«Алиса, мне кажется, что я скачал вирус»
4 сентября 2024, 15:55Добро пожаловать на уже третий урок из серии «детальное описание того, что делать не надо, а если делать, то никому не говорить о том, кто вам это рассказал»!
Сегодняшняя тема даже не вызывает у меня желания истово вымаливать «божественный непрогляд» модераторам фикбука на протяжении всей работы, лишь бы они не удалили.
Усаживайтесь поудобнее, заваривайте чаек, окидывайте взглядом все свое программное обеспечение, скаченное не из официальных источников, а с сайта zhopa-Araba_666_troyan2000, и записывайте:
«Тема лекции: вирусы, антивирусы, возможножности изъятия персональных данных с устройства».
***
ИНФОРМАЦИОННЫЙ БЛОК 1.
ВИРУСЫ.
Страх поймать их нет-нет, да появляется у всех активных пользователей сети Интернет, но далеко не все знают, как эти самые вирусы работают и что это вообще за зверь такой.
«Он может удалить Windows с компьютера и украсть мои пароли из онлайн-банка!» — не ответ, хотя тревога этих людей мне понятна. Многие вирусы и трояны способны сделать нечто такое.
Думаю, стоит начать с того, что «вирус» в описании какого-то вредоносного программного обеспечения настолько же информативен, сколько «Homo» в описании какой-то известной личности. Вирус — вид вредоносной программы. Человек — вид вредоносного биологического механизма. Кроме «компьютерных вирусов» существуют другие виды не менее опасного ПО, а кроме Человека есть и другие, тоже не самые приятные, объекты.
Есть два способа разделения программ в целях большего удобства в изучении. Классификацию по специфике кода используют люди, работающие в этой области IT-сферы. Программы разделяют по схожим механизмам функционирования, собственно коду и другим нюансам, отделяющим в глазах профессионала одно от другого. Среди же нормальных людей большинства пользователей популярна другая, не менее точная, а просто созданная по другим критериям систематика: по целям создания, «поведению» и направленности.
Какие есть виды вредоносного ПО? (классификация по типу кода).
1. Троянская программа или просто троян. Зачастую не может проникнуть на девайс самопроизвольно, поэтому, как тот самый конь, троян прикидывается чем-то важным и безобидным, а, попав в систему, начинает и правда промышлять чем-то важным, но, к сожалению большинство троянов далеко не безобидные. Теоретически троян способен скрываться под любым расширением файла.
Целями трояна зачастую является скачивание и внедрение другого вредоносного ПО (червей и собственно вирусов, о которых будем говорить в пунктах 2 и 3 соответственно), сбор, накопление, кража разнообразных персональных данных (получается весьма успешно из-за «стелса»), слежка за пользователем, уничтожение данных вплоть до полного вывода компьютера из строя.
И некоторые из этих процессов могут быть одновременно плюс пользователь, ни о чем не догадываясь, постоянно что-то скачивает, пишет, гуглит, так что помехи и медленный отклик при заражении трояном не удивительны.
Как именно, зачем и какие троян собирает данные?
Банковские данные с прозаической целью поиметь денег. Для сбора этих данных могут применяться сразу несколько способов: несанкционированный кейлоггер, фиксирующий все нажатия на клавиши для определения пароля, когда вы вновь введете персональные данные; создание и активное «приглашение» трояном на фейковые страницы, которые будут выдавать себя за нечто весьма благопристойное, где нужно ввести банковские данные. Например сайт известного интернет-магазина, где пользователь уже регулярно совершал покупки, а значит доверяет и уже механически вводит все данные как только увидел логотип.
В оригинальном и поддельном адресах различия могут быть настолько незначительными, что определить фейк без специальных навыков не представляется возможным.
Слежка за пользователем. Зачастую, если троян не установлен на рабочий компьютер, с которого можно «поиметь» важные данные вплоть до коммерческой тайны, слежка обусловлена или личным, или корыстным мотивом и от мотива зависят действия трояна.
В первом случае он просто будет собирать данные и передавать третьему (а иногда четвёртому, если хакер и заказчик не один человек) лицу. Частенько не самые адекватные люди таким образом сталкерят или далёких объектов воздыхания, или своих постоянных партнёров. Следующий уровень после чтения переписок, пока он/а в душе и проверок его/её истории браузера.
В корыстном случае целью слежки является получение чего-то, что может стать поводом для шантажа. Чаще всего это законные, но неприятные в разглашении вещи, например факт супружеской измены, обнажённые фото, в некоторых странах что-то, касающееся ориентации и/или гендерной идентичности или персональные данные.
Скинь мне [сумма денег] на [интернет-кошель] и тогда я не буду публиковать нюдсы/переписку с любовницей/фото из гей-клуба/не продам номер телефона в Даркнете». Конечно же, чаще всего одной угрозой ничего не заканчивается. Не стоит идти на поводу у шантажистов, аппетиты у них только растут.
Сбор адресов электронной почты с последующей рассылкой спама и перепродажей адресов для разных целей. Из всего, что может совершить троян, это не самое страшное, но десятки, а то и сотни писем в день, сваливающиеся на тебя как письма из Хогвартса на Гарри Поттера (только вот в каких-то конвертах собственно настоящее письмо, а в каких-то вирус, какие-то важные письма с работы, Гарри, ты теперь сисадмин, а что-то безобидная «белая» рекламная рассылка), которые ещё и могут содержать в себе другие вредоносные программы — причиняют существенный дискомфорт.
К тому же, получив кроме адреса электронной почты ещё и пароль от неё, можно, пока человек не поймёт, что произошло, от его лица произвести рассылку того же трояна, который проник в компьютер, поменять пароль и привязанные данные, удалить учётную запись.
Если речь идёт о Gmail, то по почте можно «отмотать ниточку» и полностью проникнуть в аккаунт Google, а там… молочные реки и кисельные берега конфиденциальной информации. Но последнее в реальности мало кто сделает, слишком муторно, достаточно просто подождать какое-то время и человек сам введёт все нужные пароли.
Чаще тотально «ломать» и требовать деньги за возврат «как должно быть» любят iCloud, облачное хранилище айфона, и то больше по наивности пользователей или неучтенным дырам в безопасности от программистов Apple, чем по ниибаца высокому интеллекту «хацкеров».
