СЕРГЕЙ БОБРОВСКИЙ: КОЛОНКА ОБОЗРЕВАТЕЛЯ
В любой системе есть хотя бы одна уязвимость.
Хакерская мудрость
Журналисты издания SonntagsZeitung (www.sonntagszeitung.ch) выяснили, что швейцарское правительство намерено использовать шпионское ПО (spyware)
для слежения за подозреваемыми. Силовые структуры страны недовольны технологиями наподобие общедоступных VoIP-систем со встроенным шифрованием типа Skype и пиринговых сетей, которые крайне усложняют перехват трафика с переговорами. По санкции суда на ПК швейцарских граждан будет тайно внедряться софт, разработанный местной компанией ERA IT Solutions (www. era-it.ch), работающей только с правоохранительными органами. За проект отвечает министерство энергетики, транспорта, связи и окружающей среды. Оно также обещает договориться с производителями антивирусов и межсетевых экранов на предмет игнорирования соответствующего шпионского софта их продуктами.
Программа-шпион после внедрения на ПК подозреваемого будет периодически отсылать замаскированные отчеты на специальный сервер. Она также потенциально способна включать встроенный в ПК микрофон или веб-камеру и организовать дистанционное прослушивание квартиры подозреваемого. За технический аспект данного процесса будут отвечать интернет-провайдеры.
Чтобы понять, насколько работоспособна подобная схема, надо ответить на два вопроса: удастся ли договориться со всеми производителями антивирусного ПО и каким способом шпионский софт попадет на компьютер "жертвы"?
Ответ на первый вопрос ясен - конечно, это невозможно. Если подозреваемый трудится в государственной структуре, на его ПК, скорее всего, установлен швейцарский антивирусный пакет. Но существует немало ситуаций, когда надо проконтролировать деятельность человека на домашнем компьютере, а он пользуется иностранным антивирусом, поэтому шпионская утилита должна быть тщательно замаскирована от выявления любыми внешними программами. Для этого хорошо подходят хакерские приемы, наработанные за 20-летнюю историю создания так называемых руткитов.
Под руткитом (от англ. rootkit) понимают любую технологию или инструмент, который способен скрыть процесс или данные от пользователя. Этот термин использовался при создании версий утилит Unix, которые не оставляли следов своей работы, а официальное хождение он получил в 2005 г., когда хакерские технологии были выявлены в системе защиты цифровых данных Sony BMG, устанавливавшей программы-шпионы на ПК пользователей.
Массовая хакерская киберкультура зародилась в 1980-х гг. с появлением общедоступных ПК и связывавших их модемов. Руткиты стали одним из первых плодов ее деятельности - вирусы и особенно "троянцы" активно используют технологии маскировки. За считанные годы получило распространение множество готовых руткитов, нередко в исходных текстах, а также наборы SDK для их создания. Печальную всемирную известность руткиты приобрели в 1999 г., когда хакерская группа CDC выпустила идеально спроектированный и отлаженный пакет Back Orifice для скрытого администрирования чужих компьютеров. С его "помощью" во всем мире под чужой контроль попали миллионы машин.
В последние годы создание и распространение руткитов превратилось в большой бизнес. Шпионские программы подчас целенаправленно создаются под определенного пользователя - например, для взлома и кражи паролей конкретной системы интернет-банкинга. Создание такой программы-невидимки обойдется заинтересованному лицу в тысячи долларов. Теперь новым классом заказчиков подобного ПО становятся и государственные структуры. В их работе соблюдение имиджа крайне важно, а прокол в использовании spyware может сказаться на карьере многих чиновников. С появлением подобных корпоративных заказчиков возрастут и бюджеты соответствующих проектов, а значит, повысится и качество скрытия шпионского ПО. Современные системы spyware используют, в частности, технологии "инжекта (вирусный способ встраивания в чужие процессы) и самошифрования в памяти (чтобы скрыть собственную сигнатуру - подпись, по которой их распознают мониторы безопасности). Они также пользуются специальными БД по антивирусным программам с целью противодействия последним. Передовые хакеры иногда создают шпионские продукты в виде системных драйверов, что существенно усложняет их выявление, или даже реализуют собственную версию отдельных уровней сетевых протоколов (например, транспортного), что делает spyware теоретически необнаружимыми межсетевыми экранами.
