Архив новостей

Вирусописатели на службе IT-компаний

Уже много лет журналисты задают представителям антивирусных компаний один и тот же вопрос: «Сколько вирусов написали сотрудники вашей компании?» В ответ они неизменно получают один и тот же ответ: «Ни одного. Ни один наш сотрудник не пишет вирусы».

Вопрос выглядит актуальным только на первый взгляд, на самом деле он является, по меньшей мере, несколько странным. Если провести аналогию с другими областями человеческой деятельности, то врачи специально заражают воду, чтобы привлечь себе больше пациентов, сантехники «дырявят» водопроводные трубы, чтобы получить больше заказов, а производители шин прокалывают колеса автомобилям, чтобы увеличить продажи.

В день появляется около 100 новых различных вредоносных кодов. Каждый из них необходимо проанализировать, выявить его сигнатуру, разработать процедуру лечения и т.д. Неужели кто-то думает, что у антивирусных компаний остается время на незаконную и, откровенно говоря, сомнительную с точки зрения выгоды деятельность?

Есть еще и этическая сторона дела. Представители крупнейших антивирусных компаний в мире уже не раз заявляли, что вся антивирусная индустрия старается дистанцироваться от вирусописателей, что эти преступники никогда не смогут работать в уважающей себя антивирусной компании. Такая позиция вполне объяснима: есть нормы профессиональной этики, и разработчики антивирусных компаний стараются их соблюдать. Зачем? Потому что между поставщиком решения и пользователем, будь то гигантская корпорация с несколькими сотнями серверов или школьник, решающий на своем домашнем компьютере примеры по математике и скачивающий из интернета фотографии Гарри Поттера, должно быть доверие. Именно на этом понятном каждому из нас слове строится бизнес. Вы доверили бы свою безопасность, физическую или информационную, компании, которой не доверяете? Сомневаюсь. Лично я бы ни за что не доверил.

Следующие слова Евгения Касперского, руководителя антивирусных исследований «Лаборатории Касперского», в данном случае выражают точку зрения всей антивирусной индустрии:

— Мы, например, вирусописателей на работу не берем, ни при каких обстоятельствах. Если прошлое человека связано с подобной деятельностью, путь в компанию ему заказан. Более того, так поступает не только «Лаборатория Касперского» — работы для вирусописателей нет ни в одной уважающей себя антивирусной компании. Это вопрос профессиональной этики. Если антивирусная компания берет на работу человека с криминальным, не побоюсь этого слова, прошлым, значит, у компании совершенно отсутствует понятие профессиональной этики, и доверять такой компании я бы не стал. Безусловно, многие вирусописатели хотели бы работать в антивирусной индустрии (вспомнить хотя бы одну из версий червя Mydoom, в теле которой содержалась строка «Мы ищем работу в антивирусной индустрии»). К сожалению, они выбрали неверный путь — попытка устроиться в «Лабораторию Касперского» таким способом не приведет ни к чему, кроме передачи резюме кандидата в компетентные органы.

На протяжении долгих лет все было хорошо. Журналисты постепенно начали забывать свой извечный вопрос, пользователи научились доверять разработчикам решений в сфере информационной безопасности, чья высокая профессиональная этика стала табу для всего IT-сообщества. Однако вторая половина 2004 года принесла с собой несколько событий, перевернувших все с ног на голову.

SecurePoint и Свен Яшан

Прежде всего, в начале сентября 2004 года был арестован восемнадцатилетний немец Свен Яшан (Sven Jaschan), автор двух самых опасных сетевых червей. Через некоторое время он признал себя виновным в создании печально известных вредителей Sasser и NetSky. Считается, что на долю творений немецкого вирусописателя пришлось 70% всех заражений в первой половине 2004 года. Особую благодарность за поимку преступника следует выразить компании Microsoft, назначившей награду в 250 тыс. долларов за любую информацию об авторе Sasser и NetSky. Хотя Свен Яшан уже признал себя виновным, приговор ему еще не вынесен. Награда будет выплачена сразу после оглашения приговора.