Уважаемые пользователи айфонов, никогда не заходите в чужой iCloud, никогда не давайте никому свой Apple ID и другие персональные данные. Никогда. Я понимаю, что скачать что-то на iOS не из официального клиента это дрочь, и приходится доверять всяким сомнительным людям из телеги, у которых всё есть, но не надо, пожалуйста. Вряд ли вам понадобится хак на кирпич.
Где может «жить» троян? Каких файлов стоит остерегаться?
Как я уже сказала: в теории где угодно, за исключением текстовых документов .docs и .pdf, которые, однако, могут содержать другие файлы и ссылки уже на вредоносное ПО. Плюс документом Word иногда пересылают разные коды. Последнее — просто интересный факт, от одного текста кода ничто никуда не денется.
Если вы скачивали файл игры от непроверенного человека, то троян может скрываться в условном «танчики.exe». Тем более если недавно открыли странную ссылку или файл, пришедший по электронной почте или в какой-то соцсети. Технически чаще трояны находятся или в сомнительных .exe или в необычных расширениях, непопулярных у обывателя. Из относительно популярных, но подозрительных можно назвать .html из-за того, что такой файл открывается сразу в браузере и потому не очень безопасен. В документах из «зоны риска» вас должен смутить маленький вес в случае, где явно он должен быть тяжелее — файл с вредоносной программой может весить несколько килобайтов или даже байты, тогда как многие компьютерные и мобильные игры весят гигабайты, и я давно не видела ни одну игру, даже самую лёгкую, которая весила бы меньше пары десятков мегабайтов. Конечно, это не распространяется на только что созданные документы, в которых ещё ничего нет, и потому они такие лёгкие.
Что делать, чтобы не «заразиться» трояном?
Следите за тем, что вы скачиваете. Не открывайте подозрительные ссылки и файлы, даже если он пришли со знакомого адреса, номера или учётной записи и если вдруг случайно открыли, то не давайте никаких разрешений и подтверждений. Авось пронесёт.
Особенно если эти файлы имеют странное или нетипичное расширение. Да, я уже об этом писала, но повторюсь. Если вы скачиваете что-то не очень безопасное, но не скачивать вы это не можете (например вам нужно что-то для дипломной работы, но информация об этой теме есть только на каком-то столетнем сайте с нулевой посещаемостью), то заранее скачайте хороший антивирус или если он уже есть, проверьте, чтобы был обновлён до последней версии.
При скачивании пираток, «кряков», репаков и разнообразных хаков скачивайте у проверенных людей с проверенных сайтов. Заразится чем-то с сайта с оборотом в несколько миллионов посещений в день сложнее, чем на ноунейм-сайте, с файла, который скачали два человека за пять лет и неизвестно что с ними стало. Как минимум потому что крупные порталы прогоняют файлы от пользователей через антивирус, потому при попадании такой прелести в раздачу BitTorrent, откуда постоянно что-то скачивают миллионы людей со всего мир и создающие активный трафик практически круглосуточно, может начаться киберэпидемия.
Есть множество личностей, которые никогда не обвинялись в заражении своих продуктов чем-то нехорошим и заработавших свою репутацию потом и кровью.
Есть легендарнейшая, ныне покойная персона — Радик Низамутдинов, более известный как Xatab (читается людьми и как Ксатаб, и как Хатаб). У меня множество его репаков скачано через Torrent, и ни на один из них ничего не ругалось. Кристальная чистота. «By Xatab» — как знак качества. Также могу рекомендовать Механику, они тоже не разу ничего с вирусами не кидали, но Хатаб это Хатаб…
Блин, сейчас все-таки кажется придётся писать дисклеймер, что пиратство — это плохо, я не поддерживаю нарушения закона, трали-вали.
Бонус. Рассказ о милом-маленьком троянчике по имени Zeus. Троянчик Zeus родился в 2007 году и никто точно не знает, кто его родители. Zues предназначался для перехвата паролей с целью кражи банковских средств и ущерб от него составил около семидесяти миллионов долларов США из ста девяносто шести стран мира. Zeus продавали как лицензионный софт и у него даже была цифровая подпись безопасности Касперского. Только вот позже выяснилось, что она поддельная, но это же все нюансы, да?
Многие антивирусы после ближайшего обновления были обучены определять Zeus, и спустя некоторое время у Zeus также вышло своеобразное обновление, содержащее письмо: создатели Zeus хвалили Касперского и Авиру за хорошие антивирусы и «новый квест», а NOD32 и Symantec назвали «идиотами».
В 2014 родился младший брат Zeus, Gameover Zeus, но в отличие от старшего, у младшего был отец, Евгений Богачев, был друг CryptoLocker, который Gameover Zeus часть приводил в гости, вообще Gameover был во всем лучше и неуязвимее. Очень скоро Zeus канул в Лету, тогда как Gameover и другие программы, основанные на коде Zeus продолжили существовать и красть миллионы с банковских счетов по сей день.
Ох, что-то меня накрыло к концу третьей вордовской страницы и к половине второго ночи. Утром я сдохну от стыда, но не буду удалять это из принципа.
2. Червь. Ещё один вид вредоносной программы. Особенность и главное отличие червей от троянов заключается в разных целях и по этой причине механизмах действия.
Червь проникает в компьютер жертвы через Сеть, абсолютно не обязательно что-то скачивать, куда-то переходить или посещать сомнительные сайты, хотя и через файлы червь тоже способен проникнуть. Достаточно появления маленькой бреши в системе безопасности вашего компьютера (если люди не параноики и не обладают конфиденциальной информацией, то этой системой безопасности является антивирус) и обиды Фортуны, чтобы заразиться.
Попав к первой жертве, Червь начинает копировать себя в огромных масштабах, рассылать свои копии по Интернету на другие компьютеры, которые также попадут через малюсенькую щель, начнут себя копировать и распространять. Это называется геометрической прогрессией.
