Мобильная вирусология
(Масленников Д. И.)
(«Право и кибербезопасность», 2013, N 1)
МОБИЛЬНАЯ ВИРУСОЛОГИЯ
Д. И. МАСЛЕННИКОВ
Масленников Д. И., старший вирусный аналитик.
В публикации комплексно исследуются проблемы, связанные с опасностью использования мобильных (сотовых) средств связи, и вносятся соответствующие предложения, направленные на их предупреждение.
Ключевые слова: злоумышленники, мобильные угрозы, смартфоны, зловреды, sms-троянцы, бэкдоры, троянцы-шпионы, программа SexGoesMobile. com, Red October, киберпреступники.
Mobile virusology
D. I. Maslennikov
The article explores mobile (cell) communication threats and offers certain ways to prevent them.
Key words: abusers, mobile threats, smartphones, malware, SMS trojans, backdoors, spy trojans, SexGoesMobile. com software, Red October, cybercriminals.
Введение.
Прошедший год стал переломным для рынка мобильных устройств с точки зрения безопасности. Если с 2004 г., когда появились первые вредоносные программы для мобильных устройств, до конца 2011 г. мы обнаружили всего 7 тыс. программ, угрожающих устройствам, то в одном 2012-м их было уже больше 35 тыс. В принципе это объяснимо: Android выбился в лидеры по числу продаж, став самой популярной операционной системой (ОС). Сейчас Android установлен на более чем 50% мобильных устройств в мире. При этом Android позволяет устанавливать на смартфон софт, скачанный не только с официального ресурса, но и с других, не всегда надежных источников, что, понятно, значительно облегчает задачу киберпреступников.
На сегодняшний день существует множество мобильных угроз. Классификация у них та же, что у компьютерных вирусов. Среди них можно выделить три наиболее часто встречающихся вида: sms-троянцы, бэкдоры и троянцы-шпионы. Перечисленные программы способны украсть с мобильного устройства все что угодно, начиная с контактов и заканчивая деньгами и важной персональной информацией.
Если говорить о ситуации в России, то, конечно, на первый план выходят sms-троянцы — лидеры среди мобильных вирусов на протяжении последних пяти лет. Эти программы несанкционированно отправляют со смартфона платные сообщения на короткие номера, тем самым лишая пользователя денег на счете. Причиной распространения sms-троянцев в России является возможность любого человека анонимно арендовать у оператора короткий номер. Благодаря этой лазейке в законодательстве злоумышленники зарабатывают огромные деньги на невнимательности пользователей. Подобные зловреды — настоящая проблема для нашей страны. Ради ее устранения не прилагается никаких усилий, хотя в других государствах ее решают довольно просто — огромными штрафами.
Интересно, что в Китае, где sms-троянцы также распространены, киберпреступники работают по несколько иной схеме. Отечественные зловреды, как правило, сразу лишают пользователя крупной суммы денег, человек это быстро обнаруживает и удаляет вирус. Китайские же аналоги стараются оставаться на устройстве как можно дольше, лишь иногда отправляя с него дешевые sms-сообщения. Пользователи редко оперативно замечают исчезновения с их счетов малых сумм, и вирус таким образом долгое время остается в безопасности.
В настоящее время начинается индустриализация мобильного вирусного программного обеспечения (ПО). В Европе, например, в большом количестве появляются партнерские программы, успешно отрабатывающие те же схемы, по которым работают преступники в нашей стране.
Но в отличие от России правительства европейских стран активно борются с киберпреступниками. Так, во Франции в 2012 г. было несколько случаев достаточно широкого распространения sms-троянцев. В двух из них властям удалось арестовать подозреваемых в организации масштабного заражения. Любопытно, что во втором случае автор уже примерно через три недели после ареста получил реальный срок в полгода и еще в течение полугода будет обязан носить специальный браслет.
Кроме sms-троянцев, еще два широко распространенных вида вредоносных программ атакуют смартфоны-бэкдоры и троянцы-шпионы, которые «воруют» информацию с мобильных устройств. Такие зловреды могут отправлять с устройства абсолютно любые данные, начиная с базовых (например, модели смартфона или телефонного номера) и заканчивая персональными данными пользователя, такими, как личные сообщения и т. д. А бэкдоры позволяют злоумышленникам скрытно управлять мобильным устройством и делать с ним фактически все что угодно.
Но важно понимать, что существуют и сугубо коммерческие шпионские программы, которые продаются в открытом доступе. Официально последние могут использоваться только в определенных случаях. Например, родитель может установить программу-шпион на смартфон своего несовершеннолетнего ребенка для мониторинга активности использования устройства. Но на деле такое ПО применяется и вопреки своему законному предназначению: его могут использовать практически любые лица или организации, желающие получить информацию, хранящуюся на вашем смартфоне.
Мобильные угрозы с каждым днем становятся все более актуальной проблемой. К сожалению, пользователи не осознают в полной мере необходимость защищать свои смартфоны. Как правило, большинство людей устанавливают на устройства антивирус только после того, как уже «попались» на удочку злоумышленников, потеряв деньги или персональные данные.
Пятая часть нашего регулярного обзора развития вредоносных программ для мобильных устройств была опубликована год назад. Настала пора подвести итоги 2012 г.: посмотреть, оправдались ли наши прогнозы, предоставить количественные и качественные данные о развитии зловредов, проанализировать основные тенденции эволюции как самих вредоносных программ, так и атак, осуществляемых с их помощью. Ну и, конечно, дать прогноз развития вредоносных программ и атак на мобильные устройства в 2013 г.
Итак, каковы же были прогнозы на 2012 г.? Особо мы выделили дальнейший рост числа вредоносных программ для Android, так как полагали, что основные усилия киберпреступников будут направлены именно на эту платформу. Прогноз оправдался: злоумышленники действительно практически полностью сконцентрировались на создании и распространении зловредов для этой операционной системы.
Далее мы предположили, что помимо root-эксплойтов для Android, которые дают возможность получить полный доступ к операционной системе, киберпреступники начнут использовать уязвимости в операционной системе (ОС) Android и будут зафиксированы первые drive-by-атаки. Этот прогноз себя не оправдал — в основном, видимо, потому, что на данном этапе развития вредоносного программного обеспечения (ПО) для Android у киберпреступников просто нет острой необходимости в подобных атаках, так как пользователи по-прежнему активны в «самостоятельном» заражении своих мобильных устройств.
Не оправдался и прогноз относительно появления первых массовых червей для Android, а точнее, SMS-червей.
Мы предположили также дальнейшее увеличение числа инцидентов, связанных с обнаружением вредоносных программ в официальных магазинах приложений. Этот прогноз, к сожалению, оправдался. Помимо того что в Google Play регулярно появлялись разнообразные зловреды (число жертв варьировалось от нескольких десятков до десятков тысяч), впервые был зафиксирован случай появления вредоносного ПО в App Store для iOS.
Сбылся наш прогноз о появлении первых мобильных ботнетов для Android. Появившиеся ботнеты были достаточно разнообразны и в географии заражений, и по количеству зараженных устройств, и по функционалу.
