Павел Иванов
29.11.2005
В последнее время шпионские программы (spyware) порождают наиболее серьезные угрозы в области информационной безопасности. ИТ-профессионалы и рядовые пользователи уже успели почувствовать негативные последствия проникновения этой разновидности вредоносного кода на настольные компьютеры. В лучшем случае речь идет о замене экранных заставок и снижении вычислительной мощности (порой на 90%). В худшем дело доходит до кражи идентификационных данных, раскрытия конфиденциальной информации, а то и прямых финансовых потерь. Масштабы убытков, связанных с распространением шпионского ПО, огромны, но по-настоящему эффективных мер противодействия этому злу пока не найдено.
Одна из проблем при попытках противостоять шпионским программам связана с неоднозначностью терминологии. Скажем, специализированные компании, распространяющие информацию о своих заказчиках в виде рекламных программ (adware), продолжают настаивать на том, что такое ПО не наносит пользователям вреда, а значит, не является шпионским. Однако поборники консервативного подхода утверждают, что к категории шпионского ПО следует отнести любые программы, которые собирают сведения о поведении пользователя за ПК (его предпочтения, последовательности нажатия клавиш, типы запрашиваемой в Internet информации и т.д.), а затем без его ведома передают их на неизвестный сервер. При этом цели, преследуемые распространителями шпионского кода, значения не имеют.
Согласно довольно консервативным оценкам, ежегодные убытки от шпионских программ в Великобритании достигают 445 фунтов стерлингов, причем в этой цифре учтены только снижение производительности, потери рабочего времени и затраты на уничтожение вредоносных программ. Масштабы финансовых потерь, связанных с кражей персональных идентификационных данных и корпоративной коммерческой информации, могут оказаться куда более внушительными.
Едва ли не самым чувствительным индикатором размера бедствия являются внутрикорпоративные службы поддержки пользователей. По признанию представителей Dell, уже в конце прошлого года каждое пятое обращение сотрудников компании в службу поддержки было связано со шпионским ПО. По данным аналитиков, в среднем по корпоративному сектору эта цифра значительно выше: на отдельных предприятиях инфицированность компьютеров шпионскими программами обуславливает 50–70% обращений в службу поддержки.
Есть несколько причин, в силу которых бороться со шпионским ПО сложнее, чем с вредоносным кодом других категорий. И одна из них — специфические методы проникновения. Шпионские программы не распространяются вместе с файлами, отправляемыми по электронной почте, и не рассылают себя по всем позициям адресной книги. Для заражения ПК обычно применяется один из трех сценариев: встроенная инсталляция, попутная инсталляция или использование уязвимостей браузера.
Еще одна причина — разнообразие проявления активности вредоносного кода либо, напротив, отсутствие таких проявлений. Шпионские программы генерируют всплывающие окна, изменяют содержимое домашних страниц, производят записи в системный реестр, модифицируют файлы DNS, переадресуют поисковые машины на чужие Web-страницы и т.д.
Кроме того, шпионское ПО функционирует на уровне приложений, тогда как большинство современных средств информационной безопасности нацелены на защиту инфраструктуры либо на противостояние лишь хорошо известным угрозам на уровне ключевых прикладных сервисов (серверы электронной почты, баз данных, Web-серверы). Большей части брандмауэров и систем выявления/предотвращения сетевых атак катастрофически недостает функций, нацеленных на детальный анализ процессов прикладного уровня и способных блокировать активность вредоносных программ без существенного замедления трафика бизнес-приложений.
Еще одна причина живучести шпионского кода, пока не получившая громкой огласки, — тайный сговор некоторых поставщиков антишпионских приложений с разработчиками шпионского ПО. Масштабы подобной практики оценить сложно, но экспертам, имеющим большой опыт тестирования антишпионских программ, известны такие случаи: новая версия подобной программы почему-то перестает распознавать определенный шпионский код, хотя предыдущая версия обнаруживала его без труда.
Понятно, что представители двух лагерей стремятся скрыть любую информацию о сотрудничестве. Однако в первой половине 2005 года стало известно о заключении партнерского соглашения между компанией Aluria, разрабатывающей антишпионские приложения, и фирмой WhenU, «засветившейся» в качестве поставщика вредоносного кода. В результате продукты Aluria перестали удалять распространяемые WhenU программы с компьютеров пользователей. Через какое-то время по пути Aluria пошла и Lavasoft, автор AdAware — одной из первых и весьма удачных программ, противостоящих проникновению шпионского ПО. Надо ли говорить, что в таких сделках сторонами движут исключительно финансовые интересы.
Мы подходим к главному обстоятельству, благодаря которому шпионский код так долго остается непобежденным. Слово «рынок» в заголовке статьи — не оговорка. Если подавляющее большинство вирусописателей занимаются своим черным ремеслом ради спортивного интереса, в поисках сомнительной славы или из ложно понятого чувства самоутверждения, то в мире шпионского ПО правит чистоган. За распространение шпионского кода через свои Web-сайты их создатели получают деньги от рекламодателей либо от криминальных структур. Как и в любом другом бизнесе, разработчики шпионских программ заинтересованы в росте прибыли и ради достижения этой цели активно развивают каналы сбыта, разрабатывают новые «продукты» и ищут пути выхода на новые рынки. Они нанимают самых талантливых программистов, поручают создание имиджа своих компаний лучшим маркетологам и приглашают высокооплачиваемых юристов для борьбы с теми, кто пытаются вывести их на чистую воду.
Согласно имеющимся данным, на установке рекламного ПО (adware) фирма-распространитель зарабатывает немногим более 2 долл. в год за каждый пораженный компьютер. Эта скромная, на первый взгляд, цифра позволяет самым удачливым дельцам сколачивать миллионные состояния. Эри Шварц из американского Центра за демократию и технологию обнародовал 11 мая на слушаниях в одном из комитетов сената США такие сведения: за 2003–2004 годы владелец компании Seismic Entertainment Сенфорд Уоллес заработал 1,5 млн долл. на отслеживании предпочтений Web-пользователей и загрузке на их компьютеры вредоносного кода. И пример этот — не единичный.
По оценкам американской фирмы Webroot Software, суммарный доход распространителей шпионского ПО в мировом масштабе составляет около 2 млрд долл. в год, что соответствует примерно четверти мирового рынка онлайновой рекламы. Вряд ли стоит сомневаться в том, что структуры, финансирующие проникновение шпионского ПО на компьютеры пользователей, с лихвой возвращают свои затраты. При огромных масштабах финансовой поддержки не приходится удивляться тому, что за первую половину 2005 года количество Web-сайтов, распространяющих шпионское ПО, увеличилось во всем мире в четыре раза. В начале августа нынешнего года их число перевалило за 300 тыс., если считать уникальные URL-адреса.
В ходе массового сканирования компьютеров, которое компания Webroot осуществила в США в I квартале текущего года, нежелательное программное обеспечение (троянские программы, средства записи последовательностей нажимаемых клавиш, файлы cookies, рекламное ПО и др.) было обнаружено на 88% компьютеров частных пользователей. В корпоративной среде показатель аналогичный — 87%. Без учета файлов cookies шпионским ПО оказались заражены 55% корпоративных ПК, каждый из которых содержал в среднем 7,2 шпионских «инфекций» (25–26 с учетом cookies). Системные мониторы (то есть программы, регистрирующие все действия пользователей — от посещения Web-сайтов до чат-сеансов) обнаружены на 7% пользовательских и корпоративных ПК, а троянские программы — соответственно, на 19 и 7% компьютеров.
