Антивирусы в облаках

Сегодня "Лаборатория Касперского" провела пресс-конференцию "Компьютерный андеграунд 2008-2009: итоги и прогнозы", где эксперты компании представили итоги года в области борьбы с вредоносными программами и спамом, дали свои прогнозы, а также рассказали о планируемых новшествах в своих продуктах. На фуршете подавали фуа-гра, блины с раковыми шейками и seafood (редкая вещь для IT-прессухи). Плюс много пирожных, и вино тоже неплохое.

Чем пугали

Основой конференции стали отчеты "Развитие угроз в 2008 году" и Спам в 2008 г". Мне сразу вспомнился недавний разговор с Ашмановым о том, что киберпанк нынче писать не надо - достаточно почитать отчеты Касперского.

"Лаборатория" действительно впечатляет тем, как она развернулась в области education marketing. То есть мы понимаем, что это marketing, то есть самореклама и все такое. Однако объем полезной информации таков, что в натуре похоже на education. На этом фоне доклады различных "кнопок Рунета" на конференциях выглядят просто идиотскими.

Правда, у этой палки есть и другой конец - после докладов ЛК аудитория пришибленно молчит, пока наконец какая-нибудь девушка не выжмет из себя вопрос типа "Ну как же все-таки защититься без презерватива?". Приходится спускаться на землю. В этот раз Александр Гостев, аналитик ЛК, прямо так и сказал: "Перестаньте пользоваться браузером Internet Explorer! Перестаньте пользоваться MS Windows! Я лично уже перестал!"

Если вкратце, тренды года таковы:

(1) В 2008 году умирают "эксклюзивные" вредоносные программы, на смену им идут троянцы и вирусы, созданные на продажу "третьим лицам"; намечается четкое "разделение труда" и специализация по созданию, распространению и использованию.

(2) Роль главного вредоносного лидера занял Китай, но законодателями мод остаются русские (странно, что забыли Украину; по-моему, этот офшор еще покажет себя не хуже Китая - дело же не в количестве населения, а в дырах правового поля).

(3) Ренессанс файловых вирусов: люди забыли про дискеты и привыкли, что вирусы идут из Сети. Но теперь все забегали с флешками, а оттуда тоже зараза прет.

(4) Несколько побед за счет международного сотрудничества: закрыли вредоносные хостинги RBN, EstDomains и McColo - возможно, из-за этого некоторые ботнеты сдулись. Но не все.

(5) Распространение руткитов и буткитов (Rustock.C, Sinowal): их немногие ловят и лечат.

(6) Социальные сети как рассадник вредоносного ПО.

(7) Рост числа программ, нацеленных на кражу паролей к играм и кражу виртуальных ценностей.

(8) Рост числа атак на мобильные телефоны и начало коммерциализации таких атак.

(9) Поддельные антивирусы.

Что будет завтра

Прогнозы ЛК мне показались не настолько "образовательными", как итоги. Во-первых, тут сильнее чувствуются собственные увлечения Лаборатории - например, многократное повторение страшилок про руткиты и буткиты.

Во-вторых, некоторые прогнозы учитывают только один фактор - причем именно тот, который развивает негативную тенденцию. Вот эти прогнозы:

1) Обещают, что фишинга будет больше - потому что из-за кризиса много неразберихи вокруг банков, получается больше способов обмана.

(Но с другой стороны, из-за кризиса люди меньше будут пользоваться банками и электронными деньгами, особенно в России... короче, сомнительный прогноз).

2) Вредоносное ПО пойдет на альтернативные платформы - в первую очередь Mac OS и мобильные.

(Логично, но тут Гостев противоречит себе - он же советовал убегать от MS Windows к альтернативщикам. Стало быть, неверный совет в долгосрочной перспективе?).

3) Обещают новые дивные ботнеты (Malware 2.5): у них может отсутствовать стационарный центр управления; использование универсальных центров для разных ботнетов; использование стойкой криптографии для взаимодействия с компьютерами-зомби; новые конкурентные решения при создании устойчивых распределенных систем, выдерживающих высокие нагрузки.

(Об этой перспективе русского искусственного интеллекта я писал в годовом обзоре трендов; вот только вопрос - насколько хакерам под силу такие академические задачи? Это ведь почти научные разработки... которые постоянно находятся под угрозой срыва со стороны ICANN, провайдеров, Интерпола и т.д. Кто может позволить себе такую роскошь? По-моему, только военные департаменты развитых стран. Сценарии такие есть, один даже совпал с реальностью во время войны с Грузией).

4) Новые глобальные эпидемии: на рынке кибер-преступности насыщение, а кризис выбросил на улицу много специалистов - так что будет обостренная конкуренция, для выживания им необходимо заражать как можно больше машин.

(тут возражения примерно те же, что и выше - странно верить, что лишившись работы, кто-то пойдет овладевать наукоемкой и очень ненадежной технологией в качестве спасения; может, он скорее пойдет торговать паленым видео у метро?)

5) Снижение активности игровых троянцев.

Этот прогноз мне нравится тем, чего в нем НЕ написано. Точнее, написано вскользь. На конференции не озвучивали эту мысль, но она есть в полном тексте доклада:

"Русскоязычные и восточноевропейские вирусописатели, ранее занимавшиеся именно такими видами преступности (игровые трояны), либо ушли из бизнеса, либо сменили вид деятельности, занявшись созданием и распространением AdWare и поддельных антивирусов".