Перечисленные выше прогнозы касались только наиболее популярной на сегодняшний день платформы Android. Что касается других платформ и операционных систем для мобильных устройств, то мы предполагали, что общей для них тенденцией станет использование зловредов для точечных атак. Ярким примером таких атак являются атаки с помощью ZitMo и SpitMo (ZeuS — и SpyEye-in-the-Mobile). Данный прогноз также стал реальностью. При этом в семействе зловредов, ворующих mTAN’ы (ZitMo и SpitMo), случилось прибавление: еще один популярный банковский троянец Carberp обзавелся мобильной версией, которая уже по традиции получила схожее с ZitMo и SpitMo имя — CitMo, или Carberp-in-the-Mobile.
Оправдались и два важных прогноза относительно общего развития атак на мобильные платформы. Во-первых, это становление полноценной индустрии мобильного вредоносного программного обеспечения. А во-вторых — выход мобильного шпионажа за рамки использования правоохранительными органами и отдельными компаниями, занимающимися детективной деятельностью.
Шестая по счету часть «Мобильной вирусологии» посвящена основным событиям 2012 г., связанным с развитием вредоносных программ для мобильных устройств.
Статистика.
Здесь мы приводим статистические данные о развитии мобильных зловредов. Помимо данных о росте числа вредоносных программ, динамике их появления, распределения по платформам и поведению, мы добавили также информацию, полученную с помощью облачного сервиса KSN, который теперь доступен и в нашем мобильном продукте для Android.
Наиболее значимым показателем в 2012 г. стал взрывной рост числа вредоносных программ для Android: если за весь 2011 г. мы обнаружили почти 5300 новых вредоносных программ для всех мобильных платформ, то в некоторые месяцы 2012 г. число обнаруживаемых нами Android-зловредов превышало это число. А если говорить об общем количестве уникальных вредоносных файлов, то их насчитывается уже более 6 млн.!
Общее число модификаций и семейств мобильных вредоносных программ в коллекции «Лаборатории Касперского» на 1 января 2013 г.:
Платформа Модификации Семейства
Android 43 600 255
J2ME 2 257 64
Symbian 445 113
Windows Mobile 85 27
Другие 28 10
Всего 46 415 469
Стремительно увеличиваются и темпы роста числа зловредов для мобильных устройств в целом: 40 059 из 46 415 модификаций и 138 из 469 семейств мобильных вредоносных программ попали в нашу коллекцию в течение 2012 г.!
Что касается распределения по платформам, то приведенная ниже диаграмма достаточно наглядно все демонстрирует:
Распределение мобильных зловредов (2004 — 2012 гг.)
по платформам
Если в конце 2011 г. на долю Android приходилось порядка 65% всех мобильных вредоносных программ, то к концу 2012 г. доля Android-зловредов в нашей коллекции практически достигла 94%.
При этом 99% всех обнаруженных в течение 2012 г. мобильных зловредов нацелены на Android-устройства. Уже к середине года стало понятно, что зловреды для этой операционной системы будут доминировать как минимум ближайшие два года. ОС Android стала самой распространенной операционной системой для мобильных устройств, и это сделало ее основной мишенью вирусописателей. Схема «самая распространенная ОС + установка ПО из любых источников => наибольшее число зловредов» по-прежнему работает.
Наиболее распространенные зловреды для ОС Android.
Весной 2012 г. мы запустили наш облачный сервис KSN для мобильного продукта под ОС Android, что позволило нам не только обеспечить дополнительную защиту мобильных устройств пользователей, но и получить интересную статистику того, с какими модификациями вредоносных программ чаще всего сталкиваются пользователи.
Самые распространенные детектируемые объекты на Android-устройствах можно разделить на три основные группы: SMS-троянцы, рекламные программы и эксплойты для получения прав root на смартфоне.
Наиболее распространенные детекты вредоносных объектов для Android.
Наиболее популярными Android-зловредами у злоумышленников оказались SMS-троянцы, которые нацелены в основном на пользователей из России. В этом нет ничего удивительного — отправка дорогостоящих SMS-сообщений с зараженных устройств без согласия пользователя остается основным способом заработка российских киберпреступников, специализирующихся на мобильных платформах.
Вторую группу зловредов из TOP-10 составляют рекламные модули Plangton и Hamob. Первое семейство не зря детектируется как Trojan. Plangton встречается в бесплатных приложениях и действительно показывает рекламу. Однако в нем имеется еще и функция смены стартовой страницы браузера без предупреждения и согласия пользователя, что считается вредоносным поведением. Что же касается AdWare. AndroidOS. Hamob, то так детектируются приложения, которые выдают себя за какие-либо полезные программы, а на самом деле лишь показывают рекламу пользователю.
И наконец, третья группа. К ней относятся различные модификации Lotoor-эксплойтов для получения прав root на смартфонах с ОС Android различных версий.
Угрозы для пользователей.
В 2012 г. мы наблюдали значительный рост числа инцидентов с вредоносными программами для Android, хотя и о зловредах для других мобильных ОС злоумышленники не забыли. О наиболее заметных инцидентах мы расскажем ниже.
Мобильные ботнеты.
Если подходить формально, то первый мобильный ботнет появился осенью 2009 г. Тогда была обнаружена вторая по счету вредоносная программа для взломанных iOS-устройств (первая появилась полутора месяцами раньше и была чистым proof-of-concept), которая была способна принимать и выполнять команды от удаленного сервера. Но на тот момент это было лишь доказательством того, что и на мобильных устройствах в скором времени появятся настоящие бот-сети.
Появление в 2012 г. мобильных ботнетов, построенных на базе мобильных устройств с ОС Android, было ожидаемым событием. Первым тревожным случаем стало обнаружение в январе IRC-бота для Android, который работал в связке с SMS-троянцем. Оба зловреда получили имя Foncy.
Иконка Foncy «MADDEN NFL 12» после установки
Помимо SMS-троянца и IRC-бота в APK-дроппере содержался также и root-эксплойт. После запуска эксплойт в зараженной системе повышал привилегии до root, затем происходил запуск IRC-бота, который, в свою очередь, устанавливал и запускал SMS-троянца. SMS-троянец, отработав, прекращал свою деятельность, а IRC-бот оставался запущенным, ожидая получения команд. Таким образом, именно IRC-бот мог управлять смартфоном после заражения. Все зараженные IRC-ботом Foncy смартфоны составляли полноценный ботнет и были готовы осуществлять практически любые действия по команде «хозяина».
Французской полиции удалось найти и арестовать двух подозреваемых в создании и распространении данного зловреда. По данным полиции, вирусописатели заразили более 2000 устройств и заработали на этой схеме около 100 тыс. евро. Этот случай стал первым в истории арестом людей, которые подозреваются в создании и распространении вредоносной программы именно для мобильных устройств.
