Три условия существования вредоносных программ

Операционная система или приложение могут подвергнуться вирусному нападению, если они обладают возможностью запустить программу, не являющуюся частью самой системы или приложения. Данному условию удовлетворяют все популярные «настольные» операционные системы, многие офисные приложения, графические редакторы, системы проектирования и прочие программные комплексы, имеющие встроенные скриптовые языки.

Компьютерные вирусы, черви, троянские программы существуют для десятков операционных систем и приложений. В то же время имеется огромное количество других операционных систем и приложений, для которых вредоносные программы пока не обнаружены. Что является причиной существования вредных программ в одних системах и отсутствия их в других?

Причиной появления подобных программ в конкретной операционной системе или приложении является одновременное выполнение следующих условий:

  • популярность, широкое распространение данной системы;
  • документированность — наличие разнообразной и достаточно полной документации по системе;
  • незащищенность системы или существование известных уязвимостей в её безопасности и приложениях.

Каждое перечисленное условие является необходимым, а выполнение всех условий одновременно является достаточным для появления разнообразных вредоносных программ.

Условие популярности системы необходимо для того, чтобы она попалась на глаза хотя бы одному компьютерному хулигану или хакеру. Если система существует в единичных экземплярах, то вероятность её злонамеренного использования близка к нулю. Если же производитель системы добился её массового распространения, то очевидно, что рано или поздно хакеры и вирусописатели попытаются воспользоваться ей в своих интересах.

Напрашивается естественный вывод: чем популярнее операционная система или приложение, тем чаще она будет являться жертвой вирусной атаки. Практика это подтверждает — распределение количества вредоносного программного обеспечения для Windows, Linux и MacOS практически совпадает с долями рынка, которые занимают эти операционные системы.

Наличие полной документации необходимо для существования вирусов по естественной причине: создание программ (включая вирусные) невозможно без технического описания использования сервисов операционной системы и правил написания приложений. Например, у обычных мобильных телефонов конца прошлого и начала этого столетия подобная информация была закрыта — ни компании-производители программных продуктов, ни хакеры не имели возможности разрабатывать программы для данных устройств. У телефонов с поддержкой Java и у «умных» телефонов есть документация по разработке приложений — и, как следствие, появляются и вредоносные программы, разработанные специально для телефонов данных типов.

Уязвимостями называют ошибки («дыры») в программном обеспечении, как программистские (ошибка в коде программы, позволяющая вирусу «пролезть в дыру» и захватить контроль над системой), так и логические (возможность проникновения в систему легальными, иногда даже документированными методами). Если в операционной системе или в её приложениях существуют известные уязвимости, то такая система открыта для вирусов, какой бы защищённой она ни была.

Под защищенностью системы понимаются архитектурные решения, которые не позволяют новому (неизвестному) приложению получить полный или достаточно широкий доступ к файлам на диске (включая другие приложения) и потенциально опасным сервисам системы. Подобное ограничение фактически блокирует любую вирусную активность, но при этом, естественно, накладывает существенные ограничения на возможности обычных программ.

Примеров широко известных защищенных многофункциональных и открытых операционных систем и приложений, к сожалению, нет. Частично удовлетворяет требованию защищенности Java-машина, которая запускает Java-приложение в режиме «песочницы» (строго контролирует потенциально опасные действия приложения). И действительно, «настоящих» компьютерных вирусов и троянских программ в виде Java-приложений не было достаточно долгое время (за исключением тестовых вирусов, которые были практически неработоспособны). Вредоносные программы в виде Java-приложений появились лишь тогда, когда были обнаружены способы обхода встроенной в Java-машину системы безопасности.

Примером широко используемых защищённых систем могут служить операционные системы в мобильных телефонах (не в «умных» смартфонах и без поддержки загружаемых извне Java-программ). Но в них невозможно установить новые программы, нет документации для их разработки, то есть, функционал системы серьезно ограничен, нет возможности его наращивания. Но зато нет и вирусов.

Другим примером платформы, закрытой для вирусов, является платформа BREW. В мобильные телефоны на этой платформе устанавливаются только сертифицированные приложения (используется крипто-подпись) и строго через провайдера мобильной связи. К разработке приложений для BREW привлекаются сторонние компании-разработчики, существует подробная документация по разработке. Однако для каждого приложения необходимо получить сертификат, что снижает скорость разработки, усложняет её бизнес-процессы. В результате данная система не может похвастаться большой популярностью и обилием приложений по сравнению с конкурирующими предложениями.