Сразу возникает вопрос - а куда этот тренд ведет? У нас будет больше adware и spyware, которое не будет считаться вредоносным? Или наоборот, будет война Касперского с тулбарами и счетчиками?

Я спросил у Александра Гостева, чем кончилась история с компанией ComScore, которая предложила гражданам ставить свою шпионскую исследовательскую программу - а все антивирусы ее забанили. Гостев сказал, что не знает об этой истории.

Ладно, а как вообще разрешаются такие споры? У Лаборатории есть некий набор условий, по которым программа попадает в разряд adware или spyware. Если производители программ соглашаются исправить свою "вредную" фичу, их больше не банят. Из этого описания я понял только то, что программа должна иметь четкую "цифровую подпись" производителя и не делать ничего скрытого от пользователя. В общем, сделать легитимный кликбот вполне можно, да?

Чем будут отвечать

Во второй части конференции директор по исследованиям ЛК Николай Гребенников рассказывал о технологических трендах антивирусного рынка - и о некоторых своих планах.

В следующей версии KIS (2010) обещают собственный ботнет spyware тулбар для браузеров, который позволит "на лету" предупреждать о зараженных сайтах. В частности, инструмент будет помечать опасные сайты в результатах поиска "Яндекса" и других поисковиков.

В нынешней версии KIS 2009 уже есть модуль, работающий с базой вредоносных урлов - но он не работает с поиском, а отлавливает только одиночные урлы (например, присланные в ICQ). Кроме того, обновления "черного списка" урлов происходят только тогда, когда пользователь обновляет базы. В новой версии вредоносные урлы можно будет отслеживать быстрее, прямо во время онлайнового подключения пользователя.

При этом Николай Гребенников подчеркнул, что разметка вредных сайтов в поиске будет происходить именно на стороне конечного пользователя - а не в самом поисковике (как это реализовано, например, в Google). Напомню, что "Вебпланета" предлагала точно так же помечать зараженные сайты прямо в "Яндексе" - это было бы эффективным средством борьбы с ботнетами на массовой "точке входа" (трояны-загрузчики цепляются на зараженных сайтах). Но по словам Гребенникова, подобных проектов с "Яндексом" пока нет.

В следующей версии KIS также ожидается развитие техники контроля за активностью приложений (НIPS). Сейчас это работает так: приложения подвергаются многофакторному анализу, на основе которого им присваивается определенный рейтинг опасности. В зависимости от рейтинга, для всех неизвестных приложений вводятся различные ограничения на доступ к ресурсам, данным пользователей, устройствам и т.д.

Как рассказал Николай Гребенников, в будущем контроль активности может быть улучшен за счет появления sandbox ("песочницы") - некой виртуальной среды для запуска наиболее уязвимых приложений (например, браузеров) в особом режиме безопасности. После работы браузера в "песочнице" система будет зачищать все то, что этот браузер нагадил нацеплял.

В целом же антивирусники теперь делают большие ставки на cloud-технологии. Правда, под этим термином они понимают нечто свое. Обычно cloud computing - это распределенные /масштабируемые вычисления (или архитектуры для них). А в случае антивирусов работа in the cloud - это сбор мета-данных о подозрительной активности с пользовательских компьютеров. Проще говоря, если раньше антивирусники сами собирали вредные программы, то теперь им помогает оперативная обратная связь от клиентов. Главный плюс - это позволяет предупредить о заразе еще до того, как ее сигнатура попала в базы.

Такие системы сбора данных внедряют сейчас все лидеры антивирусного рынка. В случае ЛК это называется Kaspersky Security Network (KSN), о ее работе "Вебпланета" уже рассказывала. Кстати, нынешний годовой отчет Лаборатории, в отличие от предыдущих, сформирован как раз на основе данных, полученных при помощи KSN. Правда, Гребенников так и не сказал, сколько пользователей KIS согласились включить у себя эту "вебдванольную" фичу. Сказал лишь, что данных уже очень много.

Таким образом, может получиться, что рынок антивирусов сильно изменится - побеждать на нем будут те, чья "облачная" сеть для сбора данных больше и эффективней. В связи с этим мы поинтересовались, не выстрелит ли на этом рынке Google. Николай Гребенников признал, что у этой компании действительно есть преимущества в "облачных" технологиях. Однако, по его мнению, сам Google вряд ли будет создавать собственные антивирусы.

Интересный вопрос для размышления - а кто еще из IT-компаний мог бы неожиданно вскочить в этот облачный поезд? Microsoft не предлагать.

Кулуарное

После завершения круглого стола, уже в коридоре, я попал в шуточную дискуссию о том, каким образом Касперский мог бы деверсифицировать бизнес. Сейчас, например, пошла такая мода у IT-компаний - открывать собственные кафе. Как Лебедев с Лавкой или ABBYY с "АртеФаком".

Я предложил сотрудникам ЛК сразу подумать о таком кафе, чтобы оно отражало идеологию компании. То есть чтобы вся еда проходила открытую проверку на глазах покупателя - тест на нитраты, радиационный фон и так далее. Полезно и через металлоискатель пропускать (мне в одном питерском кафе попалась здоровенная гайка в супе). Для истинных бизнесменов можно сделать тест на гены свинины.

А после этого Касперский уже может и прививки от гриппа продавать. Ну а че? По крайней мере, будут показывать нам отчеты с цифрами - которых я так и не дождусь от медиков.

Другие репортажи