|
Клиника сетевых болезней |
 |
| Фото: ДМИТРИЙ ЛЕКАЙ, "Ъ" |
| Максим Поташев: "Объем российского рынка антивирусного ПО составляет 1-2% мирового, то есть около $20-25 млн в год" |
История болезни
Компьютерный вирус — это специально написанная, небольшая по размерам программа, которая может "приписывать" себя к другим программам ("заражать" их), создавать свои копии и внедрять их в файлы, системные области компьютера и т. д., а также выполнять различные действия без ведома владельца компьютера и, как правило, в ущерб ему. Классифицируют вирусы по-разному, однако чаще всего их делят на три вида: вирусы, которые заражают файлы и замедляют производительность ПК; сетевые черви — вирусы, рассылающие сами себя по сети и не наносящие ущерба ПК, но создающие громадный почтовый трафик (таких большинство); "трояны" — вирусы, с помощью которых можно дистанционно контролировать все процессы в компьютере.
Отсчет истории вирусных эпидемий можно начать с конца 70-х, когда компьютеры были огромными по размеру — не чета нынешним "персоналкам", а побочные эффекты вирусоподобных программ ограничивались снижением производительности компьютерных систем. Первый по-настоящему тревожный звоночек прозвенел в 1988 году: так называемый червь Морриса поразил несколько десятков тысяч компьютеров в сети ARPAnet — предшественнике интернета.
Первого современного интернет-червя — Happy99, который не делал ничего деструктивного, но рассылался в огромных количествах, зарегистрировали в январе 1999 года. Вирус был в файле, который прилагался к присланному письму. Открыв файл, пользователь наблюдал красочное новогоднее поздравление, тем временем программа копировала себя в системный каталог Windows, перехватывала функции работы с интернетом и самостоятельно добавлялась ко всем отсылаемым письмам.
26 марта 1999 года компьютерный мир потрясло известие о глобальной эпидемии вируса Melissa — первого макровируса с функцией интернет-червя. Макровирусы используют специальный макроязык из приложений Windows, в том числе Microsoft Office. Сразу после заражения системы Melissa рассылал свои копии по первым 50 найденным адресам и подобно Happy99 делал это незаметно. Эпидемия была быстро погашена, однако вирус успел нанести ощутимый ущерб компьютерным системам во всем мире. Такие гиганты, как Microsoft и Intel, были вынуждены временно отключить свои корпоративные службы электронной почты. Общая сумма потерь составила $80 млн.
4 мая 2000 года в 14.00 по московскому времени в службу технической поддержки ЗАО "Диалог-Наука" начали поступать жалобы на новый вирус. За несколько часов количество сообщений увеличилось в сотни раз, и компании пришлось срочно разрабатывать внеочередное дополнение к своей программе-антивирусу, чтобы та могла справиться с Loveletter — именно так назвали компьютерную заразу. Вирус распространялся в основном по электронной почте посредством писем с заголовком ILOVEYOU. Получателю предлагалось открыть присоединенный файл LOVE-LETTER-FOR-YOU.TXT.vbs, который и содержал вирус. Если это происходило, Loveletter рассылал себя по всем адресам в адресной книге и многие файлы портил так, что восстановить их не представлялось возможным. Более того, Loveletter видоизменялся при каждой рассылке, что делало его еще более неуловимым. Такого вируса еще никто никогда не встречал, и, не имея достойной защиты, компьютерный мир проиграл ему с невиданно разгромным счетом — ущерб мировой экономике оценили в $9 млрд.
На смену Loveletter пришел его собрат — червь Kakworm, который был впервые зарегистрирован еще в январе 2000 года, но до поры не проявлял активности. В отличие от предшественника он содержался не в отдельном файле, прикрепленном к письму, а в письме непосредственно. Дополнительный файл вы можете и не открыть, а само письмо наверняка решите прочесть. Поэтому пострадавших оказалось больше, чем в случае с Loveletter: так, жалобы на Kakworm составили 17% звонков на горячей линии антивирусной компании Sophos, превысив на 3% показатели по Loveletter. Каждое первое число месяца в 17.00 вирус напоминал о своем существовании, выводя на экран сообщение "Kagou-Anti-Kro$oft says not today!" и перезагружая Windows.
