Мифы живут своей, особенной жизнью. Некоторые из них умирают, так и не успев толком родиться. Некоторые из них влачат жалкое существование где-то на окраинах человеческого сознания. Но некоторые овладевают умами масс настолько, что перевешивают всяческие разумные доводы против мифа.
Вы когда-нибудь слышали от своих родных, знакомых или просто встречных людей о том, что пожарные сами поджигают здания, которые затем бесстрашно тушат? Однако, каждый раз, когда люди, очень далёкие от сферы информационной безопасности узнают, что я работаю в данной области, обязательный вопрос, который я неизменно слышу, звучит примерно следующим образом: «это правда, что антивирусные компании сами делают вирусы?».
Почему так? В чём дело? Ведь ни пожарных, ни представителей иных профессий в подобном «вредительстве» не отмечают. Только представителей антивирусной индустрии. Ответ, я полагаю, в следующем. Антивирусная индустрия в своём нынешнем состоянии не желает бороться с бизнесом на зловредном программном обеспечении в том объёме, который необходим. Конечно, можно вспомнить про недавнее выключение компанией Microsoft управляющих центров ботнета Rustock, равно как и усилия компании Arbor в этом же направлении. Но знаете ли вы прецеденты, когда успешными контратаками выигрывались современные войны? На памяти автора таких случаев не было…
Вот смотрите – у мистера X на его рабочем компьютере стоит «хороший» антивирус Y, который ему посоветовал продавец крупного магазина. Об этом антивирусе он уже читал в своей любимой ежедневной газете, да и на новостных форумах данный бренд неоднократно упоминался. Антивирусная подписка оплачена, операционная система легальна и постоянно обновляется. Мистер X абсолютно уверен в том, что с его документами и фотографиями ровным счётом ничего не случится, ведь они под надёжной защитой антивируса Y, как его уверяли продавец и газета и.т.п.
Но, однажды, включив компьютер, мистер X пришёл в полное недоумение, граничащее с шоком. Все важные документы и фотографии оказались зашифрованными, а на рабочем столе появилась маленькая записочка (грамматика и пунктуация сохранены) «Все твои доки пошифрованы. Расшифравать их не палучится. Если хочешь получить всё назад прешли 1000 WMR на кошелёк Rxxxxxxxxxxxxxx и я прешлю тебе дешефровщик». Антивирус горит зелёным огоньком и сообщает, что ничего вредоносного на компьютере не найдено. «Как же так! Этого не должно было случиться! Мои документы! Фотографии! Почему антивирус промолчал?! Он же хороший, он не должен был такое допустить!!!»– думает мистер X– «значит, этот вирус написали конкуренты из другой антивирусной лаборатории для того, чтобы продать мне собственный продукт, который, разумеется, этот вирус уже ловит. Это логично». Да, мистер Х, это звучит очень логично. Но это неправда. А знаете, почему? Потому что в вашу логику закрались три ошибки, которые обычному обывателю, коим вы являетесь, не видны.
Ошибка в логике мистера Х номер раз. А почему вы, собственно, уверены, что антивирус X надёжен? Равно как и все его конкуренты на рынке? Насколько вообще надёжны современные антивирусы? Обратимся к фактам. Факт: «Eurostat: антивирус не гарантирует защиту. Eurostat, официальный отдел Евросоюза, занимающийся сбором статистики, опубликовал очень интересные данные. Оказывается в 2010 году 84% европейцев (участвовавших в опросе) использовали то или иное программное обеспечение из сферы компьютерной безопасности.
При этом 31% отвечавших признал, что столкнулся с фактом инфицирования системы компьютерным вирусом (или другими вариантами вредоносного кода).» Правда, всегда можно возразить, что опрос- вещь субъективная. Факт: динамический тест от одной из самых уважаемых тестовых лабораторий, AV–Comparatives. http://chart.av-comparatives.org/chart2.php. Лучший антивирус из представленных на момент написания статьи (июнь 2011) имеет рейтинг защиты 99,3%. Простому обывателю может показаться, что это хороший результат. А вот любому специалисту в области антивирусной безопасности очевидно, что это полное фиаско. Почему?
