файлы при заражении. Мы иногда можем исправить файл, иногда не можем. «Глазуально» мы, конечно, можем определить, искалечен файл или нет, но смотреть каждый файл глазками стоит совсем других денег. В Антивирусе Касперского такие файлы мы пускаем под нож. Есть вирусы, специально сделанные так, чтобы вылечить зараженный было максимально сложно. Тут все зависит от распространенности вируса: если он такой один и не очень сильно разошелся, что с ним связываться… Если стоимость лечения равна стоимости подключения двадцати новых вирусов, лучше новые подключить. Но, взять, например, Klez последний, там лечение ох какое нетривиальное, мы даже выпустили специальную утилиту, чтобы его лечить.
А насколько при лечении можно испортить систему?
- Последние версии стараются не только удалить троянца, но еще и подчистить его следы. Однако ни один врач не может гарантировать пациенту, что вылечит его. Мы стараемся сделать так, чтобы система после лечения была максимально близка к тому состоянию, в котором она находилась до заражения вирусом.
И все же, если ваш сканер предлагает что-то удалять, можно спокойно соглашаться?
- В последней версии. А если это Klez, то лучше все-таки, прежде чем удалять, запустить спецутилиту, она отполирована как раз против этого вируса.
А почему не включить ее в состав Aнтивируса Касперского?
- Это технологически сложнее, чем иметь две разные программы. Есть антивирусные программы, которые это включили, но частично. Любая универсальная вещь - это универсально непригодная вещь. Мы считаем, что изнутри баз это будет хуже. Klez действительно навороченная штука.
Сканер - готовая вещь для поиска любых шаблонов…
- В зависимости от того, какие технологии там применяются, но в принципе - да.
Нет ли смежных применений?
- Контентная фильтрация, распознавание образов. На самом деле можно делать очень разные вещи. Скажем так: лучше применять смежные решения для ловли вирусов.
Заказов не поступало? Я имею в виду…
- Мы об этом чуть-чуть думали, заказов нет, но все не так просто. Думаю, у спецслужб есть свои решения. Ну, допустим, мы ускорим работу их систем на 20 процентов, но у них уже есть технологии, которые работают, и мы возвращаемся к началу разговора.
Ходили слухи, что Антивирус Касперского отлавливает генераторы ключей к некоторым программам якобы по заказу разработчиков этих программ.
- Некоторые ключеделки мы отлавливаем. Их штуки три, но просто достали их присылать. Это чужие ложные срабатывания. На самом деле, никакой это не вирус, но другие программы детектируют его как трояна, и нам потом говорят: «Вот он нашел трояна, а вы нет». Отвечаем: «Ребята, это ключеделка». Раз ответили, два, двадцать два… Проще задетектить. Все равно ключеделка - вредная штука, пусть ее убьют.
Как обстоят дела с поиском неизвестных вирусов?
- Сейчас слишком много разных типов: просто вирусы, троянские кони, backdoor’ы, шпионы, самих типов стало больше, а под каждый тип и принцип нужно разрабатывать свою эвристику. Это развивается гораздо быстрее, чем можно угнаться. Боюсь, мы не успеваем, да и никто не успевает. К тому же появляются новые типы, а конкретно заткнуть все дыры нельзя, их слишком много. Нужна другая операционная система, которая непопулярна, недокументированна и защищена. Но у нас есть идеи. Посмотрим… Полгода… Я надеюсь…