В отличие от троянов, ВСЕГДА (за такими редкими исключениями как шутка или месть), созданных с целью получения финансовой наживы и/или нанесения ущерба системе, черви не часто начинают что-то портить спецом, их основная цель — создать как можно больше копий себя и распространиться, но тем не менее Черви, даже такие, способны нанести многомиллионный вред.
Как?
Для начала уясните одну вещь — «не часто» не равно «никогда».
Закодированное стремление делать что-то кроме «плодиться и размножаться» называется полезной нагрузкой. Не вся полезная нагрузка — это обязательно вредоносное ПО, но вредоносное ПО часто обладает полезной нагрузкой. Некоторые черви лишены полезной нагрузки, однако не забывайте, что вредоносное ПО всегда создаётся с целью того или иного вреда, от «пошутить» до «уничтожить страну в киберпространстве».
Черви без полезной нагрузки плодятся, как и все компьютерные черви, в безумно быстрых масштабах. Своими копиями, копиями копий, рассылками, множеством параллельных процессов и ещё попытками скрыть свое присутствие червь достаточно быстро замедляет компьютер настолько, что использовать его, в том числе ради попытки восстановить «здоровье» устройства, практически невозможно.
Таким образом из строя могут быть выведены миллионы компьютеров за короткое время, уничтожены важные данные; грубо вторгаясь в систему, черви часто повреждают файлы даже если в них не закодировано что-то удалить или перезаписать.
Также, если червь не будет остановлен и начнется эпидемия, может произойти тотальная перегрузка трафика, из-за тонн механических рассылок на разные компьютеры, а это в свою очередь парализует всех чья жизнь крепко связана с Сетью.
Иногда червь способен заразить компьютер повторно и сделать ему ещё хуже.
Сейчас это уже сложно, а на заре Сети, когда компьютеров, подключённых к Интернету или его прототипам было в разы меньше — более чем реально.
Первый червь («Червь Морриса») и по совместительству один из первых вредоносных ПО в принципе делает компьютер непригодным для дальнейшего использования уже меньше, чем за полтора часа после заражения.
На дворе был ноябрь 1988 года и распространялся «Моррис» в сети ARPANET, ближайшем прототипе Интернета. Тогда, второго числа, Роберт Моррис создал безымянного Червя. По задумке создателя он не должен был стать чем-то очень разрушительным.
Червь Морриса должен был просто автоматически подбирать по словарю, содержащему около четырехсот наименований плюс разные комбинации, пароли к почтовым сервисам, а также скрывать свое присутствие на устройстве и распространяться лишь на VAX-компьютеры и только к двум операционным системам на VAX.
Но Роберт перемудрил со своим «Чудом техники», совершил пару ключевых ошибок, написал его на достаточно универсальном языке программирования и Червь наводнил собой NET, создав первую в мире эпидемию интернет-червей.
По разным подсчетам им было заражено до десяти процентов всех компьютеров, подключенных в то время к Сети. Это для двадцать первого века немного в цифрах, речь идёт о «всего лишь» примерно двух-шести тысячах, но это дохрена от общей массы всего, что было.
Для сравнения: SQL Slammer заразил что-то около восьмидесяти тысяч компьютеров за десять минут в 2003. Чем быстрее интернет — тем легче распространять не только сообщения и видео, но и сетевых червей. К тому же сейчас черви способны перемещаться с одного IP-адреса на другой практически мгновенно, благодаря скорости сети и огромным охватам Интернета.
Червь, из-за совершенных Робертом ошибок, плодился слишком уж бесконтрольно (он должен был распространять себя, но не так масштабно), и мог перезаписывать копию Червя, если видел его на другом компьютере спустя какое-то время. Схема интересная.
Компьютер А. заражён. Одна из тонны копий червя передаётся с него на компьютер Б., оттуда на компьютер В., потом на компьютер Г. и на компьютер Г. также попадает тот же самый червь с компьютера А. или Б. Он сканирует устройство, определяет есть ли там уже копия, но, так как во избежания подделки от сисадминов Роберт вписал туда «можно переписать копию», но задал слишком малый интервал, червь перезаписывается. Каждая перезапись копии по факту создавала новую, никуда не убирая старую, которая также продолжала плодиться.
Роберт Моррис оказался первым человеком, обвиненным и осужденным за киберпреступление. Уже несколько поколений хакеров считают Морриса легендой, иконой и «Великим Червем». Кстати именно его мы все можем «поблагодарить» за то, что после неверного ввода пароля несколько раз подряд происходит заморозка и чем больше таких эпизодов в короткий промежуток времени, тем дольше длится «вы совершили слишком много попыток ввода пароля, попробуйте позже».
Представляете как за столько лет изменились способности червей и насколько быстро они способны плодиться сейчас?
Именно.
С каждым годом становится все меньше «бесполезных» червей-одиночек и все чаще в червя вписывают часть «классического» функционала трояна и комбинируют разные виды вредоносного ПО. Как я уже писала выше, троян без особых проблем способен самостоятельно загружать программы в обход пользователя, в том числе червей.
Пока Червь успешно скрывает все манипуляции, настойчиво блокирует попытки пользователя найти антивирус и спросить «почему при включении компьютера открывается то, что я никогда не смотрел?», размножается и верно снижает скорость компьютера и «кушает» память на диске, троян все новыми и новыми механизмами заполучает данные пользователя.
А вирусы… они чаще «живут» отдельно и полностью самодостаточны в исполнении всех требований создателя, но при совершении крупных «перформансов» группой профессионалов могут участвовать параллельно единицы всех видов вредоносных программ. И участвовать весьма и весьма качественно, при условии, что между программами не происходит никаких конфликтов. Так появляется своего рода группировка ПО.
Если все части-программы такой «киберОПГ» созданы одним человеком или группой людей, знающих зачем они это делают, то их уязвимость перед лицом кибербезопасности сильно снижается.
Если же это просто несколько вредоносных программ, случайным образом попавших в одно и то же время на одно и то же устройство, то они или уничтожат систему под ноль, или могут «тупануть» и удалить друг друга.
Тру-стори от автора статьи о двух вредоносных ПО, удаливших антивирус, половину рабочего экрана и друг друга.
