РАЗДЕЛЫ

Архив

Современная антивирусная индустрия и её проблемы

Евгений Касперский, Лаборатория Касперского

≡ Архив | архивная статья | 23.11.2005 13:18

Обстановку в современной сети интернет иначе как «криминогенной» назвать нельзя. Постоянные вирусные и троянские атаки терроризируют практически всех пользователей интернета — домашних пользователей, небольшие и средние компании, глобальные корпорации и государственные структуры.

О причинах подобной криминализации сети говорилось и говорится довольно много — это корыстный интерес. Что конкретно имеется в виду? Извлечение нелегальной прибыли путем создания и распространения вредоносных программ — это:

— воровство частной и корпоративной банковской информации (получение доступа к банковским счетам персональных пользователей и организаций);
— воровство номеров кредитных карт;
— распределенные сетевые атаки (DDoS-атаки) с последующим требованием денежного выкупа за прекращение атаки (современный компьютерный вариант обычного рэкета);
— создание сетей троянских прокси-серверов для рассылки спама (и коммерческое использование этих сетей);
— создание зомби-сетей для многофункционального использования;
— создание программ, скачивающих и устанавливающих системы показа нежелательной рекламы;
— внедрение в компьютеры троянских программ, постоянно звонящих на платные (и весьма дорогие) телефонные номера;
— и тому подобное.

Оценить размах деятельности современного преступного компьютерного сообщества достаточно сложно. Как мне кажется, в компьютерном андеграунде активны десятки (если не сотни) хакерских группировок и хакеров-одиночек. Численность хакеров в подобных группировках можно исчислять, скорее всего, тысячами, о чем говорят полицейские сводки практически из всех компьютеризированных стран мира. За последние два года было арестовано несколько десятков хакеров и хакерских групп, в которые суммарно входило несколько сотен человек. Однако это не оказало существенного влияния на количество вновь появляющихся вирусов и троянских программ.

Оборот теневого компьютерного бизнеса также поддается только общим оценкам. По информации из открытых источников, хакеры в 2004–2005 годах украли или присвоили мошенническим образом несколько сотен миллионов долларов. Учитывая то, что большая часть компьютерного криминала до сих пор остается на свободе, можно предположить, что, скорее всего, обороты компьютерного андеграунда могут ежегодно измеряться миллиардами долларов (что может превышать доходы антивирусных компаний — об этом чуть ниже).

Всего же ущерб мировой экономики от деятельности компьютерных «злых гениев» давно уже перевалил за десяток миллиардов долларов ежегодно и продолжает расти. По оценкам исследовательской организации Computer Econоmics, в 2004 году он составил почти 18 миллиардов долларов и имеет тенденцию к 30–40-процентному ежегодному росту.

Таким образом, текущая расстановка сил в компьютерном сообществе выглядит примерно следующим образом:

— вирусописатели и хакеры, которые в корыстных целях создают и распространяют компьютерные вирусы и троянские программы;
— пользователи, которые постоянно находятся под угрозой хакерских атак и часто становятся жертвами удачно спланированных хакерских акций;
— полиция, которая с переменным успехом расследует компьютерные преступления;
— и, наконец, антивирусные компании, создающие универсальные и/или специальные средства борьбы с компьютерным злом.

Про вирусы, пользователей, хакеров и охотящиеся за ними «компетентные органы» известно и написано достаточно много, на эту тему даже снимают фильмы. Достижениями на антивирусном поприще пестрят сайты соответствующих компаний-производителей. А вот информацию о проблемах антивирусных компаний обширной назвать нельзя. Именно этой теме — проблемам современной компьютерной индустрии — и посвящена данная статья.

Краткий обзор антивирусной индустрии

Для начала давайте немного поговорим о компаниях, выпускающих обычные средства защиты от компьютерных «насекомых» (о нестандартных средствах — чуть ниже), а именно: решения для настольных компьютеров, файловых и почтовых серверов и периметра корпоративных сетей.

Всего объем рынка обычных антивирусных решений оценивается в 2,7 млрд USD в 2003 году, 3,3 млрд USD в 2004 году; прогноз на 2005 год — 3,8 млрд USD (здесь и далее источник — IDC, 2005).

