Ļaunie kodi un zombiju armija pret drošības sistēmām - kurš kuru?
~ 22 000 z?mes
Aizvien agresīvāka informācijas
tehnoloģiju ienākšana ikvienā mājā un birojā
radījusi ne mazāk agresīvu ēnu kabinetu - t. s.
ļaunos kodus, vīrusus un spiegu programmas. Datorvīrusi no
nevainīgiem programmētāju jociņiem kļuvuši par
bīstamiem ienaidniekiem, kuri nopietni apdraud pasaules
tautsaimniecību. Pretinieki ir cits cita cienīgi. Kurš kuru
pieveiks izmanībā, ātrumā, profesionālismā?
Atbildes mēģina rast SP aktuālās diskusijas eksperti Valdis
ŠĶESTERS (SIA Datoru drošības tehnoloģijas),
Rihards GREBUNS (Panda Software Latvia), Evija VAŠČENKO
(GNT Latvia) un Gints KIRŠTEINS (Lattelekom, Apollo).
- Tieši tāpat kā
medicīnā katram vīrusam ir izstrādāta antiviela un
katrai indei ir pretinde, arī katram datorvīrusam vajadzētu
iekrist antivīrusu programmu jeb vīrusu ķērāju
slazdos. Ja viss notiktu pēc noteiktas shēmas un vīrusu
uzbrukumiem varētu iepriekš sagatavoties gluži kā gripas
epidēmijai, tad pietiktu ar pāris antivīrusu programmām.
Tomēr īstenībā ir citādi: paralēli
antivīrusu industrijai aizvien straujāk attīstās arī
pašu ļauno vīrusu un spiegu programmu rakstītāju
industrija.
G. Kiršteins: - Pirmais vīruss -
tīkla tārps - izplatījās universitāšu
tīklā, izmantojot caurumus programmatūrā un izsūtot
pats sevi. Šobrīd, kad datorsistēmas kļuvušas krietni
sarežģītākas un daudzas funkcijas ir automatizētas,
vīrusiem ir lielākas iespējas izvērsties. Ja kāds
gribētu izveidot pret vīrusu uzbrukumiem pilnīgi drošu
sistēmu, tad ik uz soļa būtu jāraksta dažādi
identifikācijas kodi vai paroles un datora lietošana
pārvērstos par īstu murgu. Tagad arī Linux sistēmas
ir apdraudētākas nekā līdz šim, jo tur
parādās aizvien universālākas programmas. Turklāt
tīklu darbība paātrinās, tā kā nākotnes
vīrusu mutācijas ir pat grūti prognozēt.
V. Šķesters: - Pagājušā
gada sākumā izraisītā globālā vīrusu
epidēmija radīja krasu pavērsienu antivīrusu programmu
ražošanā. MyDoom uzbrukums pierādīja, ka
melnā biznesa mērķis kļuvis klaji komerciāls,
tāpēc cīņai ar to vajadzīgi iedarbīgāki
ieroči. Galvenais iemesls - internetā ir parādījusies nauda
un reizē ar to arī noziedzība. Kiberuzbrukumus, iespējams,
daudzos gadījumos vairs neorganizē vīrusu rakstītāji,
aiz tiem stāv citas personas un pat noziedzīgi grupējumi. Nesen,
piemēram, lasīju par kādu Austrumeiropas hakeri, kuru mafija ar
draudiem bija spiedusi strādāt tās labā.
- Brīžiem tā vien
šķiet, ka dažādu vīrusu, spiegu programmu un
neatļauto reklāmu rakstītāju bizness ir krietni vien
rosīgāks nekā pretējās frontes cīnītājiem.
Kādi ir paši izplatītākie vīrusu un surogātpasta
jeb mēstuļu veidi?
V. Šķesters: - Brīžiem pat
grūti noteikt, kuram vīrusu tipam katrs pieder, tos drīzāk
varētu dēvēt par universāliem hibrīdiem.
Visizplatītākie šobrīd ir e-pasta tārpi, tīkla
tārpi, reklāmas programmas, kas nereti veic arī spiegošanas
funkcijas.
- Vai starp reklāmas programmām
mēdz paslēpties arī vīrusi?
V. Šķesters: - Tur arī robežu
grūti novilkt. Vēl nesen tika konstatēta reklāmas programma
CoolWebSearch, kura inficē failus.
R. Grebuns: -
Ļaundabīgās programmas sāk veidot tādu kā lielu ķīseli,
kur robežas sāk izzust, ļaunums maina seju, un tas ir
jāievēro drošības programmu izstrādātājiem,
kuri seko notikumiem un pārveido risinājumus. Nesaucam tos par
vīrusiem, bet par ļauno kodu (malware) - tas ietver visas
kategorijas.
V. Šķesters: - Šobrīd vairs
nevar ignorēt aizsardzību pret spiegu programmām. Lai
apstrādātu Riharda minēto ķīseli,
attiecīgi jāmaina arī aizsardzības programmatūra.
Pirmās antivīrusu programmas gadiem ilgi balstījās uz
dažiem standartkomponentiem, bet tagad pievienojam aizvien jaunus, lai
visus aizdomīgos kodus varētu efektīvi apstrādāt.
Antivīrusi šobrīd aizvien vairāk sāk izskatīties
pēc integrēta risinājuma, kas ietver lielākas vai
mazākas tādu programmu sastāvdaļas, kuras kādreiz tika
piedāvātas atsevišķi. Šobrīd efektīvam
antivīrusam jau ir ugunsmūra komponents, kas spēj atvairīt
tīkla tārpus.
- Pirms sākam karu ar
ļaunajiem kodiem, tie būtu tuvāk jāiepazīst,
izpētot arī visas nianses un pašus modernākos
ļaunprātīgo programmu maskēšanās tērpus.
Kādas ir pazīmes? Kādi savdabīgi gadījumi
novēroti pēdējā laikā?
G. Kiršteins: - Vismaz puse
saņēmēju atver sūtījumus ar seksa,
azartspēļu, medikamentu piedāvājumiem. Daļa kaut ko
piedāvā, daļa sūtījumu vienkārši
pārbauda adrešu esamību. Saņemot atbildi uz šīm
mēstulēm, sūtītāji pārliecinās, ka
šāda adrese eksistē, un turpina bombardēt vēl
aktīvāk. Noklikšķinot pat uz interneta saites šādā
sūtījumā varat sevi atklāt, jo saite var būt
unikāla. Cita lieta, ka cerētās labās un neticami
lētās mantas vietā pasūtītājs var saņemt
arī neticami apaļu nulli.
V. Šķesters: - Ja šāds bizness
mēstuļu sūtītājiem nenestu nekādu labumu, diez
vai viņi ar to nodarbotos. Sociālā inženierija darbojas tik
paredzami, ka lietotāji bieži vien automātiski klikšķina
uz saitēm, kas ir šajos piedāvājumos.
E. Vaščenko: - Atpazīt, vai
šādas vēstules ar pievienotu failu vai saiti satur vīrusu
vai citu ļaundabīgu programmu, ir ļoti grūti. Nav
iespējams arī definēt šādu ļauno
sūtījumu parametrus. Visefektīvākais līdzeklis uzņēmumos
joprojām ir korporatīvās IT politikas ieviešana un stingra
prasību definēšana. Piemēram, lietotājs nedrīkst
atvērt e-pastu, kurš sūtīts no nezināma adresāta.
Un pat, ja sūtītājs ir zināms, bet izskatās
aizdomīgs (pavadvēstules saturs neatbilst šai personai),
jākonsultējas ar tīkla administratoru.
- Nereti gadās, ka
definētā vēstules tēma it kā izskatās pietiekami
atbilstoša, piemēram, Re: jūsu pasūtījums,
sadarbība u. tml.
E. Vaščenko: - Tas tāpēc, lai
ieinteresētu atvērt pavadvēstuli.
V. Šķesters: - Droši vien daudzi ir
sastapušies ar viltus brīdinājumiem par vīrusu
uzbrukumu, ka, atverot noteiktus PowerPoint slaidus, tikšot
izdzēsta visa informācija datorā. Tie ir n reižu
pasauli apceļojuši jociņi, bet parastam lietotājam
grūti atšķirt, vai tas ņemams nopietni. Rakstot
ziņojumu presei, man bija grūti definēt šo gadījumu
tā, lai ikviens lietotājs saprastu. Tāpēc ieteicu vien
skatīties antivīrusu ražotāju mājaslapās vai
prasīt padomu tīkla administratoriem. Tāpat būtu
jārīkojas arī citos neskaidros gadījumos.
