Меню
Поиск

Нечестная война…

15 август, 2012 - 09:34Елена Хомутова

Возможно вы были в отпуске, когда летом 2010 г. впервые были опубликованы данные о Stuxnet – самом сложном из известных кибер-оружии, направленном на иранскую ядерную программу. Возможно, вы были заняты работой годом позже, в сентябре 2011 г., когда был обнаружен код вредоносного программного обеспечения Duqu – компьютерного вируса, который имеет много общего с кодом Stuxnet, но был предназначен исключительно для сбора информации. Вполне возможно, что вы были в командировке всего несколько месяцев назад, в мае 2012 г., когда было обнаружено изощренное кибер-шпионское ПО Flame, заразившее информационные системы на всем Ближнем Востоке. А что насчет совсем недавнего времени, когда был обнаружен еще более узкоспециализированный сородич предыдущих вирусов? Его имя Gauss и он был ориентирован на сбор сведений о банковской деятельности, в первую очередь в Ливане.

Вирус Flame – далеко не первое высокотехнологичное целенаправленное кибер-оружие, и я более чем уверена, что не последнее. Если вы думаете, что вам это не грозит, потому что вам случилось жить не на Ближнем Востоке или потому что вы не вовлечены в программы по производству ядерного оружия, подумайте еще раз. В эпоху Интернета знания распространяются со скоростью света. Технологии, которые были использованы одним атакующим, быстро распространяются и в скором времени используются другими атакующими с различной мотивацией (информация, финансовая составляющая, идеология и т.д.)

Очень важно осознать этот момент. Мы вступили в новую цифровую эру, где атакующие имеют высокотехнологичные дистанционные инструменты, и мы будем становиться все более уязвимыми, если не будем осознавать реальности происходящего и рисков, связанных с этим.

Возможно, вы уже слышали, что размер вируса Flame 20 МБ!, что он может подключаться и взаимодействовать с Bluetooth гарнитурами, подключаться к WiFi сетям, записывать информацию с микрофона, регистрировать ввод данных с клавиатуры, делать скриншоты, фальсифицировать обновления Microsoft и многое другое. Вы также, наверное, слышали, что Stuxnet атаковал промышленные компьютеры иранской ядерной программы. Думаю, что вы также могли слышать об операции Aurora, которая подвергла сервисы Google целой серии целенаправленных атак два года назад.

Таким образом, если вы слышали об этом то, что вы думаете о том, о чем еще не слышали никогда? Неужели вы думаете, что других высокотехнологических вирусов и вредоносного ПО не существует? Если вирус или вредоносное ПО крадет вашу интеллектуальную собственность или персональные данные или разрушает вашу ИТ инфраструктуру, но антивирусные списки сигнатур не содержат информации об этом ПО, как вы думаете, вы достаточно защищены?

Вирус Flame оставался незамеченным всеми антивирусными программами на протяжении 2-5 лет. Он также был незаметен для брандмауэров, систем предотвращения вторжений IDS/IPS, а также поведенческих HIPS решений. На сегодня мы уже знаем о нем и антивирусное ПО может обнаружить его. Но что касательно вирусов и вредоносного ПО, о котором мы не знаем? И что можно сказать о тех 2-5 годах, когда этот вирус оставался незамеченным, ведь в течение этого периода времени Flame проник в информационную среду, распространился и выполнил свою миссию, оставаясь незамеченным ни для одной антивирусной программы, как в прочем, и для всех остальных традиционных средств обеспечения информационной безопасности.

Когда мы используем антивирусные программы, которые сами выбирают от чего вас защитить, то это напоминает старые фильмы, где героя заставляют выбрать способ, как он хочет умереть, например, прыгнуть со скалы, посадить в яму со змеями или утонуть.

С другой стороны, а почему бы не использовать только те приложения, которые вы точно знаете, что они безопасны, а все остальное программное обеспечение запретить к использованию? Разве такой подход не кажется более рациональным? Если установить в системе контроль приложений, который позволит использовать только доверенное программное обеспечение, тем самым выбрав проактивную позицию информационной безопасности в компании. Тогда вопросы относительно известных или неизвестных вирусов и вредоносного ПО станут просто несущественными.

Как отметил в своем последнем отчете вице-президент и известный аналитик компании Gartner: «Flame, как и любое другое вредоносное программное обеспечение, использует уязвимости корпоративных систем и процессов, а люди, которые создают такое целенаправленное и мощное вредоносное ПО, являются высокопрофессиональными специалистами, которые имеют различную мотивацию». Он также добавил, что основной рекомендацией считает: «Необходимость использования технологии доверенного ПО (белых списков приложений) для критических серверов, а также везде, где это возможно».

На сегодня, компания Bi9 является единственной, которая официально подтвердила то, что она остановила Flame. Повторюсь, единственной! И не один раз, и не два раза, а на протяжении всего периода времени. Решение от Bit9 защищало пользователей, даже не зная, с чем на самом деле имеет дело. Как такое могло произойти, вы спросите? Дело в том, что Bit9 не нужно знать «что это», для того чтобы защитить пользователя. В отличие от антивирусных программ, которые полагаются в основном на базы данных сигнатур вирусов и вредоносного ПО, стараясь предупредить неправильное поведение, основываясь на бесконечном количестве возможных вариаций, что теоретически невозможно предугадать – Bit9 разработали прогнозируемую систему на основе тех вещей, которым мы можем доверять, а именно, доверенному программному обеспечению.

Вирус Flame действовал на протяжении нескольких лет, сканируясь практически каждым мировым производителем антивирусного ПО и поведенческих HIPS решений. Как заявил представитель Kaspersky Lab: «В связи с тем, что структура вируса была слишком сложной, а также учитывая его территориальную ориентацию атак, ни одна из программ не смогла зафиксировать его».

Некоторые антивирусные компании заявили, что уже давно в их базах сигнатур имелись части кода вируса Flame, но только сейчас они осознали, что это представляет опасность. Вирус Flame функционировал, скрываясь на ровном месте, используя готовые утилиты для коммуникации и общие библиотеки для сбора информации. Более того, его размер был как у обычного приложения. У антивирусных компаний не было причин подозревать эти компоненты, таким образом, вся модель антивирусной защиты оказалась предсказуемой, а вирус Flame просто остался незамеченным. Но ведь задача определения, что является «опасным» гораздо труднее задачи определения «доверенного».

Таким образом, пока антивирусные компании «подчищают свои хвосты», поспешно обновляя базы данных сигнатур и стараясь определить новые вирусы и вредоносное ПО, до того как о них станет известно общественности, Bit9 продолжает останавливать атаки подобного рода, а также атаки, которые еще никому неизвестны.

Мико Хиппонен (Mikko Hypponen), главный научный сотрудник компании F-Secure, недавно опубликовал достаточно правдивую статью, посвященную провалу традиционных средств информационной защиты в борьбе с высокотехнологичными вирусами и целенаправленными атаками. По его словам: «Антивирусные продукты потребительского класса не могут защитить вас от специально созданных вредоносных программ, которые разрабатываются ресурсами государства с огромными бюджетами. Они могут защитить вас от самодельных вредоносных программ, таких как банковские трояны, клавиатурные шпионы и почтовые черви. Что касается целенаправленных атак, то там по определению делается все возможное, чтобы избежать антивирусных проверок. Более того, уязвимостей нулевого дня, которые используются в этих атаках, неизвестны антивирусным компаниям по определению… Это несправедливая война между нападающими и защитниками, когда нападающие имеют доступ к нашему оружию».

По моему мнению, «нечестная война» – это использование чуть усовершенствованного оружия 25-летней давности, в то время, как враг давно поменял и тактику и технику ведения боевых действий. Но бывают ли честные войны? Именно поэтому важно использовать простое и надежное оружие для защиты своих ресурсов.