Компьютерра PDA N140 (15.10.2011-21.10.2011) - Компьютерра
Шрифт:
Интервал:
Закладка:
После столь примечательного выступления известной и авторитетной хакерской организации можно себе представить, насколько бурное обсуждение новости разразилось в германских СМИ. И хотя представители федеральных властей попытались сделать вид, что не имеют к данному троянцу никакого отношения, у глав правоохранительных органов по меньшей мере пяти германских земель хватило духу признать, что они применяют именно эту программу, «но исключительно в рамках закона».
А из этого факта совершенно естественным образом вытекает неудобный вопрос: каким же таким хитрым образом должны быть устроены все общераспространённые антивирусные программы и экраны-файерволы сетевой защиты, что они столь дружно не замечают подобных правительственных троянцев-шпионов? Которые не только занимаются регистрацией информации, обрабатываемой компьютером, но и на регулярной основе выходят в интернет для её отправки следящей стороне...
Дополнительное исследование проблемы германским ИТ-изданием Heise Security показало, что антивирусные программы начали дружно реагировать на «троянца R2D2» (условно названного таким образом по фрагменту из строчки кода программы), лишь только после того, как о нём рассказали миру представители ССС. Хотя вполне очевидно, что программа эта отнюдь не новая и применяется властями давно.
Практически все ведущие производители антивирусов и файерволов предпочли на данный счёт отмолчаться (хотя и не секрет, что в их программах применяются некие «белые списки», которые никто толком не видел, однако именно они обеспечивают невидимость в работе, скажем, общераспространённых «противоугонных» средств типа CompuTrace - тоже в общем-то шпионов-бэкдоров по своей сути).
Самую содержательную реакцию на новость среди разработчиков антивирусов продемонстрировала, пожалуй, финская компания F-Secure. Именно из блога этой фирмы стали известны не только дополнительные факты про троянец-бэкдор под названием W32/R2D2.A, но и некоторые закулисные подробности о деятельности антивирусной индустрии.
На сайте F-Secure отмечено, что в отчёте ССС содержался анализ бинарных файлов DLL и драйвера ядра. Отсюда следует, что у аналитиков ССС, очевидно, не было доступа к программе-установщику бэкдора (который должен быть инсталлирован локально на компьютере жертвы). У компании F-Secure именно такой инсталлятор имеется, причём давно и не в одном экземпляре.
Файл установщика носит название «scuinst.exe», и впервые файл с таким названием в базах данных антивирусных компаний был отмечен 9 декабря 2010 года.
Имя файла-установщика является важным уже само по себе. Сочетание букв «scuinst» - это аббревиатура полного названия Skype Capture Unit Installer, то есть «установщик модуля захвата Skype». Именно под этим названием известна официально продаваемая на коммерческом спецрынке шпионская программа-троянец компании DigiTask.
В компанию F-Secure копия этой программы-установщика попала от известного веб-сервиса компьютерной безопасности virustotal.com. Оттуда же получили файл и многие другие поставщики антивирусов.
VirusTotal - это сервис, в своё время организованный испанской фирмой инфозащиты Hispasec из Малаги. Этот ресурс анализирует присылаемые ему подозрительные файлы с помощью множества антивирусных движков и предоставляет список имён опознания. Ныне VirusTotal является как бы совместным предприятием антивирусного сообщества и делится получаемыми образцами со всеми, кто принимает участие в работе сервиса.
В период с декабря 2010 по июнь 2011 файл-установщик scuinst.exe был анонимно предоставлен в распоряжение VirusTotal по меньшей мере четыре раза - как по электронной почте, так и через веб-интерфейс сайта. Иначе говоря, фактически все поставщики антивирусов давным-давно располагают этим инсталлятором. Однако по некоторой неназываемой причине сигнатура программы-шпиона в базах программ-антивирусов так и не появилась.
Элегантно обходя прямой и неудобный вопрос «почему?», компания F-Secure вместо этого задаёт сама себе вопрос в такой форме: «Если нет детектирования, означает ли это, что нет и защиты?» И сама же на него отвечает так: «Нет. Многие антивирусные средства (такие, как F-Secure Internet Security) имеют дополнительные уровни защиты помимо традиционного выявления известных сигнатур. Лишь то, что угроза не помечена «выявлено», ещё не означает, что она не будет «блокирована» другим уровнем защиты. Конкретно в данном случае инсталлятор R2D2, как показал эксперимент, был бы блокирован в программе F-Secure эвристическими методами анализа»...
Иначе говоря, антивирусной индустрии приходится очень и очень непросто: необходимо защищать своих клиентов от вредоносных программ злоумышленников и одновременно «не замечать» точно таких же программ государственных властей. А уж если злоумышленники способны ставить под свой контроль бэкдоры властей, то что тут делать, совсем непонятно.
Дмитрий Вибе: Те же грабли
Автор: Дмитрий Вибе
Опубликовано 21 октября 2011 года
На ТВ стали довольно часто появляться разного рода "познавательные" фильмы и сюжеты. За редкими исключениями, участие в этих фильмах в качестве приглашённого эксперта никаких положительных эмоций не сулит. Однако телевидение остаётся самой массовой возможностью донести свою точку зрения. Поэтому я снова и снова наступаю на те же самые грабли.
В жизни многих научных работников рано или поздно наступает момент, когда в мобильном телефоне раздаётся бодрый голос: "Здравствуйте! Меня зовут Светлана (например), я работаю в телевизионной компании X. Ваш телефон нам дал N (на свете много добрых людей, всегда готовых подарить ближнему номер твоего мобильника). Он сказал, что вы можете прокомментировать информацию о..." Поначалу это радует и повышает самооценку. Я буду в телевизоре! Я медийный персонаж! Я суперзвезда! Но после пары-тройки появлений на экране энтузиазм значительно снижается.
Довольно скоро начинаешь понимать: хотя тебя как бы и зовут в качестве эксперта-учёного, в целом, происходящее на экране мало напоминает киножурнал "Хочу всё знать". Раньше основной задачей было расколоть "орешек знанья". Теперь основная задача — любой ценой привлечь как можно больше зрителей. Раньше главным был учёный, специалист, разбирающийся в научной проблеме. Теперь главный — режиссёр, специалист по построению завлекательной картинки. В новых обстоятельствах приглашённый учёный становится даже не актёром, а декорацией, элементом дизайна, фоном, на котором должен отчётливее проявиться великий режиссёрский замысел.
Замысел этот теперь, в отличие от эпохи киножурнала "Хочу всё знать", практически всегда художественный и практически никогда не просветительский. Оно и понятно: само слово "просветительский" навевает скуку, а снимать хочется игровое кино. В конце концов, кто знает авторов научно-популярных фильмов? Разве что всплывёт в памяти команда Кусто, да знатоки припомнят Павла Клушанцева или Льва Николаева. А игровое кино — это Тарковский, Феллини, "новая волна" и красная дорожка в Каннах. Вот и получается, что при декларируемой цели "мы делаем фильм об эволюции галактики Млечный Путь" на выходе получается малобюджетный экшн "Млечный Путь и Туманность Андромеды: гибель миров".
При этом, если просветительское кино подразумевает точность в изложении фактов, то в художественном фильме можно слегка и приврать. Или даже не слегка. Собственно, в игровом кино само понятие вранья теряет смысл. Тревожная музыка, яркий видеоряд (часто не имеющий отношения к теме), традиционно зловещий голос диктора... К реальности, правда, никакого отношения, но здесь выстраивается не лекция, а драматическое произведение, так ли уж нужны в нём подлинные факты?
Снимается сюжет про астероид Апофиз. Моя задача — просто помочь в съёмке. Мрачный ведущий говорит в камеру: "В декабре 2012 года на минимальном расстоянии от Земли пролетит гигантский астероид Апофиз. Это будет его первое свидание с нашей планетой". Видимо, у меня что-то отражается на лице, и меня спрашивают: "Что-то не так?". "Кое-что, — говорю я. — Он не гигантский, пролетит мимо Земли не в декабре 2012 года, а в январе 2013 года, и это будет не первое его сближение с Землей. Остальное всё правильно". Режиссер на мгновение задумывается, а потом машет рукой: "Ой, да ладно. Мы всё равно уже в заставку 2012 забили".
В настоящей научно-популярной программе такой подход к фактам был бы недопустим, а в игривом игровом научпопе — пожалуйста. В первом случае цель состоит в том, чтобы рассказать зрителю о какой-то научной проблеме, во втором — вызвать определённую эмоцию. Поэтому в современных "познавательных" фильмах режиссёр на самом деле заранее знает, что именно должен сказать приглашённый в программу эксперт. Есть, правда, одна проблема: эксперт — не актёр, который будет с выражением читать текст из заготовленного сценария. Он ведь воображает, что его пригласили в качестве специалиста, который должен просветить съёмочную группу и зрителей в том, в чём он компетентен, а они — нет.