Давайте займёмся несложными подсчётами. Каждый день в мире производится, по разным оценкам, примерно от 30 до 70 тысяч уникальных зловредным модулей в сутки. Да, это так, согласно недавней информации центра безопасности компании Microsoft, время жизни зловредного модуля находится примерно в районе 4 часов, далее срабатывают облачные компоненты антивирусных решений и данный образец, с точки зрения теневого бизнеса, теряет всяческое значение. Считаем по минимальным оценкам: 30'000 * 0,7% = 210 вирусов, которые проникают сквозь защитные барьеры антивирусов и наносят ущерб пользователям персональных компьютеров, в день.
В год имеем 76650 вирусов, наносящих вред. По максимальным оценкам, цифра возрастает в два раза до 178850 угроз в год. Таким образом, даже самые лучшие представители антивирусного программного обеспечения вряд ли могут быть признаны сколь-нибудь надёжными в современных реалиях. Лично для меня, особо показателен был тест–прогон образцов вирусов–вымогателей, которых поймали буквально за несколько минут после их выхода в свет, против антивирусных защит: http://malwareresearchgroup.com/2011/07/26/mrg-flash-test-26072011/
Ошибка в логике мистера Х номер два. Для того, чтобы обойти любой антивирус, не нужно быть профессионалом в программировании и особенностях реализации операционной системы. Вполне достаточно просто быть хорошим студентом и не спать на лекциях и практических занятиях. Ничего запредельно сложного в этом нет. Только практика и отладчик.
Ошибка в логике мистера Х номер три. Распространение зловредного программного обеспечения (известного также как компьютерные вирусы)– это высокоприбыльное дело. И построено оно так же, как и любой другой бизнес в области информационных технологи – офис, инвесторы, разработчики, менеджеры, дистрибьюторы, аффилиаты, партнёрские программы. Только это дело незаконное, подсудное. Какой смысл заниматься такими вещами «белой» антивирусной компании, рисковать своей репутацией, если прибыльность продаж антивируса нисколько не меньше, а то и больше прибыльности бизнеса на зловредном программном обеспечении, при этом всё легально и ночью в дверь с ордером на обыск стучаться не будут?
Складывается абсурдная ситуация со стороны отстранённого наблюдателя. Простой пользователь уверен, что вирусы разрабатываются антивирусными компаниями, при этом продолжает пользоваться их продукцией и платить за неё, прямо или косвенно, отдавая, параллельно, «дань» деньгами и вычислительными ресурсами теневому бизнесу на компьютерных вирусах, от которых антивирусы неспособны защитить. Сюр, чистый сюр, не так ли?
Сам факт существования бизнеса на зловредном программном обеспечении в условиях практически тотального проникновения антивирусных решений на рынке доказывает их недееспособность. Однако, маркетинговые отделы антивирусных компаний продолжают петь осанну своей продукции. Было бы очень странно, если бы они этого не делали, кушать–то всем хочется. И, до тех пор, пока мистер Х продолжает покупать антивирусы, для него ровным счётом ничего не изменится. Может, он даже мигрирует с антивируса Y на конкурирующий продукт Z, только через некоторое время история с заражением компьютера повторится.
Антивирусным средствам уже исполнилось 25 лет, они морально устарели. Но зачем антивирусным компаниям что-то кардинально менять, если старые методы и средства разлетаются с полок магазинов как горячие пирожки? Новые подходы к защите от зловредного программного обеспечения уже стучатся в дверь, показывая недостижимые для антивирусов (и столь желанные пользователями) результаты.
Например, тест MRG Effitas по предотвращению заражения 0-day вредоносными программами (http://malwareresearchgroup.com/malware-tests/flash-test-results/) чётко показывает, что единственная участвующая в данном тесте песочница легко обошла все остальные средства защиты. Что говорит о том, что включение постоянной, включённой по умолчанию песочницы в состав решений класса Internet Security способно резко уменьшить норму прибыли для «бизнесменов на вредоносах» до уровня, когда депозит в банке будет выгоднее, чем вложение денег в разработку и продвижение компьютерных вирусов.