G. Kiršteins: - Īsto vīrusu
vai surogātpasta sūtītāji taču nerakstīs, ka esat
saņēmis vīrusu. Ja, piemēram, vēstulē teikts, ka
paziņojums jāsūta tālāk, tad tas pilnīgi noteikti
ir surogātpasts. Diemžēl tieši šādus brīdinājumus
parasti nosūtām draugiem un kolēģiem, gribot izdarīt
labu, bet īstenībā paplašinām ļauno kodu
adresātu loku. Piemēram, Apollo ik mēnesi nāk
klāt aptuveni 2500 jaunu interneta klientu, un tirgus aizvien vairāk
piepildās ar jauniem lietotājiem, kas nav IT speciālisti.
Īpaši mājas lietotāji neatjaunina datorprogrammas,
nenodrošinās ar ugunsmūriem. Viņu datori ir kā
lielgabalu gaļa ļauno kodu rakstītājiem. Lai
pasargātu klientus no vīrusiem, esam sākuši aprīkot
interneta pieslēgumus ar antivīrusu programmām. Domāju, ka
jau šogad visiem Apollo interneta pieslēgumiem bāzē
būs klienta datoru aizsargājošas programmas.
E. Vaščenko: - Ļoti bieži ir
pat tā, ka mājas lietotājs nopērk datoru, pieslēdz
internetu, un viņam prātā nav ienācis, ka vajadzīga
aizsardzība. Pēc tam viņš staigā
sūdzēdamies, ka dators nestrādā.
- Nesen lasīju, ka parādījies
kāds ļoti nepieklājīgs audiovīruss CisumA, kas
saņēmēju skaļi nolamā: - You are an idiot! -
Droši vien lielākā daļa saņēmēju uz
šādu paziņojumu reaģē tieši tā, kā
cerēts - aizsūta atpakaļ kādu citu rupjību,
tādējādi tikai apstiprinot, ka IP adrese darbojas.
R. Grebuns: - Kibernoziedznieki
pēdējā laikā aizvien vairāk sāk lasīt
psiholoģijas grāmatas, pirms kārtējā projekta
analizējot iespējamos sabiedrības uzvedības modeļus un
attiecīgi arī definējot sūtījumu, lai sasniegtu
vēlamo mērķi. Turklāt, ja kibernoziedznieks nav tik gudrs,
lai uzrakstītu vīrusu, viņš var sacerēt iedarbīgu
vēstuli, kura izplatās pati, jo to izplata saņēmēji.
G. Kiršteins: - Agrāk bija tā
sauktās svētās vēstules, kuras sūtīja pa
parasto pastu.
- Tās īpaši
iedarbojas uz saņēmēja psiholoģiju, jo parasti beidzas ar
brīdinājumu, ka visus solītos labumus nesaņemsi, ja
nepārsūtīsi tālāk un pārtrauksi ķēdi.
V. Šķesters: - Mani īpaši
uzjautrina gadījumi, kad atnāk vēstule ar aicinājumu
pārbaudīt, vai saņēmēja datorā nav kāds
konkrēts sistēmas fails, un, ja ir, aicina to izdzēst, jo tas
esot inficēts (īstenība tas ir normāls Windows
fails, kāds ir gandrīz visos datoros). Ja saņēmējs
tā arī izdara, drīz pēc tam atklājas, ka dators sācis
niķoties. Šāda metode darbojas lieliski, un lietotāji
bieži vien gluži automātiski izpilda hakeru instrukcijas.
E. Vaščenko: - Tas daļēji
notiek arī tāpēc, ka lietotāji uzskata sevi par pietiekami
kompetentiem. Labi vēl, ja vismaz pēc tam neslēpj, ka fails
izdzēsts. Man zināms gadījums, ka šādas instrukcijas
atsūtītas kādas iekšējās e-pasta grupas
dalībniekiem. Par laimi, starp tiem bija arī sistēmas
administrators, kurš steigšus apturēja uzcītīgos vīrusu
apkarotājus.
- Janvāra vidū -
tieši pēc traģiskajiem cunami notikumiem - savā
e-pastā saņēmu savainotas meitenes portretu.
Pavadvēstulē bija aicinājums pārsūtīt šo
fotogrāfiju tālāk. Vai tas arī varēja būt
ļaunprātīgs sūtījums?
R. Grebuns: - Pieļauju, ka ir
cilvēki, kas izmanto šādas smagas situācijas saviem
īpašajiem noziedzīgajiem mērķiem vai arī
vienkārši tāpat - lai pasmietos par lētticīgajiem
informācijas saņēmējiem. To varētu raksturot kā
ķēdes vēstuli.
G. Kiršteins: - Spiegu programmas
arī parādās aizvien jaunos veidolos. Tomēr laikam nekad neizdosies
apmācīt lietotājus, ka nevajag atvērt neko nepazīstamu
- viņi tāpat to darīs. Korporatīvajā tīklā
viņi šādus sistēmas failus nevar izdzēst - nav
tiesību; korporatīvā e-pasta lietotājiem ir savi
nosacījumi, tur ir daudz labāka aizsardzība pret ļaunajiem
kodiem. Arī Apollo sistēmas ķer vīrusus, pirms tie
ir tikuši līdz lietotājiem. E-pasta sistēmu tīrām
arī no ķēdes vēstulēm un citām drazām, kuras
profesionāļi var viegli konstatēt - pēc skaita, apjoma utt.
Pēdējā laikā gan nekas briesmīgs nav noticis.
Nākotnē centīsimies apgādāt visus Apollo
lietotājus ar antivīrusu programmām un ugunsmūriem.
E. Vaščenko: - Galvassāpes
lietotājiem sagādā arī t. s. ļaunie dialer vīrusi,
kuri automātiski zvana, bet oficiālajam tālruņa
līnijas lietotājam pienāk milzīgs rēķins. Ar
šādu problēmu bija saskāries Lattelekom, kura
klienti sūdzējušies par nepamatoti lieliem rēķiniem.
- Pēdējā laikā
vairāk parādās spiegu programmas un surogātpasts videofailu
un mūzikas failu veidā. Kādas vēl ir tendences?
V. Šķesters: - Multimediju labumi nes
līdzi arī draudus. Piemēram, šobrīd aktuāli ir
animētie kursori, it kā nevainīga animācija, bet
īstenībā - Trojas programma. Šis fails satur kodu, kas
ļauj izmantot ievainojamību datora programmā. Tālākais
atkarīgs no vīrusa rakstītāja ieceres. Tas var inficēt
datoru un likt tai tālāk izplatīties, inficēt ar programmu,
kura zog paroles, utt. Tā rodas aizvien vairāk zombētu datoru.
G. Kiršteins: - Spiegu programmām
nav izdevīgi nograut pašreizējo sistēmu, to
rakstītājiem tas ir bizness un viņiem ir izdevīgi, ka
inficētie datori turpina darboties.
- Nezinu, cik patiesi ir
šādi interneta dati, bet Lielbritānijā katra astotā un
ASV katra trešā e-pasta vēstule esot surogātpasts.
V. Šķesters: - Manā datorā ir
personālais surogātpasta filtrs, kas katru dienu atjauno datus un
uzrāda statistiku. Nesen pārliecinājos, ka arī
kolēģi no citiem uzņēmumiem, kas lieto tādus
pašus filtrus, saņem aptuveni 40 procentu surogātpasta.
Šobrīd ārzemju prese satrakojusies
par ziņu, ka daudz surogātpasta tiekot izsūtīti no
zombētajiem datoriem, jo esot radītas speciālas programmas, kas
ļauj sūtīt ļaunos kodus ar zombētā datora
legālā lietotāja interneta pakalpojumu sniedzēja serveru
starpniecību, lai pamatīgi sajauktu pēdas.
G. Kiršteins: - Ja zombiji sūta
ļaunos kodus, neizmantojot Apollo e-pasta serveri, tad mēs
nevaram konstatēt, ka tiek sūtīts surogātpasts. Ir
gadījumi, ka ārvalstu interneta pakalpojumu sniedzēji (IPS),
caur kuru serveriem sūta surogātpastu, mums par to neziņo. Mēs
šobrīd aizsargājam savu tīklu, skenējot klientu
datorus pret e-pasta caurumiem vairākas reizes dienā. Ja
atklājas kas aizdomīgs, lietotājus brīdinām, bet, ja
viņi nenovērš kļūmes, atslēdzam internetu, lai
nenodarītu kaitējumu citiem klientiem.