В феврале был обнаружен мобильный ботнет, число активных устройств которого варьировалось от 10 000 до 30 000, при этом общее число зараженных смартфонов исчислялось сотнями тысяч. Создали этот ботнет, скорее всего, китайские вирусописатели. Его основой стал бэкдор RootSmart, который имеет разнообразные функции для удаленного управления мобильным устройством с ОС Android. Для распространения RootSmart киберпреступники положились на известный и действенный прием: перепаковали легальную программу и выложили ее на сайт одного из неофициальных, но очень популярных в Китае магазинов приложений для Android. В результате пользователи, скачавшие программу якобы для настройки телефона, получили вместе с ней бэкдор, включавший их устройство в ботнет.
Масштабы заражения RootSmart были таковы, что позволили злоумышленникам эффективно монетизировать созданную сеть из зараженных телефонов. Для этого они выбрали самый популярный у мобильных киберпреступников способ — отправку платных SMS-сообщений на короткие номера. Злоумышленники использовали самые дешевые номера для того, чтобы жертва как можно дольше не замечала потери средств. Полный контроль над мобильными устройствами, который получали злоумышленники, давал им возможность длительное время скрывать присутствие вредоносной программы на телефоне и дольше выкачивать деньги со счетов.
В 2012 г. мы также обнаружили бэкдоры, которым, к счастью, не удалось заразить значительное число устройств, но которые интересны некоторыми своими особенностями.
Зловред для Android, получивший имя Cawitt, любопытен, в первую очередь, механизмом, с помощью которого он получает имена доменов центра управления. Для этого Cawitt использует Twitter. В теле вредоносной программы хранятся строки, из которых она посимвольно формирует ники пользователей социальной сети. Сгенерировав имена мнимых пользователей, бэкдор посылает запрос серверу Twitter, чтобы получить их твиты. Эти твиты и содержат имена доменов командных центров.
Примеры твитов с C&C;
Ну а для того, чтобы начать получать команды от C&C;, Cawitt делает POST-запрос к домену, имя которого получено из Twitter, складывая доменное имя со строкой/carbontetraiodide. В ответ на запрос бот получает команду.
Другим интересным зловредом, который был обнаружен в конце 2012 г., стал спам-бот для Android с именем SpamSold. Впервые была найдена вредоносная программа для мобильных устройств, основным функционалом которой является рассылка SMS-спама с зараженных устройств.
Бэкдор пытается скрыть свое присутствие на смартфоне, удаляя свою иконку и загружая бесплатную версию игры, под которую он маскируется. После чего SpamSold отправляет на командный сервер GET-запрос следующего вида:
GET-запрос SpamSold
В ответ он получает текст SMS-сообщения, которое нужно отправить, и первые 100 номеров, на которые будет осуществляться отправка сообщений.
Ответ сервера.
После получения ответа бот последовательно пытается отправить SMS-сообщения с полученным текстом на указанные номера, а затем, когда номера заканчиваются, SpamSold обращается к серверу за новой порцией номеров и текста SMS-сообщения. Отправленные SMS-сообщения зловред скрывает, маскируя таким образом свою активность.
К счастью, злоумышленникам не удалось создать большой ботнет. Но сам факт того, что мобильные вредоносные программы начали использоваться именно для рассылки SMS-спама, наводит на мысль, что в 2013 г. мы не единожды столкнемся со зловредами, имеющими подобный функционал.
Охота за mTAN’ами.
В 2012 г. некоторые новые зловреды использовались для точечных атак. Ярким примером являются атаки с помощью ZitMo и SpitMo (Zeus — и SpyEye-in-the-Mobile). Эти зловреды создаются для перехвата SMS-сообщений от онлайн-банкинга, которые содержат коды авторизации банковских транзакций mTAN’ы.
Новые версии ZitMo и SpitMo появлялись регулярно, как для Android, так и для других операционных систем. Вирусописатели по-прежнему используют те же способы маскировки зловредов, что и два года назад. Это маскировка либо под «сертификаты безопасности», либо под программное обеспечение для защиты смартфонов. Под видом этих программ пользователи скачивают зловреды на свои устройства.
Маскировка ZitMo под защитное приложение
Популярность Android не означает, что операционными системами, отличными от Android, уже никто не пользуется. Вирусописателям, например, нет никакого дела до слухов о возможной скорой смерти платформы Blackberry. В 2012 г. новые версии ZitMo появлялись и для этой платформы, причем в одной волне атак злоумышленники использовали зловреды как для Blackberry, так и для Android. По крайней мере, C&C; номера в них были одни и те же.
Некоторые новые модификации ZitMo для Android стали походить на своих «братьев» для других платформ. Если раньше ZitMo для Android обладал достаточно примитивным функционалом (в основном пересылка входящих сообщений с mTAN’ами), то новые версии троянца содержали в себе расширенный список команд, которые используются авторами вредоносной программы для контроля и управления работой зловреда.
Примеры некоторых команд ZitMo для Android.
До 2012 г. атаки, целью которых является кража mTAN, были зафиксированы только в ряде европейских стран: в Испании, Италии, Германии, Польше и некоторых других. При этом под угрозой были пользователи различных мобильных платформ: Android, Blackberry, Symbian, Windows Mobile. В конце 2012 г. дошла очередь и до России, где онлайн-банкинг становится все более популярным, что, естественно, влияет и на вирусописателей. Распространенный троянец Carberp, работающий по схожему с ZeuS принципу, обзавелся мобильной версией — Trojan-Spy. AndroidOS. Citmo.
Троянец CitMo, как и «напарник» ZeuS ZitMo, способен скрывать входящие SMS-сообщения, содержащие mTAN’ы, и пересылать их злоумышленникам. Различные версии CitMo пересылают перехваченные SMS как на телефонные номера киберпреступников, так и на их удаленные серверы.
Одна из версий Carberp модифицировала страницу входа в систему онлайн-банкинга одного из российских банков. На фальшивой стартовой странице пользователю предлагалось скачать и установить программу, якобы необходимую для входа в систему. Пользователь мог получить ссылку на эту программу либо в SMS-сообщении, указав предварительно свой номер телефона, либо отсканировав QR-код.
QR-код как один из способов загрузки зловреда.
Ссылка вела на приложение SberSafe (Trojan-Spy. AndroidOS. Citmo), которое в течение двух недель находилось в магазине приложений Google Play.
Потенциальная жертва, запустив вредоносное приложение, видела на экране предложение ввести телефонный номер. Введенный номер записывался в файл auth. txt и отправлялся на удаленный сервер злоумышленников. Через некоторое время пользователь получал SMS-сообщение с пятизначным кодом, который было необходимо указать в программе. Этот код записывался в файл authcode. txt и использовался вместе с телефонным номером в качестве идентификатора данных, которые вредоносная программа впоследствии отправляла на сервер злоумышленников.
В ходе атак с кражей mTAN троянцу необходимо скрывать входящие SMS от системы онлайн-банкинга. В противном случае во время попыток злоумышленников перевести средства со счета взломанного аккаунта такие сообщения вызовут у пользователя подозрения.