Но это были только цветочки. В октябре 2001 года антивирусные компании столкнулись с настоящей компьютерной чумой — вирусом Klez, который до сих пор является головной болью мировой компьютерной индустрии. Как и Loveletter, он очень быстро распространяется, и его очень сложно обнаружить: заголовок и вид письма, зараженного Klez, постоянно меняются. Вскоре вслед за основным вирусом появился с десяток его версий (Klez.h, Klez.e и другие), отличавшиеся между собой тем, как и какие файлы они портят. Например, модификация Klez.e уничтожала абсолютно все файлы в компьютере шестого числа каждого месяца. 6 сентября 2002 года заголовки многих газет и интернет-СМИ сообщали фактически о конце света: "Червь Klez проснется сегодня", "Сегодня Klez все уничтожит". По подсчетам антивирусных компаний, совокупные убытки составили порядка $9 млрд.
Эстафетную палочку Klez передал своему коллеге — вирусу Helkern (он же Slammer). Появившись 25 января 2003 года, Slammer, побил все рекорды по скорости распространения. Этот маленький интернет-червь, заражающий серверы под управлением системы баз данных Microsoft SQL Server 2000, "весил" всего 375 байт. Вирус генерировал IP-адреса компьютеров и немедленно себя по ним рассылал. Таким образом, количество зараженных им компьютеров удваивалось каждые 8,5 секунды — Slammer мог поразить 90% интернета всего за десять минут. Несмотря на то что эпидемию достаточно быстро сумели остановить и ущерб от нее составил "всего" $1,2 млрд, атака Slammer была признана самой опасной в истории интернета — вирус оставил без него Южную Корею, нарушил работу банкоматов в США и серьезно замедлил работу всей мировой сети.
На данный момент первое место в рейтинге вирусной активности уверенно держит сетевой червь Lovesun, известный также под именем Blaster. Первые предупреждения об опасности заражения им появились в середине августа текущего года. Lovesun сканирует интернет в поисках компьютеров с уязвимой Windows — "ощупывает" потенциальные жертвы, изучая возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь посылает на ПК специальный пакет данных, который обеспечивает закачку файла-носителя Lovesun MSBLAST.EXE, а тот, в свою очередь, начинает заниматься поиском новых жертв уже с зараженного компьютера. В результате создается огромный объем трафика, который переполняет каналы передачи данных.
В общем, как видим, убытки вирусы наносят немалые. Причем сумма убытка, как правило, подсчитывается не по объемам уничтоженной информации — ее потерю на зараженном компьютере специалисты проблемой уже давно не считают. Борис Шаров, коммерческий директор ЗАО "Диалог-Наука": С точки зрения грамотного системного администратора, уничтожение данных не так уж страшно: за счет регулярных backup данные можно легко восстановить. А вот если компания не в состоянии ничего сделать в течение всего дня, потому что сеть просто-напросто не работает,— это настоящий ущерб, это может стоить компании места на рынке.
При определении ущерба от вируса обычно исходят из потерь рабочего времени и срока простоя бизнеса, то есть сама по себе сумма ущерба — цифра весьма субъективная, все считают по-разному.
Константин Архипов, глава представительства компании Panda Software: Иногда используется такая методика: берется процентное соотношение зараженных и "здоровых" компьютеров в крупных корпорациях, которые и прибегают, как правило, к услугам компаний, выпускающих антивирусное ПО, и "перекладывают" этот процент на все компьютеры в мире — в итоге и всплывают "миллиарды долларов мирового ущерба". Это неправильно и неточно.
Денис Зенкин, руководитель информационной службы "Лаборатории Касперского": Трудно сказать, соответствуют ли оценки ущерба действительности. Точная оценка представляется затруднительной, потому что многие пострадавшие скрывают информацию по потерям. С другой стороны, сами потери тоже трудно иногда оценить в денежном эквиваленте. Скажем, сколько стоит уничтоженный роман, который человек писал несколько лет? В таких случаях оценка может иметь погрешность "плюс-минус полушарие".
