Новостной радар Anti-Malware.ru. Выпуск 3, август 2012

Всем добрый день! Сегодня снова пятница, последний день рабочей недели, а значит, пришло время подвести итоги прошедшей недели, обсудить актуальные информационные угрозы, новости рынка защитного программного обеспечения, тенденции в области информационной безопасности. Среди сегодняшних тем новые методы проникновения вредоносных программ в систему, вирусы в автомобилях, встроенный в Windows 8 антивирус и другие. Держите руку на пульсе!


Карта новостного радара


Просмотреть Радар - Выпуск 3 на карте большего размера

 

Был VirusBuster, стал Agnitum

Наиболее заметной новостью последней недели на отечественном антивирусном рынке стало известие о приобретении компанией Agnitum антивирусной технологии VirusBuster. Компания Agnitum получила эксклюзивные права как на непосредственно антивирусную технологию, так и на инфраструктуру и процессы своего давнего партнёра.

Комания Agnitum лицензировала антивирусное ядро VirusBuster в 2006 году и включила его в свои продукты линейки Outpost. За прошедшие шесть лет  компания Agnitum разработала ряд модулей, которые расширили функциональность лицензируемого ядра. В частности, добавилось обнаружение вирусов на основе поведения, сканирование по требованию, резидентный монитор, ускорение при повторном сканировании, фильтрация электронной почты и веб-трафика.

Представитель антивирусной компании Agnitum Любовь Пуцко рассказала о том, будут ли в дальнейшем дорабатываться приобретённая технология VirusBuster:

«Обязательно. Мы переняли очень большой пласт знаний от VirusBuster, и на первых этапах нам важно будет удержать то качество продукта, которое было у нашего партнера (опыт которого в этой сфере - 15 лет). Это задача на ближайшую перспективу. В следующем году мы планируем новые разработки и усовершенствование движка. Например, в новую линейку продуктов  Outpost Pro 8.0 войдет модуль, совмещающий опыт и технологии сигнатурного детекта VirusBuster с нашей системой HIPS.

«Мы получили контроль над разработкой ключевой антивирусной технологии, входящей в состав Outpost Antivirus Pro и Security Suite Pro», – комментирует Любовь Пуцко положительные стороны приобретения технологии для компании Agnitum и её клиентов. – «Теперь мы сами можем решать - как и в каком направлении ее развивать. Сейчас у нас появилась возможность сделать антивирус (а, следовательно, и весь продукт) безопаснее, стабильнее, функциональнее, основываясь на собственном опыте и собственных идеях».

При этом приобретение движка VirusBuster открыло в компании Agnitum ряд вакансий, что может быть интересно потенциальным кандидатам на работу в этой известной российской компании:

 «Уже сейчас мы открыли ряд вакансий: вирусный аналитик для работы с получаемыми зловредами;  системный администратор, чтобы обслуживать инфраструктуру лаборатории; и разработчик для написания скриптов, производящих автоматизированную обработку и сортировку получаемых нами ежедневно тысяч новых образцов вредоносного кода».

А о возможной смене названия движка и ситуацией с поддержкой компаний, которые лицензировали движок VirusBuster ранее Любовь Пуцко сообщила следующее:

«Никакого «особенного» отдельного названия для движка мы давать не планируем, теперь он будет просто «Антивирусный движок Agnitum».

Мы уже провели переговоры со всеми компаниями, которые использовали движок VirusBuster в своих решениях. В течение полугода, работа с ними будет продолжаться на тех условиях, на которых они работали с VirusBuster. Затем мы совместно решим как мы будем работать дальше».


Вирусы для автомобилей – ирония или реальность?

Компания McAfee выступила с предупреждением о том, что современные автомобили могут стать уязвимыми для хакерских атак. Производители автомобилей высказывают озабоченность этой угрозой.

Среди возможных последствий атак упоминаются взлом штатной и альтернативной сигнализаций, прослушивание разговоров водителя, искажение данных навигаторов и даже манипуляции с параметрами давления в шинах.