Все вендоры (компании-производители) делятся на компании первого эшелона (лидеры), второго эшелона (середнячки) и прочие компании, которые не очень сильно или совсем никак не выделяются на антивирусном ландшафте.

К лидерам, безусловно, относятся следующие компании, присутствие которых весьма заметно на всех рынках. Это:

Практически на всех рынках эта тройка удерживает лидирующие позиции в соответствии с перечислением выше, за некоторыми исключениями (например, Trend Micro доминирует на рынке Японии). Первые две компании — североамериканские, Trend Micro же изначально является тайваньской компанией, вышедшей на биржу в Японии и сейчас имеющей головной офис в США.

Ко второму эшелону можно отнести компании, оборот которых существенно ниже показателей лидирующей тройки и при этом исчисляется десятками миллионов долларов ежегодно:

«Лаборатория Касперского» (Россия) также входит во второй эшелон антивирусных компаний, однако свои финансовые показатели компания пока не раскрывает.

При этом большинство из перечисленных выше компаний обычно наиболее заметны на своих локальных рынках, а за пределами своих стран — достаточно скромны. Так, Sophos наиболее успешен в Великобритании, Panda — в Испании, F-Secure — в странах Скандинавии, и т.д.

Антивирусных продуктов третьего эшелона несколько десятков. Наиболее заметные среди них, наверное, следующие:

Alwil — Awast (Чехия)
Arcabit — MKS (Польша)
Doctor Web — DrWeb (Россия)
ESET — NOD32 (Словакия)
Frisk Software — F-Prot (Исландия)
GriSoft — AVG (Чехия)
H+BDV — AntiVir (Германия)
Hauri — VI Robot (Южная Корея)
SoftWin — BitDefender (Румыния)
VirusBuster — VirusBuster (Венгрия)
А также украинские UNA и Stop!, китайские Rising и KingSoft и прочие.

Большинство компаний третьего эшелона свои финансовые показатели не публикуют, однако, по некоторым оценкам, их обороты составляют менее 10 млн USD или немногим более того.

Так распределяются доли рынка среди заметных антивирусных игроков. Следует отметить, что не упомянуты некоторые компании, которые выпускают свои антивирусные продукты на базе лицензированных технологий. Например, немецкая компания G-Data, продающая свое антивирусное решение на базе технологий от «Лаборатории Касперского» и SoftWin, а также Microsoft, предлагающая «многоядерное» решение, разработанное компанией Sybari.

Существуют также различные нестандартные способы антивирусной защиты, некоторые из них достаточно экзотичны. Например, система «отрезания всего лишнего» из корпоративной почты (фактически к пользователю попадают только письма без исполняемых вложений и HTML-скриптов), система запуска веб-браузера из-под виртуальной машины и т.д. Есть также ряд решений, которые достаточно близки к антивирусным продуктам, однако «настоящими антивирусниками» они не являются, как, например, системы защиты от распределенных атак (DDoS), продукты категории «патч-менеджмент» и прочие.

Основные проблемы антивирусной индустрии

Какие же могут быть проблемы у антивирусных программ, за исключением обычного маркетингового противоборства? Есть вирусы — и есть антивирусы, которые их ловят. И на первый взгляд, антивирус давно стал обычным потребительским товаром, который практически ничем не отличается от конкурирующих продуктов и который покупают либо за более красивый дизайн, либо потому, что данный продукт был удачно разрекламирован, либо по какой-либо еще совсем не технической причине. Т.е. антивирус вроде как давно должен стать тем самым «commodity», продуктом массового потребления, вроде стиральных порошков, зубных щеток или автомобилей.

Увы (или ура!) — это не совсем так, и часто выбор антивирусного решения основывается не на его дизайне, цене или удачной рекламе, а на технических характеристиках, которые сильно отличаются в различных антивирусных продуктах. Основной вопрос — от каких именно компьютерных угроз защищает данное решение и насколько качественна предоставляемая защита.

