Коллектив Авторов - Цифровой журнал «Компьютерра» № 159 (full)

Всё вместе это позволяет предположить, что взлом газет — дело рук не просто китайских кракеров, а кракеров, находящихся на государственной службе. Mandiant, одна из security-фирм, работающих на NYT, даже дала им название: «группа A.P.T. number 12″. Понятно, что дальше должен был произойти скандал — и он, конечно, случился: МИД Китая, другие официальные лица выступили с заявлениями, смысл которых сводится к недопустимости подобных обвинений без твёрдых доказательств. Что ж, китайскую сторону поддержал и кое-кто из западных журналистов (мол, даже если следы действительно ведут в Поднебесную, это ещё не значит, что виноваты китайские власти), но я предлагаю на этом остановиться и обратиться к другому аспекту истории.

Атаку на NYT, повторюсь, ждали, за ней следили, она вышла из-под контроля, а когда контроль над компьютерами издательства удалось восстановить в полном объёме, специалисты обнаружили почти полсотни экземпляров различных шпионских и атакующих программ. При этом защита — основанная в данном случае на инструментах Symantec — среагировала только на один (!) из образчиков заразы. Из этого популярная пресса немедленно сделала малоприятный вывод: если вами заинтересовались профессионалы, обычная защита вас не спасёт. Сама Symantec попыталась этот вердикт смягчить: мол, только антивируса действительно недостаточно, чтобы жить спокойно в постоянно меняющемся мире, следует использовать весь комплекс защитных средств. Компания не заявляет прямо: купите! Но это читается между строк. New York Times, очевидно, поскупилась, полагаясь лишь на один из компонентов защитного пакета Symantec. А скупой платит… ну, вы помните.

Собственно, в грызне между популярной прессой и антивирусными вендорами нет ничего нового: первая грешит на несовершенство программных продуктов, вторые рекомендуют не жмотиться, и длится это уже бог знает сколько. Но случившееся с NYT и её коллегами по цеху заставляет поставить вопрос ребром. Насколько вообще полезны стоковые защитные продукты — и антивирусы, как их основа?

Двадцать лет назад антивирусы были устроены просто: сличали кусок кода из программы с образцами известной заразы и при совпадении поднимали тревогу. Такой — сигнатурный — подход и поныне остаётся краеугольным камнем защитных механизмов, но вирусы не стояли на месте, и соответственно не стояли на месте технологии защиты. Вирусы научились шифроваться, мутировать на ходу, маскироваться в системе, внедряясь в ядро или критически важные программы. Самые современные, вроде Stuxnet и Red October, взяли манеру делиться на модули и подгружаться по частям. В свою очередь, защита освоила многогранный поведенческий анализ и — писк моды — анализ репутационный: безопасность каждой контент-единицы определяется комплексной оценкой по десяткам критериев (наличию цифровой подписи, источнику, дате создания и модификации и т.д. и т.п.).

Это то же самое соревнование щита и меча, что и в случае с военными технологиями, и — увы! — атакующие здесь также на шаг впереди. Для нового вируса или шпионской программы всегда можно подобрать новую уязвимость нулевого дня, протестировать на предмет незаметности той или иной защитой — и таким образом гарантировать проникновение в подзащитный периметр. В результате чем дальше, тем менее эффективен цифровой щит: статистика здесь приводится разная, но, к примеру, уже упоминавшаяся Mandiant пару лет назад показала, что антивирусными программами обнаруживается лишь каждый четвёртый образец вредоносного софта на персоналках.

Понятное дело, Mandiant не хуже и не лучше других игроков: она тянет одеяло на себя, предлагая пользоваться своими сервисами и продуктами. Но те немногие эксперты, что рискнули ответить на поставленный выше вопрос беспристрастно, дают парадоксальный ответ. Чтобы сделать домашнюю, корпоративную или национальную защиту эффективней, стоит перераспределить защитный бюджет. Вместо акцента на покупных инструментах следует использовать свободный антивирус и свободные же средства обнаружения проникновений (ClamAV + Snort, к примеру), а высвободившиеся деньги потратить на кастомизацию, подстройку защиты для индивидуальных особенностей ваших систем. Это даст лучший эффект и, возможно, будет дешевле, чем постоянное обновление билета на комфортабельное место в догоняющем составе.