CitMo загружал с сервера злоумышленников информацию о номерах, входящие сообщения с которых необходимо скрывать и пересылать на удаленный сервер (записывались в файл hide. txt), и данные о номерах, входящие сообщения с которых можно отображать (записывались в файл view. txt). Когда приходило очередное сообщение, CitMo проверял отправителя. Если данные отправителя совпадали с записью из файла hide. txt, полученное сообщение скрывалось и записывалось в файл messages. txt, который отправлялся на удаленный сервер злоумышленников.
SMS-троянцы.
Эволюция наиболее популярного среди злоумышленников способа монетизации мобильных зловредов продолжается. Если в 2011 г. одним из самых интересных трендов стало появление SMS-троянцев, нацеленных на пользователей из стран Европы и Северной Америки, то в 2012 г. были обнаружены полноценные партнерские программы по распространению SMS-троянцев, нацеленные на пользователей именно из этих стран. А «партнерки», как известно, являются одним из наиболее эффективных инструментов для создания, распространения и монетизации вредоносных программ.
В 2012 г. было обнаружено семейство SMS-троянцев для Android, получившее название Vidro, которое было нацелено на пользователей из Польши. Сам по себе SMS-троянец не выделялся чем-то особенным. Но стоит отметить одну немаловажную особенность: зловред распространялся через порносайты мобильной партнерской программой для монетизации порнотрафика.
Скачивание зловреда происходило с вредоносного домена vid4droid. com. Этот домен контролируется двумя name-серверами с адресом carmunity. de, а mail-сервер vid4droid. com находится на tecmedia. eu. Есть несколько хостов (например, sex-goes-mobile. biz, sexgoesmobile. biz, sexgoesmobil. com), у которых name-серверы и mail-сервер такие же, как и у vid4droid. com. Если зайти на один из этих хостов, то произойдет перенаправление на sexgoesmobile. com. Данный сайт является сайтом партнерской программы для монетизации «взрослого» мобильного трафика.
Главная страница партнерской программы SexGoesMobile. com.
Многие мобильные партнерские программы (российские как минимум) предоставляют всем участникам полный доступ к так называемым «промосредствам». «Партнерка» SexGoesMobile не является исключением. Каждый партнер, который принимает участие в SexGoesMobile, имеет собственный ID. Партнер может создать мобильный сайт, используя один из существующих шаблонов (у каждого шаблона есть собственное доменное имя), сгенерировать уникальный URL со своим ID, ведущий на vid4droid. com, и разместить этот URL на своем сайте.
Кликнув по любой из ссылок на шаблонном сайте, пользователь попадал на сайт vid4droid. com. При этом на удаленном сервере на основе referrer’а (уникального URL с ID партнера) генерировалась уникальная последовательность букв и чисел. На сайте vid4droid. com пользователю предлагалось под видом порноприложения загрузить файл vid4droid. apk, который и являлся троянцем Vidro.
Попав на мобильное устройство пользователя, троянец отправлял на польский платный номер 72908 SMS с текстом «PAY {уникальная последовательность букв и чисел}» — с той самой уникальной последовательностью, которая была сгенерирована на основании URL и ID партнера. Таким образом, каждый партнер крал деньги пользователей с помощью «собственного» SMS-троянца, отправляющего SMS-сообщение с уникальным текстом.
Появление подобных партнерских программ за пределами России или Украины позволяет говорить о том, что полноценная индустрия мобильных вредоносных программ стала реальностью уже не только в России, но и в других странах.
Инциденты в официальных магазинах приложений.
Несмотря на то что Google внедрил антивирусный модуль GoogleBouncer, осуществляющий автоматическую проверку всех новых приложений на Google Play (бывший Android Market), существенных изменений в среднем количестве инцидентов и в их масштабах не произошло.
Внимание общественности обычно привлекают случаи с наибольшим количеством заражений, как, например, инцидент с вредоносной программой Dougalek, которую загрузили десятки тыс. пользователей (в основном из Японии). Это привело к одной из наиболее крупных утечек персональной информации пользователей в результате заражения мобильных устройств. Через некоторое время после данного инцидента токийской полицией были арестованы пять человек, подозреваемых в создании и распространении этой вредоносной программы, что стало вторым по счету арестом мобильных вирусописателей в 2012 г.
В 2012 г. произошло еще одно знаковое событие: первый случай обнаружения вредоносного ПО в App Store для iOS. В самом начале июля было обнаружено подозрительное приложение под именем Find and Call, копии которого были найдены как в App Store, так и на Android Market.
Установленное приложение Find and Call.
Загрузив и запустив данное приложение, пользователь сталкивался с запросом на регистрацию в программе, для чего было необходимо ввести e-mail и телефонный номер. Если же пользователь после этого пытался с помощью приложения «найти друзей в телефонной книге», то все его контакты скрытно загружались на удаленный сервер в следующем формате:
http://abonent. findandcall. com/system/profile/phoneBook? sid=.
На каждый украденный номер из телефонной книги через какое-то время приходило спам-сообщение с предложением перейти по ссылке и загрузить приложение Find and Call.
После публикации информации об этом инциденте нас стали спрашивать, почему это приложение является вредоносным. Потому что оно скрытно загружает телефонную книгу пользователя на удаленный сервер для использования в рассылках SMS-спама.
К счастью, данный инцидент пока является единственным подтвержденным случаем обнаружения вредоносной программы в App Store для iOS.
Кибершпионаж.
В прошлом году мы предположили, что кража данных с мобильных телефонов и слежка за объектом при помощи его телефона и геолокационных сервисов станут распространенным явлением. К сожалению, так и произошло. Количество вредоносных программ, которые по своему поведению являются либо троянцами-шпионами, либо бэкдорами, выросло в сотни раз. Стоит отметить также возросшее количество коммерческих приложений для мониторинга, которые иногда сложно отличить от вредоносных программ.
В истории мобильного шпионажа было несколько весьма примечательных эпизодов. Стоит вспомнить 2009 г., когда под видом обновления безопасности пользователям Blackberry одного из крупнейших операторов ОАЭ рассылались SMS-сообщения со ссылкой на шпионское ПО. Не будем забывать и о заинтересованности правительств различных стран в получении доступа к защищенным коммуникациям, который позволяют осуществлять смартфоны Blackberry.
Наиболее громкие и яркие события 2012 г., связанные с мобильным кибершпионажем:
— обнаружение мобильных версий шпионского модуля FinSpy, разрабатываемого британской компанией Gamma International;
— раскрытие технических подробностей операции по кибершпионажу, получившей название Red October, во время которой собирались данные и секретная информация не только с компьютеров и сетевого оборудования атакованных организаций (дипломатические и государственные структуры), но и с мобильных устройств их сотрудников.
Эти два случая достойны отдельного рассмотрения.
FinSpy.
