UA / RU
Поддержать ZN.ua

Код врага

Стоит ли украинцам бойкотировать российские антивирусы

Автор: Артур Федорчук

Не объявленная, но реально идущая "гибридная" война России против Украины с особой остротой поставила вопросы информационной безопасности страны. Представителям государственной власти пришлось вспомнить, что не только значительная часть информационного пространства Украины контролируется агрессивным соседом, но и практически на всех компьютерах министерств и ведомств Украины установлены российские антивирусы Касперского и Dr.Web. Потенциальная угроза этих программ в силу самой их природы огромна. Однозначного мнения об уровне опасности сложившейся ситуации и реальности замены иностранных антивирусных программ отечественными аналогами у специалистов пока нет. Что, впрочем, не помешало власти принять решение о замене российских продуктов отечественными.

1 мая и.о. президента Александр Турчинов подписал указ № 449, введя в действие решение Совета национальной безопасности и обороны об усилении информационной безопасности страны. В указе ставится задача в течение трех месяцев силами украинских IT-специалистов разработать отечественную операционную систему и национальный антивирус, а также усилить сервисы электронной почты на базе госструктур. За реализацию проекта отвечают Национальный институт стратегических исследований и Служба безопасности Украины. Разумеется, понять озабоченность руководителей страны, отвечающих за ее безопасность, не сложно, но вот с реальностью поставленных задач все далеко не так просто.

Главное, чем антивирусное программное обеспечение отличается от всех остальных программ с точки зрения тонкостей его использования, - это практически постоянная связь с компанией-производителем. По сути, антивирус - это непрерывный сервис. Если вы сегодня купили защитную программу, а завтра антивирусная лаборатория этой компании перестала существовать, то послезавтра эта программа будет уже не нужна. Средний срок жизни троянской программы сегодня составляет три дня. То есть, если три дня базы антивирусов не обновляются, то антивирусная программа начинает приносить больше вреда, чем пользы, поскольку создает ложную иллюзию защищенности. Однако именно постоянное обновление вирусных баз и несет в себе потенциальную угрозу для информационной безопасности. Антивирус на наших компьютерах постоянно выполняет какую-то работу - что-то считывает с сети, что-то передает; блокирует (или не блокирует) какие-то программы, удаляет (или не удаляет) какие то вирусы. Причем все это он делает без нашего ведома и практически без контроля. Инстинкт самосохранения заставляет задуматься о безопасности.

Однако оценить степень безопасности антивируса не так уж и просто. Если соответствующие структуры, потратив полгода-год, могут досконально проанализировать какую-то ОС либо в течение месяца изучить прикладную программу и ответственно заявить, что данное программное обеспечение не содержит "закладок" и может быть сертифицировано, то в отношении антивирусных программ такая техника работать не будет. Обновления вирусных баз - это, по сути, микропрограммы. То есть, практически каждый день на наших компьютерах появляется новое неизвестное программное обеспечение. Что заложено в ежедневные обновления - знает только производитель.

Впрочем, специалисты IT-отрасли не видят в существующей практике реальных угроз. "Мы как профессионалы, работающие в антивирусной индустрии и поддерживающие плотные контакты со многими антивирусными компаниями, должны сказать, что на данный момент "самоубийц" среди них нет, - утверждает Олег Сыч, технический директор единственного украинского антивирусного проекта Zillya! - Если всплывет информация о том, что в какую-то программу был встроен троянский модуль, это будет означать крах компании. В мировой практике таких прецедентов не было. Создавать такой прецедент по отношению к Украине также вряд ли кто решится. Убытки будут исчисляться миллиардами долларов".

Однако если включить воображение, то все понимают, что отбрасывать мысли о потенциальной угрозе все же не стоит. Ведь далеко не все определяется интересами компаний, даже самых солидных и богатых. К примеру, в мире постоянно гуляют слухи о тесном сотрудничестве производителя самой популярной операционной системы - компании Microsoft - со спецслужбами США. При этом никто ни разу не нашел и не доказал наличие в ее программах каких-либо конкретных "закладок" от той же ФБР или ЦРУ. Репутация Microsoft - ее главный капитал, и рисковать миллиардами и привилегиями "столпа американской экономики" она не будет. Но в компании работают десятки тысяч людей, и часть из них, разумеется, могут быть агентами спецслужб и без ведома компании заложить в программы какую-то уязвимость. Существуют дополнительные процедуры контроля. Написанное программистом проверяют еще до десятка человек, но теоретически сложная логическая "бомба" вполне может пройти незамеченной.

Кстати, с программным обеспечением к "свободным" ОС, таким как Linux и Unix, прецеденты обнаружения закладок спецслужб уже были. Уровни контроля там намного ниже, чем в коммерческих компаниях. Наиболее громкий скандал вспыхнул несколько лет назад, когда в популярной свободной Unix-подобной операционной системе FreeBSD в одном из ее сервисов была обнаружена "закладка", внесенная туда разработчиками проекта за денежное вознаграждение от ФБР США. Она приводила в определенных обстоятельствах к утечке ключей шифрования и возможности мониторинга трафика внутри шифрованных соединений.