Однако радость от ареста искусного вирусописателя быстро сменилась недоумением: 20 сентября 2004 года немецкая компания SecurePoint взяла Свена Яшана к себе на работу в должности младшего разработчика. Беспрецедентный случай! Авторитетная компания SecurePoint, немецкий разработчик межсетевых экранов, посчитала, видимо, что Свен Яшан настолько талантлив, что можно ему доверить разработку своих продуктов.

В ответ на это другая авторитетная компания H+BEDV Datentechnik, немецкий разработчик антивирусных продуктов, 5 ноября 2004 года разорвала все партнерские отношения с SecurePoint. Между тем обе компании планировали объединить свои продукты (антивирус и межсетевой экран), чтобы предоставить пользователю комплексное, надежное и эффективное решение. Однако необдуманные действия SecurePoint свели общие планы обеих компаний на «нет».

Исполнительный директор и основатель компании H+BEDV Datentechnik, Тьярк Ауэрбах (Tjark Auerbach) прокомментировал действия своей компании следующим образом:

— Мы скептически относимся к найму вирусописателей. Благородная попытка дать преступнику второй шанс должна, в первую очередь, учитывать интересы безопасности именно конечных пользователей, клиентов компании. Что бы ни делала компания SecurePoint, это ее личное дело. Но я не хочу, чтобы вирусописатель был причастен к разработке нашего антивируса хоть на каком-то этапе работы. Взвесив все за и против, я не могу поддержать решение SecurePoint. Хотя считается, что 18-летний вирусописатель раскаялся и сожалеет о содеянном, степень оказанного ему доверия вызывает большие сомнения.

И снова это слово — «доверие». Да, Свен Яшан, возможно, талантливый программист. Да, он молод и, скорее всего, горит желанием любым способом заявить о себе всему миру. Но его творения, Sasser и NetSky, причинили огромный ущерб, а сам автор раскаялся и во всем признался уже после того, как его арестовали. Как бы то ни было, в любом случае один вопрос остается открытым. Вопрос о доверии.

Взяв Свена Яшана к себе на работу, компания SecurePoint показала, что доверяет ему. Разорвав отношения с SecurePoint, компания H+BEDV Datentechnik продемонстрировала свое недоверие Свену Яшану и бывшему партнеру SecurePoint. Ну, а что клиенты SecurePoint? А клиенты в этом случае оказались заложниками ситуации. С одной стороны, выбрав решения SecurePoint, клиент проникся доверием к поставщику решения. С другой стороны, вложив силы и средства в покупку и внедрение продуктов, а также в тренинги персонала клиент оказался зависимым от SecurePoint. Но компания SecurePoint наняла Свена Яшана, причем не бета-тестером или преподавателем по IT-безопасности в учебный центр, а разработчиком. Теперь молодой преступник имеет доступ к кодам продуктов, сам участвует в разработке и, на самом деле, может делать с компьютерами клиентов все, что захочет.

Комментируя проблему доверия, Тьярк Ауэрбах сказал следующее: «Если вирусописатель работает над программой с нашими компонентами, что подумает покупатель? Вдруг эта программа пропустит какой-нибудь вирус? Картина получится не самая приятная!»

А вот как прокомментировал действия компании SecurePoint Костин Раю, глава румынского исследовательского центра «Лаборатории Касперского»:

— Стыд и срам! В течение многих лет мы приучали общественность к тому, что высокая этика антивирусных компаний находится вне сомнений, что мы не берем на работу вирусописателей: Но тут появляется SecurePoint, уважаемая немецкая компания в сфере информационной безопасности, которая доказывает, как мы все ошибались. Конечно, проблема вирусописателей, которые хотят устроиться на работу в антивирусную компанию, появилась не только что. На одной из конференций Virus Bulletin вирусописатель выступил открыто и спросил присутствующих на конференции представителей крупных компаний о возможности работы. Ни одна компания не захотела брать его себе на работу.