Мобильные версии FinSpy являются частью портфолио британской компании Gamma International. Впервые информация о существовании такого комплекса удаленного мониторинга появилась еще в первой половине 2011 г. В том же году появились данные, которые указывали на то, что у FinSpy есть и мобильные версии. И только в августе 2012 г. организации The Citizen Lab удалось получить для анализа мобильные версии FinSpy для Android, iOS, Windows Mobile, Symbian и Blackberry.
Модификации FinSpy для различных платформ обладают во многом схожим функционалом:
— запись входящих/исходящих звонков;
— скрытые вызовы для прослушивания окружения;
— кража информации со смартфона (логи звонков, SMS/MMS сообщения, контакты и проч.);
— отслеживание координат;
— Internet/SMS-коммуникации с командным центром.
Но версия для каждой платформы имеет и некоторые особенности. Например, версия FinSpy для Symbian способна делать снимки экрана; FinSpy для Blackberry также отслеживает общение в Blackberry Messenger; версия для Android способна включать/отключать режим «В самолете»; FinSpy для iOS может быть установлен на ограниченном наборе устройств с конкретными UDID.
Любопытной особенностью всех мобильных версий FinSpy является создание и использование конфигурационного файла с именем 84c. dat. Механизмы его генерации отличаются в зависимости от операционной системы, но в конечном счете он содержит информацию, необходимую для работы шпионского модуля (адрес C&C-;сервера, номер мобильного C&C;, используемые порты и пр.).
Часть зашифрованного с помощью base64 конфигурационного
файла 84c. dat для Android
Но! Основной функционал мобильных модулей FinSpy не является чем-то особенным или уникальным. Подобный набор функций нам уже неоднократно встречался в многочисленных коммерческих шпионских программах типа FlexiSpy или MobileSpy. Особенностью FinSpy является его разработчик — официально зарегистрированная в Великобритании компания, которая, судя по информации на ее официальном сайте, занимается созданием средств удаленного мониторинга для правительственных организаций.
Ответов на вопросы о том, кто есть заказчики атак FinSpy и кто конкретно оказался его жертвой, на данный момент нет, и вряд ли они появятся в будущем. Однако даже без этой информации появление FinSpy означало начало новой, шпионской главы в истории мобильного вредоносного ПО.
Red October.
Если к концу 2012 г. у кого-то и оставались сомнения в том, что тема мобильного кибершпионажа стала весьма актуальной, то после публикации информации об операции Red October стало очевидно: мобильные устройства превратились в такие же мишени целевых и шпионских атак, как и обычные компьютеры.
Мы располагаем доказательствами того, что лица, стоящие за этой операцией, заинтересованы в получении информации с мобильных устройств. И эту информацию они могут получать не только с помощью вредоносного ПО для мобильных устройств, но и с помощью модулей для Windows, которые работают с подключаемыми к инфицированному компьютеру девайсами. В этой главе мы обобщим всю имеющуюся у нас информацию о мобильных модулях Red October, а также информацию, которая тем или иным образом может быть связана с ними.
Один из модулей Red October под названием RegConn ответствен за сбор системной информации и данных о программном обеспечении, установленном и используемом на зараженном компьютере. Эта информация получается с помощью чтения определенных ключей реестра (список ключей содержится в самом модуле). Среди этих ключей стоит выделить следующие:
HKLM
Software
Nokia HTC Sony Ericsson Teleca BlackBerry Apple Computer
Ключи реестра из модуля RegConn
Эти ключи реестра так или иначе имеют отношение к программному обеспечению для работы с мобильными устройствами (например, iTunes, Nokia PC Suite), которое может быть установлено на зараженном компьютере.
Другой компонент Red October был создан для работы с iPhone. Этот модуль ответствен за сбор информации со смартфона, подключаемого к зараженному этим модулем компьютеру. Для этого он использует библиотеку iTunes с именем CoreFoundation. dll. Стоит отметить, что в самом модуле предусмотрен запуск двух разных сервисов: один из них запускается, если мобильное устройство не было подвергнуто jailbreak, второй — в том случае, если устройство взломано. В любом случае модуль пытается получить:
— сведения о самом устройстве, начиная с уникального ID смартфона и заканчивая версией прошивки;
— файлы со следующими расширениями:.jpg,.jpeg,.txt,.doc,.docx,.xls,.xlsx,.ppt,.pptx,.dot,.dotx,.odt,.djvu,.odts,.reg,.rtf,.zip,.rar,.pdf, .7z,.wab,.pab,.vcf,.ost,.wav,.mp4,.m4a,.amr,.log,.cer,.em,.msg,.arc,.key,.pgp,.gpg;
— содержимое файлов, содержащих информацию об SMS-сообщениях, контактах, логах звонков, заметках, календаре, голосовой почте, истории браузера Safari, а также почте.
Модуль для Nokia обладает схожим функционалом и также собирает информацию о самом устройстве, SMS/MMS-сообщениях, календаре, контактах, установленных приложениях и также пытается найти и получить файлы со следующими расширениями:.txt,.cdb,.doc,.docx,.xls,.xlsx,.ppt,.pptx,.dot,.dotx,.odt,.djvu,.odts,.reg,.rtf,.zip,.rar,.pdf, .7z,.wab,.pab,.vcf,.ost,.jpg,.waw,.mp4,.m4a,.amr,.exe,.log,.cer,.eml,.msg,.arc,.key,.pgp,.gpg. Для своей работы с подключаемым к зараженному компьютеру мобильным устройством модуль использует библиотеку ConnAPI. dll из программы PC Connectivity Solution.
Нельзя не упомянуть компоненты Red October, работающие с устройствами на базе Windows Mobile. Эти модули делятся на две группы:
1) модули, работающие на зараженном Windows-компьютере (используются для заражения подключаемого к компьютеру мобильного устройства на базе Windows Mobile или обновления вредоносного ПО);
2) модули, устанавливаемые Windows-компонентом на подключаемый смартфон на базе Windows Mobile.
У первой группы модулей нет цели собрать информацию с подключаемого устройства с ОС Windows Mobile. Их основной задачей является установка бэкдора на смартфон (или обновление бэкдора). Бэкдор-компонент, который устанавливается на смартфон модулем из первой группы, имеет внутреннее имя «zakladka».
Помимо установки бэкдора, Windows-компонент также осуществляет загрузку на устройство других исполняемых файлов, которые используются для изменения конфигурации устройства, запуска бэкдора, его обновления или удаления, а также копирования с компьютера на смартфон специального конфигурационного файла с именем winupdate. cfg.
Этот файл изначально зашифрован. В декриптованном виде он выглядит следующим образом:
Дешифрованный winupdate. cfg
Данный файл содержит информацию о кодах MCC/MNC (Mobile Country Code и Mobile Network Code — код страны и код сотового оператора). Всего мы насчитали 129 уникальных стран и более 350 сотовых операторов в этих странах.
Бэкдор-компонент zakladka определяет MCC/MNC коды смартфона и сравнивает полученную информацию с информацией из файла winupdate. cfg, записывая все это в лог-файл.