Антивирус должен защищать от всех видов вредоносных программ, и чем он лучше это делает, тем спокойнее живет его пользователь и дольше и крепче спит системный администратор. И кто этого не понимает теоретически, очень скоро осознает всю глубину проблемы практически — когда вдруг куда-то начинают утекать деньги с банковского счета, компьютер сам по себе начинает звонить по каким-то совершенно «левым» телефонным номерам, внезапно и по непонятной причине резко увеличивается исходящий трафик.

Ведь если антивирусный продукт X ловит, предположим, 50% всех современных вирусов, которые в данный момент активны в сети, продукт Y — 90%, а продукт Z — 99,9%, то нетрудно подсчитать вероятность того, в каком случае в результате N атак компьютер останется целым и невредимым или, наоборот, в нем поселится какая-нибудь очередная зараза. Если компьютер был атакован 10 раз, то вероятность «залета» для продукта X практически гарантирована (99,9%), для Y более чем вероятна (65%), а для Z весьма незначительна — всего 1%.

Увы, далеко не все антивирусные продукты, которые можно обнаружить на полках магазинов или в сети, дают защиту, близкую к 100%. Большинство продуктов не гарантирует даже 90%-ный уровень защиты! В этом и заключается основная проблема антивирусных компаний на сегодняшний день.

Проблема №1

Количество и разнообразие вредоносных программ неуклонно растет год за годом. В результате многие антивирусные компании просто не в состоянии угнаться за этим потоком, они проигрывают в вирусной «гонке вооружений», а пользователи этих программ оказываются защищены далеко не от всех современных компьютерных угроз. Увы, продукты далеко не всех антивирусных компаний можно назвать действительно антивирусными.

При этом лет пять или десять назад можно было сказать, что защищать от всех новых вирусов и троянских программ не надо — ведь большинство из них так никогда и не попадают в компьютеры пользователей, поскольку были написаны подростками-хулиганами с целью самоутверждения либо просто из любопытства, и защищать надо только от тех немногих вирусов (ITW-in-the-wild), которые все же добрались до компьютеров-жертв. Сейчас же это не так. Подавляющее большинство (более 75%) вредоносных программ сейчас создаются компьютерным криминальным андеграундом с целью заражения необходимого количества компьютеров в сети, а число новых вирусов и троянских программ исчисляется сотнями ежедневно (так, в нашу вирусную лабораторию ежедневно попадают 200–300 новых образцов).

Данные вирусные образцы поставляются в лабораторию из нескольких источников: от автоматических «липучек» (honeypots — специально разработанных комплексов сбора вредоносных файлов в сети), от зараженных пользователей, от администраторов локальных сетей, от интернет-провайдеров и от других антивирусных компаний. Да-да! Несмотря на маркетинговую рубку на отведенном рыночном пространстве (как это происходит на всех без исключения рынках), антивирусные компании сотрудничают друг с другом. При обнаружении нового опасного быстро распространяющегося червя антивирусные компании практически моментально оповещают своих коллег-конкурентов и высылают образец (штамм) вируса. А не реже раза в месяц большинство антивирусных компаний отсылают коллегам свой месячный «улов». Также идет обмен информацией в специализированных конференциях, закрытых от посторонних глаз. Называйте это как угодно — хоть профессиональной этикой, но никакого информационного отчуждения в антивирусной среде нет (за исключением компаний-изгоев, запятнавших свою репутацию неэтичными поступками).

Итак, новый образец свежевыявленного вируса или троянца обнаружен в сети или на зараженном компьютере. Что это означает? А ровно то, что вероятность подцепить данную компьютерную «вошь» далеко не нулевая, и не исключено, что в сети уже десятки, сотни, а может, и тысячи уже зараженных пользователей. А если новый «зловред» является сетевым червем, то счет жертв может пойти и на миллионы. Ведь интернет — штука исключительно скоростная. Т.е. антивирусным компаниям необходимо моментально выпускать обновления против всех вновь обнаруженных вирусов и троянцев. И в этом заключается вторая проблема.

Проблема №2

Скорость распространения современных вредоносных программ заставляет антивирусные компании выпускать защитные «пилюли» как можно чаще — чтобы максимально быстро прикрыть своих пользователей от новоявленного компьютерного «зверя». Увы, далеко не все антивирусные компании достаточно расторопны. Часто апдейты от таких компаний доставляются пользователям слишком поздно.

