Факторы риска
АрхивСетевое окружение (архив)На кого рассчитана современная "антивирусная оборона"?..
Компьютерные вирусы стали бичом high-tech цивилизации. Причудливые хитросплетения Всемирной Паутины сделали одинаково уязвимыми как стратегические сети, так и домашние локалки. По итогам 2002 г., произошло более чем пятикратное увеличение абсолютного количества вирусов в почтовых сообщениях — основном канале распространения вредоносных программ на сегодняшний день.
В 1999-2001 гг. еще нельзя было однозначно предсказать количественные характеристики развития «компьютерной заболеваемости». Однако за прошлый год доля зараженных писем увеличилась почти в 2 раза — и теперь стало отчетливо видно, что прирост злонамеренных кодов в электронных сообщениях прекрасно укладывается на экспоненциальную кривую всего с одним подгоночным параметром (рис. 2).
Рисунок 1. Статистика MessageLabs на январь 2003 г.
Рисунок 2. Средний уровень зараженности электронных сообщений.
Эта зависимость оказалась единственной, точно предсказывающей величину инфицированности в 2002 г.: исходя из информации за прошлые годы, ожидалось, что уровень зараженности составит один вирус на 210-211 писем; реальная величина оказалась один на 215. На сегодняшний день более медленные зависимости, свидетельствующие об управляемости ситуации, могут быть отброшены (предсказание для линейной — один вирус на 298-299 писем, а для параболической — один на 251-252).
Это свидетельствует о том, что распространение вирусов по электронной почте носит характер эпидемии (взрыва), из чего, в свою очередь следует, что мрачные ожидания могут осуществиться гораздо раньше, и при сохранении нынешних тенденций более половины почтовых посланий окажутся инфицированными уже к 2009-2010 гг. Если сегодня около 12% писем не доходят до адресата из-за ошибок спам-фильтров провайдеров, то неизбежное введение тотального антивирусного контроля при взрывном увеличении зараженности почты может полностью парализовать деловую и личную переписку. Конечно, для оперативной связи еще остаются каналы интернет-пейджеров, но, например, свежий червь Lirva уже вовсю эксплуатирует ICQ. Да и недоверие к наиболее распространенному средству обмена информацией вряд ли положительно скажется на развитии «новой экономики».
Анализируя причины, вызывающие компьютерные эпидемии, эксперты продолжают идти самым легким путем, перекладывая ответственность на потребителей, которые якобы сами должны заботиться о своей, а теперь в придачу еще и об общественной, безопасности. Некоторое время назад я уже писал, что такой подход бесперспективен, подтверждением чему стала хроническая эпидемия Klez, обеспечившая в минувшем году 51% прироста зараженности. Разделение труда для того и было придумано, чтобы одни создавали качественные инструменты, а другие могли их использовать в своей повседневной работе, не особо вникая в проблемы изготовителей.
Хотя антивирусологи согласны с тем, что компьютерный вирус — это алгоритм, но основной упор в борьбе с заразой сделан на обнаружение и ликвидацию конкретных программных реализаций. На неявно присутствующие составляющие, обеспечивающие вирусам выживаемость и эволюцию, внимание практически не обращается. На это, впрочем, существуют объективные причины. Описание поведенческих блокираторов показывает, что такие разработки находятся пока в зачаточном состоянии и до компромисса между эффективностью определения злонамеренного кода и снижением быстродействия компьютера еще далеко. Очевидно, что если технология создает больше проблем, чем решает, то у нее нет никаких надежд на успех.
Говоря о скрытых составляющих вирусного алгоритма, я подразумеваю прежде всего так называемые социотехнологические приемы, которые используют создатели злонамеренных программ для маскировки своих разработок и, в конечном счете, для повышения их живучести. Вынос этой темы за скобки позволяет антивирусологам не обращать на нее внимания и заниматься абстрактными рассуждениями о необразованности пользователей. В то же время, если рассматривать компьютерный вирус, как алгоритм, включающий в себя не только машинные команды, но и вероятную реакцию пользователя, то придется признать, что при разработке наиболее распространенных операционных систем этот аспект оказался полностью проигнорированным.