- Pēc kādām
pazīmēm lietotājs var konstatēt, ka viņa dators vai
serveris ir kļuvis par zombiju?
R. Grebuns: - Pati
vienkāršākā pazīme ir, ka bez iemesla sāk
mirkšķināt visas datora lampiņas pat tad, ja lietotājs
ar to nestrādā.
G. Kiršteins: - Kādam
kolēģim, kas strādā ar Linux sistēmu, reiz tieši
tā gadījās. Skatoties direktoriju, nevarēja redzēt,
kas par vainu, jo tārps nebija redzams. Viņš gan to
vēlāk atrada, bet viss bija nomaskēts tik rafinēti, ka
neprofesionālis noteikti neatklātu.
V. Šķesters: - Tā ir vēl viena
ļauno programmu klase rootkit, kurai ir vairāki
līmeņi. Tās pat profesionāļi var nepamanīt
mēnešiem ilgi. Šobrīd pastiprinātā tempā
ražo Linux sistēmai paredzētus rootkit.
- Vēl nesen valdīja uzskats, ka Linux
nav interesanti rakstīt vīrusus, jo pārāk maz
darbstaciju lieto šo programmatūru.
V. Šķesters: - Toties to plaši lieto
serveru sektorā. Katram serverim parasti ir labāks vai sliktāks
administrators, bet tas nav parasts lietotājs, tāpēc arī
ļauno kodu ražotājiem jāstrādā īpaši
rafinēti un radoši. Ja Linux izmantos arī mājas
lietotāji, maz ticams, ka vīrusu rakstītāji neķersies
tam klāt.
- Kāda ir surogātpasta,
vīrusu un zombēto datoru saistība, kādas graujošas
sekas tie var radīt?
V. Šķesters: - Janvāra beigās
publicēti dati par pagājušo gadu. Šajos aprēķinos
ir ņemts vērā arī nenotikušais bizness.
Minimālā robeža bija 196 miljardi dolāru gada laikā.
Uz vienu Windows datoru vidējie zaudējumi šajā
pašā laika posmā bija aptuveni USD 300.
- Nav runa tikai par
neiegūtajiem ieņēmumiem, bet aizvien vairāk - par upuru
bankas kontu iztukšošanu, iepriekš ar spiegu programmu
palīdzību iegūstot visas nepieciešamās paroles un
identifikācijas kodus.
V. Šķesters: - Tas ir vesels bizness, un
šobrīd arī melnais tirgus ir pilnīgi
nostabilizējies, arī tur visam ir noteiktas cenas. Piemēram, kods,
ar kuru var izmantot zināmu datorprogrammas ievainojamību, maksā
no 100 līdz 500 USD, ja ievainojamība ir nezināma, - tad
desmitkārt vairāk - no 1000 līdz 5000 USD. To visu var nopirkt
internetā. Var pasūtīt arī, piemēram, 1000
darbojošos kredītkaršu numurus. Divus pat dodot
izmēģināšanai. Var nopirkt, piemēram, 5000
zombētu datoru IP adrešu par nieka 500 dolāriem.
G. Kiršteins: - Reiz
konstatējām it kā mežonīgu surogātpasta
uzbrukumu, bet mēs saņēmām tikai nelielu daļu no
tā apjoma, kas bija izsūtīts pa pasauli. Saņēmām
nevis tiešo uzbrukumu, bet atbildi, ka adresāts
neeksistē. Konstatējām, ka mēstules, kas bija
sūtītas tai datu bāzei, kurai tās bija paredzētas,
bija gājušas garu ceļu, līkumu līkumiem, caur
daudzām valstīm, sākot no ceturtās laika zonas līdz
otrajai. Aiz tā visa stāv liels melnā biznesa uzņēmums
ar daudziem serveriem.
- Dzirdēts, ka
maskēšanās nolūkos šī melnā
mašinērija darbojas kā legāls uzņēmums.
G. Kiršteins: - Piemēram, tāds,
kas cita starpā piedāvā klientiem bezmaksas e-pasta pakalpojumus.
- Eksperti ziņo arī par
tādiem gadījumiem, kad lietotājs instalē kādu
bezmaksas programmu, un tā pati var ģenerēt mēstules vai
spiegu programmas. Tātad datorlietotājiem būtu īpaši
jāuzmanās, izvēloties kāda maz pazīstama
ražotāja bezmaksas programmas.
E. Vaščenko: - Bezmaksas programmas ir
gandrīz droši ņemt no plaši pazīstamu
ražotāju oficiālajām mājaslapām. Tur
jābūt arī attiecīgam sertifikātam.
V. Šķesters: - Arī
profesionāļi reizēm uzķeras. Reiz saņēmu it
kā vīrusa paraugu, papētīju un aizsūtīju
atpakaļ tīkla administratoram. Atnāca satraukta atbilde, ka mans
sūtījums visus varen sabaidījis. Tā
izrādījās paša vīrusa sūtīta mēstule,
un tai izdevās apmuļķot arī mani.
- Kā cīnīties pret
šiem muļķotājiem, spiegotājiem, mēstulēm?
Kādas antivīrusu vakcīnas visbiežāk izvēlas
lietotāji?
E. Vaščenko: - GNT strādā ar
vairākiem antivīrusu risinājumu piedāvājumiem. No tiem
lielākais mūsu apgrozījumā šobrīd ir Symantec (gandrīz
90 procenti). Mēs strādājam ar Computer Associates,
Kaspersky, Panda risinājumiem utt. Ja klients vēlas,
piedāvājam arī citu ražotāju - McAfee, Trend Micro,
Sophos - produktus. Jebkuram risinājumam var atrast plusus un
mīnusus, un klientu izvēle bieži vien ir atkarīga no
viņu vēlmēm.
G. Kiršteins: - Ja vīrusu
ķērājs pārcenšas ar drošības
sistēmām, tad var būt arī tā, ka datorā vairs
nevar izdarīt gandrīz neko - visas darbības bloķējas.
R. Grebuns: - Ar jebkuru
aizsardzību tiek vairāk vai mazāk ierobežota lietotāja
brīvība. Ja kaut kas tiek pārspīlēts vai
kļūdaini sargāts, var iznākt liels juceklis - vairāk
ļaunuma nekā labuma - nobloķējas arī derīgas
lietas utt.
- Visi vīrusu
ķērāji taču nav veidoti pēc vienādiem principiem?
Kādas ir to atšķirības?
E. Vaščenko: - Atšķirības
ir ražotājiem. Ir tādi, kas piedāvā vienā
antivīrusa programmā vairākus risinājumus, un tādi,
kas piedāvā atsevišķi antivīrusus, antispamu un
ugunsmūrus. Pasaulē lietotāji mūsdienās bieži
atsakās no vienkāršiem antivīrusiem, bet meklē
paplašinātus integrētos risinājumus, kas satur visus
šos trīs elementus. Latvijā šī tendence vēl nav
jūtama, jo lielākā daļa lietotāju pieprasa
aizsardzību pret vīrusiem. Tomēr vienkāršs
antivīruss neko daudz neaizsargā, ja tam nav ugunsmūra, tas
nespēj nobloķēt uzbrukumus datoram.
R. Grebuns: - Lietotāji
bieži vien uzskata, ka tas ir jūsu bizness pārdot
integrētos risinājumus, jo tie ir dārgāki.
E. Vaščenko: - Cenas starpība
starp viena veida un integrētiem risinājumiem nebūt nav liela.
Piemēram, Symantec, Pandai, Kaspersky ir
šādi integrētie interneta drošības (Internet Security)
risinājumi.
V. Šķesters: - Kaspersky nesen
ir izlaidis īpašu drošības paku.
R. Grebuns: - Pandas jaunie
risinājumi ir Titanium 2005, kurā ir integrēti
antivīrusi un spiegu programmu ķērājs, tur ir arī
iebūvēts ugunsmūris. Tas ir vienkāršāks risinājums.
Otrs jaunums ir Panda Platinum Internet Security, kur vēl papildus
pievienots arī antispams, dialer identifikācija u. c. Cena
viena lietotāja komplektam ir Ls 25 un Ls 45 (kopā ar PVN).
V. Šķesters: - Klasiskais antivīruss
aizsargā pret noteiktiem draudu veidiem, bet, ņemot vērā
straujo drošības draudu pieaugumu, lietotāju
informētība nav pietiekama.