Сложно представить, что бы было, если бы настольные системы типа Windows или MacOS были построены на тех же принципах. Существенно бы усложнилась (или даже просто стала бы невозможной) разработка программного обеспечения независимыми компаниями, значительно бы обеднел спектр различных интернет-услуг, скорость работы бизнес-процессов была бы заметно ниже. Мир был бы другим — беднее, скучнее и медленнее. Таким образом, ущерб от вирусных атак можно рассматривать как плату за то, что мы живём в динамичном мире, в мире информации и высоких скоростей.

ddos-attacks-in-q4-2017

DDoS-атаки в четвертом квартале 2017 года

В четвертом квартале 2017 наблюдалось затишье: по сравнению с предыдущим кварталом уменьшились и число, и продолжительность DDoS-атак: последние месяцы 2017 года выдались даже спокойнее первых. При этом повышение числа атак на honeypot-ловушки в канун праздничных распродаж показывает желание злоумышленников расширить бот-сети в наиболее выгодный для этого момент. Прочитать полный текст статьи

ksb-overall-statistics-2017

Kaspersky Security Bulletin 2017. Статистика

В 2017 году веб-антивирус «Лаборатории Касперского» выявил 15 714 700 уникальных вредоносных объектов (скриптов, эксплойтов, исполняемых файлов и т.д.) и 199 455 606 уникальных URL, на которых происходило срабатывание веб-антивируса. Решения «Лаборатории Касперского» отразили 1 188 728 338 атак, которые проводились с интернет-ресурсов, находящихся в 206 странах мира. Прочитать полный текст статьи

jack-of-all-trades

И швец, и жнец, и на дуде игрец

Среди этого множества угроз, мы обнаружили весьма интересный экземпляр – Trojan.AndroidOS.Loapi. Благодаря сложной модульной архитектуре он может добывать криптовалюту, заваливать пользователя рекламой, осуществлять DDoS-атаки и многое другое. Прочитать полный текст статьи

ksb-review-of-the-year-2017

Kaspersky Security Bulletin: обзор 2017 года

Конец года – это хорошее время, чтобы подвести итоги основных инцидентов кибербезопасности, имевших место в уходящем году, и попытаться оценить, какое влияние они оказали на организации и пользователей, а также на развитие ландшафта угроз в целом. Прочитать полный текст статьи

ksb-threat-predictions-for-connected-life-in-2018

Прогнозы по развитию угроз для подключенных систем в 2018 году

В конце каждого года эксперты «Лаборатории Касперского» анализируют текущую ситуацию с киберугрозами, актуальными для бизнеса, и исходя из трендов, наблюдаемых в уходящем году, публикуют прогноз на следующий год. Ниже мы перечислим некоторые типы угроз, которые в 2018 году могут оказать значительное влияние на повседневную цифровую жизнь пользователей. Прочитать полный текст статьи

ksb-story-of-the-year-2017

Kaspersky Security Bulletin 2017. Сюжет года: Шифровальщики атакуют

Добро пожаловать в мир программ-вымогателей-2017. В уходящем году в постоянно растущем списке жертв этих зловредов к отдельным пользователям добавились крупные глобальные компании и промышленные системы, а злоумышленники, организующие целевые атаки, начали проявлять к шифровальщикам серьезный интерес. Прочитать полный текст статьи

it-threat-evolution-q3-2017-statistics

Развитие информационных угроз в третьем квартале 2017 года. Статистика

По данным KSN, решения «Лаборатории Касперского» отразили 277 646 376 атак, которые проводились с интернет-ресурсов, размещенных в 185 странах мира. Прочитать полный текст статьи

it-threat-evolution-q3-2017

Развитие информационных угроз в третьем квартале 2017 года

Растущая информатизация бизнес-процессов предоставляет злоумышленникам множество возможностей для атак. Целевые атаки при этом становятся все изощреннее: преступники учатся эффективнее использовать уязвимые места, незамеченными проникая в корпоративные сети. Прочитать полный текст статьи

ddos-attacks-in-q3-2017

DDoS-атаки в третьем квартале 2017 года

В третьем квартале 2017 года мы зафиксировали количественный рост, как и общего числа DDoS-атак, так и их целей. Традиционно, наибольше количество источников атак и мишеней было обнаружено в Китае, за которым с большим отрывом расположились США и Южная Корея. Windows-системы заметно утратили популярность в качестве основы для создания ботнета. Прочитать полный текст статьи

an-undocumented-word-feature-abused-by-attackers

(Не)документированная особенность Word, используемая злоумышленниками

Некоторое время назад, в процессе исследования деятельности целевой атаки Freakyshelly, мы обнаружили spear-phishing рассылку писем с интересными вложенными документами. Это были файлы в формате OLE2, которые не содержали ни макросов, ни эксплойтов, ни какого-либо другого активного контента. Прочитать полный текст статьи