Модуль zakladka пытается в цикле работы с C&C; отправить на прописанные в модуле адреса командных центров (win-check-update. com или, если этот домен недоступен, на mobile-update. com) POST-запрос следующего вида:
«POST %s HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 Content-Length: %d Host: %s».
В качестве ответа от удаленного сервера модуль получает файл, который сохраняется в \Windows\%u. exe и запускается.
Раз уж разговор зашел о C&C-;доменах, то, помимо win-check-update. com и mobile-update. com, нельзя не упомянуть следующие имена предполагаемых C&C;, которые были обнаружены:
— cydiasoft. com;
— htc-mobile-update. com;
— mobile-update. com;
— playgoogle-market. com;
— security-mobile. com;
— world-mobile-congress. com.
Итак, подводя небольшой итог, можно сделать следующие выводы.
Во-первых, нам известно о существовании нескольких модулей Red October, которые созданы для кражи информации с различных типов мобильных устройств.
Во-вторых, есть косвенные признаки (список ключей реестра, доменные имена) того, что у Red October существовали модули для работы с другими мобильными устройствами, в частности, на базе Android и Blackberry, но на момент публикации этой статьи они нами не обнаружены.
Заключение.
Со времени появления вредоносных программ для мобильных устройств каждый год происходят события и инциденты, которые становятся очередной вехой в развитии мобильных зловредов. И 2012 г. можно назвать, пожалуй, одним из наиболее значимых. Почему?
Во-первых, в этом году количество мобильных зловредов резко выросло.
Во-вторых, основной мишенью киберпреступников определенно стала платформа Android.
В-третьих, мобильные угрозы стали «интернациональными». Сегодня мишенью киберпреступников являются не только российские или китайские пользователи мобильных устройств, как это было ранее. Серьезные инциденты с ущербом немалых размеров были зафиксированы и в других странах.
В-четвертых, были получены доказательства того, что мобильные устройства и данные, которые на них хранятся, могут быть целью не только обычных киберпреступников, но и различных организаций, которые стоят за атаками, подобными Red October. А Red October — это очень опасная кибератака. Отсюда и делайте выводы!!!
——————————————————————
Интервью: «Если будут «валить» регион, город или страну целиком — до свидания». Генеральный директор ЗАО «Лаборатория Касперского» Е. В. Касперский о киберугрозах, бизнесе и личном состоянии
(«Право и кибербезопасность», 2013, N 1)
«ЕСЛИ БУДУТ «ВАЛИТЬ» РЕГИОН, ГОРОД ИЛИ СТРАНУ
ЦЕЛИКОМ — ДО СВИДАНИЯ»
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР ЗАО «ЛАБОРАТОРИЯ КАСПЕРСКОГО»
Е. В. КАСПЕРСКИЙ О КИБЕРУГРОЗАХ, БИЗНЕСЕ И ЛИЧНОМ СОСТОЯНИИ
В. НОВЫЙ
Если государства не договорятся о международном регулировании Интернета, то Сеть распадется на изолированные сегменты, предупреждает в интервью «Ъ» основатель и генеральный директор «Лаборатории Касперского» Е. Касперский.
— На протяжении многих лет вы отвечали за антивирусные исследования «Лаборатории», а ваша бывшая супруга Наталья Касперская управляла бизнесом. Сейчас вы занимаетесь разработками или в целом курируете стратегию компании?
— То, чем я занимаюсь, можно определить по тем людям, которые сидят на одном со мной этаже в этом здании. Это одни из лучших в мире антивирусных экспертов и разработчиков. То есть я ближе всего к разработке, к новым технологиям и к угрозам.
Мне приходится много ездить, последнее время меня стали все чаще приглашать на высокоуровневые правительственные мероприятия, конференции, стали назначать встречи на уровне Вашингтона и Брюсселя. И это хорошо — нужно, чтобы Запад и Штаты привыкали к существованию российских, нелокальных продуктов. Процесс длительный: Европа, можно сказать, уже привыкла, теперь вот Штаты привыкают — и пусть это займет несколько лет. В Западной Европе у нас есть государственные и военные контракты. В Штатах такого пока нет, там крупные корпорации и правительство абсолютно нелояльны к неамериканским продуктам — я, конечно, говорю здесь именно о рынке IT-безопасности, — тем более к продуктам из стран, не входящих в состав НАТО. И сейчас моя задача заключается в том, чтобы хоть немного изменить это правило. Задача очень сложная, но она будет решена. И вот это сейчас для меня один из главных фокусов.
— Каково сейчас состояние рынка IT-безопасности? Чего ждете в этом году?
— Рост сильно замедлился. Когда был кризис в 2008 — 2009 гг., рынок пошел вниз, потом случилась обратная волна, и он немного поднялся. На сегодняшний день рост снова замедлился. Я бы не сказал, что это падение, но, возможно, это ноль или небольшой минус.
— Почему?
— Ну, во-первых, все ждут кризиса. Очередного. Все считают денежки. В Европе, сами все знаете, плохо. Но при этом большого падения я все равно не ожидаю: все компании, бизнесы зависят от IT, серьезно сокращать бюджеты на IT-безопасность никто не будет, как никто не будет отказываться от пожарной безопасности. Есть стагнация или даже падение в потребительском сегменте. Идет отказ от компьютеров, переход на планшеты. Нельзя сказать, что в течение нескольких лет все перейдут на планшеты, но тенденция такая есть, тренд серьезный. А на планшеты киберпреступники пока не успели переориентироваться. Там же получается как — в этом вальсе трое танцующих: киберпреступники, жертва и IT-безопасность. Киберпреступники тоже люди, им нужно время, чтобы адаптировать свои технологии под новые операционные системы, новые девайсы. Но это обязательно случится: чем больше пользователей, тем больше денег и возможностей для мошенников, а значит, они обязательно начнут окучивать и эту полянку. Но это займет еще какое-то время. Также некоторое время уйдет на понимание того, что свои устройства нужно защищать. Сейчас похожая ситуация происходит со смартфонами: народ начал потихоньку устанавливать антивирусы на Android, но это не массовое понимание необходимости в защите.
В общем, если вернуться к теме состояния рынка IT-безопасности в 2013 г., то, по моему личному мнению, роста бизнеса ожидать не стоит, даже лидерам.
— Диверсифицировать продажи будете? Допустим, продавать по модели SaaS, т. е. сдавать антивирусные программы в аренду?
— Это зависит от региона. Дело в том, что у наших офисов довольно большая свобода по поводу выбора стратегии продаж. То есть Москва определяет генеральную продуктовую линию. Единственное, что является для нас принципиальным моментом, — это непрямые продажи, т. е. мы всегда продаем через партнерские сети. Коррупционные схемы категорически неприемлемы, это все знают — голову буду отрывать. У нас даже за аффилированные вещи — увольнение. Или внутрикорпоративная ссылка была однажды. Одну девочку из Китая в Индию сослали. Это все равно что из Москвы сослать в Уренгой какой-нибудь.
— В 2009 г. в рекламе «Лаборатории Касперского» участвовал Джеки Чан. Как вам удалось его уговорить сниматься в рекламе?