- Parasti lietotājs sauc
pēc palīdzības tikai tad, kad viņa datortīklam
nodarīts būtisks kaitējums. Bet, kamēr tā nav, cer
iztikt ar kādu bezmaksas antivīrusu.
R. Grebuns: - Runājot līdzībās, agrāk kramplauzis
piektā stāva dzīvoklī varēja iekļūt pa
durvīm, bet alpīnists pa logu. Tagad internetā ir tādi
kramplauži, kas var ielīst pa logu.
G. Kiršteins: - Var teikt arī
tā, ka neaizsargāts dators līdzinās naktī
publiskā vietā novietotam neaizslēgtam auto. Par auto visi labi
saprot. Bet tie, kas neiegādājas aizsardzības programmas,
spriež apmēram tā: ja nolikšu savu neaizslēgto auto
citā pagalma stūrī, varbūt tam nekas nenotiks.
Patiesībā ar datoru ir pat trakāk, jo ir programmas, kas
speciāli skenē tīklu, lai šos datorus atrastu un
inficētu.
- Kādu efektīvu
risinājumu varat ieteikt no savas pieredzes?
E. Vaščenko: - Man mājās ir
pastāvīgais interneta pieslēgums, un tajās reizēs, kad
dators visu dienu ir aktivizēts, ik dienas ir vismaz četri
vīrusu uzbrukumi, kurus Symantec Internet Security sistēma
nobloķē.
V. Šķesters: - Kaspersky
Anti-Virus vēl nesen bija atsevišķās daļās,
bet šobrīd personālajā antivīrusu programmā ir
integrēts neliels ugunsmūris, kurš bloķē tīkla
vīrusus, un pat, ja lietotājam nav personālā
ugunsmūra, programma nobloķēs ļaunos kodus. Šī
tendence aizvien vairāk attīstās. Pirms diskusijas
apskatījos 2006. gada antivīrusa prototipu. Šobrīd to
saucam par Security suite, kur vienā kastē ir vairāki
produkti, bet 2006. gada antivīrusa prototipā ir viss vienā,
vairs nav nodalīti produkti, tie nebūs atsevišķi
jāinstalē.
Jau šobrīd ir tādas metodes, kuras
dēvē par smilšu kastēm, kur vīrusa kods tiek
palaists virtuālā datorā un skatīts, ko tas dara. Tiesa, uz
šo tehnoloģiju bāzes vēl nav izveidoti plaši
izplatīti produkti. Piemēram, Pandai ir jauna izstrāde TruPrevent, kas
analizē visus procesus, kuri norisinās datorā, mēģinot
noteikt, kurš no tiem ir vīruss. Šobrīd
noziedzniekiem vajag aizvien vairāk zombēto datoru, viņu
apetīte aug. Viņi to panāk arī ar uzbrukuma
ātrumu, - epidēmiju ieslēdz tāpat kā elektrības
slēdzi. Klikt - un ir! Tas nozīmē, ka antivīrusiem ir
jāreaģē nežēlīgi ātri un antivīrusu
programmas atjauninājums (kvalitatīvs un pārbaudīts!) seko
tūdaļ pa pēdām jaunajam vīrusam. Kā rāda
nozares ekspertu Magdeburgas universitātes pētnieku testi,
vidējais reakcijas laiks ir aptuveni 10 stundas (skat. mājaslapā
av-test.org). Pēc šiem rādītājiem tirgus
līderis Symantec diemžēl ieņem pēdējo
vietu, ko es, atklāti sakot, negaidīju. Magdeburgas pētnieki
visu pagājušo gadu testēja antivīrusu ražotāju
produkciju, katru minūti aptaujājot atjauninājumu serverus un
fiksējot reakciju. Rādījumi izmērīti ar
precizitāti līdz minūtei. Virus Bulletin 2004
konferencē Amerikā pērnā gada septembrī rezultāti
tika publiskoti. Tur bija apkopoti dati par reakciju uz 46 bīstamiem
vīrusiem, cik ātri ražotājs izlaiž komerciālu,
kvalitatīvu atjauninājumu, nevis beta versiju. Rezultāti
diezgan dramatiski atšķīrās. Labākie laiki 2 - 4
stundas, bet sliktākie 14 - 16 stundas.
- Kuriem ražotājiem bija
labākie rādītāji?
V. Šķesters: - Viens no diviem
labākajiem bija Kaspersky. Otrs bija BitDefender. Panda arī
uzrādīja labus rezultātus.
R. Grebuns: - Senāk vīrusi
izplatījās nedēļu, bet tagad stundu laikā, un
ātrums aizvien pieaug. Tagad jau var runāt par t. s. flash threats,
t. i., vīrusu rakstītājiem tikai jānospiež
podziņa, un ļaunais kods nonāk simtos tūkstošu datoru
visā pasaulē. Bet kas notiks, ja ātrums vēl pieaugs? Tagad
jau tiek izstrādāti drošības risinājumi, kas darbojas
proaktīvi, t. i., aizsargā pret jauno
vīrusu pirms vēl tas radīts. Modernais antivīruss
ir tik gudrs, ka tam pietiek ar diezgan vispārīgiem uzbrucēja
objekta parametriem, lai ļauno kodu prognozētu. Droši vien
pēc pusgada tirgū būs vairāk šādu produktu.
V. Šķesters: - Daži
ražotāji to piedāvā jau tagad. Piemēram, Panda. Tā
nākotnē būs obligāta norma jebkuram antivīrusam
(iebūvēts vai papildu risinājums). Kad Rīgā
viesojās Jevgeņijs Kasperskis, viņš teica, ka Kaspersky
pie tā ļoti sparīgi strādā. Ir veiktas
simulācijas uz datoriem pēc dažādiem algoritmiem par
ātrajiem tārpiem. Ātrākais no tiem spēja apgūt
mērķauditoriju 82 sekundēs (ideālā
datortīklā). Reālā tīklā varētu būt
nedaudz ilgāk. Tas nozīmē, ka neviens antivīruss, kas
bāzējas uz atjauninājumiem (signatūrām), nespēs
tikt ar to galā. Var cerēt tikai uz antivīrusu moduļiem,
kas modelē vīrusu uzvedību.
R. Grebuns: - Ja cilvēks
saķēris vīrusu, viņš jūtas slikti, viņam
jāiet pie ārsta, jāgaida analīžu rezultāti. Tas
ir diezgan ilgi. Tas pats notiek ar tagadējām antivīrusu
programmām. Pēc jaunās tehnoloģijas potenciālais
slimnieks nemaz nesaslimst, jo sporto, ēd veselīgu barību, uztur
sevi labā formā utt.
G. Kiršteins: - Tu vēl aizmirsi
pateikt, ka pēc jaunās metodes mani kā potenciālo
vīrusu saķērēju nelaiž uz krogu, neļauj
peldēties aukstā ūdenī utt. Galu galā nonāksim
pie tā, ka lietotājam būs aizvien vairāk ierobežojumu.
V. Šķesters: - Brīvība, kas
ir internetā, ir novedusi pie noteiktas anarhijas. Mēs savā
firmā salīdzinām šo situāciju ar autoindustriju, jo
pirms 100 gadiem arī tur nebija ne tiesību, ne numura zīmju, ne
noteikumu, varēja braukt, kā grib.
- Runājot par auto, kā
ir ar tik daudz kaislību izraisījušo Lexus datorsistēmu
iespēju inficēties ar vīrusu un kādas, jūsuprāt,
varētu būt sekas?
V. Šķesters: - Šis gadījums
bija žurnālistu uzpūsts. Lexus markas auto ir
navigācijas sistēma, kura ar Bluetooth sistēmas
palīdzību var kontaktēties ar mobilo tālruni, jo uz tā
ekrāna var redzēt paša tālruņa atmiņas saturu un
vadīt to. Pilnīgi iespējams, ja mobilais tālrunis caur
datoru sūta inficētu failu, kāda ietekme var būt, jo
vīrusiem reizēm var būt neprognozējamas sekas.
Piemēram, vīruss, kas paredzēts datoru inficēšanai,
var ietekmēt modēmus, kuriem atstātas vaļā
konfigurēšanas iespējas caur 80. portu. Kaspersky katrā
ziņā bija saņēmis lūgumu palīdzēt, bet
nedomāju, ka ir tik dramatiski. Dzīvībai bīstamās
sistēmas nevada dators.
R. Grebuns: - Pagaidām. Bet jau
tagad ir lietas, ko dators vada.