Впрочем, "многомиллиардным ущербом" пользователей во всем мире пугают, как правило, сами антивирусные компании, тем самым стимулируя продажи своих продуктов,— реализация антивирусного ПО давно превратилась в доходный бизнес, в том числе и в России.
Врачебная практика
 |
| Фото: ДМИТРИЙ ЛЕКАЙ, "Ъ" |
| Игорь Ашманов: "Антивирусники сами пишут вирусы — это старая басня. Это то же самое, что сказать, будто Лужков платит дворникам, чтобы они по ночам разбрасывали мусор" |
Максим Поташев, начальник аналитического отдела "Лаборатории Касперского": Объем российского рынка составляет 1-2% мирового, то есть около $20-25 млн.
Константин Архипов: Мы считаем, что объем рынка составляет около $10 млн. Если бы не пираты, речь шла бы о $70-80 млн.
По оценкам участников рынка, он на 60% принадлежит "Лаборатории Касперского", 20-25% контролирует "Диалог-Наука", остальное делят между собой компании Symantec, TrendMicro и McAfee, которые в основном работают в корпоративном секторе.
Западные компании вообще ведут себя в России пока достаточно пассивно — считают этот рынок непривлекательным из-за невозможности конкурировать с поставщиками нелицензионных программ (по разным оценкам, доля нелицензионного программного обеспечения, в том числе и на рынке антивирусных программ, составляет около 90%). Российские компании по-своему смотрят на эту проблему, при том что их основной потребитель тоже не частные, а корпоративные пользователи — на них приходится 70-80% всех продаж.
Максим Поташев: Рынок традиционно делится так: частные клиенты и так называемые корпоративные — средний и малый бизнес, крупные компании. На корпоративной части мы и сосредоточили основные наши усилия. Вообще, в большинстве компаний на частный сектор приходится примерно 30% продаж. Но в абсолютном исчислении частных пользователей наших антивирусов больше — с учетом пиратских копий.
Компании, использующие продукты российского производства,— по большей части отечественные. Лакомым куском для антивирусников является и госсектор.
Борис Шаров: Наш антивирус — единственный, который имеет сертификаты Министерства обороны, оно применяет для защиты своих систем только наши программы. Подобные структуры предъявляют жесткие требования к безопасности и используют только сертифицированные продукты.
А вот крупные иностранные компании, несмотря на высокую платежеспособность, не могут отойти от корпоративной политики: если в центральном офисе в Европе установлен продукт Symantec или McAfee, то его обязано использовать и российское представительство.
Рынку антивирусного ПО во всем мире пророчат бурный рост. По данным Gartner Dataquest Information Security, в 2002 году число компаний, ежегодно затрачивающих свыше $1 млн на компьютерную безопасность, почти вдвое превышает показатель 1999 года. Перспективы российского рынка, по мнению экспертов, тоже радужные.
Денис Зенкин: По итогам текущего года мы ожидаем 45-процентный рост рынка, причем эта тенденция сохранится вплоть до 2005 года. Это связано с отказом от пиратских копий, особенно в корпоративном секторе. Мы рады, что пользователи приходят к осознанию того, что антивирус — это не продукт, но сервис, который нельзя купить на пиратском рынке. Стоит ли рисковать безопасностью корпоративной сети, сохранностью промышленных секретов, покупая нелицензионные копии антивирусного ПО?
Константин Архипов: В ближайшие пару лет разработчики будут защищать пользователей не только от вирусов. Вирусы — это только часть враждебного программного обеспечения. Спрос на защитные программы будет расти, но темпы роста будут замедляться: в этому году спрос вырос на 20%, в следующем, по нашим оценкам, вырастет тоже, но на 18%. Это связано с насыщением рынка услуг для крупных предприятий.