История достаточно банальна и прозаична. Мне около одиннадцати-двенадцати, недавно вышел долгожданный The Sims 3 и как только выдалась такая возможность, я взяла компьютер брата и скачала первое, что вышло со словом «взлом».
Не удивилась, когда в новой, ещё не имеющей dlc игре отчего-то кроме установщика, игрового файла и русификатора были множество файлов в несколько сотен байт с названием из бинарного кода и случайных буквенных комбинаций. Не обратила внимание на то, что он весил как-то странно и грузился будто бы рывками, хотя скорость интернета не менялась. Поставила в Torrent на скачивание, увидела, что с моей скоростью качать будет несколько часов и с лёгким сердцем пошла в гости к хорошей знакомой.
Знакомая с радостью заявила, что её старшая сестра купила какой-то «многоразовый диск с лицензией!». Это было прямо-таки вау, потому что обычные (читай настоящие) диски с лицензионным играми можно было загрузить только на один аккаунт. Я ни разу не слышала о таких многоразовых дисках, но я много о чем в своей жизни не знала.
Мы договорились, что я дам ей списать, а она даст мне попользоваться этим диском первой после сестры. Её старшая сестра уже скачала Sims с этого диска, но у нее не доходили руки открыть и поиграть из-за загруженной учёбы в старших классах.
Я пришла из гостей с этим диском, реально похожим на оригинал, поставила скачанный файл на установку, а диск прочитала и тоже поставила на установку. «Хоть что-то, да установится», решила я, не зная ничего о возможном конфликте подписей и ушла делать себе чай.
Вернувшись увидела, что экран компьютера знатно перекосило, было открыто множество вкладок, производились какие-то хаотичные действия на рабочем экране и открывание/закрывание рандомных папок. Мелькание экрана смерти Windows и каких-то строк с кодом. Несколько раз компьютер самопроизвольно выключился и включился и после нескольких часов агонии выключился и уже не включился.
Уже ощущая, что со мной сделает брат за сломанный компьютер, открыла и увидела удалённые обои, кучу системных сообщений от антивируса о тревожных результатах анализов, перебитые сообщения от кого-то из программ, нашла добрую половину папок в корзине, а остальную раскиданным по всему рабочему столу, удалённые подчистую несколько папок с не очень важной информацией, антивирус и оба Sims'а: и с диска, и с Торрента. Рассказала вечером брату, получила по шапке: «Смотри, что скачиваешь, дура!». Он посмотрел сообщения антивируса и по сообщением от самих программ сделал вывод: «поймала несколько вирусников, и они ликвидировали друг друга, приняв за лицензию», скачал новый антивирус и запретил мне что-то качать самостоятельно.
Как обезопасить себя от червей?
Исходя из того, что большая часть червей попадает через Сеть — особо никак. Хороший антивирусный комплекс, сайты, имеющие свою систему защиты и удача — ваши друзья. И конечно же… СМОТРИ, ЧТО ТЫ СКАЧИВАЕШЬ!
3. Вирусы. Наконец-то то, ради чего мы все здесь собрались. Собственно компьютерные вирусы как вид, а не как синоним вредоносного ПО. Каюсь и признаюсь — меня всегда восхищали люди, способные написать сложный и интересный вирус. Даже если это незаконно.
Компьютерные вирусы — интереснейшие создания. Первый прототип механизма, способного воспроизводить самого себя по несколько раз был CREEPER, созданный в начале семидесятых. Он не являлся чем-то пакостным или хоть сколько-то опасным, но это был прорыв, послуживший на блага разных людей.
Первые ВИРУСЫ, заставившие рынок в сжатые сроки создать первые антивирусы были созданы для персональной электронной вычислительной машины (ПЭВМ) Apple II в начале восьмидесятых. Работали по принципу «компьютер создателя → копия вируса на дискету → перенос копии вируса с дискеты на компьютер жертвы».
Знаете, что больше всего мне нравится в вирусах восьмидесятых-двухтысячных? Они были оригинальными.
Например Еlk Cloner, созданный пятнадцатилетним Ричардом Скрентой, в будущем «белым» программистом и разработчиком видеоигр, не разрушал компьютер специально, но проникал в диски и записывал с них данные, время от времени снимал копии и мог случайно повредить часть данных на диске. После пятидесятой загрузки на экране появлялся стишок:
Elk Cloner — программа с индивидуальностью.
Она проникает во все ваши диски,
Она внедряется в ваши процессоры,
Да, это — Cloner!
Она прилипает как клей,
И даже изменяет оперативную память,
Распространи Cloner!
Демонстрируя этот стишок, он заявлял о своём присутствии, то есть не имел цели получать данные и скрываться.
О другом, очень похожем по механизму на Elk Cloner — Virus 1,2,3, также созданном в 1981 году независимо от вируса Ричарда информации в Сети очень мало, а те источники, что есть, мягко говоря не вызывают доверия. Но вы должны знать, что кроме Elk Cloner существовали и другие.
Через три года после Elk Cloner и Virus 1,2,3 были созданы первые антивирусы. Через пять лет после шуточных, но все равно малоприятных пользователям «бэйби»-вирусов начался шквал эпидемий, после которых Ричард и его ноунейм-брат по разуму — всего лишь талантливая молодёжь, которая игралась с возможностями первых доступных компьютеров.
За три года, с восемьдесят шестого по восемьдесят девятый произошло несколько крупных эпидемий и бессчетное количество мелких.
«Дискетный» Brain, логически-бомбический «Jerusalem», уже известный нам по пункту два «Червь Морриса» и масштабные DATACRIME и AIDS.
С этого момента вместо классификации по коду включается классификация по действиям. Не все перечисленные программы по умолчанию являются компьютерными вирусами, там также есть черви и трояны, однако из-за масштаба заражения и высокой разрушительности их официально причисляют к вирусам.
Между создателем AIDS и несчастной жертвой получался какой-то элитный односторонний флирт и если бы это не было так странно, я бы написала какой-нибудь филофоский драббл.
На самом деле прикольных, интересных, странных, смешных и по-настоящему страшных вирусов, а также червей и троянов —великое множество и все они по-своему особенные. Я описала самые «олдскульные», но если у вас появится желание, то изучайте глубже.