- Interesanti, ko gan jūs
teiktu, ja pēkšņi kāds izstrādātu tik
efektīvu drošības sistēmu, ka neviens ļaunais kods
netiktu cauri! Tad taču arī antivīrusu industrija vairs nebūtu
vajadzīga!
V. Šķesters: - Es tikai priecātos,
ja mans astoņu gadu darbs šajā nozarē vainagotos ar tik
spožiem rezultātiem. Bet, nopietni runājot, - drošības
nekad nevar būt par daudz. Karpersky un mūsu frontes biedri no
citiem antivīrusu ražotājiem noteikti radītu kādu
jaunu drošības projektu.
Gunta KĻAVIŅA
Aizvien agresīvāka informācijas tehnoloģiju ienākšana ikvienā mājā un birojā radījusi ne mazāk agresīvu ēnu kabinetu - t. s. ļaunos kodus, vīrusus un spiegu programmas. Datorvīrusi no nevainīgiem programmētāju jociņiem kļuvuši par bīstamiem ienaidniekiem, kuri nopietni apdraud pasaules tautsaimniecību. Pretinieki ir cits cita cienīgi. Kurš kuru pieveiks izmanībā, ātrumā, profesionālismā? Atbildes mēģina rast SP aktuālās diskusijas eksperti Valdis ŠĶESTERS (SIA Datoru drošības tehnoloģijas), Rihards GREBUNS (Panda Software Latvia), Evija VAŠČENKO (GNT Latvia) un Gints KIRŠTEINS (Lattelekom, Apollo).
- Tieši tāpat kā medicīnā katram vīrusam ir izstrādāta antiviela un katrai indei ir pretinde, arī katram datorvīrusam vajadzētu iekrist antivīrusu programmu jeb vīrusu ķērāju slazdos. Ja viss notiktu pēc noteiktas shēmas un vīrusu uzbrukumiem varētu iepriekš sagatavoties gluži kā gripas epidēmijai, tad pietiktu ar pāris antivīrusu programmām. Tomēr īstenībā ir citādi: paralēli antivīrusu industrijai aizvien straujāk attīstās arī pašu ļauno vīrusu un spiegu programmu rakstītāju industrija.
G. Kiršteins: - Pirmais vīruss - tīkla tārps - izplatījās universitāšu tīklā, izmantojot caurumus programmatūrā un izsūtot pats sevi. Šobrīd, kad datorsistēmas kļuvušas krietni sarežģītākas un daudzas funkcijas ir automatizētas, vīrusiem ir lielākas iespējas izvērsties. Ja kāds gribētu izveidot pret vīrusu uzbrukumiem pilnīgi drošu sistēmu, tad ik uz soļa būtu jāraksta dažādi identifikācijas kodi vai paroles un datora lietošana pārvērstos par īstu murgu. Tagad arī Linux sistēmas ir apdraudētākas nekā līdz šim, jo tur parādās aizvien universālākas programmas. Turklāt tīklu darbība paātrinās, tā kā nākotnes vīrusu mutācijas ir pat grūti prognozēt.
V. Šķesters: - Pagājušā gada sākumā izraisītā globālā vīrusu epidēmija radīja krasu pavērsienu antivīrusu programmu ražošanā. MyDoom uzbrukums pierādīja, ka melnā biznesa mērķis kļuvis klaji komerciāls, tāpēc cīņai ar to vajadzīgi iedarbīgāki ieroči. Galvenais iemesls - internetā ir parādījusies nauda un reizē ar to arī noziedzība. Kiberuzbrukumus, iespējams, daudzos gadījumos vairs neorganizē vīrusu rakstītāji, aiz tiem stāv citas personas un pat noziedzīgi grupējumi. Nesen, piemēram, lasīju par kādu Austrumeiropas hakeri, kuru mafija ar draudiem bija spiedusi strādāt tās labā.
- Brīžiem tā vien šķiet, ka dažādu vīrusu, spiegu programmu un neatļauto reklāmu rakstītāju bizness ir krietni vien rosīgāks nekā pretējās frontes cīnītājiem. Kādi ir paši izplatītākie vīrusu un surogātpasta jeb mēstuļu veidi?
V. Šķesters: - Brīžiem pat grūti noteikt, kuram vīrusu tipam katrs pieder, tos drīzāk varētu dēvēt par universāliem hibrīdiem. Visizplatītākie šobrīd ir e-pasta tārpi, tīkla tārpi, reklāmas programmas, kas nereti veic arī spiegošanas funkcijas.
- Vai starp reklāmas programmām mēdz paslēpties arī vīrusi?
V. Šķesters: - Tur arī robežu grūti novilkt. Vēl nesen tika konstatēta reklāmas programma CoolWebSearch, kura inficē failus.
R. Grebuns: - Ļaundabīgās programmas sāk veidot tādu kā lielu ķīseli, kur robežas sāk izzust, ļaunums maina seju, un tas ir jāievēro drošības programmu izstrādātājiem, kuri seko notikumiem un pārveido risinājumus. Nesaucam tos par vīrusiem, bet par ļauno kodu (malware) - tas ietver visas kategorijas.
V. Šķesters: - Šobrīd vairs nevar ignorēt aizsardzību pret spiegu programmām. Lai apstrādātu Riharda minēto ķīseli, attiecīgi jāmaina arī aizsardzības programmatūra. Pirmās antivīrusu programmas gadiem ilgi balstījās uz dažiem standartkomponentiem, bet tagad pievienojam aizvien jaunus, lai visus aizdomīgos kodus varētu efektīvi apstrādāt. Antivīrusi šobrīd aizvien vairāk sāk izskatīties pēc integrēta risinājuma, kas ietver lielākas vai mazākas tādu programmu sastāvdaļas, kuras kādreiz tika piedāvātas atsevišķi. Šobrīd efektīvam antivīrusam jau ir ugunsmūra komponents, kas spēj atvairīt tīkla tārpus.
- Pirms sākam karu ar ļaunajiem kodiem, tie būtu tuvāk jāiepazīst, izpētot arī visas nianses un pašus modernākos ļaunprātīgo programmu maskēšanās tērpus. Kādas ir pazīmes? Kādi savdabīgi gadījumi novēroti pēdējā laikā?
G. Kiršteins: - Vismaz puse saņēmēju atver sūtījumus ar seksa, azartspēļu, medikamentu piedāvājumiem. Daļa kaut ko piedāvā, daļa sūtījumu vienkārši pārbauda adrešu esamību. Saņemot atbildi uz šīm mēstulēm, sūtītāji pārliecinās, ka šāda adrese eksistē, un turpina bombardēt vēl aktīvāk. Noklikšķinot pat uz interneta saites šādā sūtījumā varat sevi atklāt, jo saite var būt unikāla. Cita lieta, ka cerētās labās un neticami lētās mantas vietā pasūtītājs var saņemt arī neticami apaļu nulli.
V. Šķesters: - Ja šāds bizness mēstuļu sūtītājiem nenestu nekādu labumu, diez vai viņi ar to nodarbotos. Sociālā inženierija darbojas tik paredzami, ka lietotāji bieži vien automātiski klikšķina uz saitēm, kas ir šajos piedāvājumos.
E. Vaščenko: - Atpazīt, vai šādas vēstules ar pievienotu failu vai saiti satur vīrusu vai citu ļaundabīgu programmu, ir ļoti grūti. Nav iespējams arī definēt šādu ļauno sūtījumu parametrus. Visefektīvākais līdzeklis uzņēmumos joprojām ir korporatīvās IT politikas ieviešana un stingra prasību definēšana. Piemēram, lietotājs nedrīkst atvērt e-pastu, kurš sūtīts no nezināma adresāta. Un pat, ja sūtītājs ir zināms, bet izskatās aizdomīgs (pavadvēstules saturs neatbilst šai personai), jākonsultējas ar tīkla administratoru.
- Nereti gadās, ka definētā vēstules tēma it kā izskatās pietiekami atbilstoša, piemēram, Re: jūsu pasūtījums, sadarbība u. tml.
E. Vaščenko: - Tas tāpēc, lai ieinteresētu atvērt pavadvēstuli.
V. Šķesters: - Droši vien daudzi ir sastapušies ar viltus brīdinājumiem par vīrusu uzbrukumu, ka, atverot noteiktus PowerPoint slaidus, tikšot izdzēsta visa informācija datorā. Tie ir n reižu pasauli apceļojuši jociņi, bet parastam lietotājam grūti atšķirt, vai tas ņemams nopietni. Rakstot ziņojumu presei, man bija grūti definēt šo gadījumu tā, lai ikviens lietotājs saprastu. Tāpēc ieteicu vien skatīties antivīrusu ražotāju mājaslapās vai prasīt padomu tīkla administratoriem. Tāpat būtu jārīkojas arī citos neskaidros gadījumos.
G. Kiršteins: - Īsto vīrusu vai surogātpasta sūtītāji taču nerakstīs, ka esat saņēmis vīrusu. Ja, piemēram, vēstulē teikts, ka paziņojums jāsūta tālāk, tad tas pilnīgi noteikti ir surogātpasts. Diemžēl tieši šādus brīdinājumus parasti nosūtām draugiem un kolēģiem, gribot izdarīt labu, bet īstenībā paplašinām ļauno kodu adresātu loku. Piemēram, Apollo ik mēnesi nāk klāt aptuveni 2500 jaunu interneta klientu, un tirgus aizvien vairāk piepildās ar jauniem lietotājiem, kas nav IT speciālisti. Īpaši mājas lietotāji neatjaunina datorprogrammas, nenodrošinās ar ugunsmūriem. Viņu datori ir kā lielgabalu gaļa ļauno kodu rakstītājiem. Lai pasargātu klientus no vīrusiem, esam sākuši aprīkot interneta pieslēgumus ar antivīrusu programmām. Domāju, ka jau šogad visiem Apollo interneta pieslēgumiem bāzē būs klienta datoru aizsargājošas programmas.
E. Vaščenko: - Ļoti bieži ir pat tā, ka mājas lietotājs nopērk datoru, pieslēdz internetu, un viņam prātā nav ienācis, ka vajadzīga aizsardzība. Pēc tam viņš staigā sūdzēdamies, ka dators nestrādā.
- Nesen lasīju, ka parādījies kāds ļoti nepieklājīgs audiovīruss CisumA, kas saņēmēju skaļi nolamā: - You are an idiot! - Droši vien lielākā daļa saņēmēju uz šādu paziņojumu reaģē tieši tā, kā cerēts - aizsūta atpakaļ kādu citu rupjību, tādējādi tikai apstiprinot, ka IP adrese darbojas.
R. Grebuns: - Kibernoziedznieki pēdējā laikā aizvien vairāk sāk lasīt psiholoģijas grāmatas, pirms kārtējā projekta analizējot iespējamos sabiedrības uzvedības modeļus un attiecīgi arī definējot sūtījumu, lai sasniegtu vēlamo mērķi. Turklāt, ja kibernoziedznieks nav tik gudrs, lai uzrakstītu vīrusu, viņš var sacerēt iedarbīgu vēstuli, kura izplatās pati, jo to izplata saņēmēji.
G. Kiršteins: - Agrāk bija tā sauktās svētās vēstules, kuras sūtīja pa parasto pastu.
- Tās īpaši iedarbojas uz saņēmēja psiholoģiju, jo parasti beidzas ar brīdinājumu, ka visus solītos labumus nesaņemsi, ja nepārsūtīsi tālāk un pārtrauksi ķēdi.
V. Šķesters: - Mani īpaši uzjautrina gadījumi, kad atnāk vēstule ar aicinājumu pārbaudīt, vai saņēmēja datorā nav kāds konkrēts sistēmas fails, un, ja ir, aicina to izdzēst, jo tas esot inficēts (īstenība tas ir normāls Windows fails, kāds ir gandrīz visos datoros). Ja saņēmējs tā arī izdara, drīz pēc tam atklājas, ka dators sācis niķoties. Šāda metode darbojas lieliski, un lietotāji bieži vien gluži automātiski izpilda hakeru instrukcijas.
E. Vaščenko: - Tas daļēji notiek arī tāpēc, ka lietotāji uzskata sevi par pietiekami kompetentiem. Labi vēl, ja vismaz pēc tam neslēpj, ka fails izdzēsts. Man zināms gadījums, ka šādas instrukcijas atsūtītas kādas iekšējās e-pasta grupas dalībniekiem. Par laimi, starp tiem bija arī sistēmas administrators, kurš steigšus apturēja uzcītīgos vīrusu apkarotājus.
- Janvāra vidū - tieši pēc traģiskajiem cunami notikumiem - savā e-pastā saņēmu savainotas meitenes portretu. Pavadvēstulē bija aicinājums pārsūtīt šo fotogrāfiju tālāk. Vai tas arī varēja būt ļaunprātīgs sūtījums?
R. Grebuns: - Pieļauju, ka ir cilvēki, kas izmanto šādas smagas situācijas saviem īpašajiem noziedzīgajiem mērķiem vai arī vienkārši tāpat - lai pasmietos par lētticīgajiem informācijas saņēmējiem. To varētu raksturot kā ķēdes vēstuli.
G. Kiršteins: - Spiegu programmas arī parādās aizvien jaunos veidolos. Tomēr laikam nekad neizdosies apmācīt lietotājus, ka nevajag atvērt neko nepazīstamu - viņi tāpat to darīs. Korporatīvajā tīklā viņi šādus sistēmas failus nevar izdzēst - nav tiesību; korporatīvā e-pasta lietotājiem ir savi nosacījumi, tur ir daudz labāka aizsardzība pret ļaunajiem kodiem. Arī Apollo sistēmas ķer vīrusus, pirms tie ir tikuši līdz lietotājiem. E-pasta sistēmu tīrām arī no ķēdes vēstulēm un citām drazām, kuras profesionāļi var viegli konstatēt - pēc skaita, apjoma utt. Pēdējā laikā gan nekas briesmīgs nav noticis. Nākotnē centīsimies apgādāt visus Apollo lietotājus ar antivīrusu programmām un ugunsmūriem.
E. Vaščenko: - Galvassāpes lietotājiem sagādā arī t. s. ļaunie dialer vīrusi, kuri automātiski zvana, bet oficiālajam tālruņa līnijas lietotājam pienāk milzīgs rēķins. Ar šādu problēmu bija saskāries Lattelekom, kura klienti sūdzējušies par nepamatoti lieliem rēķiniem.
- Pēdējā laikā vairāk parādās spiegu programmas un surogātpasts videofailu un mūzikas failu veidā. Kādas vēl ir tendences?
V. Šķesters: - Multimediju labumi nes līdzi arī draudus. Piemēram, šobrīd aktuāli ir animētie kursori, it kā nevainīga animācija, bet īstenībā - Trojas programma. Šis fails satur kodu, kas ļauj izmantot ievainojamību datora programmā. Tālākais atkarīgs no vīrusa rakstītāja ieceres. Tas var inficēt datoru un likt tai tālāk izplatīties, inficēt ar programmu, kura zog paroles, utt. Tā rodas aizvien vairāk zombētu datoru.
G. Kiršteins: - Spiegu programmām nav izdevīgi nograut pašreizējo sistēmu, to rakstītājiem tas ir bizness un viņiem ir izdevīgi, ka inficētie datori turpina darboties.
- Nezinu, cik patiesi ir šādi interneta dati, bet Lielbritānijā katra astotā un ASV katra trešā e-pasta vēstule esot surogātpasts.
V. Šķesters: - Manā datorā ir personālais surogātpasta filtrs, kas katru dienu atjauno datus un uzrāda statistiku. Nesen pārliecinājos, ka arī kolēģi no citiem uzņēmumiem, kas lieto tādus pašus filtrus, saņem aptuveni 40 procentu surogātpasta.
Šobrīd ārzemju prese satrakojusies par ziņu, ka daudz surogātpasta tiekot izsūtīti no zombētajiem datoriem, jo esot radītas speciālas programmas, kas ļauj sūtīt ļaunos kodus ar zombētā datora legālā lietotāja interneta pakalpojumu sniedzēja serveru starpniecību, lai pamatīgi sajauktu pēdas.
G. Kiršteins: - Ja zombiji sūta ļaunos kodus, neizmantojot Apollo e-pasta serveri, tad mēs nevaram konstatēt, ka tiek sūtīts surogātpasts. Ir gadījumi, ka ārvalstu interneta pakalpojumu sniedzēji (IPS), caur kuru serveriem sūta surogātpastu, mums par to neziņo. Mēs šobrīd aizsargājam savu tīklu, skenējot klientu datorus pret e-pasta caurumiem vairākas reizes dienā. Ja atklājas kas aizdomīgs, lietotājus brīdinām, bet, ja viņi nenovērš kļūmes, atslēdzam internetu, lai nenodarītu kaitējumu citiem klientiem.
