Sakaru Pasaule - Žurnāls par
modernām komunikācijām

  
  


Atpakaļ Jaunais numurs Arhīvs Par mums Meklēšana

Kaitīgās programmas Latvijā

   

Pēdējo trīs mēnešu laikā (aprīlis, marts, maijs) apkopotie dati, kas iegūti no inficētiem datoriem Latvijā, parāda izteiktu tādu kaitīgo programmu dominēšanu, kuras nespēj izplatīties pašas un kurām ir izteikts komerciāls raksturs

Statistikas dati par kaitīgo programmu sadalījumu pēc to tipiem, kas iegūti, apstrādājot informāciju no inficētiem datoriem Latvijā šovasar (jūnijs, jūlijs, augusts), rāda tādu pašu ainu, kāda bija vērojama iepriekšējos trīs mēnešos – joprojām speciālistiem nākas tīrīt inficētos datorus no neskaitāmām reklāmas programmām (adware), Trojas zirgiem un lūkām (backdoor). Gandrīz lieki teikt, ka tās visas paredzētas materiāla labuma gūšanai dažādos veidos, kuru izmantošana bieži ir krimināli sodāma.

Arī antivīrusu datubāzu papildinājumu saturs vēlreiz apstiprina ļaundaru interešu galveno vektoru – nelegālu peļņu. Tā 18. augustā Kaspersky Anti-Virus datubāzei tika pievienotas 130 kaitīgās programmas un to variācijas. No tām 92 bija Trojas zirgi, 24 lūkas un 14 dažādas citas ļaundabīgās programmas, starp kurām bija trīs ļaundabīgo programmu konstruktori, viens pakalpojumatteices uzbrukumu instruments, viens e-pasta tārps, viens ievainojamību izmantojošs kods, četri hakeru utilīti, viens tīkla tārps, divas programmas lietotāja apmānīšanai un visbeidzot pat viens klasiskais vīruss. Ļoti līdzīga situācija bija vērojama visā vasaras garumā.

Vasaras mēnešu mānīgais klusums, kuru augusta vidū pārtrauca virkne jaunu Windows ievainojamību izmantojošu kaitīgo programmu, izraisot datorsistēmu atteikumus lielākajās ASV mediju kompānijās, lidostu muitas sistēmās un automobiļu industrijas uzņēmumos, izrādās, ir briedinājis ļoti bīstamas tendences.

Neefektīvā anti-spyware

Vienīgā acīs krītošā atšķirība starp inficēto datoru statistikas datiem un antivīrusu bāzu papildinājumu saturu vērojama reklāmas programmatūras daudzumā. Paradokss! Mūsu rīcībā bez antivīrusu programmām taču ir pat specializēti aizsardzības līdzekļi, tā saucamās anti-spyware programmas. Turklāt daudzas no tām ir bezmaksas.

Lai pamēģinātu izprast cēloņus, atskatīsimies nesenā pagātnē un apstāsimies pie dažiem faktiem. Vēl pavisam nesen antivīrusu industrija ar retiem izņēmumiem vienkārši ignorēja reklāmas programmatūru. Tas kļuva par iemeslu straujai specializētu aizsardzības programmu segmenta izveidei ar daudziem pilnīgi jauniem dalībniekiem IT drošības tirgū.

Savas nozīmības pastiprināšanai jaunā segmenta programmas bez reklāmas programmatūras sāka piedāvāt aizsardzību arī pret Trojas zirgiem un lūkām, daļēji pārklājoties funkcijās ar tradicionālajiem antivīrusu risinājumiem. Paralēli tam sabiedrībā tika plaši ieviesti tādi mākslīgi radīti termini kā spiegošanas programmatūra (spyware) un pretspiegošanas programmatūra (anti-spyware). Rezultātā, nosaucot saujiņu reklāmas programmu kopā ar dažiem sen zināmiem Trojas zirgiem par spiegu programmām, lietotāji tika sabaidīti ar pseidojauniem draudiem, jaunizveidotais segments tika distancēts no antivīrusu aizsardzības un bizness varēja sākties.