Могу посоветовать начать с «Чернобыля», «Пети» и «Доброты». А также каналы людей, проверяющих вирусы, если хотите увидеть как себя ведут некоторые вирусы в реальности.
Особенно обратите внимание на обучающие данные, если вас заинтересовал технический момент: как происходило заражение, как вирус переписывает какие-то файлы, как получает доступ к данным и так далее. Может быть просто разовьете кругозор, а может быть найдёте свое призвание.
Под призванием я подразумеваю не создание вирусов, а законное программирование, если что. Но если вдруг вы напишите вирус, назовите его моим ником.
***
ИНФОРМАЦИОННЫЙ БЛОК 2. АНТИВИРУСЫ
Глава уже на десять страниц, и вы думаете, что я остановлюсь на этом? Как бы не так.
Про «плохих парней» мы с вами уже поговорили (хотя это «плохо» варьируется от «сказал слово «хуй» до «взорвал сарай с котятами»), давайте же теперь поговорим о хороших и как мы с их помощью противостоим плохим. Мы же противостоим, или у кого-то есть желание, чтобы тебе перезаписали ключевые моменты, снесли все, что можно и нельзя и испортили жёсткий диск?
Я уже много раз упоминала антивирусы, пока писала блок про вирусы, но ни разу не сказала нормально как они работали. «Безопасность и безопасность, зачем углубляться в это, если я рассказываю о чем-то другом».
Хотя история антивирусов и вредоносного ПО всю свою жизнь — это метафорические отношения между людьми, чей рост сто девяносто и сто пятьдесят пять сантиметров соответственно. Высокий без особых стараний делает один шаг в половину роста партнёра, а тот старается изо всех сил поспеть за ним, но постоянно отстаёт на пару шагов, а то и больше, а если у него получается все-таки перегнать, то это до следующего шага.
Как зародилась первые антивирусы?
В начале семидесятых создали CREEPER, о котором я писала выше, а к нему REAPER — первая программа-прототип полноценного антивируса. С появлением первых вирусов в начале восьмидесятых, в конце того же десятилетия появились и получили массовую популярность первые антивирусы.
Практически в одно время вышли немецкий AntiVir и британский «антивирус Доктора Соломона» (Dr. Solomon’s Anti-Virus Toolkit) и, так как это первые антивирусы, даты производства и выхода которых полностью известны, именно они считаются первопроходцами. А через год после них вышел антивирус Norton от Symatnec, и именно эту корпорацию создатель или создатели Zeus в будущем назовут идиотами относительно Касперского или Авиры.
После них создавались и создаются прямо сейчас все новые и новые антивирусы и новые обновления к уже существующим. Создавались все новые методы обнаружения, антивирусы были разбиты на разные виды и все это — попытка антивируса угнаться за развивающейся семимильными шагами тёмной частью IT-индустрии.
Как работают антивирусы?
1. Анализ отслеживания поведения программ.
Не самый популярный метод у антивирусов, но тем не менее имеющий место быть. Антивирус наблюдает, протоколирует и проверяет все совершенные программой действия и если в ходе наблюдения он решил, что какая-то программа угрожает компьютеру, то далее, в зависимости от своего вида, или сообщает об этом пользователю, или «лечит» сам (см. ниже «какие есть антивирусы?»).
2. Регламент порядка работы. Это административный способ обеспечения безопасности и пользователям в Регламент лучше не вмешиваться никоим образом.
3. Анализ содержимого файлов.
Преимущественно именно этот метод — основной для большинства антивирусов. Анализ содержимого файлов включает в себя несколько интересных механизмов, которые я хотела бы разобрать подробнее.
3.1 Сигнатурный метод.
Сигнатуры — это особая, индивидуальная последовательность байтов в каждом вирусе. Как ДНК для любого живого организма или отпечатки пальцев для определения личности человека. В подозрительной ситуации антивирус начинает перебирать сигнатуры, сравнивать их и таким образом обеспечивает гарант того, что знакомый ему вирус не пройдёт, поэтому чем объёмнее «сигнатурная база» в антивирусе, тем лучше он работает.
При сигнатурном методе крайне мал шанс ложноположительного ответа из-за неповторимости сигнатур, но также высок процент пропуска вирусов, чьей сигнатуры у антивируса просто нет. К тому же такой анализ занимает слишком много времени, так что проводить сканирование сигнатур в целях профилактики антивирус не сможет.
3.2 Контроль целостности.
Несмотря на умение многих вирусов «заметать» следы своего пребывания, бесследно не проходит ничего. Именно на этом строится метод контроля целостности.
Антивирус постоянно наблюдает и фиксирует происходящее с диском (в отличие от сигнатурного метода не тратится много ресурсов или времени, а значит не тормозится работа) и если вдруг происходит крупное беспочвенное изменение (т.н нарушение целостности) данных, то антивирусом может быть проведен более детальный анализ, то же сканирование сигнатурным методом.
Есть ещё великое множество разнообразных механик и методов обнаружения вирусов, особенно для специализированных антивирусных ПО, используемых государственными структурами или наоборот оппозиционными деятелями, но большинство антивирусов работает именно на основе поверхностного и детального анализа файлов.
Какие есть антивирусы?
Антивирусы подразделяются на пять основных видов, исходя из реакции антивируса на обнаружение подозрительного файла.
1. Детекторы-антивирусы. Антивирусы, которые стоят у большинства пользователей, которые не хотят или не могут заморачиваться, с вероятностью девяносто девять и девять процентов являются детекторами. Он анализируют файл при попадании в систему и если видит что-то подозрительное, то останавливает открытие или установку и демонстрирует пользователю сообщение: «этот файл опасный, он может причинить вред вашему устройству».
Лично у меня — антивирус-детектор, потому что он оставляет за пользователем право выбора: скачивать или нет, открывать или нет? Иногда это нужно, если я знаю, что он сработал на что-то безопасное.
Например, однажды я создала и отправила рабочий документ коллеге, удалила его с устройства, чтобы не занимал место, потом этот документ срочно понадобился мне, я скачала его из нашей беседы, из своего же сообщения, но антивирус начал возмущаться, что я скачиваю файл неизвестно откуда и не могу быть уверена в том, что он безопасен. Такое случается нечасто, но случается.
