Совсем недавно свой 70-летний юбилей отметил Дмитрий Лозинский, создатель первого российского антивируса Aidstest, а ныне – заместитель генерального директора компании “Доктор Веб”. Вся история развития антивирусной индустрии прошла на глазах этого человека и при его непосредственном участии. О сегодняшней ситуации в этой сфере и её перспективах с Дмитрием Лозинским побеседовал 1-й заместитель главного редактора PC Week/RE Игорь Лапинский.
PC Week: В последнее время практически все ведущие поставщики средств информационной безопасности заявляют о повышении активности создателей вредоносного ПО. А о чем свидетельствует опыт вашей компании?
Дмитрий Лозинский: О том же. Достаточно посмотреть на статистику пополнения нашей базы вредоносного ПО — она растет просто катастрофическими темпами. За последние пару месяцев число записей увеличилось примерно на 100 тысяч. Возможно, я немного утрирую, но порядок именно такой. Что будет дальше, трудно представить.
PC Week: С чем, по-вашему, это связано?
Д. Л.: Такого рода деятельность с некоторых пор переросла в бизнес, и он быстро набирает обороты. В частности, спам превратился в одно из самых активных средств распространения рекламы. Соответственно изменился и характер вредоносного ПО. Настоящих вирусов, которые заражают программы, уже довольно мало — от них осталось только название. Вирусоподобные технологии используются в основном для создания сетевых червей, с помощью которых злоумышленники зомбируют компьютеры пользователей и таким образом формируют бот-сети для распространения того же спама, а потом продают их заинтересованным структурам или сами используют. Кстати, этот бизнес так же пострадал от кризиса, как и любой другой. Посмотрите, чуть ли не половина спама — это предложения по организации спам-рассылок.
PC Week: Угрозы нарастают, а защищенность коммерческих предприятий и частных пользователей…?
Д. Л.: Для того чтобы задуматься об организации нормальной защиты, наверное, нужно хоть раз серьезно “попасть”. Ведь большинство угроз проявляются незаметно для обычного пользователя, и люди просто не понимают, насколько важно противостоять этим угрозам. Буквально на днях помогал знакомой поставить регистрационный ключ от нашего продукта Dr.Web. Месяц или полтора она прожила без антивируса, и как только Dr.Web ожил, сразу нашел, что почистить. И это при том, что, кроме почты, она ничем не пользуется.
Если взять предприятия, то и тут приходится констатировать — до сих пор далеко не все понимают, что экономия на средствах ИБ в конечном счете обходится дороже. Ведь у нас мало кто занимается архивацией данных по-человечески, а потому и восстановить их в случае чего скорее всего не удастся. Я знаю, например, как принято в солидных американских компаниях: там в обязательном порядке проводится ежедневная архивация и все архивы передаются в специальную фирму, которая хранит носители в территориально удаленных точках на случай каких-либо катаклизмов. Что бы ни произошло на месте, восстановить информацию можно будет в течение суток. Для этого раз в год или два проводятся специальные учения по восстановлению данных. У нас такое много где встретишь?
PC Week: Но при катастрофическом росте числа угроз и количество серьезно “попавших” должно бы расти…
Д. Л.: Надо признать, что рынок средств защиты действительно развивается. И доходы нашей компании растут. Значит, все больше людей приходит к пониманию необходимости использования средств защиты. Этому, очевидно, способствует и появление бесплатных программ. Мы вот тоже пару лет назад выпустили свой бесплатный продукт Dr.Web CureIt! И если с помощью такого инструмента человек обнаружит у себя десяток вирусов, да еще и разных, тогда, возможно, задумается о покупке коммерческого продукта. Ведь, как правило, бесплатный продукт — это не защита, а только лечение. А для защиты нужен резидентный модуль, контролирующий ситуацию в реальном времени. Кроме того, важна частота обновления сигнатурных баз — мы делаем это уже раз в полчаса, а бесплатные продукты обновляются значительно реже.