- Pēc kādām pazīmēm lietotājs var konstatēt, ka viņa dators vai serveris ir kļuvis par zombiju?
R. Grebuns: - Pati vienkāršākā pazīme ir, ka bez iemesla sāk mirkšķināt visas datora lampiņas pat tad, ja lietotājs ar to nestrādā.
G. Kiršteins: - Kādam kolēģim, kas strādā ar Linux sistēmu, reiz tieši tā gadījās. Skatoties direktoriju, nevarēja redzēt, kas par vainu, jo tārps nebija redzams. Viņš gan to vēlāk atrada, bet viss bija nomaskēts tik rafinēti, ka neprofesionālis noteikti neatklātu.
V. Šķesters: - Tā ir vēl viena ļauno programmu klase rootkit, kurai ir vairāki līmeņi. Tās pat profesionāļi var nepamanīt mēnešiem ilgi. Šobrīd pastiprinātā tempā ražo Linux sistēmai paredzētus rootkit.
- Vēl nesen valdīja uzskats, ka Linux nav interesanti rakstīt vīrusus, jo pārāk maz darbstaciju lieto šo programmatūru.
V. Šķesters: - Toties to plaši lieto serveru sektorā. Katram serverim parasti ir labāks vai sliktāks administrators, bet tas nav parasts lietotājs, tāpēc arī ļauno kodu ražotājiem jāstrādā īpaši rafinēti un radoši. Ja Linux izmantos arī mājas lietotāji, maz ticams, ka vīrusu rakstītāji neķersies tam klāt.
- Kāda ir surogātpasta, vīrusu un zombēto datoru saistība, kādas graujošas sekas tie var radīt?
V. Šķesters: - Janvāra beigās publicēti dati par pagājušo gadu. Šajos aprēķinos ir ņemts vērā arī nenotikušais bizness. Minimālā robeža bija 196 miljardi dolāru gada laikā. Uz vienu Windows datoru vidējie zaudējumi šajā pašā laika posmā bija aptuveni USD 300.
- Nav runa tikai par neiegūtajiem ieņēmumiem, bet aizvien vairāk - par upuru bankas kontu iztukšošanu, iepriekš ar spiegu programmu palīdzību iegūstot visas nepieciešamās paroles un identifikācijas kodus.
V. Šķesters: - Tas ir vesels bizness, un šobrīd arī melnais tirgus ir pilnīgi nostabilizējies, arī tur visam ir noteiktas cenas. Piemēram, kods, ar kuru var izmantot zināmu datorprogrammas ievainojamību, maksā no 100 līdz 500 USD, ja ievainojamība ir nezināma, - tad desmitkārt vairāk - no 1000 līdz 5000 USD. To visu var nopirkt internetā. Var pasūtīt arī, piemēram, 1000 darbojošos kredītkaršu numurus. Divus pat dodot izmēģināšanai. Var nopirkt, piemēram, 5000 zombētu datoru IP adrešu par nieka 500 dolāriem.
G. Kiršteins: - Reiz konstatējām it kā mežonīgu surogātpasta uzbrukumu, bet mēs saņēmām tikai nelielu daļu no tā apjoma, kas bija izsūtīts pa pasauli. Saņēmām nevis tiešo uzbrukumu, bet atbildi, ka adresāts neeksistē. Konstatējām, ka mēstules, kas bija sūtītas tai datu bāzei, kurai tās bija paredzētas, bija gājušas garu ceļu, līkumu līkumiem, caur daudzām valstīm, sākot no ceturtās laika zonas līdz otrajai. Aiz tā visa stāv liels melnā biznesa uzņēmums ar daudziem serveriem.
- Dzirdēts, ka maskēšanās nolūkos šī melnā mašinērija darbojas kā legāls uzņēmums.
G. Kiršteins: - Piemēram, tāds, kas cita starpā piedāvā klientiem bezmaksas e-pasta pakalpojumus.
- Eksperti ziņo arī par tādiem gadījumiem, kad lietotājs instalē kādu bezmaksas programmu, un tā pati var ģenerēt mēstules vai spiegu programmas. Tātad datorlietotājiem būtu īpaši jāuzmanās, izvēloties kāda maz pazīstama ražotāja bezmaksas programmas.
E. Vaščenko: - Bezmaksas programmas ir gandrīz droši ņemt no plaši pazīstamu ražotāju oficiālajām mājaslapām. Tur jābūt arī attiecīgam sertifikātam.
V. Šķesters: - Arī profesionāļi reizēm uzķeras. Reiz saņēmu it kā vīrusa paraugu, papētīju un aizsūtīju atpakaļ tīkla administratoram. Atnāca satraukta atbilde, ka mans sūtījums visus varen sabaidījis. Tā izrādījās paša vīrusa sūtīta mēstule, un tai izdevās apmuļķot arī mani.
- Kā cīnīties pret šiem muļķotājiem, spiegotājiem, mēstulēm? Kādas antivīrusu vakcīnas visbiežāk izvēlas lietotāji?
E. Vaščenko: - GNT strādā ar vairākiem antivīrusu risinājumu piedāvājumiem. No tiem lielākais mūsu apgrozījumā šobrīd ir Symantec (gandrīz 90 procenti). Mēs strādājam ar Computer Associates, Kaspersky, Panda risinājumiem utt. Ja klients vēlas, piedāvājam arī citu ražotāju - McAfee, Trend Micro, Sophos - produktus. Jebkuram risinājumam var atrast plusus un mīnusus, un klientu izvēle bieži vien ir atkarīga no viņu vēlmēm.
G. Kiršteins: - Ja vīrusu ķērājs pārcenšas ar drošības sistēmām, tad var būt arī tā, ka datorā vairs nevar izdarīt gandrīz neko - visas darbības bloķējas.
R. Grebuns: - Ar jebkuru aizsardzību tiek vairāk vai mazāk ierobežota lietotāja brīvība. Ja kaut kas tiek pārspīlēts vai kļūdaini sargāts, var iznākt liels juceklis - vairāk ļaunuma nekā labuma - nobloķējas arī derīgas lietas utt.
- Visi vīrusu ķērāji taču nav veidoti pēc vienādiem principiem? Kādas ir to atšķirības?
E. Vaščenko: - Atšķirības ir ražotājiem. Ir tādi, kas piedāvā vienā antivīrusa programmā vairākus risinājumus, un tādi, kas piedāvā atsevišķi antivīrusus, antispamu un ugunsmūrus. Pasaulē lietotāji mūsdienās bieži atsakās no vienkāršiem antivīrusiem, bet meklē paplašinātus integrētos risinājumus, kas satur visus šos trīs elementus. Latvijā šī tendence vēl nav jūtama, jo lielākā daļa lietotāju pieprasa aizsardzību pret vīrusiem. Tomēr vienkāršs antivīruss neko daudz neaizsargā, ja tam nav ugunsmūra, tas nespēj nobloķēt uzbrukumus datoram.
R. Grebuns: - Lietotāji bieži vien uzskata, ka tas ir jūsu bizness pārdot integrētos risinājumus, jo tie ir dārgāki.
E. Vaščenko: - Cenas starpība starp viena veida un integrētiem risinājumiem nebūt nav liela. Piemēram, Symantec, Pandai, Kaspersky ir šādi integrētie interneta drošības (Internet Security) risinājumi.
V. Šķesters: - Kaspersky nesen ir izlaidis īpašu drošības paku.
R. Grebuns: - Pandas jaunie risinājumi ir Titanium 2005, kurā ir integrēti antivīrusi un spiegu programmu ķērājs, tur ir arī iebūvēts ugunsmūris. Tas ir vienkāršāks risinājums. Otrs jaunums ir Panda Platinum Internet Security, kur vēl papildus pievienots arī antispams, dialer identifikācija u. c. Cena viena lietotāja komplektam ir Ls 25 un Ls 45 (kopā ar PVN).
V. Šķesters: - Klasiskais antivīruss aizsargā pret noteiktiem draudu veidiem, bet, ņemot vērā straujo drošības draudu pieaugumu, lietotāju informētība nav pietiekama.
- Parasti lietotājs sauc pēc palīdzības tikai tad, kad viņa datortīklam nodarīts būtisks kaitējums. Bet, kamēr tā nav, cer iztikt ar kādu bezmaksas antivīrusu.
R. Grebuns: - Runājot līdzībās, agrāk kramplauzis piektā stāva dzīvoklī varēja iekļūt pa durvīm, bet alpīnists pa logu. Tagad internetā ir tādi kramplauži, kas var ielīst pa logu.