Сегодняшняя антивирусная оборона рассчитана на потребителя-программиста, обладающего глубокими знаниями об архитектуре ОС и применяемых прикладных программ, о взаимодействии различных компонент программного обеспечения, о принципах работы разных классов антивирусных программ, а также о самих вирусах и об особенностях их конкретных проявлений. Антивирусы легко обнаруживают и уничтожают известные им экземпляры чужеродных кодов, но удаление всех источников заразы еще не означает возвращения ОС в нормальное рабочее состояние. В каких-то случаях подсобит автоматика в лице системы защиты файлов (SFP), однако, нередки случаи, когда повреждение вирусом незначительного количества программных модулей заканчивается полной переустановкой ОС. Причина проста — массовый потребитель не имеет достаточной квалификации для грамотного проведения восстановительных процедур.
Все распространенные вирусные социотехнические трюки направлены на то, чтобы убедить пользователя выполнить действие, по его разумению безопасное — например, прочитать документ или посмотреть картинку. Если почтовая программа разрешает доступ к вложениям прямо из окна просмотра сообщения, то она могла бы более конкретно предупреждать о типе файла и о условиях безопасного обращения с ним. Информация от OE6 не только не конкретна, но и может усилить заблуждение, если имя вложения специально содержит большое количество пробелов перед расширением. Такое имя, не говоря уже о типе, полностью не отображается в предупреждении (рис. 3).
Рисунок 3. Тип открываемого файла определить из предупреждения невозможно (настоящее расширение — BAT).
К слову, нужно отметить, что при наличии единственного вложения с таким длинным именем тип его нельзя точно определить и в окне просмотра сообщения (рис. 4).
Рисунок 4. В OE6 могут быть проблемы при определении типа вложения.
То, что в данном случае на рис. 4 иконка вложения соответствует BAT-файлу на самом деле ничего не означает, поскольку при пересылке EXE в него можно воткнуть любую иконку (например от IrfanView), которая и будет отражена в строке вложений.
Многочисленных вариации уязвимостей, связанные с автоматическим исполнением злонамеренного кода на этапе предварительного просмотра сообщения, не говоря уже о злонамеренных аудиофайлах для Media Player'а, — все это грубые просчеты разработчиков ПО. Бесполезно требовать от потребителей, чтобы они подчинялись набору правил, совершенно не понимая ни их смысла, ни действия. Реальное повышение среднего уровня компьютерной грамотности произойдет только в результате естественной смены поколений пользователей. За этот срок, пожалуй, можно будет изменить сами принципы разработки ОС, чтобы учесть в системах безопасности слабость пресловутого «человеческого фактора». А пока что признание небезопасности своих продуктов, сделанное Microsoft в 2002 г., не оставляет нам шансов на снижение вирусного натиска в ближайшие годы.
Итак, на первое место следует поставить фактор концептуальных ошибок, наличие которых сегодня не отрицают даже разработчики ОС. Макровирусы и вирусы для Outlook — это результат грубых просчетов при наделении приложений избыточной функциональностью. Исправление подобных промахов может потребовать внесения кардинальных изменений в программный проект. Потому наивно ожидать, что корпорации добровольно возьмутся за разработку систем, что называется «с нуля», до исчерпания рыночного потенциала нынешнего коммерческого ПО. Заставить же их сделать это очень трудно ибо большие деньги, по мнению законодателей, всегда были убедительным аргументом.
На следующем месте располагаются непреднамеренные ошибки программирования. От них можно избавиться внесением в исходный код сравнительно небольших изменений. Самая большая загвоздка в том, как оперативно доставить исправленные коды на все компьютеры потребителей, что дело непростое, как подтверждает незатихающая эпидемия червей, эксплуатирующих уязвимость IFRAME. Благодаря этой уязвимости в системе безопасности Internet Explorer червь обладает способностью незаметно заражать компьютеры сразу же после прочтения инфицированного письма. Эта особенность практически исключает человеческий фактор и многократно повышает эффективность заражения и скорость распространения вредоносных программ.
Ну, и наконец, пресловутый недостаток квалификации у пользователей. Этот фактор принципиально неустраним. Всеобщая компьютерная грамотность — такая же фикция, как и всеобщее равное среднее, а на самом деле просто посредственное, образование.