Сегодня США возглавляют составленный Webroot список стран, лидирующих по масштабам эпидемии шпионского ПО. Впрочем, в той же Великобритании, которая не вошла даже в первую десятку таких государств, ситуация — немногим лучше. Среднестатистический ПК Туманного Альбиона содержит 18 экземпляров шпионского кода (4,5 экземпляра, если не принимать во внимание файлы cookies). Почти 55% компьютеров частных пользователей заражены рекламным ПО, 21% — троянскими программами и 5% — системными мониторами.
|
|
| Рис. 1. К какому типу относится обнаруженное в вашей организации шпионское ПО (допускались множественные варианты ответа)? |
Представление о частоте встречаемости разных видов шпионского ПО можно составить по данным июньского опроса посетителей сайта www.ittoolbox.com, в котором приняли участие ИТ- и бизнес-руководители 115 компаний из разных стран. Как выяснилось, с большим отрывом доминирует рекламное ПО, а, скажем, средства регистрации последовательностей нажатия клавиш, которые используются для кражи номеров кредитных карт и других персональных данных, встречаются менее чем в 20% случаев (рис. 1).
Несмотря на стремительный рост числа случаев заражения компьютеров шпионским ПО и осознание ИТ-директорами связанных с этим угроз, еще недавно организации, установившие антишпионские программы, можно было пересчитать по пальцам. Как свидетельствуют результаты опроса, проведенного Equation Research в конце прошлого года, опасность шпионских программ осознавали руководители более 70% предприятий, но средства защиты корпоративных сетей были развернуты менее чем в 10% компаний. Объяснение очевидно: организации обычно внедряют средства информационной защиты лишь после возникновения серьезных инцидентов, вместо того чтобы исповедовать упреждающую тактику.
О том, что изменилось в этой области за минувший год, можно судить по данным онлайнового исследования, которое с 5 по 11 октября 2005 года провел среди своих подписчиков американский еженедельник Computerworld. В нем приняли участие 577 ИТ-менеджеров разных уровней, влияющих на закупки средств информационной защиты в своих компаниях. При этом 53% респондентов представляли организации минимум с 1 тыс. сотрудников, а 13% — с 20 тыс. или большим числом работников.
Свыше 70% опрошенных полагают, что шпионское ПО представляет серьезную угрозу для деятельности их организации, и лишь 3% такой угрозы не усматривают. Постоянный рост угроз, исходящих от шпионского ПО, отметили 84% респондентов. В 79% организаций за последние 12 месяцев шпионское ПО вызвало проблемы, которые потребовали вмешательства сотрудников ИТ-отделов. Правда, в 88% случаев все свелось к снижению производительности или сбоям в работе настольных компьютеров, но 7% респондентов указали на потерю персональных данных, а 6% — на кражу коммерческой информации или интеллектуальной собственности (рис. 2). Перечисленные инциденты имели место, несмотря на установку в 26% организаций антишпионских приложений на всех настольных компьютерах, а в 41% организаций — на значительном их числе.
|
| Рис. 2. Какие проблемы вызвало в вашей организации шпионское ПО (допускались множественные варианты ответа)? |
Приведенная статистика в очередной раз свидетельствует о недостаточной эффективности современных средств борьбы с шпионским ПО. Возможно, именно по этой причине компании нередко используют для защиты от них средства, первоначально создававшиеся для иных целей (рис. 3).
К сожалению, подавляющее большинство решений для борьбы со шпионскими программами реактивны по своей природе: они позволяют выполнять определенные действия в ответ на зарегистрированные случаи проникновения шпионского ПО, но не принимать превентивные меры. По сути дела, поставщики таких продуктов просто догоняют разработчиков вредоносного кода, реагируя на новые инциденты либо на ранее неизвестные варианты поведения шпионских программ. В свою очередь, разработчики постоянно совершенствуют свое «искусство», всякий раз оказываясь на шаг впереди.
|
| Рис. 3. Какие средства выявления, блокировки и удаления шпионского ПО используются в вашей организации (допускались множественные варианты ответа)? |
И пока верх одерживают злоумышленники, связанные с ними угрозы и убытки компаний нарастают с каждым месяцем. Не приходится сомневаться в том, что эта зловещая динамика рано или поздно будет преодолена. Даже если шпионские программы не удастся искоренить полностью, то в данной области хотя бы установится своеобразное равновесие. Вопрос — лишь в том, когда это произойдет, и какая новая напасть займет место сегодняшних угроз.