Все это приведет к усилению конкурентной борьбы, которая на этом рынке всегда была не вполне рыночной. Например, еще в 1998 году компания "Лаборатория Касперского" обнаружила в коде антивирусный программы Dr.Web точную копию своей системы поиска и нейтрализации макровирусов. Закон об интеллектуальной собственности формально уже действовал, но практики применения этого закона еще не было, так что добиться того, чтобы код был изменен, не удалось.
Другая история связана с компанией "Прайм-Парагон", одним из дилеров "Лаборатории Касперского" в Екатеринбурге, соответствующий договор с которой действовал вплоть до 2000 года. В какой-то момент из "Прайм-Парагона" выделилась компания "Парагон", которую контролировал Константин Архипов, отвечавший в "Прайм-Парагоне" за работу с "Лабораторией Касперского". Как считают в последней, уже после истечения срока договора с "Прайм-Парагоном" Архипов выписал специальные электронные ключи для активизации антивирусных программ. Вместе с ключами программные продукты были проданы нескольким крупным организациям, причем денег за эти продукты "Лаборатория" не получила до сих пор, хотя и пыталась.
В компании "Парагон" говорят, что о претензиях "Лаборатории Касперского" узнали только тогда, когда они были переведены в юридическую плоскость. Константин Архипов: Мы считаем, что претензии "Лаборатории Касперского" к нам необоснованны, мы все свои действия произвели в соответствии с имевшимися на тот момент договоренностями.
Гонорар за лечение
 |
| Фото: ДМИТРИЙ ЛЕКАЙ, "Ъ" |
| Борис Шаров: "В пики вирусных эпидемий мы еле успеваем справляться с потоком звонков, сразу увеличивается число заказов, продажи через интернет-магазины возрастают раз в десять, в розничной торговле — в два-три раза" |
Но все затраты окупаются — в том числе за счет вирусных эпидемий. Мало того, продажи антивирусных компаний напрямую зависят от активности тех или иных вирусов.
Борис Шаров: Конечно, в пики эпидемий мы еле успеваем справляться с потоком звонков, сразу увеличивается число заказов, продажи через интернет-магазины возрастают раз в десять, в розничной торговле — в два-три раза.
Максим Поташев: Надо понимать, что ущерб, который может причинить вирус домашним пользователям, незначителен. В худшем случае человек потеряет информацию, в совсем худшем — сломается компьютер стоимостью $1 тыс. А ущерб, который может быть причинен большой компании вследствие вирусной атаки,— сотни тысяч долларов. И тут все зависит от оперативности компании, которая делает антивирусы: чем быстрее выйдет "заплатка" или обновление для программы, тем меньше вирус успеет разрушить. И конечно, пики продаж антивирусных программ приходятся на пики вирусных эпидемий.
Кроме того, именно эпидемии нередко приводят к некоторому перераспределению долей крупных компаний на этом рынке.
Борис Шаров: В пики эпидемий, когда заражаются все машины, системные администраторы думают: "Как же так, вроде известный антивирус, а защитить не смог". Таким образом, клюнув только на брэнд и ошибившись, компания в следующий раз будет более тщательно подбирать антивирус.
В общем, получается, что вирусные эпидемии выгодны и крупным компаниям, которые увеличивают объемы продаж, и тем, кто получает во время эпидемий дополнительную клиентуру — пользователей, разочаровавшихся в антивирусных продуктах лидеров рынка. В таком случае, может, сами антивирусные компании и пишут вирусы?
Дело докторов-вредителей
Этот миф достаточно живуч, потому что фактов, которые бы его опровергли или подтвердили, просто нет. Есть лишь мнения, которые, разумеется, к делу не пришьешь, тем более что высказываются они зачастую анонимно.
Семен П., системный администратор крупной IT-компании: В свое время в личной беседе я задавал этот вопрос Наталье Касперской. Она ответила уклончиво: "У меня в штате 200 человек — их же нужно как-то кормить!"
Некоторые считают, что к черному вирусному делу причастны и провайдеры.