Но вернемся к российским антивирусам. Евгений Касперский не так давно был включен журналом Wired в список из 15 человек, которые являются самыми опасными людьми на планете. В этом рейтинге генеральный директор "Лаборатории Касперского" оказался из-за популярности своего антивируса и связей с ФСБ, которые он и не скрывает. Касперский закончил вуз, который сегодня официально входит в структуру ФСБ, и официально сотрудничает с ФСБ, ФБР и другими спецслужбами в плане предоставления информации для нужд их расследований. В основном его компания помогает в расследованиях случаев громких кибератак, но иногда, по его словам, помогает даже в поиске украденных ноутбуков. При этом весь мир IT-специалистов уверен, что Касперский никогда не пойдет на то, чтобы в его продукты были встроены бэкдор либо какая-то троянская программа. Тем более что он сегодня уже человек мира, далеко вышедший за пределы России и ФСБ.

В интервью газете The Wall Street Journal Касперский четко заявил: "Если обнаружится, что в продукте любой антивирусной компании есть бэкдор, это приведет к краху репутации и станет концом для бизнеса. Я на 99,9% уверен, что антивирусные компании не имеют бэкдоров в своих продуктах".

Однако даже без вредоносных или шпионских "закладок", работая в штатном режиме, антивирусы способны на многое. "Все антивирусные программы собирают информацию о пользователях. Вплоть до того, какие ресурсы кто посещает, какую информацию скачивает, когда и в какое время включает и выключает компьютер, - объясняет Олег Сыч. - При этом данная информация привязана к конкретному адресу компьютера, то есть, как правило, к конкретному человеку. Кроме того, антивирусная компания знает, где именно установлен компьютер. Эта информация используется для оптимизации работы программного обеспечения, построения карт активности пользователей и прочих технологических целей. Впрочем, к этому уже давно стоило бы привыкнуть. За нами следят Skype, Windows, Google… и даже некоторые компьютерные игры, но возможности антивирусов на порядок больше".

И это, кстати, вполне законно. Все это предусмотрено в лицензионном соглашении, с которым все мы соглашаемся при установке, как правило, не читая. В настройках программ, правда, в большинстве случаев существует возможность отключить опцию "отправки анонимной статистики, которая позволит сделать этот продукт лучше". Но далеко не все знают об этой возможности и находят эту "галочку" в настройках. Да и работает ли реально такая опция - проверить нельзя. Это уже на совести производителя.

Сбор информации о пользователях - это далеко не столь безобидное действие, как может показаться на первый взгляд. Это потенциально может серьезно подорвать информационную безопасность как отдельной компании, так и государства. Даже информация о названии антивируса, которым защищены компьютеры компании или госучреждения, способна значительно повысить вероятность успешности хакерской атаки на них. Поскольку написать вредоносную программу, не замечаемую конкретным антивирусом, намного легче, чем создать вирус, неуязвимый для всех защитных программ.

Кроме сбора информации, достаточно много и других потенциальных вариантов вредоносной деятельности антивирусной программы. Например, она с легкостью может на несколько дней заблокировать какой-либо сайт, пометив его зараженным, либо пометить как вредоносную и удалить абсолютно чистую программу или базу данных и т.д. Кстати подобные события происходят регулярно, правда, создаются, как правило, неумышленно. Либо умышленность этих действий не удается доказать.

Наиболее громкий случай произошел в апреле 2010 г., когда ложное срабатывание антивируса McAfee вывело из строя компьютеры по всему миру. Ряд антивирусных продуктов McAfee из-за оплошности антивирусного аналитика после очередного обновления разглядели в системных файлах Windows вредоносные приложения и просто отправили их в карантин. В результате множество компьютеров по всему миру, на которых были установлены продукты этой компании, стали перезагружаться или сообщать о фатальной ошибке на голубом экране.

В разное время ложные срабатывания происходили практически у всех ведущих производителей антивирусного программного обеспечения. Так, в августе 2009 г. тот же "Антивирус Касперского" запрещал своим пользователям работать с сайтом банка HSBC, сообщая им о том, что интернет-ресурс заражен троянцем HTLM-Agent-CE. На самом деле сайт никакой угрозы не представлял, но пользователи некоторое время не могли воспользоваться услугами интернет-банкинга. Специалисты "Лаборатории Касперского" обнаружили ошибку в тот же день, но ущерб репутации банка и антивирусной компании уже был нанесен.

Разумеется, подобные ситуации сотрудник компании, чисто теоретически, может создать и умышленно. И хотя пока подобных случаев не зарегистрировано, учитывать эту потенциальную угрозу, наверное, необходимо. Прямой вред антивирус может нанести только в том случае, если в штате состоит агент спецслужб или завербованный ими сотрудник. Широкомасштабных или широко известных подобных прецедентов пока не было.

То есть, теоретически такая возможность существует, но пользовался ли или воспользуется ли кто-нибудь когда-нибудь этой возможностью - достаточно сложный и неоднозначный вопрос. Это похоже на потенциальную угрозу ядерной войны. Все знают о ее возможности, но никто не верит в ее реальность. Цена вопроса должна быть очень высока, поскольку антивирусная компания в случае обнародования обоснованных подозрений в ее шпионской или вредоносной деятельности понесет колоссальные убытки, а вероятнее всего просто перестанет существовать. Вероятно, пострадает сам принцип доверительного отношения людей к разработчикам антивирусов. Решиться на "коллективное самоубийство" непросто. Впрочем, у каждого государства всегда есть возможности влияния на отечественного производителя. Особенно в достаточно тоталитарных государствах, каким собственно и является нынешняя Россия.