Как изменятся методы выявления вирусов, как повлияет на безопасность пользователей интернет вещей, и смогут ли вирусописатели переквалифицироваться в антивирусных экспертов? Об этом KV.by рассказали Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев и антивирусный эксперт в области интернета вещей Денис Легезо.

Уже многие годы антивирусы продолжают скачивать вирусные базы на компьютеры пользователей. В ближайшее время в этом плане что-нибудь поменяется?

Александр Гостев: Основным сейчас остается по-прежнему сигнатурный метод, второй по значимости является эвристика. Важной дополнительной технологией становится поведенческий анализатор, который контролирует поведение файла в системе. К примеру, если мы загружаем исполняемый файл с сайта, домен которого зарегистрирован два дня назад, - это подозрительно.

Очень эффективен поведенческий анализатор в борьбе с троянами-шифровальщиками: по изменению формата файлов мы можем предположить, что произошло заражение, и успеть спасти значительную часть пользовательских данных.

Защита теперь ставит себе задачу не обнаружить врага, а предотвратить его проникновение. С уверенностью могу сказать, что в ближайшие годы ничего кардинально нового в детектировании не появится, просто начинают применяться технологии, которые изначально использовались в других областях. К примеру, сегодня задача антивируса во много пересеклась с файрволлом: он должен «слушать» исходящий трафик, чтобы понять, не уходят ли куда-то пользовательские данные. Это очень эффективный метод защиты от целевых атак, которые могут производиться не с помощью вредоносов, а через вполне легальное ПО.

Может быть, на помощь придут нейронные сети? Ведь не только для фильтров в «Призме» их использовать.

Александр Гостев: С нейронными сетями мы начали активные эксперименты еще в 2005-2006 годах, и сегодня в «Лаборатории Касперского» есть специалисты, которые имеют защищенные кандидатские по нейронным сетям. К примеру, еще тогда мы обнаружили массовую рассылку троянов в запароленных архивах, пароль к которым прилагался в тексте письма. Мы написали небольшую нейронную сеть, которая научилась находить этот пароль в теле письма.

Сейчас основная сфера применения нейронных сетей в индустрии защиты информации – это технологии контентной фильтрации, анализ фишинговых сайтов, защита детей от «взрослого» контента. Перспектив в применении нейросетей в качестве альтернативы сигнатурам я не вижу – вредоносный код крайне быстро меняется, у нейронной сети просто нет времени обучаться сотням тысячам новых фрагментов кода ежедневно. Мы получим запредельно высокий уровень ложноположительных срабатываний, или же совсем «дырявый» антивирус. Даже не знаю, какой из этих вариантов лучше.

Интернет завтрашнего дня – это интернет вещей. Безопасен ли он?

Денис Легезо: Интернет вещей заставляет нас менять подходы к безопасности. Когда создавали протоколы, по которым обмениваются между собой информацией устройства в автомобиле, никто не думал, что это когда-нибудь пойдёт в большую Сеть. Основная проблема интернета вещей заключается именно в этом: вещей у нас слишком много, и есть огромное количество устройств, при разработке которых никто вообще не задумывался об информационной безопасности. Да и сейчас далеко не всегда разработчики чего-нубудь «умного» думают о безопасности передаваемых со своих устройств данных.

В чем главная сложность защиты интернета вещей?

Денис Легезо: Устройства интернета вещей обычно маломощные, и нет возможности установить на них такую же «тяжелую» защиту, как ПК или даже смартфон. Должен быть некий легкий агент, который будет постоянно связан с большим вычислителем, определяющим, есть в данный момент атака, или нет.

Есть и проблема с физической безопасностью: те же камеры наблюдения, например, легко доступны для злоумышленников, но обычно от этого производители защищаются с помощью шифрования прошивки и запрета на выполнение отладочных команд.

С устройствами интернета вещей есть вероятность заражения еще на стадии разработки прошивки: если разработчику подсунуть специальным образом модифицированный SDK и среду разработки, то и прошивка, которую он создаст для устройства, окажется инфицированной. Таким приемом в последнее время часто пользуются китайцы.

Каким образом злоумышленники будут зарабатывать на IoT-вредоносах?

Денис Легезо: По сути дела, коммерциализация для большинства видов вредоносного ПО уже достаточно хорошо отработана, и здесь интернет вещей не станет исключением. Например, можно создать портал, на котором будет продаваться доступ к конкретным устройствам в конкретный момент времени. А если устройство выполняет какие-то критичные для своего владельца функции, то можно применить классический прием трояна-шифратора: хотите использовать дальше – заплатите. Если вам сделает такое предложение автомобиль, особенно в тот момент, когда вы спешите, - отказаться будет достаточно сложно.

Когда это станет массовым?

Денис Легезо: Уже стало. Смарт-телевизоры уже вовсю заражаются криптолокерами, уже есть троян под процессорную архитектуру MIPS, успешно создающий ботнеты из роутеров, была DDoS-атака с помощью ботнета, сделанного из видеокамер…

Нет ли у тех, кто работает в индустрии ИБ, соблазна перейти «на темную сторону» из-за денег?

Александр Гостев: В США были подобные случаи. Когда-то, помню, в занимающейся безопасностью компании FireEye поймали стажера, который написал мобильный троян. Вроде бы, он даже получил реальный тюремный срок. В «Лаборатории Касперского» тоже был в 2003 или 2004 году инцидент, когда на работу пришел устраиваться член хакерской группировки 29А. Мы посмотрели на образцы кодов, которые он принес, поняли, что уже видели их во многих вредоносах. В итоге мы сдали его в полицию.

Вопреки распространенному убеждению, брать бывших киберпреступников на работу в компанию, занимающуюся защитой информации, - неэффективно. Проблема в разнице того, что по-английски называется «майндсетом», а по-русски, видимо, это будет менталитет. Антивирусные аналитики занимаются реверс-инжинирингом, исследуют чужой код. Вирусописатели создают свой. Аналитику даже не обязательно уметь программировать, у него немного другие задачи. Поэтому в антивирусной индустрии есть негласное правило: бывших вирусописателей на работу не брать.

По поводу заработков вирусописателей и аналитиков: у киберпреступников, как и в любом бизнесе, из ста человек, которые пытаются этим заниматься, действительно хорошо зарабатывают один-два. Остальные через год-другой оставляют это занятие. Приведу простой пример: недавно с нашей помощью в Самаре арестовали хакеров, которые за год работы заразили 160 человек, и заработали на этом 1,7 млн. рублей. Это получилось около 35 тысяч в месяц – хороший антивирусный аналитик может заработать намного больше. Занимайся они легальным бизнесом, их знания были бы востребованы куда больше.