Зловредное ПО


Зловредное ПО — это универсальный термин, охватывающий программное обеспечение, которое может быть запущено на компьютере и действовать против интересов его владельца. Компьютерные вирусы[link1], черви[link2], трояны[link3], шпионское ПО[link4], руткиты[link5] и кейлоггеры (клавиатурные шпионы)[link6] часто приводятся как подкатегории зловредного ПО. Отметим, что некоторые программы могут принадлежать более чем к одной из этих категорий.

Как зловредное ПО попадает на компьютер?


Часть зловредного ПО распространяется путём эксплуатации уязвимостей в операционных системах или прикладных программах. Эти уязвимости — ошибки в архитектуре или программной реализации, которые позволяют ловкому программисту так обмануть дефектную программу, чтобы та передала контроль над ней кому-то ещё. К сожалению, такие уязвимости обнаруживаются в широком спектре распространённого софта и их постоянно находят лишь больше — как те, кто пытается устранить эти уязвимости, так и те, кто пытается эксплуатировать их.

Другой частый вектор, по которому распространяется зловредное ПО, — это обман пользователя компьютера, чтобы тот сам запустил программу, делающую то, чего он не ожидает. Обман пользователя — весьма мощный способ захвата компьютера, поскольку атакующему не приходится зависеть от обнаружения серьёзной уязвимости в распространённом ПО. Особенно сложно гарантировать нескомпрометированность компьютеров, находящихся в совместном доступе нескольких пользователей, или компьютеров, размещённых в публичных местах, таких как библиотеки или интернет-кафе. Если одного пользователя обманом вынудят запустить инсталлятор зловредного ПО, то каждый последующий пользователь, независимо от его осторожности, будет подвергнут риску. Зловредное ПО, написанное опытными программистами, как правило не оставляет никаких видимых признаков своего присутствия.

На что способно зловредное ПО?


Появление у вас зловредного ПО — это очень плохая новость с точки зрения безопасности и приватности. Зловредное ПО может быть способно похитить детали учётных записей и пароли, прочитать документы на компьютере (включая и зашифрованные документы, если пользователь наберёт пароль), сделать бесполезными ваши попыткам анонимного доступа в интернет, делать снимки экрана и скрывать себя от других программ. Зловредное ПО может даже использовать микрофон, веб-камеру и прочую компьютерную периферию против вас.

Главным ограничением возможностей зловредного ПО является то, что его автору необходимо 1) заранее оценить, что должно делать его зловредное ПО, 2) затратить значительное количество времени и сил на программирование зловредных функций, протестировать их работоспособность и надёжность на различных версиях операционной системы и 3) не быть связанным правовыми или иными ограничениями, останавливающими его от реализации этих функций.

К сожалению, в последние годы сформировался чёрный рынок[link7] по продаже зловредного ПО, направленного на различные цели. Это уменьшило препятствия, перечисленные выше в категории 2.

Наиболее опасная возможность зловредного ПО в том, что, будучи установленным, оно потенциально способно свести к нулю пользу от всех других мер безопасности. В частности, зловредное ПО может быть использовано для преодоления защиты программ шифрования, даже если те применяются должным образом. С другой стороны, большинство зловредного ПО создаётся преимущественно для других вещей, скажем, для показа всплывающих рекламных окон или захвата компьютера с целью рассылки спама.

Насколько вероятно заражение зловредным ПО?


Никто не знает, сколько компьютеров инфицировано зловредным программным обеспечением, но информированные источники оценивают[link7] это значение в диапазоне от 40% до 90% компьютеров под управлением ОС Windows. Степень заражения систем MacOS и Linux ниже, но не обязательно потому, что Windows — более лёгкая добыча. В действительности, в последних версиях Windows безопасность была значительно усилена. Скорее, многие авторы зловредного ПО нацеливаются прежде всего на Windows-машины, поскольку успешная атака на них поставит под их контроль большее число компьютеров.

По этим причинам вероятность того, что любой произвольный компьютер является заражённым зловредным ПО, весьма высока, если только высококвалифицированные специалисты по безопасности не прикладывают значительные усилия, чтобы обеспечить безопасность системы. Со временем любая машина, на которую не проводилась своевременная установка обновлений безопасности, практически гарантированно окажется инфицирована. Однако, намного более вероятно, что предметом злонамеренного ПО будет работа по сбору номеров кредитных карт, получение паролей к аккаунтам eBay, получение паролей к онлайн-банкам, рассылка спама или запуск атак на отказ в обслуживании, нежели тайная слежка за конкретными людьми или организациями.

Заражение зловредным ПО, управляемым силами правопорядка США и другими правительственными агентствами, тоже возможно, хотя и значительно менее вероятно. Известно небольшое количество случаев, когда были получены ордера[link8] на установку зловредного ПО с целью идентификации подозреваемого и записи его коммуникаций (смотрите ниже раздел о CIPAV). Маловероятно, что бы государственные агентства США стали использовать злонамеренное ПО, кроме как в ходе проведения особо важного и дорогостоящего расследования.

Как можно снизить риск заражения зловредным ПО?


В настоящее время использование малораспространённых операционных систем существенно снижает риск заражения, поскольку на эти платформы нацелено меньшее число зловредных приложений. (Существующее злонамеренное ПО в своём подавляющем большинстве нацелено преимущественно на одну конкретную операционную систему).

Уязвимости вследствие дефектов ПО трудно ослабить. Своевременная и регулярная установка обновлений гарантирует по крайней мере защиту от известных дефектов.

Не устанавливайте и не запускайте никакое программное обеспечение неизвестного происхождения; эта важная мера предосторожности поможет вам не быть обманутыми и избежать установки зловредного ПО. Это может быть, к примеру, софт, рекламируемый баннерами и всплывающими окошками или распространяемый по электронной почте (даже если он замаскирован под что-либо иное, нежели компьютерная программа). Новые операционные системы стараются предупреждать пользователя о запуске программ из неизвестных источников; эти предупреждения безопасности служат важной цели и не должны просто игнорироваться. Жёсткое ограничение числа пользователей компьютера, содержащего чувствительную информацию, также может быть полезным. Важно отметить, что некоторое зловредное ПО нацелено на детей, в том числе злонамеренный код, идущий со скачиваемыми из Сети видеоиграми. (Разумеется, компьютерные пользователи любого возраста могут быть обмануты с целью установки зловредного ПО!)

Регулярный запуск в Windows антивирусной и антишпионской программы может удалить значительную часть распространённого злонамеренного ПО. Однако, такие программы эффективны не против всякого злонамеренного ПО и должны регулярно обновляться. Поскольку анти-злонамеренное ПО создаётся на основе исследований злонамеренного ПО, встречающегося "в диком виде", оно скорее всего неэффективно против нераспространённых, специализированных зловредных приложений, нацеленных на заражение лишь нескольких особых компьютеров, а не значительной популяции в интернете.

CIPAV: образец зловредного ПО, применяемого правоохранительными органами


CIPAV — это акроним ФБР, означающий Computer and Internet Protocol Address Verifier, верификатор компьютеров и IP-адресов. CIPAV — это тип злонамеренного программного обеспечения, предназначенного для идентификации людей, которые скрывают свою личность за прокси-серверами[link9], ботнетами, взломанными компьютерами и анонимными сетями типа Tor[link10]. О программе известны лишь небольшие горстки информации, полученные из опубликованных документов[link11] по делам, где она применялась. CIPAV возможно включает использование уязвимостей браузера, чтобы запустить ПО на компьютере, независимо от того, сколько шагов и переадресаций разделяет сервер, с которого производится атака, и целевого пользователя.

Оценка рисков зловредного ПО


Вездесущее зловредное ПО представляет угрозу всем пользователям компьютеров. Серьёзность этой угрозы широко варьируется. Некоторым пользователям будет достаточно лишь регулярно устанавливать обновления операционной системы и с осторожностью относиться к запуску приложений, скачанных из веба. Для организаций, имеющих высокий риск подвергнуться целенаправленной атаке со стороны автора зловредного ПО, целесообразно найти экспертов по компьютерной безопасности для защиты своих компьютеров или, что лучше, просто избегать использования компьютеров, подключённых к сети, для своей наиболее чувствительной деятельности.

Назад[link10] | Дальше[link12]

Ссылки
[link1] http://en.wikipedia.org/wiki/Computer_virus

[link2] http://en.wikipedia.org/wiki/Computer_worm

[link3] http://en.wikipedia.org/wiki/Trojan_horse_(computing)

[link4] http://en.wikipedia.org/wiki/Spyware

[link5] http://en.wikipedia.org/wiki/Rootkit

[link6] http://en.wikipedia.org/wiki/Keystroke_logging

[link7] http://www.cs.auckland.ac.nz/~pgut001/pubs/malware_biz.pdf

[link8] https://www.pgpru.com/biblioteka/osnovy/ssd/dannyenadiske/gosudarstvo/ordernaobysk

[link9] http://en.wikipedia.org/wiki/Proxy_server

[link10] https://www.pgpru.com/biblioteka/osnovy/ssd/tehnologii/tor

[link11] http://blog.wired.com/27bstroke6/2007/07/fbi-spyware-how.html

[link12] https://www.pgpru.com/biblioteka/osnovy/ssd/tehnologii/mobiljnyeustrojjstva