Но теперь компания SecurePoint, разработчик программных и аппаратных решений в сфере безопасности, нанимает одного из самых известных вирусописателей в истории, человека, ответственного за два самых опасных червя, Netsky и Sasser. В действительности вредоносные коды Свена Яшана были настолько опасны, что Microsoft согласилась заплатить 250 тыс. долларов за любую информацию, которая приведет к поимке их автора. До этого было всего два таких случая (для червей Lovesan и Mydoom).

Не говоря уже о нравственности SecurePoint, я хотел бы задать клиентам этой компании несколько вопросов. Крепко ли вы будете спать, зная, что часть программного обеспечения вашего маршрутизатора была разработана уже признавшим свою вину вирусописателем? Уверены ли вы, что в этой системе не спрятан «потайной ход» и что однажды система не начнет распространять новое творение Яшана? Зная обо всем этом, согласны ли вы доверить свою безопасность в руки человеку, который уже создал хаос в интернете, играя в цифрового Робина Гуда нашего времени? Я бы ни за что не доверил ему хоть толику своей безопасности.

Единственное, что теперь можно посоветовать клиентам компании SecurePoint, так это сменить поставщика продуктов в сфере информационной безопасности на такого, чья высокая профессиональная этика не вызывает сомнения.

Zoner Software и Benny

Дурной пример заразителен. Некоторые компании последовали примеру SecurePoint. 11 ноября 2004 года чешский разработчик антивирусных продуктов, компания Zoner Software, принял на работу двадцатидвухлетнего вирусописателя, члена преступной группы 29А, некого Benny. По замыслу руководства Zoner Software, Benny окажет неоценимую помощь в разработке программного обеспечения для борьбы с вирусами и хакерами. Если быть точным, то Benny назначен главным разработчиком Zoner Anti-Virus (ZAV). Сам антивирус пока что находится в стадии разработки и не предлагается конечным пользователям, то есть уже зарекомендовавший себя в узких кругах злоумышленник, по сути, будет руководить разработкой антивирусного продукта с самого начала, будет иметь доступ ко всем его исходным кодам, по желанию сможет встроить в продукт «жучки» и «потайные ходы»: В данном случае, возможности Benny действительно безграничны!

Эрик Пайпер (Erik Piper), представитель Zoner Software, так прокомментировал действия своей компании:

— Это парадоксально, но деятельность Benny, в том числе в области написания вирусов стала хорошим доказательством того, что он понимает схему работы вирусных атак. Создатели вирусов часто подчеркивают, что подход к созданию защиты в том или ином продукте оказывается примитивным. Мы уверены, что о разработках Benny такого сказать будет нельзя.

Молодой вирусописатель увлекается написанием вредоносных кодов уже более пяти лет. Он также является членом «оригинальной» группы 29А, выступающей против массовой рассылки созданных ими вредоносных программ. Следует отметить, что «29А» — это шестнадцатеричное представление числа «666». Один из главных подвигов Benny — создание вируса для операционной системы Windows 2000 за две недели до ее официального выхода.

Если всерьез воспринимать комментарии Эрика Пайпера, то самый лучший способ продемонстрировать потенциальному работодателю свои знания и навыки, это написать опасный вредоносный код и подождать пока он превратит компьютеры пользователей в «бесполезную железку». Между тем у по-настоящему талантливого человека всегда найдется огромное количество легальных, законных и безопасных для окружающих способов продемонстрировать всем свои силы. Ведь есть же огромное количество олимпиад и соревнований по программированию, конференций и изданий по информационной безопасности, есть также антивирусные компании, которые всегда будут рады талантливому антивирусному эксперты без криминального прошлого. Что же до написания вирусов и других вредоносных кодов, то это путь отнюдь не на высокооплачиваемую работу, нет, это прямая дорога за решетку.

