Не секрет, что вирусописатели давно начали сколачиваться в организованные кибербанды и работать не ради славы Герострата, а для весьма приличных заработков. В результате чего ИТ-мир стал очень хрупок . Того и гляди, как бы он вообще не развалился под грузом собственной сложности и уязвимости. Среди прочего ситуацию с ИТ-опасностями усугубляет то обстоятельство, что с появлением в последнем десятилетии прошлого века полиморфных вирусов (которые одинаковы “изнутри”, но совершенно различны “снаружи”) стало возможным поставить на поток производство зловредов с уникальными “вирусными сигнатурами” (специфичными участками кода), что привело к повышению нагрузки на антивирусные лаборатории. Так, только в компании “Доктор Веб” количество угроз, сведения о которых хранятся в её антивирусных базах, возрастает линейно: если в 2007-м их было чуть более 400 тыс., то в прошлом году стало более полутора миллионов.
“Ежедневно к нам поступает около 60 тыс. подозрительных файлов”, — заявил основатель и технический директор ООО “Доктор Веб” Игорь Данилов во время недавнего “Дня открытых дверей”. Основных источников этих файлов три: “компьютеры-ловушки”, фирмы-партнеры и пользователи наших продуктов. От последних ежедневно поступает до 10 тыс. подозрительных файлов. Многих интересует вопрос, как проводится анализ потенциальных зловредов. Специалисты компании “Доктор Веб” отвечают на него следующим образом: “Весь этот поток поступает на так называемый “автомат”, который использует наши фирменные технологии и без участия человека практически мгновенно анализирует его элементы. В случае необходимости он добавляет в антивирусную базу данных соответствующие записи, а пользователю, приславшему подозрительный файл, отправляет отчет. Те элементы входного потока, которые не поддаются автоматическому контролю или требуют специального лечения (это примерно одна треть от всего входного потока), поступают к вирусным аналитикам на ручную обработку”.
Попробуем оценить нагрузку, которая ложится на вирусного аналитика. На вышеупомянутом “Дне открытых дверей” было отмечено, что ныне в штате “Доктора Веба” состоит двадцать таких специалистов. То есть каждому из них за день приходится анализировать в среднем около тысячи подозрительных файлов. Согласитесь, что это, мягко говоря, очень много. “Да, нагрузки на вирусных аналитиков весьма велики, — говорит Игорь Данилов. — Поэтому во всем мире спрос на такого рода специалистов (они должны обладать уникальными знаниями) очень велик. К тому же в большинстве стран (в том числе и в России) нет учебных заведений, где готовят вирусных аналитиков. Да и по другим специальностям искать ИТ-специалистов с каждым годом все труднее”.
Вот как видит причины этого дефицита Игорь Данилов: “Лучшие из них либо уехали за рубеж, либо и в нашей стране получают столь высокую зарплату, что “перебить” её практически невозможно. То есть, конечно, возможно, но экономически нецелесообразно. В этом отношении столичные компании находятся в более выгодном положении, так как многие региональные ИТ-специалисты стремятся жить в Москве, где, как им кажется, больше возможностей для построения карьеры. А ведь нам нужны не просто программисты, а программисты очень высокого уровня. Иногда закрадывается мысль: а не открыть ли нам центр исследований и разработок за рубежом? В какой-нибудь стране, где дефицит грамотных программистов меньше”.
Из 60 тыс. подозрительных файлов, которые ежедневно анализируются компанией “Доктор Веб”, почти 99% так или иначе связаны с платформой Windows. “В то же время доля файлов, опасных для других платформ, не является какой-то постоянной величиной, а испытывает определенные колебания, — отмечает Игорь Данилов. — Зачастую пики этих колебаний связаны с тем, что организованные группы вирусописателей испытывают какую-то новую технологию изготовления вредоносного ПО”. Он также предупреждает: “Мы ещё наплачемся с Android’ными вирусами. В последнее время наблюдается стремительный рост количества вирусов, созданных для ОС Android, что вместе с недостаточной подготовленностью к данным угрозам пользователей смартфонов и планшетов, которая заметно ниже, чем у пользователей ПК, может вызвать определенные сложности у пользователей Android-устройств. Что бы там ни говорили, но классические ПК (настольные и мобильные) рассчитаны на несколько иную целевую аудиторию, чем смартфоны и планшеты”.
Среди вредоносных программ, обитающих в ”андрофонах”, ведущий вирусный аналитик “Доктор Веб” Игорь Здобнов выделяет приложения, не несущие полезной нагрузки (Android.SmsSend, Android.SpyEye.1), платные шпионские программы (Flexispy, Mobile Spy, Mobistealth), а также легитимные инфицированные приложения, распространяющиеся на сторонних торговых площадках (Android.Plankton, Android.Gongfu, Android.GoldDream, Android.AntaresSpy.1). В то же время он отмечает, что общее количество гуляющих по миру Android’ных вирусов пока исчисляется лишь сотнями. Однако лишь за девять месяцев этого года оно увеличилось почти в восемь раз.
Очевидно, антивирусные компании ещё долго не останутся без работы, а перед владельцами компьютеров и смартфонов по-прежнему будет стоять вопрос о том, чем защищать свои ИТ-устройства. “Хочу высказать крамольную мысль: защищать антивирусами надо лишь те компьютеры, на которых хранится ценная информация, — говорит Игорь Данилов. — По нашим оценкам, таковая имеется лишь на каждом пятом ПК. На остальных же компьютерах надо иметь только средства восстановления ОС и приложений. Это и проще и дешевле. Компьютеры же, на которых содержится особо ценная информация, либо вообще должны быть изолированы от Сети, либо иметь доступ только к строго ограниченному кругу сайтов”.
О доле компьютеров, на которых содержится информация, подлежащая защите, можно, конечно, поспорить. Но это мало что даст. Поэтому многих пользователей волнует вопрос: чем антивирусы разных производителей отличаются друг от друга?
Вот как отвечает на него технический директор компании “Доктор Веб”: “Образно говоря, тем же самым, чем отличаются друг от друга автомобили. Ведь в общих чертах все автомобили устроены одинаково — двигатель, кузов, четыре колеса, руль, тормоз и т. д. Но каждый производитель уделяет особое внимание вполне определенным подсистемам этого автомобиля (тем, которые он считает наиболее важными) и имеет свои ноу-хау для этих подсистем. Если говорить о наших продуктах, то их особенность изначально состояла в том, чтобы не только обнаруживать вредоносные объекты в компьютерных системах, но и лечить эти системы от последствий вирусных атак. Кроме того, наши программы лучше и быстрее всех выявляют полиморфные вирусы. А ещё у них самые маленькие по объему базы данных”.