Григорий Миргородский, владелец сайта grisha.ru, системный аналитик известной IT-компании: Для кого-то рост трафика — это ущерб, а для кого-то — доход. Провайдерам же платят за этот трафик те, кто на него попадает. Кроме того, все более усложняющиеся вирусы требуют все более мощных программ для борьбы с ними, а те, в свою очередь, требуют больших ресурсов компьютера: в итоге получается, что всему IT-бизнесу наличие вирусов выгодно.
Еще более радикальных версий придерживаются спамеры, при том что их самих, как известно, никто, мягко говоря, не любит.
Виктор В., руководитель компании "Профессиональные е-mail рассылки": Конечно, антивирусные компании сами пишут вирусы, это и дураку понятно. И, вполне возможно, негласно сотрудничают с компаниями, предоставляющими услуги электронной почты для рассылки вирусов адресатам.
Мнения экспертов, которые высказываются по этому вопросу открыто, кажутся более взвешенными.
Игорь Ашманов: Антивирусники сами пишут вирусы — это старая басня. Это то же самое, что сказать, будто Лужков платит дворникам, чтобы они по ночам разбрасывали мусор. Этого, увы, не требуется. Как вы думаете, можно ли рассчитывать, что люди вдруг перестанут бросать бумажки и банки на тротуары? Хулиганов и пакостников всегда будет хватать, без работы чистильщики не останутся. Понятно, что антивирусные компании опосредованно выигрывают от вирусных эпидемий. Однако вирусов и так слишком много. Более того, в последнее время антивирусные компании просто боятся, что не будут успевать писать "лечилки" — ведь вирусы распространяются все быстрее.
Впрочем, и он считает, что не все вирусы появляются просто так, "неорганизованно".
Игорь Ашманов: У меня есть предположение, что некоторая часть вирусов — это упражнения спецслужб. Они должны писать "боевые вирусы", это очевидно. Отделения кибервойн есть в министерстве безопасности практически каждой крупной страны. А если ты делаешь компьютерное оружие, то ты должен время от времени проверять его. Смоделировать ситуацию "большого интернета" в рамках одной организации (даже спецслужбы) невозможно. Можно тренироваться "на дому", но невозможно смоделировать мировое распределение операционных систем, трафик, количество установленных патчей и оставшихся дыр. Скорее всего, такие "проверочные" вирусы должны быть почти безвредны: быстро распространяться, но не портить компьютеры.
Кто же все-таки пишет вирусы по официальной версии и почему?
Максим Поташев: Вопрос, почему пишут вирусы, задают нам постоянно. Полагаю, дело в том, что в человеческой природе заложено деструктивное начало. По той же причине футбольные фанаты разносят стадионы — вирусописатели являются по сути такими же хулиганами. Существует миф, что для написания вируса и взлома сайтов нужны недюжинные способности и интеллект. Это не совсем так, написать вирус сейчас просто, технологии и методы давно известны.
Есть и другие точки зрения на этот счет.
Игорь Ашманов: Обычно в прессе пишут, что вирусы разрабатываются просто из-за молодецкой удали, желания самоутвердиться. Это отчасти справедливо. Описывают даже типичный портрет вирусописателя — 17 лет, студент, прыщи, комплексы, сексуальная неудовлетворенность. Но в реальности мы про вирусописателей мало что знаем — ловят единицы, а с остальными нет никакой связи. Но известно, что там уже сложилось целое криминальное сообщество, и это не только прыщавые юнцы.
Кем бы ни были вирусописатели, есть вполне отчетливые факты, говорящие о существовании бизнеса по созданию вирусов. Так, на многочисленных сайтах вроде www.хакер.ru можно найти объявления о продаже "троянов", причем цена такого продукта может составлять $100. Связаться с людьми, зарабатывающими деньги на вирусописательстве, оказалось нелегко: на одном из сайтов по информационной безопасности за интервью с "правильным человеком" запросили $300.
Один хакер рассказал нам, что люди, которые пишут вирусы, зарабатывают не на этом. Вирусы (речь шла о "троянах") для них — это прикладной рабочий инструмент. В основном "трояны" используются для взлома серверов, которые потом используются для рассылки того же спама.
|