Однако предположим, что злобный вирус, несмотря на все установленные защиты, пробрался в систему и поселился в ней, а установленный не очень бдительный страж-антивирус не заметил ничего подозрительного (или антивирус у ленивого пользователя, не спешащего скачать и установить очередные обновления антивирусных баз). Рано или поздно апдейты доставляются и вирус обнаружен — но не побежден, поскольку для окончательной победы необходимо аккуратно удалить зараженные файлы из системы. Ключевое слово — «аккуратно», и в этом кроется очередная проблема антивирусных программ.

Проблема №3

Удаление обнаруженного вредоносного кода из зараженной системы. Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть факт своего присутствия в системе, и/или встраиваются в нее так глубоко, что задача «выковыривания клеща» становится достаточно нетривиальной. Увы — иногда антивирусные программы не в состоянии благополучно и без всяких побочных последствий изъять «зловреда» и заштопать рану.

Далее, любое программное обеспечение потребляет ресурсы компьютера. Антивирусы — не исключение. Для того, чтобы защищать компьютеры, антивирусным программам требуется производить некоторые действия: открывать файлы, читать из них информацию, раскрывать архивы для их проверки и т.п. И чем тщательнее проверяются файлы, тем больше отъедается ресурсов компьютера (это как железная дверь: чем она толще, тем лучше защищает, однако открывать-закрывать ее становится тем сложнее, чем больше тонн металла в нее заложено). В результате появляется проблема баланса: полноценная защита или скорость работы.

Проблема №4

Целесообразность потребления ресурсов. Увы, проблема нерешаемая — как показывает практика, все «скорострельные» антивирусы очень сильно «дырявы» и пропускают вирусы и троянские программы, как дуршлаг воду. Обратное неверно: далеко не все «тормознутые» антивирусы защищают вас достаточно хорошо.

Для того чтобы проверять файлы «на лету» и постоянно защищать подопечный компьютер, антивирусным программам приходится достаточно глубоко проникать в ядро системы, причем проникать приходится в одни и те же зоны. Говоря техническим языком, антивирусы должны устанавливать перехватчики системных событий глубоко внутри защищаемой системы и передавать результаты своей работы антивирусному «движку» для проверки перехваченных файлов, сетевых пакетов и прочих потенциально опасных объектов.

Увы, далеко не всегда в один разрез можно засунуть два скальпеля. Далеко не всегда в необходимую зону ядра операционной системы можно установить два перехватчика. В результате — несовместимость постоянно работающих антивирусных «мониторов»; второму антивирусу либо не удается перехватить системные события, либо попытка дублирующего перехвата приводит к краху системы. В этом заключается очередная антивирусная проблема.

Проблема №5

Технологическая исключительность, т.е. несовместимость различных антивирусных программ между собой. В подавляющем большинстве случаев установить два различных антивируса на один компьютер (чтобы обеспечить двойную защиту) невозможно по техническим причинам, и они просто не уживаются друг с другом.

Часто говорят, что антивирусные компании ведут себя как медведи в одной берлоге, что несовместимость различных антивирусов на одном компьютере является результатом недобросовестной конкуренции — специально спланированной акцией с целью вытеснения с рынка альтернативных решений. Это не так. Никакой недобросовестной конкуренции, хочу отметить, в этом вопросе нет — ею здесь и не пахло. Наоборот, разработчиками прилагаются все усилия для того, чтобы не возникало конфликтов с наиболее популярными программными продуктами (включая антивирусные).

Вот так, по моему мнению, и распределяются основные практические проблемы антивирусных программ.

Новые технологии против традиционных решений

Естественно, у производителей антивирусных программ периодически возникает желание придумать какую-нибудь совершенно новую технологию, которая разом решит все перечисленные выше проблемы — разработать этакую супертаблетку, которая будет защищать от всех компьютерных болезней раз и навсегда. Защищать проактивно, т.е. быть в состоянии определить вирус и удалить его еще до момента его создания и появления в сети — и так со всеми вновь появляющимися вредоносными программами.

Увы — не получится. Универсальные средства годятся против тех напастей, которые действуют по каким-либо устоявшимся законам. Компьютерные вирусы же никаким законам не подчиняются, поскольку являются творением не природы, а изощренного хакерского ума. Т.е. законы, которым подчиняются вирусы, постоянно меняются в зависимости от целей и желаний компьютерного андеграунда.

Для примера рассмотрим поведенческий блокиратор как конкурент традиционным антивирусным решениям, основанным на вирусных сигнатурах. Это два разных, не исключающих друг друга подхода к проверке на вирусы. Сигнатура — это небольшой кусок вирусного кода, который прикладывается к файлам, и антивирус смотрит, подходит он или нет. Поведенческий блокиратор же следит за действиями программ при их запуске и прекращает работу программы в случае ее подозрительных или явно вредоносных действий (для этого у них есть специальный набор правил). У обоих методов есть и достоинства, и недостатки.

Достоинства сигнатурных сканеров — гарантированный отлов тех «зверей», которых они «знают в лицо». Недостаток — пропуск тех, которые им пока неизвестны. Также к минусам можно отнести большой объем антивирусных баз и ресурсоемкость. Достоинство поведенческого блокиратора — детектирование даже неизвестных вредоносных программ. Недостаток — возможны ложные срабатывания, ведь поведение современных вирусов и троянских программ настолько разнообразно, что покрыть их всех единым набором правил просто нереально. Т.е. поведенческий блокиратор будет гарантированно пропускать что-то вредное и периодически блокировать работу чего-то весьма полезного.

Есть у поведенческого блокиратора и другой (врожденный) недостаток, а именно — неспособность бороться с принципиально новыми «зловредами». Представим себе, что некая компания X разработала поведенческий антивирус AVX, который ловит 100% современной компьютерной фауны. Что сделают хакеры? Правильно — придумают принципиально новые методы «зловредства». И антивирусу AVX срочно потребуются обновления поведенческих правил — апдейты. Потом снова апдейты, поскольку хакеры и вирусописатели не спят. Потом — еще и еще апдейты. И в результате мы придем к тому же сигнатурному сканеру, только сигнатуры будут «поведенческими», а не «кусками кода».

Это справедливо также и в отношении другого проактивного метода защиты — эвристического анализатора. Как только подобные антивирусные технологии начинают мешать хакерам атаковать свои жертвы, так сразу появляются новые вирусные технологии, позволяющие «обходить» проактивные методы защиты. Как только продукт с «продвинутыми» эвристиками и/или поведенческим блокиратором становится достаточно популярным — тут же эти «продвинутые» технологии перестают работать.

Таким образом, вновь изобретенные проактивные технологии работают довольно короткое время. Если хакерам-"пионерам" потребуется несколько недель или месяцев для преодоления проактивной обороны, то для хакеров-профессионалов это работа на один-два дня или даже всего на несколько часов, а может, даже и минут. Таким образом, поведенческий блокиратор или эвристический анализатор, каким бы эффективным он ни был, требует постоянных доработок и, соответственно, обновлений. При этом следует учесть, что добавление новой записи в базы сигнатурного антивируса — дело нескольких минут, а доводка и тестирование проактивных методов защиты занимает гораздо более длительное время. В результате оказывается, что во многих случаях скорость появления апдейта от сигнатурных антивирусов многократно превышает адекватные решения от проактивных технологий. Доказано практикой — эпидемиями новых почтовых и сетевых червей, принципиально новых шпионских «агентов» и прочего компьютерного зловредства.

Это, конечно же, не означает, что проактивные методы защиты бесполезны, — нет. Они прекрасно справляются со своей частью работы и могут остановить некоторое количество компьютерной заразы, разработанной не шибко умелыми хакерами-программистами. И по этой причине они могут являться достойными дополнениями к традиционным сигнатурным сканерам — однако полагаться на них целиком и полностью нельзя.

Отсутствие полноценных тестов и проблема выбора антивирусного решения

В этой части статьи давайте поговорим о проблемах пользователя, стоящего перед выбором подходящего ему антивирусного решения, если он желает себе поставить не «абы что», а продукт, обеспечивающий хороший уровень защиты от компьютерных вредоносных программ. Как принять решение?

Естественно, что логичнее всего было бы обратиться к различным тестам, желательно как можно более профессиональным. Есть ли такие? Да — есть. Много? — Увы, крайне мало. Различные компьютерные издания проводят тесты антивирусных программ достаточно часто, тестируют продукты достаточно тщательно, проверяют и сравнивают все — от цены продукта до качества службы поддержки пользователей. Однако полноценными эти тесты с точки зрения тестирования именно антивирусного функционала назвать нельзя. Это и понятно, ведь для того чтобы тщательно протестировать антивирусную составляющую продукта, необходимо иметь значительную коллекцию вирусов и троянских программ, располагать соответствующими стендами и процедурами автоматизации тестирования (ведь разных антивирусов — десятки) и т.п. То есть необходимо формировать специальную группу сотрудников для тестирования антивирусов и выделять им соответствующие средства. Естественно, что все (или почти все) компьютерные журналы данными возможностями не располагают. По этой причине истинно антивирусная составляющая подобных тестов либо оставляет желать лучшего, либо СМИ обращаются к экспертам, постоянно тестирующим антивирусные продукты.

Наиболее известными экспертами-тестерами антивирусных продуктов на сегодняшний день являются Андреас Маркс (Германия) — www.av-test.org и Андреас Клементи (Австрия) — www.av-comparatives.org. Их тесты достаточно подробно описывают качество детектирования различных типов вредоносных программ и скорость реакции различных антивирусных компаний на вновь возникающие эпидемии. Тесты тщательные и подробные и могут использоваться для сравнения именно данных характеристик различных антивирусных решений. Однако, к сожалению, тестируются только перечисленные выше две характеристики и не тестируется все остальные, а именно — поведение антивирусов в «реальной жизни» при возникновении различных ситуаций, например, лечение зараженной системы, реакция антивируса на зараженный веб-сайт, ресурсоемкость и тщательность проверки архивов и инсталляторов.

Увы, примеры полноценного тестирования антивирусного функционала на наиболее типичные ситуации в жизни компьютеров в сети либо отсутствуют, либо спрятаны достаточно глубоко. Обнаружено лишь одно исключение, а именно — тестовая лаборатория Московского государственного университета (test-lab.cmc.msu.ru), проводящая тесты на достаточно объемном наборе ситуаций (подробнее см. тут). Однако методика данных тестов еще далека от завершения, а сама университетская тестовая лаборатория пока неизвестна широкой публике.

Отдельно хотелось бы поговорить по поводу тестов авторитетного специализированного журнала VirusBulletin, предчувствуя возможный вопрос читателей — а где же информация про тесты VirusBulletin и награду «VB100%», которая в них присуждается? Увы, и эти тесты далеки от совершенства. Стандарт тестирования VirusBulletin был разработан где-то в середине 90-х годов прошлого века и с тех пор практически не изменялся. Антивирусные продукты тестируются на неком наборе зараженных файлов (так называемый ITW-набор, ITW = «In The Wild», т.е. вирусы, обнаруженные в «дикой природе»), по результатам прогонов затем делается вывод: заслуживает продукт 100% сертификата безопасности или нет. Количество файлов же в этом ITW-наборе мизерное — около двух или трех тысяч, т.е. меньше, чем появляется новых ITW-вирусов и троянцев всего за один месяц! Таким образом, увы, результат VB100% никак не говорит о том, что данный продукт действительно защищает от вирусных угроз. Данная награда свидетельствует только о том, что данный продукт прекрасно справляется с ITW-коллекцией VirusBulletin — и ничего более.

Заключение

Теперь терпеливый читатель, осиливший данный текст до конца, знает подноготную антивирусной индустрии и ее основные проблемы. Надеюсь, что данная информация поможет при выборе достойной защиты для вашего домашнего компьютера и/или подопечной сети и сделает его/ее гораздо более безопасной. Ведь компьютер, подключенный к сети интернет, — это как секс. Он может быть безопасным и не очень. И достаточная осведомленность только помогает избежать разных неожиданных неприятностей.

Удачного вам интернета!

комментарии(0)

разделы: Архив