— Дело в том, что наш директор Тихоокеанского региона его старый приятель. Они учились вместе у одного учителя кунг-фу.
— Будете продолжать рекламное сотрудничество?
— Не знаю. Это опять-таки локальный маркетинг. Возможно, что в Китае, в азиатских странах будем.
— Привлечение суперзвезд к рекламе — это эффективно?
— На самом деле это очень интересная штука, потому что получаешь совершенно непредсказуемый опыт. С одной стороны, Джеки Чан, с другой стороны, девушек на Южный полюс на лыжах отправили, да и сами слетали. Какая может быть у нормального человека причина прокатиться на Южный полюс? С девчонками встретиться! А партнерство с Ferrari, а проведение IT-конференций в Урюпинске и Козьмодемьянске… Я вообще очень люблю необычные проекты. И чем они необычнее, тем мне больше нравятся.
— Какие компьютерные угрозы будущего вы видите?
— К сожалению, есть три сценария кибератак, которые могут привести к разрушительным последствиям. Первый — это атака на индустриальные системы, энергетику, транспорт, т. е. атака на компьютеры, которые управляют всем этим миром начиная с лифтов, светофоров и т. д. Второй сценарий — атака на критически важную IT-инфраструктуру. Если банковская система встанет на несколько дней, понятно, это спокойно может привести к панике. А третий сценарий — это атака на телеком: на Интернет, мобильные системы. Это три самых плохих сценария, которые приходят мне в голову. Хорошая новость заключается в том, что хуже сценариев у меня нет. И если раньше год за годом возникали сценарии все хуже и хуже, то теперь, я думаю, мы уперлись в потолок. Будет ли это третья мировая война в киберпространстве? Я надеюсь, что нет.
— Хакер сможет запустить ракету?
— Не надо ракету запускать. Физические разрушения инфраструктуры можно устроить и через Интернет.
— Чтобы узнать угрозы будущего, нужно их моделировать, чтобы попытаться как-то с ними бороться? Вы делаете искусственные угрозы, чтобы придумать защиту, или все происходит умозрительно?
— Достаточно прикинуть в голове. В прикладной физике и механике, я думаю, действительно нужно сначала придумать, потом сделать прототип и посмотреть, летает он или не летает. А в компьютерном мире все-таки это не так, потому что, если мы что-то придумали, скорее всего, это действительно можно осуществить. Поэтому нам не требуется разрабатывать никаких киберторпед.
— Какой процент от прибыли вы направляете на R&D;?
— Мы не раскрываем этой информации. Но могу сказать, что треть наших сотрудников работает в R&D.;
— Кто ваш партнер по разработке защищенной операционной системы?
— Именно разработкой, т. е. написанием кода, мы занимаемся самостоятельно. Есть несколько компаний, которые помогают нам экспертизой, но, боюсь, их имена я не могу назвать. Это компании, которые делают SCADA (системы диспетчерского контроля и сбора данных. — «Ъ»). Операционная система в текущем ее виде — это не продукт. Это платформа, среда для разработки. А заказчику нужен продукт. А продукт — это SCADA, которая управляет железками. Мы даем операционную систему — т. е. это тот уровень, который обеспечивает безопасность софту,- которая работает над этой операционной системой. Но что именно это будет за софт — мы должны определить вместе с партнерами. Все SCADA-системы уникальны, поэтому и софт везде разный. Общее у него сейчас только одно — его уязвимость для хакеров.
— Сохраняется цель обогнать McAfee и Trend Micro?
— Цель у нас, конечно, такая есть, но мы ее не анонсировали — скорее конкуренты не смогли больше нас игнорировать и начали о нас говорить. Вообще сейчас наш главный технический и продуктовый конкурент — Symantec. Я бы сказал, что мы идем ноздря в ноздрю в плане технологий, и это довольно опасный момент. У нас сейчас есть хороший шанс вырваться вперед, попасть в тройку лидеров. Не все компании, находящиеся впереди нас, уделяли должное внимание технологиям. А для нашей отрасли это может быть губительно.
— Возможно ли и дальше увеличивать долю рынка без поглощения?
— Да, возможно, почему нет. Мы добились номера четыре в индустрии без поглощений. Много лет назад я сказал, что целить нужно на номер один, а мы на тот момент были номером восемь-девять и добились успехов без поглощений. Более того, я считаю, что поглощение в компании, которая хочет быть инновационной, вредно, а для компании частной это и вовсе необязательно. Поглощать технологии, продукты нам смысла нет никакого. Мы живем в России, и сами все сделаем быстрее и лучше. Русские разработчики — лучшие в мире, сказала мне однажды Кондолиза Райс (бывший госсекретарь США. — «Ъ»). Плюс к этому покупка технологии означает только одно — что текущий технический персонал не в состоянии сделать то же самое. Это очень сильно демотивирует людей.
А если говорить про покупку каналов, то и в этом я смысла не вижу, потому что мы их тоже сами построим.
При этом я не говорю, что мы отказались от идеи покупок навсегда: если вдруг попадется что-то интересное, будем рассматривать, но целенаправленно искать — нет.
— А вам предлагали объединение?
— Неоднократно хотели нас купить. Не купили.
— Почему?
— А зачем? Ну зачем продаваться? Смысл?
— Ну можно больше долю рынка получить…
— Нет, это будет уже не наша доля рынка. Это будет уже их доля рынка. Мне гораздо интереснее пытаться добиться успехов самому, и принимать решения самому, и нести за них ответственность, чем убеждать какого-то дядю в том, что я прав. И это была одна из причин, почему мы расстались с General Atlantic (Американский инвестфонд General Atlantic купил 15% акций «Лаборатории Касперского» в феврале 2011 г., исходя из оценки всей компании в $1,5 млрд., а через год «Лаборатория» выкупила эти акции обратно. — «Ъ»).
Нам нужно соблюдать некоторый баланс между сиюминутной выгодой и стратегическими инвестициями. Ну, допустим, возьмем ту же защищенную операционную систему. Когда я говорю с экспертами, когда я говорю со специалистами по IT-безопасности, они понимают, почему ее необходимо разрабатывать. А вот объяснить это дело финансистам невозможно. Они не понимают масштаб явлений. И не верят в то, что мы это можем сделать. И просто было очень тяжело отстаивать свою точку зрения, объяснять, что и зачем мы делаем. Надоело. Пришлось расстаться. А когда я объявил, что ни на какую биржу мы не пойдем. По-моему, в большей части случаев выход на биржу — это самый простой способ для владельцев компании и топ-менеджмента срубить кеш, сказать всем «спасибо» и «до свидания». Я перед собой такой цели не ставлю. Цель компании — спасти цифровой мир. Именно мир, а не отечество. Потому что в Интернете нет границ.
— То есть для вас отказ от IPO — это навсегда?
— Никогда не говори «никогда». А вдруг возникнет ситуация, которая потребует от нас выхода на биржу? Может быть, я не исключаю такого. Но это не в ближайшие пять лет. Может быть, даже не в ближайшие десять лет. А может быть, и никогда. Майкл Делл ведь решил обратно превратить Dell в частную компанию, да?
— И проблемы там начались…
— Естественно, все это очень болезненный процесс.
— У сотрудников наверняка же есть опционы, сотрудникам нужно дать возможность заработать?
— Да. Когда мы отказались от IPO, мы обратились к сотрудникам, у которых есть акции, и предложили их обналичить. Не все согласились. Некоторые оставили на будущее: а вдруг будут дороже. Сейчас у нас уже другая система мотивации, которая не привязана к опционам.
— Какова капитализация «Лаборатории Касперского», по-вашему?
— Если честно, не знаю. Меня она не особо заботит. В бизнесе для меня есть вещи актуальнее и важнее. Например, развитие технологий, расширение продуктовой линейки и увеличение прибыли.
— Правда, что вам предлагали инвестиции по оценке «Лаборатории Касперского» в $2 млрд., а вы отказались?
— Не помню такого. Лично мне никто не предлагал. В основном разговоры с инвесторами заканчиваются в момент предложения, до обсуждения цены. Стороннее финансирование, к счастью, нам не требуется, тьфу-тьфу, и я надеюсь на то, что и не потребуется. Я надеюсь, что никаких форс-мажорных ситуаций не будет ни у нас, ни в мире, ни на тех рынках, от которых мы зависим (это в основном Западная Европа, США и Россия). Технологии у нас есть и будут дальше развиваться, финансисты наши — грамотные ребята, продажники тоже хорошие. Я надеюсь, что нам не потребуется дополнительных вливаний.
— Журнал CEO включил вас в список долларовых миллиардеров, оценив ваше состояние в $1,18 млрд. Это достоверная информация? Как вы оцениваете свое состояние?
— Мое состояние, оно целиком аналогично моей доле в капитализации компании. А поскольку капитализация компании — это такой большой вопрос, то, соответственно, мое состояние — это процент от этого большого вопроса. Вот если это миллиард, значит, я не миллиардер. А если это десять миллиардов, то я мегамиллиардер. Но по большому счету мне это неважно, потому что мне и так хорошо.
У меня есть компания, квартира в Москве и машина BMW. Но кроме этого, у меня больше ничего нет.
— Какова ваша доля в «Лаборатории Касперского»?
— У меня много. Примерно 80%. Я очень, очень мажоритарный.
— Несколько недель назад «Лига безопасного Интернета», в которую входит «Лаборатория Касперского», предложила ввести в Костромской области белые списки интернет-сайтов, а по сути — цензуру, что было раскритиковано Минкомсвязи.
— Это тот самый случай, когда технологии могут использоваться как во благо, так и во вред пользователю. Если пользователю дать добровольный выбор, включить белые списки или нет, то это хорошая идея. Есть же «Родительский контроль», в конце концов: включаешь белый список и все, можешь быть спокоен за своего ребенка: пусть смотрит то, что папа с мамой разрешили. Если же эти списки насильно навязываются пользователям, то я против такого подхода.
— В декабре 2012 г. «Лаборатория Касперского» объявила о раскрытии шпионской кампании Red October, во время которой у госструктур в России и СНГ были похищены чувствительные данные. Объявление «Лаборатории» было сделано за день до того, как Владимир Путин поручил ФСБ бороться с киберпреступностью. Это совпадение?
— Вы серьезно думаете, что мы координируем нашу пиар-активность с Администрацией Президента? Самое страшное, что все это совпало со старым Новым годом.
— И что же нужно России исправить для того, чтобы защититься от кибертеррористов, кибервойн? И сколько это может стоить?
— Нужно защищать три вещи, о которых я говорил: критическую инфраструктуру, IT-инфраструктуру и телекоммуникации. А если атака проскочила, нужно уметь восстановить их работоспособность. Если говорить про IT-инфраструктуру, то гомогенная сеть более уязвима, чем гетерогенная. IT-инфраструктура должна иметь хотя бы минимальный дублирующий уровень.
Для проникновения в критическую IT-инфраструктуру компьютерными мерзавцами используются достаточно стандартные методы — незакрытые уязвимости и социальный инжиниринг. Здесь помогут продукты, которые мониторят уязвимости и могут перехватить подобные атаки. Плюс к этому образовательные программы для всех сотрудников по распознаванию social engineering атак — такой уголок IT-Остапа Бендера. Понятно, да? Показывать на примерах, что это такое, как хакают даже самые крупные и защищенные компании из-за доверчивости их сотрудников, какие были инциденты. Скажем, с пола чужую USB поднимать — ни-ни! Всякое может быть…
Если говорить про индустриальные системы, то для эффективной защиты необходимо несколько вещей. Первое — физическая изоляция объекта инфраструктуры. Как правило, модель безопасности таких объектов основана на принципах security by obscurity (безопасность через сокрытие) и air gap (физическая изоляция). Второе — наличие отстойника, транзитом через который информация попадает в систему. Это может быть, например, компьютер с другой операционной системой. Третье — принцип default-deny, когда система не воспринимает любого другого софта, кроме разрешенного. Ну и конечно, все это должно работать на защищенной операционной системе. Это самый дорогой, сложный и важный пункт.
А вот как защищать телекоммуникации от глобальных DDoS-атак? Боюсь, что никак. Если будут «валить» регион, или город, или страну целиком — до свидания. Возможен только реактивный ответ. Но, повторюсь, речь идет о глобальных кибервойнах. От менее серьезных атак на компании, когда это не настолько смертоносно, защититься можно, и решения для этой задачи существуют.
— Как вы думаете, может ли «арабская весна» распространиться на Россию?
— Любое государство имеет свои внутренние проблемы. Я думаю, что эта волна может распространиться на любое государство. И я боюсь того, что социальные сети в этом могут играть одну из ключевых ролей.
— Есть проект закона о регулировании Интернета — с распределением обязанностей его участников, с их ответственностью. Что об этом думаете?
— Очень сложно это, и к тому же не будет работать без соответствующих международных соглашений. Есть другой технический способ решить эту проблему — как в Китае. Поставить файрвол вокруг страны и запретить все внешние социальные сети. На мой взгляд, это нехороший путь. Я все же за международное сотрудничество.
— А как в России будет решен вопрос? У нас, кстати, черные списки заработали без международных соглашений.
— Я очень боюсь того, что если будет продолжаться несогласованность действий государств в Сети, то это приведет к фрагментации Сети на национальные сегменты. Если не будут приняты соответствующие международные соглашения, не будет налажено международное сотрудничество, то очень многие страны пойдут по сценарию Китая, потому что просто страшно. Электронная почта, может быть, будет работать. А вот веб-сайты могут быть как в черном, так и в белом списке. И ведь могут сделать так, что не сможешь залезть снаружи в национальный ресурс. Вот это будет плохо на самом деле. Интернет — такая штука, свободной информации много. Не хочется это терять.
Интервью взял
Владислав Новый
——————————————————————