Ответ на второй вопрос тоже понятен. Даже в ситуации, когда физический доступ к ПК подозреваемого невозможен, а сам пользователь соблюдает все меры компьютерной безопасности, не открывает подозрительные э-письма и использует лучшие антивирусные программы, взлом его компьютера не представляет особого труда, особенно если для этого привлекаются ресурсы провайдера. Последнему достаточно некоторое время последить за машиной пользователя, выяснить версию ОС, браузера, прикладного сетевого ПО, проверить ПК на общеизвестные недоработки, и рано или поздно обязательно обнаружится уязвимость, для которой не установлено обновление или "заплата". Дальнейший процесс взятия машины под дистанционный контроль и загрузка на него spyware - уже дело техники.
В руках провайдера и более экзотические варианты - например, перенаправление конкретного пользователя на псевдосайт, имитирующий популярный поисковик, где за счет недоработки в браузере в клиентскую систему инсталлируется нужная утилита, скрыто встроенная в страницу поддельного сайта. Главное, что даже самый опытный пользователь когда-нибудь да забудет вовремя обновить свою ОС и тем самым откроет ее для доступа чужеродному коду. Современные антивирусные программы обновляют по Сети базы по зловредному софту в "горячем" режиме каждые несколько часов, но даже за такое короткое время по всему миру успевают заразиться тысячи компьютеров. А если за взлом своих клиентов возьмется провайдер при поддержке государства, сопротивляться ему бесполезно. Здесь интересен и юридический аспект - если выдается санкция на эксплуатацию шпионского ПО, может потребоваться аналогичная санкция и на сам процесс его установки (фактический взлом ПК) с применением сомнительных методов и хакерских утилит.
Увы, но более реальные опасности подстерегают пользователей Интернета, с законом дружащих. Пока силовые структуры изыскивают ресурсы для хитроумной слежки за правонарушителями, ПК добропорядочных посетителей Сети каждые 15-20 мин подвергаются регулярному сканированию с целью загрузки зловредного ПО и превращения в дистанционно управляемую зомби-машину. С сотен тысяч таких зомби-машин и рассылается спам, а также осуществляются координированные атаки: на корпорации - с целью шантажа, на государственные структуры - с целью реального шпионажа.
Никаких новых средств борьбы с этой напастью не придумано, можно лишь немного снизить вероятность взлома своего ПК за счет использования и обновления антивирусных приложений и брандмауэров, регулярного архивирования данных и шифрования важной информации. Более-менее эффективная защита ПК появится еще не скоро - для этого как минимум нужен математически верифицированный код, гарантирующий безопасную работу ограниченного числа программ. Но единичные подобные системы многоуровневой защиты (см. например "MILS - новый уровень компьютерной обороны", PC Week/RE, N 32/2005, с. 30) пока дороги и подчас недоступны даже корпоративному пользователю. Впрочем, системные администраторы знают еще один замечательный способ - переход на надежную ОС OpenBSD (www. openbsd.org), проектировавшуюся с ориентацией на максимально возможную безопасность.
Заинтересованным в противодействии именно шпионским программам можно порекомендовать сайт www.antirootkit. com (только в сентябре его ведущие зафиксировали 12 новых руткитов), а также бесплатную утилиту SSV (www.invisiblethings.org). Последняя создана Джоанной Рутковской, польским специалистом по компьютерной безопасности с подходящей к профессии фамилией. В августе 2006 г. пани Рутковская продемонстрировала на конференции Black Hat (www.blackhat.com) два способа взлома системы безопасности Windows Vista.
Что касается других важных утилит обеспечения компьютерной безопасности, то лучше использовать либо бесплатные общедоступные решения, признанные хакерским сообществом, либо отечественные продукты - и вовсе не из популистских соображений. Наши системы недаром регулярно занимают первые строчки мировых рейтингов и получают высокие оценки специалистов. Так, независимый эксперт Энтони Петракис регулярно проводит на своем сайте www.virus.gr/english/fullxml/ сравнительное исследование популярных антивирусов на базе из ста с лишним тысяч вирусов. В августовском тесте 2006 г. первое место занимает отечественный движок с показателем 99,62%, а третье, пятое и шестое места заняли продукты, в которых этот движок встроен по OEM-лицензии. А вот немало разрекламированных зарубежных средств защиты показывают откровенно низкие результаты - их продукты содержат весьма слабый движок, противодействующий в основном мифическим угрозам типа cookies, но зато предлагающий очень красивый и удобный интерфейс.
Отечественные же разработчики подчас перестраховываются, и хотя их продукты иногда дают сбои, конфликтуют с другими системами или отказываются от полной деинсталляции, качество обеспечиваемой ими защиты велико. Не исключено, что они способны защитить даже от собственного провайдера.
К автору можно обратиться по адресу: sbo@pcweek.ru.