Читаем Журнал "Компьютерра" №710 полностью

Это понятно, но ломать не строить: запутывать код проще, чем распутывать, и т. д. Вы будете на шаг позади…

- Нам просто нужно работать эффективнее, быть гораздо сильнее и умнее, чем они. У нас разные уровни: у вирусописателей технический уровень может быть ниже, чем у вирусного аналитика. Так или иначе, это подпольное предприятие, и все понимают, что оно временное. Там все-таки нет уверенности, как у настоящей индустрии, хотя мы и называем ее так из-за масштабов и довольно сложной структуры.

Malware as a service

Увиденное за дверью стало для Джексона полной неожиданностью. Gozi оказался не внутренней разработкой взломщиков, созданной для своих нужд. Не предназначался троян и для продажи. Он был основой сервиса, своебразного криминального магазина самообслуживания. Пользователь системы, имеющий аккаунт, мог подписаться на доступ в течение месяца к информации, поступающей с каких-то Gozi-инфицированных машин по цене от $1000 за штуку. Войдя в систему, пользователь видел список "своих" троянов и мог анализировать полученные от них "передачи". Насколько удачным оказывался "улов" и как клиент преобразовывал украденные данные в деньги - было уже проблемой подписчика. Чаще всего подписчики продавали добытые сведения на черном рынке тем людям, которые непосредственно занимались снятием денег со счетов и покупкой товаров, и реже использовали эти сведения самостоятельно.

Владельцы 76service этим не занимались - точнее, могли не заниматься. Они в первую очередь предоставляли сервис и делали все на благо своих клиентов. Помимо базового комплекта, за небольшую плату они могли провести дополнительный анализ и просеивание информации - например, отобрать из всех поступающих данных только те, которые относились к клиентам определенного банка.

Все как в "большом мире". Не единичные "спецоперации" - атаки и взлом компьютеров, - а хорошо отлаженный механизм, конвейер и готовое "решение" (выражаясь современным бизнес-языком), допускающее четкое разделение труда и создание длинных цепочек потребления. На примере Gozi и 76service мы видим развитие теневой экономики malware. Борьба с киберпреступностью будет неэффективна до тех пор, пока не будут учитываться свойства этой экономики.

В настоящий момент сайт 76service.com не открывается, а троян Gozi детектируется основными антивирусами. Но это трудно назвать победой: в середине марта 2007 сайт тоже на время закрывался, но спустя буквально несколько дней он появился вновь, переехав на хостинг где-то в Гонконге и выпустив новую версию трояна. Вполне вероятно, что сейчас функционирует аналогичный сервис, работающий на другом домене и использующий очередную модификацию трояна, сигнатура которого еще не добралась до антивирусных баз. Может быть, он перехватывает данные и с вашего компьютера всякий раз, когда вы вводите свой платежный пароль в Яндексе.

Тараканьи бега

Для простоты, будем считать, что какой-то большой и сложный продукт - например, Windows 2000 - содержит 1 миллион ошибок, причем каждая ошибка "проявляется" в среднем раз в 1 миллиард часов. Предположим, что Падди работает на Ирландскую Республиканскую армию и его задача - взломать компьютер Британской армии, чтобы получить список информаторов в Белфасте; задача Брайана - остановить Падди. Чтобы это сделать, ему нужно узнать об ошибках первым.

Падди работает в одиночку и может потратить на тестирование только тысячу часов в год. У Брайана есть доступ к полному исходному коду Windows, десятки кандидатов наук в подчинении, контроль за исследовательскими коммерческими компаниями, прямой доступ к CERT и соглашение об обмене информацией с компетентными службами Англии и США. Кроме того, он имеет возможность посылать консультантов на стратегически важные объекты (например, в сфере энергетики и телекоммуникаций), дабы объяснять сотрудникам этих объектов, как им лучше защищать свои системы. Допустим, что Брайан и его подчиненные тратят в общей сложности 10 миллионов часов в год на тестирование.

Через год Падди найдет одну ошибку, тогда как Брайан найдет сто тысяч. Однако вероятность того, что Брайан нашел ту же ошибку, что и Падди, равна 10%. Через десять лет он найдет ее - но за это время Падди найдет еще девять, и вряд ли Брайан будет к тому моменту знать их все. Более того: отчеты Брайана об ошибках станут литься таким потоком, что Microsoft просто перестанет обращать на них внимание.

Ross Anderson, "Why Information Security is Hard - An Economic Perspective"

Сделай сам