G. Kiršteins: - Var teikt arī tā, ka neaizsargāts dators līdzinās naktī publiskā vietā novietotam neaizslēgtam auto. Par auto visi labi saprot. Bet tie, kas neiegādājas aizsardzības programmas, spriež apmēram tā: ja nolikšu savu neaizslēgto auto citā pagalma stūrī, varbūt tam nekas nenotiks. Patiesībā ar datoru ir pat trakāk, jo ir programmas, kas speciāli skenē tīklu, lai šos datorus atrastu un inficētu.
- Kādu efektīvu risinājumu varat ieteikt no savas pieredzes?
E. Vaščenko: - Man mājās ir pastāvīgais interneta pieslēgums, un tajās reizēs, kad dators visu dienu ir aktivizēts, ik dienas ir vismaz četri vīrusu uzbrukumi, kurus Symantec Internet Security sistēma nobloķē.
V. Šķesters: - Kaspersky Anti-Virus vēl nesen bija atsevišķās daļās, bet šobrīd personālajā antivīrusu programmā ir integrēts neliels ugunsmūris, kurš bloķē tīkla vīrusus, un pat, ja lietotājam nav personālā ugunsmūra, programma nobloķēs ļaunos kodus. Šī tendence aizvien vairāk attīstās. Pirms diskusijas apskatījos 2006. gada antivīrusa prototipu. Šobrīd to saucam par Security suite, kur vienā kastē ir vairāki produkti, bet 2006. gada antivīrusa prototipā ir viss vienā, vairs nav nodalīti produkti, tie nebūs atsevišķi jāinstalē.
Jau šobrīd ir tādas metodes, kuras dēvē par smilšu kastēm, kur vīrusa kods tiek palaists virtuālā datorā un skatīts, ko tas dara. Tiesa, uz šo tehnoloģiju bāzes vēl nav izveidoti plaši izplatīti produkti. Piemēram, Pandai ir jauna izstrāde TruPrevent, kas analizē visus procesus, kuri norisinās datorā, mēģinot noteikt, kurš no tiem ir vīruss. Šobrīd noziedzniekiem vajag aizvien vairāk zombēto datoru, viņu apetīte aug. Viņi to panāk arī ar uzbrukuma ātrumu, - epidēmiju ieslēdz tāpat kā elektrības slēdzi. Klikt - un ir! Tas nozīmē, ka antivīrusiem ir jāreaģē nežēlīgi ātri un antivīrusu programmas atjauninājums (kvalitatīvs un pārbaudīts!) seko tūdaļ pa pēdām jaunajam vīrusam. Kā rāda nozares ekspertu Magdeburgas universitātes pētnieku testi, vidējais reakcijas laiks ir aptuveni 10 stundas (skat. mājaslapā av-test.org). Pēc šiem rādītājiem tirgus līderis Symantec diemžēl ieņem pēdējo vietu, ko es, atklāti sakot, negaidīju. Magdeburgas pētnieki visu pagājušo gadu testēja antivīrusu ražotāju produkciju, katru minūti aptaujājot atjauninājumu serverus un fiksējot reakciju. Rādījumi izmērīti ar precizitāti līdz minūtei. Virus Bulletin 2004 konferencē Amerikā pērnā gada septembrī rezultāti tika publiskoti. Tur bija apkopoti dati par reakciju uz 46 bīstamiem vīrusiem, cik ātri ražotājs izlaiž komerciālu, kvalitatīvu atjauninājumu, nevis beta versiju. Rezultāti diezgan dramatiski atšķīrās. Labākie laiki 2 - 4 stundas, bet sliktākie 14 - 16 stundas.
- Kuriem ražotājiem bija labākie rādītāji?
V. Šķesters: - Viens no diviem labākajiem bija Kaspersky. Otrs bija BitDefender. Panda arī uzrādīja labus rezultātus.
R. Grebuns: - Senāk vīrusi izplatījās nedēļu, bet tagad stundu laikā, un ātrums aizvien pieaug. Tagad jau var runāt par t. s. flash threats, t. i., vīrusu rakstītājiem tikai jānospiež podziņa, un ļaunais kods nonāk simtos tūkstošu datoru visā pasaulē. Bet kas notiks, ja ātrums vēl pieaugs? Tagad jau tiek izstrādāti drošības risinājumi, kas darbojas proaktīvi, t. i., aizsargā pret jauno vīrusu pirms vēl tas radīts. Modernais antivīruss ir tik gudrs, ka tam pietiek ar diezgan vispārīgiem uzbrucēja objekta parametriem, lai ļauno kodu prognozētu. Droši vien pēc pusgada tirgū būs vairāk šādu produktu.
V. Šķesters: - Daži ražotāji to piedāvā jau tagad. Piemēram, Panda. Tā nākotnē būs obligāta norma jebkuram antivīrusam (iebūvēts vai papildu risinājums). Kad Rīgā viesojās Jevgeņijs Kasperskis, viņš teica, ka Kaspersky pie tā ļoti sparīgi strādā. Ir veiktas simulācijas uz datoriem pēc dažādiem algoritmiem par ātrajiem tārpiem. Ātrākais no tiem spēja apgūt mērķauditoriju 82 sekundēs (ideālā datortīklā). Reālā tīklā varētu būt nedaudz ilgāk. Tas nozīmē, ka neviens antivīruss, kas bāzējas uz atjauninājumiem (signatūrām), nespēs tikt ar to galā. Var cerēt tikai uz antivīrusu moduļiem, kas modelē vīrusu uzvedību.
R. Grebuns: - Ja cilvēks saķēris vīrusu, viņš jūtas slikti, viņam jāiet pie ārsta, jāgaida analīžu rezultāti. Tas ir diezgan ilgi. Tas pats notiek ar tagadējām antivīrusu programmām. Pēc jaunās tehnoloģijas potenciālais slimnieks nemaz nesaslimst, jo sporto, ēd veselīgu barību, uztur sevi labā formā utt.
G. Kiršteins: - Tu vēl aizmirsi pateikt, ka pēc jaunās metodes mani kā potenciālo vīrusu saķērēju nelaiž uz krogu, neļauj peldēties aukstā ūdenī utt. Galu galā nonāksim pie tā, ka lietotājam būs aizvien vairāk ierobežojumu.
V. Šķesters: - Brīvība, kas ir internetā, ir novedusi pie noteiktas anarhijas. Mēs savā firmā salīdzinām šo situāciju ar autoindustriju, jo pirms 100 gadiem arī tur nebija ne tiesību, ne numura zīmju, ne noteikumu, varēja braukt, kā grib.
- Runājot par auto, kā ir ar tik daudz kaislību izraisījušo Lexus datorsistēmu iespēju inficēties ar vīrusu un kādas, jūsuprāt, varētu būt sekas?
V. Šķesters: - Šis gadījums bija žurnālistu uzpūsts. Lexus markas auto ir navigācijas sistēma, kura ar Bluetooth sistēmas palīdzību var kontaktēties ar mobilo tālruni, jo uz tā ekrāna var redzēt paša tālruņa atmiņas saturu un vadīt to. Pilnīgi iespējams, ja mobilais tālrunis caur datoru sūta inficētu failu, kāda ietekme var būt, jo vīrusiem reizēm var būt neprognozējamas sekas. Piemēram, vīruss, kas paredzēts datoru inficēšanai, var ietekmēt modēmus, kuriem atstātas vaļā konfigurēšanas iespējas caur 80. portu. Kaspersky katrā ziņā bija saņēmis lūgumu palīdzēt, bet nedomāju, ka ir tik dramatiski. Dzīvībai bīstamās sistēmas nevada dators.
R. Grebuns: - Pagaidām. Bet jau tagad ir lietas, ko dators vada.
- Interesanti, ko gan jūs teiktu, ja pēkšņi kāds izstrādātu tik efektīvu drošības sistēmu, ka neviens ļaunais kods netiktu cauri! Tad taču arī antivīrusu industrija vairs nebūtu vajadzīga!
V. Šķesters: - Es tikai priecātos, ja mans astoņu gadu darbs šajā nozarē vainagotos ar tik spožiem rezultātiem. Bet, nopietni runājot, - drošības nekad nevar būt par daudz. Karpersky un mūsu frontes biedri no citiem antivīrusu ražotājiem noteikti radītu kādu jaunu drošības projektu.
Gunta KĻAVIŅA