Несмотря на то, что одни эксперты высказываются в том ключе, что говорить о серьёзности подобных угроз для автомобилей на данный момент рано, другие говорят о том, что ничего невозможного нет. Олеся Шелестова, эксперт Anti-Malware.Ru, аналитик компании Positive Technologies так комментирует данное предупреждение McAfee:

«Мне одной это напомнило британских ученых? В современных авто управление электроникой, как правило, производится через can-шину. К этой шине подключены магнитолы и прочая электроника. Нажав на подрулевой джойстик, вы формируете специальный сигнал. Он приходит на все устройства. Но реагирует только то, которому предназначен сигнал. Навигаторы и магнитолы работают на операционных системах. У меня – wince. Эти же магнитолы имеют в отличие от бортового компьютера, Bluetooth и Wi-Fi. Может ли canbus послать "любой" сигнал в шину? Может [улыбка]. Надо ли продолжать мысль?»

Основатель и генеральный директор SoftSphere Technologies Илья Рабинович высказывается более скептически. Он также считает, что угроза реальна, но злоумышленникам невыгодно экономически использовать такой метод воздействия на водителей:

«Вспоминается мне не столь давняя новость по поводу того, что из-за ошибок в прошивке с помощью специально сформированного MP3-файла можно было управлять внутренним состоянием автомобиля. Ничего особо нового в изначальном сообщении не вижу. Можно ли сконструировать автомобильный самореплицирующийся вирусный код? Теоретически – возможно, практически вероятность подобного исхода стремится к нулю. Что же касается злонамеренного взлома компьютера автомашины с целью убийства, если только в автомобили не начнут запихивать беспроводные системы для удалённой диагностики и контроля, которые будут поддаваться взлому из Сети, то банальный расстрел пассажиров из автоматического оружия обойдётся гораздо дешевле и надёжнее в смысле результата».

 

Бояться ли пользователям кибероружия?

Компания F-Secure выступила с заявлением о том, что в настоящее время термин «кибероружие», который используется для обозначения  вредоносных программ, нацеленных на объекты государственной важности, используется некоторыми компаниями для запугивания обычных пользователей, которых данная проблема вряд ли коснётся.

Специалисты F-Secure отмечают, что в общем потоке вредоносных программ подобные угрозы занимают мизерный процент, и что антивирусным компаниям лучше сосредоточиться на помощи обычным пользователям в защите от более массовых угроз, которые сами по себе менее сложные, но наносят пользователям каждый день реальный вред.

Илья Рабинович высказывается по этому поводу так же категорично:

«Антивирусная индустрия своей многомиллиарднодолларовой надстройкой стоит на запуганном обывателе как на базисе. Выбор очевиден, не правда ли?!»

Но не все эксперты сходятся полностью во мнении с сотрудниками компании F-Secure. Вот как прокомментировал данное заявление эксперт Anti-Malware.Ru, директор по развитию компании «Амрита» Михаил Орешин:

«Минуточку! Это как это не надо пугать? Пользователь должен бояться всегда! На этом строится рынок «безопасности» в целом, от безопасности государств («у нас теперь еще 500 танков, и нам не страшно») до конечного потребителя («у меня теперь есть газовый баллончик, и мне хулиганы не страшны»). Думаю, если собрать десант маркетеров  и евангелистов с рынка информационной безопасности и отправить их, ну, например, к производителям бронежилетов, то в обозримое время наметилась бы тенденция, что люди всей планеты начнут ходить в касках и бронежилетах даже за хлебом.  «Кибероружие» это то, что нужно всем. И производителям, и журналистам, и потребителям.

Если серьезно, то тема, конечно, «выхолащивается», и может как, с одной стороны, привести к необоснованным тратам на новые системы безопасности, так и, с другой стороны, как ни странно, к еще более халатному отношению к оной: «Нууу, кибероружие это на уровне геополитики, мне то что бояться?». По моему мнению, тему «кибероружия» нужно раскручивать, но с основной мыслью, что «Еще раз обращаем внимание, что самая эффективная атака именно узко направленная, и она же может принести наибольший ущерб». Это ничего не изменяет и не добавляет в стандартные парадигмы информационной безопасности, но как минимум обращает внимание.