Protams, ka antivīrusu industrijas reakcija nebija ilgi jāgaida. Tādi lielie monstri kā Symantec, McAfee un citi paziņoja par dažādu anti-spyware risinājumu izlaidi. Interesanti, ka šī spiediena rezultātā tādai antivīrusu kompānijai kā Kaspersky Lab, kas līdz pēdējam brīdim pretojās termina spyware lietošanai, beigu beigās vajadzēja piekrist, ka arī tai ir anti-spyware aizsardzība, jo īstenībā jau šī ražotāja antivīrusu datubāzē viens no pirmajiem Trojas zirgiem, kas zaga paroles, tika pievienots pirms 10 (!) gadiem, bet reklāmas programmatūra tika iekļauta pirms vairāk nekā diviem gadiem.

Pēc būtības nav nekādas atšķirības tādu objektu identifikācijā kā reklāmas programmas un datorvīrusi. Un ir pilnīgi skaidrs, ka intensīvo kaitīgo kodu plūsmu daudz ātrāk un kvalitatīvāk spēj apstrādāt antivīrusu kompānijas ar desmit vai piecpadsmit gadu pieredzi, izvērstām interneta uzraudzības sistēmām un gadu gaitā pašu radītiem unikāliem instrumentiem un tehnoloģijām. Vai šajā sacensībā paliek vieta jaundzimušajiem spiegu ķērājiem?

Šāda jautājuma pamatotības apstiprinājums ir iegūts, detalizēti izpētot inficēto datoru skenēšanas pārskatus, kuri ir pamatā iepriekš minētajiem statistikas datiem. Katru mēnesi inficēto datoru pārskatu klāstā gadās tādi, no kuriem skaidri redzams, ka datorā ir instalētas viena vai pat divas pretspiegu programmas, parasti SpyBot Search&Destroy un Ad-Aware. Neņemot vērā to klātbūtni, šajos datoros savvaļā ir atrodamas vairākas reklāmas programmas un Trojas zirgi.

Iepriekš minētos faktus varētu norakstīt uz lietotāju neprasmi vai citiem nenoskaidrotiem iemesliem, ja tie nesaskanētu ar pietiekoši autoritatīvos žurnālos publicētu testu rezultātiem. Viens no tādiem, kas apliecināja, ka daži tradicionālie antivīrusu līdzekļi labāk tiek galā ar spiegu programmām, atrodams PC Magazine (USA edition, 22.02.2005, 82.-91. lpp.). Otrs, kuru nesen veica vācu žurnāls Computerbild un kura rezultāti publicēti tā šāgada 15. numurā, sagādāja īpašu pārsteigumu gan testētājiem, gan lasītājiem. Līdz ar septiņām specializētajām anti-spyware programmām Kaspersky Anti-Virus Personal testā sākotnēji tika iekļauts tikai salīdzinājumam ar kādu no antivīrusiem. Tomēr tieši antivīruss ar ļoti augsto spēju atklāt un neitralizēt visvairāk spyware izrādījās testa uzvarētājs, kamēr specializēto programmu rezultāti svārstījās tikai starp viduvējiem un neapmierinošiem.

Jāatzīst gan, ka apjomīgi testi diemžēl līdz šim nav veikti, tāpēc iepriekš teikto nevar un nedrīkst attiecināt uz visiem aizsardzības produktiem. Tomēr lietotājiem ir pamats ļoti nopietni painteresēties par viņu izmantojamo specializēto anti-spyware un arī antivīrusu efektivitāti reklāmas programmatūras detektēšanā, kā arī par to, vai viņi pilnībā izmanto produktu piedāvātās iespējas – ir uzstādījuši jaunākās versijas un atbilstoši tās konfigurējuši. Tā, piemēram, jau minētajam Kaspersky Anti-Virus pēc uzstādīšanas ir jāaktivizē paplašinātās datubāzes, lai tas aizsargātu pret reklāmas programmatūru.

Starp citu, Anti-Phishing Working Group generālsekretārs Pīters Kasidijs nesen ir kļuvis par jauna termina – crimeware – autoru. Cerams, ka šis vārds, kas atkal apzīmē pēc būtības jau zināmas ļaundabīgās programmas, nekļūs par kārtējās ažiotāžas centru ar visām no tā izrietošajām sekām.

Noziedznieki spēlē paslēpes

Kiberhuligānu lielākais prieks ir sacelt pēc iespējas lielāku troksni internetā, lai izceltos savā sociālajā vidē, bet profesionālu kibernoziedznieku sapnis ir tieši pretējs. Un šo sapni viņiem palīdz realizēt sen zināmi programmu instrumenti - rootkit, kas palīdz noslēpt kaitīgās programmas un procesus upura datorā. Šo instrumentu ideja un nosaukums uz Windows pasauli ir pārceļojis no Unix sabiedrības. Pēc antivīrusu kompānijas Kaspersky Lab analītiķu nesen publicēta pārskata datiem strauji aug tādu Windows ļaundabīgo programmu skaits, kurās izmantoti rootkit komponenti šo programmu slēpšanai.

Kā redzams no statistikas datiem par kaitīgo programmu izplatību Latvijā, rootkit sāk parādīties arī inficētajos datoros, kas ir tiešs apstiprinājums tādam procesam kā kiberuzbrukumu profesionalizācija. Visas Latvijā savvaļā konstatētās rootkit programmas pieder Rootkit.Win32.Agent saimei. Tās parasti ietilpst citu kaitīgo programmu sastāvā, lai apgrūtinātu to atklāšanu.

Bīstamā reversā inženierija

Augusta vidū ieilgušo klusumu pārtrauca ziņas par jaunām kaitīgajām programmām, kas uz brīdi lika dažam labam lielas ASV mediju kompānijas darbiniekam nopūst putekļus no parastās rakstāmmašīnas, bet ASV lidostu muitas darbiniekiem aizpildīt veidlapas ar roku. Virkne jaunu tīkla tārpu, kas izmanto ievainojamību Windows PnP sistēmā, lika trūkties arī dažiem uzņēmumiem Latvijā. Kaitīgo programmu statistikā šie notikumi atspoguļojas kā 1,5 procenti Net-Worm klasē.

Tomēr šis pasaules mēroga incidents ir nozīmīgs ar pavisam ko citu – tas parāda ļoti bīstamu tendenci, kas saistīta ar programmatūras ievainojamību labojumiem. Jau sen zināms, ka ļoti daudzās datorsistēmās pēc labojumu iznākšanas tie pietiekami ilgu laiku netiek uzstādīti. Mājas sektorā tas drīzāk ir saistīts ar nezināšanu vai nolaidību, bet biznesa sektorā tā biežāk ir apzināta rīcība, jo labojumi pirms uzstādīšanas parasti tiek testēti savietojamībai ar konkrētajām datorsistēmām. Turklāt, jo lielāka un svarīgāka ir datorsistēma, jo ilgāks var būt šis process.

Savukārt jebkurā labojumā ir informācija par ievainojamību, kas pirms labojuma iznākšanas var būt arī nezināma plašākam speciālistu lokam. Ar dažādu paņēmienu palīdzību, ko devē par reverso inženieriju (reverse enginiering), no publiski pieejama labojuma samērā ātri ir iespējams izlobīt visu vajadzīgo informāciju, kas nepieciešama ievainojamību izmantojošā koda (exploit) radīšanai.

Tas nav nekas jauns, vienīgais nepatīkamais ir tas, ka laiks no labojuma iznākšanas līdz ievainojamību izmantojoša koda radīšanai ir ļoti sarucis. Tā, piemēram, bēdīgi slavenā tārpa Sasser laika logs bija divas nedēļas. Pēdējā gadījumā ar PnP ievainojamību, kurai ielāps iznāca augusta sākumā, šis rādītājs bija samazinājies līdz pāris dienām. Tas nozīmē, ka lielu datorsistēmu īpašniekiem jau tagad nav gandrīz nekādu iespēju testēt labojumus un tos uzstādīt, pirms var parādīties kaitīgais kods.

Vai, iznākot nākošajai Microsoft programmatūras labojumu paketei, kurā būs ielāpi kritiskām ievainojamībām, mūs atkal gaida ļaundabīgo programmu plūdi? Atbildes uz šo jautājumu nav, tomēr varbūtība ir ļoti liela, jo vilinājums ar reversās inženierijas palīdzību iegūt kontroli ne tikai pār mājas lietotāju slikti aizsargātajiem datoriem, bet arī pār biznesa un valsts struktūru datorsistēmām, neapšaubāmi būs liels.

Valdis ŠĶESTERS

* Apskatā izmantoti SIA Datoru drošības tehnoloģijas apkopotie dati, kas raksturo datorvīrusu un citu kaitīgo programmu izplatības vispārējo situāciju Latvijā. Dati statistikas veidošanai tiek saņemti no vairākām firmām, kas nodarbojas ar inficētu datoru ārstēšanu Latvijā. Kaitīgo programmu sadalījums bāzējas uz Kaspersky Anti-Virus datubāzē pieņemto klasifikāciju.

 

 

 

 
Design and programming by Anton Alexandrov - 2001