Из минусов: он и антивирус-фаг (см. ниже) очень быстро устаревают, их постоянно нужно обновлять, встраивать в них распознавание все новых и новых вирусов, и высок шанс, что все равно какой-то новый вирус проскочет. Также детектор может время от времени срабатывать на нелицензионное ПО в принципе, даже если в нем не найдено вирусных кодов, что крайне неудобно для часто пиратящих людей или просто тех, кому нужно скачать что-то, чего нет больше нигде.
2. Антивирус-фаг.
Он анализирует все файлы (те, что уже есть на устройстве и те, что ещё только планируют проникнуть в систему), и если обнаруживает нечто вредоносное, начинает процесс чистки.
Целью антивируса-фага является не просто удалить все подозрительное, а аккуратно удалить подозрительную часть файла, похожую на вирусную программу, не затрагивая остальное, а значит не мешая пользователю пользоваться всем, что он когда-то установил.
Подвидом фага является антивирус-полифаг, способный сканировать и чистить несколько разнообразных вирусов. Качественные антивирусы-полифаги производят и распространяют уже долгое время в том числе «Лаборатория Касперского».
Минусы: точно также, как и детектор, могут срабатывать на нелицензионное ПО, а при некачественном антивирусе такого вида, скачанном черт знает откуда, может произойти повреждение логической части файла, хотя относительный шанс последнего достаточно мал.
3. Антивирусы-вакцинаторы.
Применяют от уже известных вирусов, если по каким-то причинам фаги не способны качественно определить вирус и защитить компьютер от повреждений. Точечно вносят в диск и/или программу (в зависимости от того, что заражает конкретный вирус) мелкие специфические изменения, дабы вирус посчитал, что компьютер уже заражён и решил, что заражать по новой не имеет смысла.
Минусы: такой обманке в той или иной форме уже несколько десятилетий и большинство создателей вредоносного ПО вносят в него разнообразные коррективы, самое простое из которых «если можешь заражать, то заражай даже то, что уже заражено». «Червь Морриса» — прекрасный такой пример с не самой лучшей реализацией.
Ещё один большой минус программ-вакцинаторов заключается в том, что вакцинировать компьютер можно только от отдельно взятого вируса, и в таком случае компьютер не защищён от ещё тысяч разных программ.
4. Фильтры или «сторожи». Небольшие программы, которые в фоновом режиме анализируют процессы (в том числе скрытые) и при обнаружении действий, похожих на действия вируса, сигнализируют об этом пользователю.
Не особо способны помочь защититься от вируса при скачивании чего-либо, потому что видят его, уже когда он попал в систему и начал производить какие-то действия, но это лучше, чем ничего, так как «сторож» может помочь обнаружить вирус до того как он начнёт размножаться и при наличии собственно антивируса, который поможет вычистить систему, можно отделаться «малой кровью».
Минусы: далеко не все вредоносные программы будут ожидать, пока «сторож» их обнаружит. Многие программы первым делом сносят все антивирусы и похожее на них, и лишь потом начинают производить какие-то действия. В таком случае пользователь может вообще не дождаться сообщения: «хозяин, у нас какая-то подозрительная активность, с ней нужно что-то сделать».
Да и ликвидировать вирус самостоятельно он тоже не может, а уже при наличии вируса в системе скачать антивирус крайне сложно: большинство вредоносного ПО так или иначе будет блокировать поиск, скачивание и запуск такого обеспечения.
5. Антивирус-ревизор.
На данный момент именно антивирусы такого вида считаются наиболее надежными и точными. Если детекторы и фаги способны определить только вирус, с кодом которого его уже познакомили разработчики или с чем-то похожим, а вакцинатор лишь создать частную защиту от отдельных, опять-таки знакомых вирусов, то ревизор в первую очередь работает на анализе исходного вида программ и сравнении было → стало.
После скачивания и получения разрешения на работу ревизор проводит полный анализ и запоминание состояния системы, в том числе дисков, файлов, программ, постоянных адресов.
Далее, зачастую каждый раз при запуске операционной системы и в любой момент по требованию пользователя антивирус проводит сравнение исходного вида с новым и все различия выводит на экран пользователя, давая ему возможность просмотреть вручную какие отличия стали результатом санкционированной деятельности пользователя, а какие вылезли непонятно откуда и требуют внимательнее присмотреться к ним.
Ревизор проверяет все имеющиеся в системе файлы по множеству параметров и хороший антивирус такого вида способен определить даже малейшие различия в коде.
Минусы: несмотря на достаточно высокую надежность сравнительно других видов, ревизор тоже неидеален. У него тоже могут быть ложноположительные срабатывания на программы с нетипичным кодом и наоборот, он может не замечать вирусов, которые, как пакистанский «Brain», смогут прятать себя за копией неинфицированного оригинала и успешно скрывать свои файлы в корневых каталогах.
Также, если ревизор был установлен, когда на устройстве УЖЕ было какое-то вредоносное ПО, то Ревизор примет его за безопасную программу, а его действия — за действия, безопасные для системы.
Более того, в случае попадания вируса, похожего по параметрам на вирус до появления Ревизора, он также может не посчитать новый файл опасным, так как его содержимое похоже на то, что в «голове» Ревизора принято за безопасное.
Так что если его и установливать, то на максимально новое устройство, на котором точно нет вирусов.
Почему, даже с хорошим антивирусом, я когда-то поймал вирус?
Как уже можно понять по указанному в графе «минусы» — сейчас нет ни одной программы, способной определять любые вирусы. Погрешности есть у всех, и лучшей программой считается та, у которой этих погрешностей меньше. Есть аналитические компании в сфере IT, считающие, что антивирусы — пустая трата денег и связано такое мнение с большой разницей в результатах искусственных и реальных тестах.
Искусственные (синтетические) тесты чаще всего проводятся собственно компаниями-разработчиками антивирусов. У крупных компаний искусственные тесты продукта — это десятки и сотни тысяч разнообразных образцов, с которыми приходится бороться их антивирусу и также исправление ошибок, обнаруженных в процессе работы. Из результатов этих тестов выводится процент эффективности.
Несмотря на пользу таких тестов в финальной части создания антивируса, у них есть один большой минус: многие из вирусов, участвующих в тесте, давно устарели и не используются, а найти более современные вирусы не представляется возможным из-за специфики хакерского сообщества.
Нельзя просто прийти в Даркнет и сказать «мне нужен код вашего нового, желательно ещё нигде не используемого вируса, чтобы проверить на нем антивирус и похерить ваш труд!».
Даже если человек будет готов заплатить большую сумму, его скорее всего пошлют, а то и дадут вместо кода сам вирус, который успешно попортит компьютер, чтобы не втыкал.
Мало какая компания, даже с многомиллионным оборотом, способна дать хакерам столько, сколько им принесёт хороший вирус, направленный на кражу банковских данных.
Да и связь с хакерами, пусть и в плоскости противодействия им, плохо скажется на репутации, а попытки официальных лиц того же «Касперского» получить коды обманным путем множеством людей будут восприняты как подтверждение «двойного дна» организации и возможности шпионажа, в котором время от времени обвиняют множество антивирусных корпораций.
Из-за всех этих проблем никто не мог знать эффективность антивирусов против угроз «в полевых условиях» и не очень хорошо понимали как определить эффективность антивирусов таких случаях?
По количеству срабатывания? Но как тогда узнать, что это не ложный результат? По состоянию компьютера? Многие вирусы способны длительное время не влиять на систему и находится в «анабиозе».
Чтобы ответить на эти и другие вопросы нужно было создать полевые ситуации в лабораторных условиях. Ответственность за столь сложную задачу взяли на себя аналитическая компания Imperva в рамках своего крупного исследования киберугроз и хакерства HII и студенты Тель-Авивского университета.
Студенты раздобыли восемьдесят два экземпляра новейшего вирусного ПО со специализированных теневых форумов, преимущественно от «русских хакеров». Я так и не нашла каким образом у них это получилось, но не уверена, что там все полностью в рамках правового поля.
Они использовали для исследования этих вирусов сервер VirusTotal, обладающий на тот момент ни много, ни мало сорока двумя разными движками.
VirusTotal — бесплатный сервер, проверяющий файлы и ссылки на содержание в них вредоносных программ на базе большинства антивирусных движков, созданных когда-либо. VirusTotal не гарантирует стопроцентной безопасности, но благодаря постоянному развитию и добавлению все новых и новых программ, считается одной из лучших программ своего рода, однако, естественно, не может заменить полноценный антивирус на устройстве.
Imperva прогнала все эти экземпляры через VirusTotal и опубликовала невеселые результаты: эффективность всех антивирусов против реальной неизвестной угрозы составляет считанные проценты, что вполне ожидаемо, так как хакеры тоже тестят свои файлы на VirusTotal, определяя будет ли ругаться на их вирус такие авторитетные источники как «Google», «Kaspersky Lab», «ESET», «Dr. Web» и ещё несколько других.
Также Imperva постановила, что на определение нового вируса как вредоносного лучшим антивирусам требовалось на менее четырёх недель, а большинству — около девяти месяцев, а то и года.
Примером такого заявления, по мнению Imperva, служил фальшивый инсталлятор (установщик) Google Chrome. В начале исследования, девятого февраля 2012, его проверили как свежий образец и он не был определен как вредоносный. Семнадцатого ноября 2012, когда прошло чуть больше девяти месяцев, его определяла лишь половина движков.
Совместное исследование Imperva и еврейских студентов нельзя назвать полностью объективным с точки зрения аналитики кибербезопасности, так как восемьдесят два образца — это намного меньшая выборка, чем обычно для аналогичных тестов, однако, для многих людей это стало тем, что поменяло мнение про антивирусы на сто восемьдесят градусов.
Я не буду кричать «НЕ СКАЧИВАЙТЕ АНТИВИРУСЫ, ОНИ БЕСПОЛЕЗНЫ!!!», потому что я так не считаю, антивирусы необходимы, но исследование Imperva вызывает определённое доверие и я думаю, что любой пользователь Сети должен понимать, что антивирусы — не цифровой Господь Бог, который защитит вас от всех вирусов мира.
Заключение.
Несмотря на то, что жертва никогда не виновата в случившемся с ней, и Интернет не исключение, первичная ответственность за нашу безопасность лежит на нас, а организация максимально безопасной и комфортной среды для тех, кто не способен сделать это самостоятельно (пожилые родственники, маленькие дети, люди с определенными проблемами со здоровьем в независимости от возраста) — часть ответственности, которая лежит на вас/нас как на близком этого человека.
Изнасилование — одно из самых ужасных преступлений на земле, и оно совершается каждые несколько минут. Проблема людей, которые имеют дело с изнасилованиями в том, что они учат женщин как обезопасить себя. Хотя на самом деле нужно учить мужчин не насиловать. Идите к источнику насилия и начинайте с него.
©КУРТ КОБЕЙН
Несмотря на то, что Курт говорил именно про изнасилование, эта цитата, фактически, подходит под любое нарушение прав других людей, особенно на безопасность. «Не учи жертву обезопасить себя, учи других не совершать насилие» — звучит красиво, только вот подонков на Земле с годами не становится меньше, более того, они активно размножаются.
Каждое новое поколение надеется, что они-то точно лучше своих родителей смогут воспитать детей и в перспективе снизить уровень тяжких и особо тяжких преступлений.
Но те дети вырастают, часть из них и правда воспитывается в культуре уважения, а часть видит с детства только насилие и постоянно впитывает из окружающей среды не только пассивную, но и активную агрессию. И часть детей, не очень хорошо понимающих, почему что-то «нельзя», втекают в группу тех, кого никогда в принципе не учили почему нельзя.
Киберпреступления — тоже преступления. Кибербуллинг переносится ни разу не легче, а иногда даже сложнее, чем травля в реальной жизни из-за всепроникающего характера. Распространение материалов порнографического, экстремисткого, дискримининующего, разжигающему вражду содержания ничем не лучше.
Приставка кибер- не облегчает преступление, а подчас лишь отягчает, так как в Сети намного легче найти жертв, не раскрывая о себе ничего.