А так, вдруг топменеджер какой-либо корпорации по дороге на работу прочитает в новостной ленте в очередной раз про «кибероружие», задумается, вызовет своего безопасника, и вдумчиво спросит: «Ну нам то ничего не грозит?». А безопасник, не будь дураком, бодро отрапортует: «Конечно, нет, Иван Иванович. Но в том случае, если мы еще внедрим это, это и … Ой, да что я вас гружу, нужно еще столько денег». Иван Иванович вздохнет, но он уже с утра осознал, что безопасность это важно, да и выделит еще бюджет на этих странных  людей и странные слова. И будет всем счастье [улыбка]».


Вирусы типа «собери себя сам»

Журнал New Scientist сообщил о создании концептуальной разработки под названием Frankenstein, которая была создана якобы по заказу армии США. Речь идёт о вредоносных программах, которые собираются из компонентов операционной системы (т.н. гаджетов) непосредственно на компьютерах пользователей-жертв. Это должно, по задумке авторов разработки, помочь злоумышленникам обходить антивирусные продукты, установленные на компьютерах пользователей.

Отношение экспертов по данному методу обхода антивирусов несколько расходятся. Илья Рабинович, например, считает, что данный метод несостоятелен, и современные защитные программы обойти не позволит:

«"Детект" как понятие отживает свой век, сохранившись, разве что, в среде антивирусных компаний. Тенденция движения индустрии безопасности – блокирование потенциально опасных действий со стороны неизвестных (недетектируемых) угроз. Так что сей "Франкенштейн" устарел лет этак на десять, толком даже и не появившись на свет».

Другого мнения придерживается эксперт Anti-Malware.Ru, внештатный сотрудник Лаборатории Касперского, Василий Бердников, а также приводит примеры конкретных реализаций предложенной идеи:

«Описываемая техника уже довольно давно используется при создании эксплоитов. Техника именуется как ROP (Return Oriented Programming). «Майкрософт» даже предлагала более 200 тыс. долларов тому, кто придумает технику для борьбы с эксплоитами на базе ROP-техники. Под упоминаемыми гаджетами нужно понимать кусочки кода различных приложений, системных библиотек (набор определенных инструкций). Сама вредоносная программа не будет иметь "опасного" кода – он будет собираться из кода системных библиотек. Данную технику не так легко использовать, так что не думаю, что появится масса вредоносных программ, ее использующих. Но, в то же время, ROP-техника может использоваться в неких единичных семействах для незаметной установки в систему. Более того, такая вредоносная программа уже известна нам (с апреля сего года), она использовала ROP-технику для инжекта в системный процесс. Но особо острых проблем с детектированием таких семейств нет – обычными методами детектируются и сами бинарники, и на основе поведенческого анализа, и на базе технологии System Watcher (запатентованная технология «Лаборатории Касперского») можно задетектировать внедрение вредоносного кода и произвести очистку системы, "откатив" все изменения, сделанные вредоносной программой. Также «Майкрософт» усиленно пытается реализовать механизм защиты от применения данной техники в эксплоитах (EMET - Enhanced Mitigation Experience Toolkit)».


Подмена номера отправителя SMS в iPhone

Также прошла новость о том, что некто хакер pod2g, известный активной работой по взлому iPhone, обнаружил в iOS уязвимость, которая позволяет злоумышленникам использовать произвольный номер телефона в данных отправителя SMS-сообщения, которые видит владелец смартфона. Данная уязвимость якобы существует во всех вышедших версиях iOS, а также в той, которая ещё готовится к выходу.

Эксперты осторожно отнеслись к данной информации, некоторые из них лишь высказали предположение, что найденная возможность может и не являться уязвимостью, и её можно использовать не только на iPhone-устройствах.

 

Нужен ли будет Windows 8 дополнительный антивирус?

Антивирус Microsoft Security Essentials станет частью системы безопасности Windows 8 и будет входить в стандартную комплектацию новой операционной системы от Microsoft.