Но пока привычки покупать антивирусное ПО еще не выработалось. Посмотришь на какой-нибудь компьютер — и у нас, и за рубежом — стоит антивирус, полученный вместе с компьютером и давным-давно не работающий. Это абсолютно типичная ситуация.
PC Week: Но вы сами отметили, что большинство нынешних угроз проявляются незаметно для обычного пользователя, а коли так, то и беспокоиться вроде бы не о чем…
Д. Л.: Действительно, зачастую вроде бы ничто не мешает обычной работе. Да и реально украсть у наших пользователей в общем-то нечего. Но это не значит, что у них не возникает или не возникнет неприятностей. У одних со временем нарушается нормальное функционирование каких-то программ и в конце концов приходится переустанавливать ОС и весь набор приложений, другим провайдер блокирует доступ в Интернет, обнаружив, что их компьютеры используются в составе бот-сети для рассылок спама… Но стандартная психология пользователя в том и проявляется, что пока он не чувствует вреда для себя, он не задумывается о приобретении ПО для защиты. Это и создает почву для различного рода эпидемий.
PC Week: В принципе, антивирусное ПО для частных пользователей не так уж дорого стоит. Но ведь многие, установив пробную версию того или иного ПО, начинают испытывать дискомфорт — компьютер явно “тормозит”. Особенно это может быть актуально для владельцев нетбуков — все более популярных, но сравнительно маломощных устройств.
Д. Л.: На самом деле такое ПО не требует больших ресурсов от компьютера. Просто оно задействовано в узком месте — подключается к файловой системе, и соответственно файловые операции подтормаживаются. К тому же, как я уже отмечал, объемы базы катастрофически растут, а её нужно просматривать каждый раз при анализе кода. Но мы принимаем меры к ускорению этих процессов, и недавно нашли решение, которое позволило снизить требования к аппаратным ресурсам ПК примерно на 30%. Кроме того, во многих случаях пользователь может отключить некоторые режимы (например, проверку файлов при чтении с жесткого диска, проверку архивов) и таким образом заметно снизить нагрузку на резидентную часть антивируса.
PC Week: Принципиально данная проблема могла бы быть решена вынесением борьбы с вредоносным ПО за рамки пользовательского компьютера. С вашей точки зрения, это возможно?
Д. Л.: Я думал на эту тему. Конечно, было бы здорово, если бы у всех провайдеров прямо на входе стоял мощный антивирус, анализирующий все протоколы и потоки, выявляющий подделку обратного адреса (очевидная DDoS-атака), активные SMTP-операции и т. д. Это очень помогло бы снизить остроту проблемы, тем более что при таком подходе можно охватить весь спектр угроз. Но ведь для этого кто-то должен понести начальные расходы на разработку операторских систем, которые потом могли бы взять на вооружение провайдеры. Эти системы не станут массовыми, а потому будут весьма дорогими. И для их работы, наверное, потребуются мощные аппаратные платформы. А кто за все заплатит? Все упирается в это. Не думаю, что провайдеры готовы к такому подходу и могут реализовать его сами, без давления со стороны.
PC Week: В последнее время чуть ли не каждую неделю мы получаем сообщение о том, что очередной провайдер взял на вооружение ваш сервис AV-Desk . Чем обусловлен их интерес к данному решению?
Д. Л.: Любому провайдеру выгодно, чтобы в его сети поменьше вирусов болталось. Ведь заразившийся абонент становится проблемой для провайдера. Куда такой абонент будет звонить в первую очередь? В службу технической поддержки абонентов. И, если начинается вирусная эпидемия, служба просто перестает справляться с потоком обращений, а ведь у неё много иных задач и проблем. Dr.Web AV-Desk позволяет провайдеру контролировать ситуацию и в случае заражения абонентского компьютера принимать экстренные меры, исключающие распространение заразы в сети. Кроме того, предоставляя антивирус как услугу, провайдер получает дополнительную возможность заработать.
PC Week: А в чем в данном случае заключается выгода для пользователя при том, что ему предлагается всего один продукт?
Д. Л.: Для подавляющей части пользователей процедуры по выбору, приобретению, регистрации, регулярному обновлению антивирусного ПО оказываются довольно сложными. И это проблема не людей. Это наша проблема. Мы должны делать все как можно проще. А в рамках предоставляемой провайдером услуги все вопросы упрощаются. Стоимость ПО включается в ежемесячную абонентскую плату за доступ в Интернет, получать и вводить регистрационный ключ не нужно, за обновлением ПО следит администратор на стороне провайдера. То есть все сделано в расчете на среднего пользователя, не обладающего глубокими познаниями в области компьютерной техники и не готового тратить время на приобретение таких знаний. Кроме того, услуга провайдера зачастую обойдется ему дешевле продуктов, предлагаемых в интернет-магазинах и компьютерных салонах.
PC Week: Сейчас повышенный интерес проявляется к свободному ПО и Linux, в том числе на государственном уровне. И один из аргументов в пользу этой ОС — повышенная по сравнению с Windows защищенность и отсутствие характерных для последней угроз. Тем не менее ваша компания уже предлагает антивирусное ПО для Linux. В нем есть реальная потребность?
Д. Л.: У нас и под Mac OS есть продукты. Все они ориентированы на Intel-платформу, а какая оболочка — это уже не столь важно. Если предвидится спрос на такое ПО, значит, нужно его создавать. Пока реальных угроз для Linux и Mac OS почти нет по простой причине — нет плотной сети компьютеров с такими ОС. Ведь вирус работает по закону цепной реакции — каждый экземпляр в среднем должен заразить больше одного компьютера. Поскольку компьютеры с Linux и Mac OS пока встречаются довольно редко, мелкие пакости для их пользователей устроить можно, и их уже устраивают, но самораспространяющееся ПО в этой среде пока не живет. Между тем, скажем, Linux-машины вполне могут достичь такой плотности, когда заражение станет возможным. А в любой сложной системе всегда есть уязвимые места. Просто их ищут пока только в Windows в силу распространенности этой ОС.
PC Week: В начале нашего разговора вы сказали, что при таких темпах роста числа компьютерных угроз трудно представить, что будет дальше. И все же, видимо, должен наступить момент, когда количество перейдет в качество?
Д. Л.: Я надеюсь, что это уже не будет иметь отношения ко мне. А вообще-то законы должны догнать рыночную ситуацию. Ведь все несчастья компьютерного мира – от того, что он слишком быстро развивается и законодательство за ним не поспевает. Именно поэтому стал возможен, в частности, бум доткомов, обернувшийся затем их крахом. А сейчас мы переживаем вторую производную того краха — высвободившиеся деньги перетекли в недвижимость, и вздулся новый пузырь. Это я к тому, что много проблем возникает от непонимания ситуации, обусловленного быстротой её изменения. Чуть ли не 20 лет назад начали сочинять уголовные законы в связи с распространением вирусов. Я тогда немного поучаствовал в этом процессе, и, может быть, с моей подсказки термин “вирус” в формулировках заменили на “вредоносные программы”. А первоначально хотели вписать в закон именно “вирус”. Сегодня такой закон оказался бы неработоспособным, потому что формально то, что ходит сейчас, — это не вирусы.
PC Week: Вы полагаете, что законодательными мерами можно снизить остроту проблемы?
Д. Л.: Ну хотя бы наказывать злоумышленников можно будет. Ведь сейчас реально наказать спамера нельзя (по крайней мере я не знаю таких случаев), хотя вред они наносят огромный, многомиллионный. А посади первых пять человек, и многие задумаются. Вот только разработать закон, который позволил бы это сделать, не так просто — ситуация очень быстро развивается.
PC Week: Спасибо за беседу.