Можно сколько угодно учить людей «не совершай преступления», но все равно будут те, кто плюнет на эти увещевания. Не собираюсь их осуждать, у всех разные цели и причины, но факт остаётся фактом: они причиняют вред, криминогенная обстановка во многих странах не снижается, а лишь продолжает расти заодно с уровнем пассивной агрессии в среде.
Особенно в среде тех, кто встанет на место стариков буквально через десять-пятнадцать лет — нынешние подростки и «самые жестокие обидчики», как пела Алёна.
Так что в заключении я немного не соглашусь с одним из своих самых любимых музыкантов и просто личностей.
Людей НУЖНО учить защищать себя. Нужно учить не совать пальцы в кипяток, учить грамотно вести себя в киберпространстве и при личном взаимодействии. Учить как себя вести в тех или иных экстраординарных обстоятельствах. В нынешних реалиях нет места идеализму «я и мои сверстники лучше, чем мои родители и в будущем станет безопаснее».
Да, очень может быть, что будете и точно также постараетесь дать лучшее и сделать людьми своих детей или лучше, чем родители займетесь карьерой, путешествиями, но, черт возьми, люди устроили первый геноцид ещё до того как стали Homo sapiens, истребив неандертальцев.
Исходя из всего перечисленного мне бы очень хотелось, но не думаю, что наши дети или хотя бы внуки будут жить в мире, где самооборона станет никому ненужным пережитком времени не потому что мы истребим друг друга, а потому что не будет поводов бояться. А вот виктимблейминг очень надеюсь, что изживет себя благодаря просвещению и общественным организациям.
Ни один человек не может быть виновен в том, что его убили, изнасиловали, ограбили, избили.
Это константа, постоянная величина среди изменяющихся.
***
«Brain» не причинил особенно сильного вреда, однако заразил множество компьютеров (восемнадцать тысяч только в США, при том факте, что выход вируса за пределы Пакистана вообще не планировали) за короткий срок и сильно ограничил их функционал, так что он вредоносный, да. «Brain» был он создан двумя братьями-создателями медицинского ПО из Пакистана в целях отслеживания и предотвращения появления пиратских копий их детища. Братья по фамилии Альви заменяли дискетный отдел компьютера своим вирусом, который распространяли со своими же «пиратками». «Brain» скрывал себя от антивирусов, выдавая на запрос типа «есть ли вирус?» специально сделанную заранее копию оригинала и не давал работать дискетному отделу. Братья сделали все, чтобы Brain не портил жесткий диск (и он его реально не портил, вообще не уходя дальше дискетного отдела), а также честно предупреждали пользователя о заражении и давали свои контактные данные. Их просто задолбало что кто-то пиратит их труд постоянно, они решили проучить интернет-пиратов, но вирус стал слишком неконтролируем. Спустя какое-то время он стал опаснее, потому что на новых компьютерах на месте дискетного отдела стоял BIOS. BIOS — первичная программа, анализирующая состояние компьютера при его включении, дающая разрешение «да, все работает, можно дальше идти» и, если все хорошо, открывающая операционную систему. «Brain» вклинивался к BIOS, думая, что это менее важный для функционирования компьютера дискетник, замещал весь отдел собой, полностью отнимая возможность взаимодействия с устройством. Прошло много лет, встретить «Brain» случайно теперь практически невозможно, если не идти в глубины Интернета на долгие-долгие поиски «найди не знаю что, не зная где». А как дела у братьев? На 2017 год братья Альви руководили крупнейшей телекоммуникационной компанией Пакистана под названием… Brain Telecommunications!***
Иерусалим (Jerusalem) — первый вирус с логической бомбой. Впервые обнаружили в Еврейском университете Иерусалима, оттуда и название. Позже он очень быстро распространился во многие страны мира и началась полноценная пандемия. Логическая бомба — программа, которая запускается или при достижении опреденного времени, или при совершении пользователем каких-то действий, о последствиях которых его не предупредили. «Jerusalem» расходовал всю доступную память компьютера, заражая все файлы с расширением .exe столько раз, сколько позволял объем памяти, уничтожал все программы, скачанные в Пятницу 13 (эта та самая логическая бомба, закрученная на дату) кроме Пятницы 13 87 года, когда началось распространение, иначе ему пришлось бы удалить самого себя, замедлял до невозможности компьютер, блокировал системные сообщения, иногда, заражая и перезаражая файлы повреждал их и тем самым вносил еще больше помех. Жалобы на «Иерусалим» поступали из предприятий и университетов Европы, Америки, Ближнего Востока. Достаточно часто попадался до появления и набора популярности Windows, на которой ни одна из модификаций Иерусалима не работала. Слишком устарел.***
Я объединила DATACRIME и AIDS в одну «часть», ибо они ни разу не вирусы с программисткой точки зрения, но при этом из-за своего «поведения» были причислены к компьютерным вирусам. DATACRIME — вирус (технически сетевой червь), гулявший по Нидерландам, Японии и США. Его «фишкой» было — до тринадцатого октября он молча инфицировал все компьютеры, до каких мог дотянуться, включал режим «стелс» и ждал. А с тринадцатого октября и до конца каждого календарного года он стирал данные со всех инфицированных компьютеров, если быть точнее — форматировал первые девять дорожек жёсткого диска. С годами стал все менее и менее популярным, но при желании, думаю, можно поймать, лишь бы не было конфликтов с операционной системой и вытекающими из ОС различиями, как было с Иерусалимом. AIDS (СПИД). Одна из моих самых любимых, если можно так выразиться, программ. По коду является трояном (и не просто трояном, а самым первым трояном), а по назначению компьютерном вирусом. Троян «прятался» в памятке на электронную почту «Как не заболеть СПИДом?». При заражении перезаписывал системные файлы, тотально нарушал работу и регулярно выводил на экран надписи. Создатель вируса смеялся, писал странные неопознанные символы, уверял, что «лекарства от СПИДа нет!» (ну его правда нет, но там игра слов, что от ЕГО вируса нет лекарства, т.е антивируса) и «привыкаешь ко мне? В следующий раз пользуйся презервативом».Пока нет комментариев. Авторизуйтесь, чтобы оставить свой отзыв первым!