Одни эксперты высказывают мнение о том, что это решение корпорации Microsoft существенно повлияет на рынок антивирусных продуктов, другие высказываются о том, что это приведёт к преследованию корпорации со стороны антимонопольных органов, третьи говорят о том, что антивирус Microsoft Security Essentials является защитным программным продуктом базового уровня, и при первой же возможности необходимо установить и использовать полноценный антивирусный продукт от одного из известных производителей, продукты которого хорошо себя зарекомендовали.

Вот как комментирует ситуацию Михаил Орешин:

«Microsoft встроит в 8-ку антивирус по умолчанию. Комментарии к этой новости полярны, от смерти антивирусных производителей, до полного скепсиса. Однако нужно отдать должное MS, с момента приобретения Sybari  ее антивирус целенаправленно «отъедает» долю у других производителей, и вроде сейчас составляет около 10%. Не хочу спорить, кто считал и как считал, – это вечный спор, в чем считать – в инсталляциях или деньгах, а в деньгах каких, а как выделить долю из комплексных решений? В принципе, 10% – вполне реальная цифра. Возникает, правда, вопрос: если в 8-ку будет уже встроен антивирус, то, получается, доля MS-антивируса взлетит по мере победоносного шествия новой ОС по миру, и что мы считать будем? Ну да ладно.

Первое, что вспоминается, прочтя эту новость, это «браузерные войны». Но если отойти от долей, удобства и судов, ключевое, что удалось сделать Microsoft – это изменить ландшафт рынка. До Microsoft за браузеры было принято платить, сейчас это даже в голову никому не придет. Да, это громадное преимущество Microsoft: «Что не получается или лень продавать, давайте, будем раздавать бесплатно, свое мы все равно заработаем». Потенциально могут разориться другие компании? О, это конечно ужасно, в «Лабаратории Касперского» работает 2500 человек, в Trend Micro – 4900, в Eset –  800; на всей планете земля живет 7 млрд. человек, страшная потеря для планеты [улыбка]. Да и не очень-то верится, что с этими компаниями что-то случится глобально плохое. Как минимум, остаются корпоративные пользователи, которые вряд ли смогут сами себе объяснить, зачем им этот бесплатный антивирус в рамках системы.

Сравнивать антивирусы с браузерами совсем некорректно,  в конце концов, антивирус – это одна из десяток иконок, висящих в трее, раз в пятилетку выдающая какой-то истеричный крик. А браузер – это то приложение, которое открыто всегда, и тут уже возникают вопросы «удобно-неудобно». Многие эксперты так же отмечают, что функционал антивируса будет базовым и для полноценной защиты его не хватит. Ээээ, скажу коротко – хватит мантр, антивирус – он и в Африке антивирус, ценность тестов антивирусов заканчивается ровно на том, что хоть что-то померили. Тесты как бы сами по себе, пользователи сами по себе. А так – есть антивирус и то хорошо. Кроме того, качество встроенного антивируса пока никто не мерил.

В целом, думаю, что Microsoft удастся сделать это опять – изменить ландшафт рынка. Дистрибуция антивирусов для пользователей будет сама 8-ка. Понятно, что после судов, юридических войн, взаимных обвинений, Microsoft нехотя позволит пользователям выбирать, какой антивирус они хотят использовать при первичной активации системы. Но, соответственно, и продукты других производителей должны быть изначально бесплатны (вполне возможно, что вариант 30-дневной бесплатной версии, как это принято и сейчас, будет достаточно, а может быть, и нет – нехай сами производители свои «конверсии» считают)».

Мы рассмотрели все, с нашей точки зрения, наиболее заметные события прошедшей недели информационной безопасности, а также показали различные взгляды экспертов в данной сфере. Встретимся на этом же месте через неделю. Если Вы хотите предложить тему для рассмотрения в рамках следующего «Новостного радара», это можно сделать на форуме портала Anti-Malware.Ru.

Приятных вам и безопасных выходных! [добавлю здесь улыбку и от себя].

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru