Експерти Лабораторії Касперського: безпечники заробляє більше хакера

Як зміняться методи виявлення вірусів, як вплине на безпеку користувачів інтернет речей, і чи зможуть вирусописатели перекваліфікуватися в антивірусних експертів? Про це KV.by розповіли Головний антивірусний експерт «Лабораторії Касперського» Олександр Гостєв і антивірусний експерт в області інтернету речей Денис Легеза.

«Лабораторії Касперського»

Уже багато років антивіруси продовжують завантажувати вірусні бази на комп'ютери користувачів. Найближчим часом в цьому плані щось зміниться?

Олександр Гостєв: Основним зараз залишається як і раніше сигнатурний метод, другий за значимістю є евристика. Важливою додатковою технологією стає поведінковий аналізатор, який контролює поведінку файлу в системі. Наприклад, якщо ми завантажуємо виконуваний файл з сайту, домен якого зареєстрований два дні тому, - це підозріло.

Дуже ефективний поведінковий аналізатор в боротьбі з троянами-шифрувальники: Щоб змінити формат файлів ми можемо припустити, що відбулося зараження, і встигнути врятувати значну частину призначених для користувача даних.

Захист тепер ставить перед собою завдання не виявити ворога, а запобігти його проникнення. З упевненістю можу сказати, що в найближчі роки нічого кардинально нового в детектировании не з'явиться, просто починають застосовуватися технології, які спочатку використовувалися в інших областях. Наприклад, сьогодні завдання антивіруса в багато перетнулася з файрволлом: він повинен «слухати» вихідний трафік, щоб зрозуміти, чи не йдуть кудись призначені для користувача дані. Це дуже ефективний метод захисту від цільових атак, які можуть проводитися не за допомогою шкідливий, а через цілком легальне ПЗ .

Може бути, на допомогу прийдуть нейронні мережі? Адже не тільки для фільтрів в «Призма» їх використовувати.

Олександр Гостєв: З нейронними мережами ми почали активні експерименти ще в 2005-2006 роках, і сьогодні в «Лабораторії Касперського» є фахівці, які мають захищені кандидатські по нейронних мереж. Наприклад, ще тоді ми виявили масову розсилку троянів в запаролених архівах, пароль до яких додавався в тексті листа. Ми написали невелику нейронну мережу, яка навчилася знаходити цей пароль в тілі листа.

Зараз основна сфера застосування нейронних мереж в індустрії захисту інформації - це технології контентної фільтрації, аналіз фішингових сайтів, захист дітей від «дорослого» контенту. Перспектив у застосуванні нейромереж в якості альтернативи сигнатурам я не бачу - шкідливий код вкрай швидко змінюється, у нейронної мережі просто немає часу навчатися сотням тисячам нових фрагментів коду щодня. Ми отримаємо вкрай високий рівень хибнопозитивних спрацьовувань, або ж зовсім «дірявий» антивірус. Навіть не знаю, який з цих варіантів краще.

Інтернет завтрашнього дня - це інтернет речей. Чи безпечний він?

Денис Легеза: Інтернет речей змушує нас міняти підходи до безпеки. Коли створювали протоколи, за якими обмінюються між собою інформацією пристрою в автомобілі, ніхто не думав, що це коли-небудь піде у велику Мережу. Основна проблема інтернету речей полягає саме в цьому: речей у нас занадто багато, і є величезна кількість пристроїв, при розробці яких ніхто взагалі не замислювався про інформаційну безпеку. Та й зараз далеко не завжди розробники чогось нубудь «розумного» думають про безпеку переданих зі своїх пристроїв даних.

Та й зараз далеко не завжди розробники чогось нубудь «розумного» думають про безпеку переданих зі своїх пристроїв даних

У чому головна складність захисту інтернету речей?

Денис Легеза: Пристрої інтернету речей зазвичай малопотужні, і немає можливості встановити на них таку ж «важку» захист, як ПК або навіть смартфон. Повинен бути якийсь легкий агент, який буде постійно пов'язаний з великим обчислювачем, визначальним, є в даний момент атака, чи ні.

Є й проблема з фізичною безпекою: ті ж камери спостереження, наприклад, легко доступні для зловмисників, але зазвичай від цього виробники захищаються за допомогою шифрування прошивки і заборони на виконання налагоджувальних команд.

З пристроями інтернету речей є ймовірність зараження ще на стадії розробки прошивки: якщо розробнику підсунути спеціальним чином модифікований SDK і середовище розробки, то і прошивка, яку він створить для пристрою, виявиться інфікованою. Таким прийомом останнім часом часто користуються китайці.

Яким чином зловмисники будуть заробляти на IoT-шкідливий?

Денис Легеза: По суті справи, комерціалізація для більшості видів шкідливого ПО вже досить добре відпрацьована, і тут інтернет речей не стане винятком. Наприклад, можна створити портал, на якому буде продаватися доступ до конкретних пристроїв в конкретний момент часу. А якщо пристрій виконує якісь критичні для свого власника функції, то можна застосувати класичний прийом трояна-шифратора: хочете використовувати далі - заплатите. Якщо вам зробить таку пропозицію автомобіль, особливо в той момент, коли ви поспішаєте, - відмовитися буде досить складно.

Коли це стане масовим?

Денис Легеза: Уже стало. Смарт-телевізори вже щосили заражаються кріптолокерамі, вже є троян під процессорную архітектуру MIPS, успішно створює ботнети з роутерів, була DDoS-атака за допомогою ботнету, зробленого з відеокамер ...

Чи немає у тих, хто працює в індустрії ІБ, спокуси перейти «на темну сторону» через гроші?

Олександр Гостєв: У США були подібні випадки. Колись, пам'ятаю, в що займається безпекою компанії FireEye зловили стажиста, який написав мобільний троян. Начебто, він навіть отримав реальний тюремний термін. У «Лабораторії Касперського» теж був в 2003 чи 2004 році інцидент, коли на роботу прийшов влаштовуватися член хакерського угруповання 29А. Ми подивилися на зразки кодів, які він приніс, зрозуміли, що вже бачили їх у багатьох шкідливий. У підсумку ми здали його в поліцію.

Всупереч поширеному переконанню, брати колишніх кіберзлочинців на роботу в компанію, що займається захистом інформації, - неефективно. Проблема в різниці того, що по-англійськи називається «майндсетом», а по-російськи, мабуть, це буде менталітет. Антивірусні аналітики займаються реверс-інжинірингом, досліджують чужий код. Вірусописьменники створюють свій. Аналітику навіть не обов'язково вміти програмувати, у нього трохи інші завдання. Тому в антивірусної індустрії є негласне правило: колишніх вірусів на роботу не брати.

З приводу заробітків вірусів і аналітиків: у кіберзлочинців, як і в будь-якому бізнесі, зі ста чоловік, які намагаються цим займатися, дійсно добре заробляють один-два. Решта через рік-другий залишають це заняття. Наведу простий приклад: нещодавно з нашою допомогою в Самарі заарештували хакерів, які за рік роботи заразили 160 чоловік, і заробили на цьому 1,7 млн. Рублів. Це вийшло близько 35 тисяч в місяць - хороший антивірусний аналітик може заробити набагато більше. Займайся вони легальним бізнесом, їх знання були б затребувані куди більше.

Як зміняться методи виявлення вірусів, як вплине на безпеку користувачів інтернет речей, і чи зможуть вирусописатели перекваліфікуватися в антивірусних експертів?
Найближчим часом в цьому плані щось зміниться?
Може бути, на допомогу прийдуть нейронні мережі?
Чи безпечний він?
У чому головна складність захисту інтернету речей?
Коли це стане масовим?
Чи немає у тих, хто працює в індустрії ІБ, спокуси перейти «на темну сторону» через гроші?