Airscanner и Ratter

Еще один пример неэтичного поведения показала техасская компания Airscanner, занимающаяся разработкой продуктов для обеспечения информационной безопасности карманных компьютеров. В пресс-релизе, распространенном 16 июля 2004 года, компания выразила благодарность вирусописателю, скрывающемуся под псевдонимом Ratter, за то, что он «разработал первый вредоносный концептуальный код для платформы Windows Mobile Pocket PC и прислал его экспертам компании Airscanner». Между тем Ratter, как и Benny, является чешским членом криминальной группы 29А (которую представители компании Airscanner назвали «Лабораторией 29А»), действительно разработавшим вредоносный код для платформы Windows CE самым первым. Эти преступники (Ratter и Benny) на пару создали еще и первый концептуальный вирус, который использует дополнительные потоки файловой системы NTFS. Теперь у антивирусных разработчиков по всему миру прибавилось головной боли, так как борьба с вредоносными кодами в дополнительных потоках NTFS — очень непростой с технической точки зрения процесс. И что же хорошего в этой «концептуальности»? Вирусописательство — это одна из тех областей, где лучше всего, чтобы пионеров вообще не было!

Позиция компании Airscanner понятна: молодой игрок на еще более юном сегменте рынка продуктов информационной безопасности пытается привлечь к себе как можно больше внимания со стороны прессы и IT-сообщества, а также пытается доказать, что мобильные платформы также уязвимы для вредоносных кодов. Таким способом представители Airscanner хотят повысить продажи и увеличить число своих клиентов.

Но ведь, написав первый концептуальный вирус, Ratter продемонстрировал всем своим собратьям-злоумышленникам новый объект для атак и преступной деятельности. Антивирусная индустрия и разработчики других средств информационной безопасности всегда старались дистанцироваться от вирусописателей и других IT-преступников. Например, выбирая названия для новых, только что появившихся вредоносных кодов, антивирусные эксперты никогда не оставляют то имя, которое предложил автор в теле своего вируса. Это делается для того, чтобы не тешить самолюбие злоумышленников. Для преступника написать письмо в уважающую себя антивирусную компанию — все равно, что прямиком отправить это письмо органам правопорядка. Так было всегда. Но компания Airscanner продемонстрировала другой подход, показав всему преступному IT-сообществу, что можно создавать вредоносные коды и почивать за это на лаврах.

Главное — доверие

SecurePoint, Zoner Software, Airscanner — своими действиями все эти компании ставят под угрозу то доверие, которое компании-разработчики антивирусов завоевывали так долго и с таким трудом. Конечно, совершив такой эксцентричный поступок, этим компаниям удается привлечь к себе внимание прессы: Но подумали ли они о своих клиентах? Скорее всего, нет. С этой точки зрения, абсолютно верно выглядят действия немецкой компании H+BEDV Datentechnik, разорвавшей с SecurePoint партнерские отношения. Ведь H+BEDV Datentechnik заботится о доверии своих клиентов, потеря которого равносильна потере в начале самих клиентов, а потом и бизнеса.

Может быть, стоит ввести «нежесткое» государственное регулирование этой проблемы? Так, как, например, это сделано во Франции. Директор европейского центра антивирусных исследований «Лаборатории Касперского» Марк Бланшар описал вполне либеральное и эффективное взаимодействие органов государственной власти и компаний, занимающих IT-безопасностью:

— Во Франции запрещено нанимать вирусописателей. У нас очень строгие контракты со служащими компаний, так что вирусописателю устроиться на работу просто нереально. Поставщики антивирусных решений во Франции очень тесно сотрудничают с органами государственной власти. Мы работаем с правительством, оно нас инспектирует. Это еще одна причина, по которой никто не берет на IT-работу людей с криминальным прошлым. Я думаю, что в других странах Евросоюза сейчас внедряется тот же самый подход.

И все-таки каждая компания, занимающаяся разработкой продуктов в сфере информационной безопасности, должна самостоятельно решать, брать ли ей себе на работу вирусописателей, хакеров и других IT-преступников. Это прерогатива руководства компании.

Однако компания никогда не должна забывать, ради чего и ради кого она работает. Ведь есть не только прибыль, но еще и клиенты. Ради безопасности клиентов и создаются продукты. Доверие клиентов и незапятнанная честь в конечном итоге принесут ощутимо большие доходы, чем один печально известный преступник, каким-то чудо затесавшийся в штат сотрудников компании.

Вирусописатели на службе IT-компаний

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике