Евгений Касперский: белорусских вирусов нам попадалось немного

Евгений Касперский, создатель известного антивируса и эксперт с мировым именем и огромным багажом знаний в сфере компьютерной безопасности. В эксклюзивном интервью создатель "Лаборатории Касперского" поделился своим видением сегодняшних и завтрашних ИТ-угроз, рынка антивирусов и эволюции вирусов, рассказал о том, следует ли (и как) регулировать интернет.

Но начали мы нашу разговор с более приземленных и "локальных" вопросов:
- Евгений Валентинович, можете припомнить какие-нибудь вирусы с белорусскими корнями?

- Белорусских вирусов нам попадалось немного. Возможно оттого, что белорусские разработчики вредоносных программ разговаривают в основном на русском языке и идентифицировать их национальную принадлежность в связи с этим очень нелегко.
 Впрочем, говорить о том, что белорусы совсем не пишут вирусов нельзя. Так, например, в конце 2005 года появился довольно неприятный файловый вирус с классическими механизмами заражения исполняемых файлов. Он детектировался нами как Virus.Win32.Neshta, причем имел две разновидности - версии .a и .b.
Как мы поняли, что это белорусский вирус? По сообщениям, оставленным разработчиками и потоку зараженных пользователей из Беларуси. Вот что содержал вирус внутри себя:"Delphi-the best. Fuck off all the rest. Neshta 1.0. Made in Belarus.Прывiтанне ўсiм ~цiкавым~ беларус_кiм дзяўчатам. Аляксандр Рыгоравiч, вам таксама. Восень — кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]"
Кстати, этот белорусский вирус в итоге стал бедой не столько для Беларуси, как для её соседей. Причем он активен и в настоящее время. За последнее время в РФ было обнаружено более 2 тысяч случаев заражения, на Украине - более 300, в то время как в самой Беларуси - это всего лишь порядка 250 инцидентов.  - Кстати, доводилось ли бывать в Беларуси? Общаться с местными коллегами-конкурентами? 
- Нет, не доводилось. 
- А насколько интересны для "Лаборатории Касперского" рынки стран СНГ, в том числе - белорусский? Ведь не секрет, что основная доля вашей выручки приходит с Запада... Или может быть они интересны в качестве рынков сравнительно недорогой рабочей силы?  - Я скажу так, для нас не существует неинтересных рынков. Везде, где мы ведем бизнес, а с географической точки зрения, это практически весь мир, мы стараемся добиться успеха. Безусловно, у каждого рынка свои характерные особенности и возможности для роста. Именно поэтому какое-то время назад мы отказались от территориального принципа деления бизнеса компании в пользу экономического. То есть мы стараемся объединять в группы регионы со сходной экономикой. Таким образом, нам проще адаптировать под них те или иные бизнес-инструменты: маркетинг, систему распространения и организации продаж и т.д.
 Беларусь в этом плане не исключение. В структуре компании существует специальный регион БУМ, который объединяет Беларусь, Украину и Молдову. БУМ организационно входит в состав региона развивающихся рынков, к которому, кстати сказать, мы, согласно нашей внутренней градации, относим большую часть мира – порядка 120 стран. Сюда же входит Россия, Восточная Европа, Ближний Восток, Африка и Латинская Америка. Все регионы и страны, в которых мы работаем, являются для нас важными вне зависимости от того, ведем ли мы там бизнес с помощью нашего территориального представительства или через партнеров. 
 Имея значительный опыт глобальной работы, мы сделали для себя один достаточно простой вывод: методы, которые отлично работают в одном регионе, совершенно не обязательно дадут результат в другом. Поэтому мы никогда не действуем по шаблону, а стараемся искать свой уникальный путь в соответствие с местными особенностями, культурой, менталитетом, подходом к бизнесу и т.д. Наиболее ярко это проявляется на Востоке, в странах Азиатско-Тихоокеанского региона. Однако и в Беларуси есть свои уникальные особенности и традиции, которые мы принимаем во внимание. Мы активно используем маркетинговые инструменты, сертифицируем наши решения, плотно работаем с партнерами и заказчиками. И я убежден, вполне успешно. Подобный подход позволил нам на сегодняшний день завоевать порядка 50% белорусского рынка. - Спасибо! Перейдем к глобальным вопросам: что вы думаете о вирусах, нацеленных на саботаж промышленности? Вроде нашумевшего Stuxnet и более нового Duqu? Насколько реальны живописуемые в прессе угрозы атак на промышленные объекты, электростанции? Что-то уже происходило, но масштабы катастрофическими назвать было всё-таки сложно... 

 - Я бы сказал, что это первые случаи применения кибероружия, которые стали известны широкой общественности. Почему я говорю именно о случае применения вооружения, а не саботаже в промышленном масштабе? Потому что на карту были поставлены национальные интересы – в результате вредоносных действий червя Stuxnet, ядерная программа Ирана была отброшена лет на 10 назад. А это уже проблема не отдельно взятого предприятия, а целого государства. Следовательно, мы можем и должны говорить об ином отношении к этим зловредам.
 Думаю, о реальности и нереальности говорить излишне. Это уже произошло. Почему события в Натанзе прошли достаточно тихо? Думаю, потому, что это был хорошо спланированный точечный удар, который имел своей целью выведение из строя конкретных элементов инфраструктуры ядерного объекта, а не создание паники в глобальном масштабе. А для того, чтобы получить наглядное представление о возможных последствиях аналогичных атак, имеющих немного другие задачи, можно еще раз пересмотреть "Крепкий орешек 4". Фантазии там, конечно, хватает, но направление мысли правильное.   - Какая киберугроза из прошумевших в прессе за последнее время (шпионские бот-сети, утечки данных) на ваш взгляд больше всего переоценена (по части потенциальной опасности), и какая - наиболее недооценена?  - По нашему мнению, однозначно, переоценена была история с операцией Shady RAT, которую компания McAfee назвала одной из самых крупных и масштабных хакерских атак. В частности, было сказано, что она продолжалась в течение пяти лет, а ее жертвами стали порядка 70 различных правительственных структур и компаний по всему миру. С нашей точки зрения, здесь больше шума, чем реальных фактов. Дело в том, что любая атака, связанная с кибершпионажем, охватывает десятки компаний. Чтобы не быть голословным, давайте рассмотрим аналогичный инцидент. Так, например, в ходе атаки Lurid, которая случилась в июле 2011 года, было заражено порядка 1000 организаций по всему миру в том числе и в России. Причем интересно, что у нас нападению подверглись десятки специфических организаций. Таких как, например, различные НИИ, связанные с проведением космических исследований, одна из российских политических партий и многие другие. То есть речь идет об аналогичной атаке, ничуть не уступающей по своим масштабам Shady RAT. При этом ей уделялось несравнимо меньше внимания.
 Обратных ситуаций, когда то или иное действие хакеров осталось без внимания, стараемся не допускать уже мы. Наши эксперты постоянно следят за тем, что происходит в мировом киберпространстве, проводят собственные расследования или оказывают помощь соответствующим государственным органам. Результаты нашей работы мы публикуем на портале www.securelist.com/ru.  - Что можете сказать по итогам 2011 года (кроме увеличения активности Android-зловредов) и  спрогнозировать на 2012 год? - Лейтмотивом 2011 года в точки зрения информационной безопасности стало резкое увеличение количества целевых атак на коммерческие и государственные организации. Наиболее громкими стали взломы компаний Sony, Mitsubishi, HBGary, RSA, сената США, ЦРУ, а также итальянской киберполиции. Сложившаяся ситуация в точности повторила наш прошлогодний прогноз о том, что все больше угроз будет происходить со стороны относительно новых организаторов: различных движений хактивистов, государственных органов ряда стран мира, а также бизнес-структур, активно использующих методы кибершпионажа в отношении конкурентов.
 Самой интригующей вредоносной программой года стал троянец Duqu, который был написан создателями нашумевшего червя Stuxnet. Детальное исследование дает возможность предположить, что основной миссией Duqu был шпионаж за развитием ядерной программы Ирана.
 Что касается 2012 года, то можно с уверенностью сказать, что количество и качество информационных угроз будет расти. Вектор целевых атак на коммерческие и государственные предприятия и организации сохранится, кроме того, активно будут развиваться различные мобильные зловреды. Только в декабре 2011 года мы добавили в свои антивирусные базы больше мобильного вредоносного ПО, чем за предыдущие семь лет.

Причем злоумышленники уже выбрали Android как основную целевую платформу для своих атак. Почему именно Android? Ответ очень прост – это открытая, а следовательно, популярная платформа, под которую очень просто создавать софт, в том числе вредоносный. По сути, основное отличие вредных программ от полезных лежит не в плоскости технологий, а в мотивации их создателей. Не стоит недооценивать киберзлоумышленников. Они знают законы рынка. Именно поэтому подавляющее большинство мобильных вредоносных программ создается именно для Android. Подробную информацию можно посмотреть в нашем отчете Мобильная вирусология, в котором есть цифры, графики и много всего интересного.

И если другие крупные игроки рынка, такие как, например, Apple, Microsoft, BlackBerry не внесут изменения в собственные стратегии, Google станет безоговорочным лидером рынка мобильных операционных систем, как когда-то произошло с Windows для ПК. Соответственно, и зловредных программ под Android будет писаться гораздо больше. Так что светлое, с точки зрения информационной безопасности, будущее нас, к сожалению, пока не ждет.   - Можете ли сравнить объемы рынка ПО для защиты от вредоносного ПО и рынка самих вредоносных программ, 0-day эксплоитов и т.п.? Сильно ли "щиты" отстают от зловредов на данный момент? 

- Говорить об объёмах рынка вредоносного ПО и 0-day эксплойтов - дело неблагодарное. Нам остаётся лишь догадываться, ведь игроки этого рынка всегда в тени, они не показывают свою прибыль и никогда не делятся статистикой. Очевидно, это не в их интересах. Наши подозрения говорят о том, что объем этого теневого рынка в разы превышает объем рынка антивирусного ПО.
 Что касается щитов, то мы "держим руку на пульсе" и постоянно предлагаем новые и новые решения нашим пользователям. Сочетание используемых нами технологий, как традиционных, так и новейших облачных способно защитить пользователя практически от любой угрозы сегодня. Безусловно, существуют и разработки супер-профессионалов. Такие программы могут не детектироваться какое-то время в силу точечного распространения вредоносного кода, но рано или поздно они попадут к нам и будут добавлены в антивирусные базы. Так произошло с небезызвестными Stuxnet и Duqu.
  - Стираются ли в последние годы различия между крупнейшими антивирусами? 
- Если мы говорим о функциональности современных антивирусных решений, тот здесь действительно можно наблюдать определенную унификацию. В процессе поиска оптимального решения компании могут заимствовать идеи конкурентов в плане использования тех или иных модулей для наиболее эффективного решения стоящих перед ними задач. Однако подобное внешнее сходство не делает продукты более похожими в технологическом плане. И это становится особенно отчетливо заметно, если обратиться к результатам независимых тестирований: одни решения из раза в раз детектируют 99% вредоносных программ, тогда как другие, при внешнем сходстве, с трудом осиливают половину.
 Для большей ясности можно провести аналогию с автомобильной отраслью. Многие современные машины внешне очень похожи. Причем это проявляется не только в базовых, но и дополнительных функциях – кондиционер, отделка, внутренняя компоновка и т.д. Однако если обратиться не к новичку, который выбирает первый автомобиль, а более-менее искушенному автовладельцу, то для него разница окажется очевидной. Причем основные отличия будут лежать в незаметной на первый взгляд технологической плоскости. Здесь и мощность и экологичность двигателя, и пассивная безопасность, и надежность, и качество комплектующих. При всем многообразии существующих на сегодняшний день марок, лидировать, по понятным причинам, будут мировые производители, имеющие многолетний опыт, знания и технологии. 
 Подобная же ситуация наблюдается и в антивирусной индустрии. При всех кажущейся функциональной схожести решений все серьезные антивирусные вендоры используют разные подходы к изучению вредоносного ПО, анализу и прогнозированию угроз, разработке механизмов защиты от них, т.е., по сути, являются представителями разных интеллектуальных школ. Соответственно, по мере технологического развития компаний, эти отличия только усиливаются. 
 Кроме того, говоря об отличиях в используемых технологиях необходимо отметить, что область информационной безопасности является чрезвычайно динамичной средой: постоянно меняется характер и направленность угроз, на место киберхулиганов приходят преступники, появляются различные группы хактивистов и т.д. При этом компании, работающие на рынке, физически не могут одновременно реагировать на изменения этой среды. Более того, научно-исследовательские группы, входящие в состав антивирусных компаний, могут выделять различные приоритеты в определении угроз и, исходя из них,  предлагать разные способы оптимальной защиты своих пользователей.  
Поэтому, я думаю, мы будем наблюдать постоянную конкуренцию различных исследовательских школ и аналитических лабораторий, которые не копируют друг друга, а наоборот стараются превзойти соперника, используя собственные методы. 
Если говорить о комплексных решениях, то уже сейчас мы можем наблюдать тенденцию, когда на одного пользователя приходится больше одного электронного коммуникационного устройства, которое нуждается в защите. Безусловно, будет происходить наращивание пакета функциональности на уровне конкретного устройства, но одновременно будут появляться новые решения, которые позволят пользователю защищать собственную информацию, где бы она ни находилась и каким бы устройством он ни пользовался. Возможно, это будут не единые расширенные пакеты, а распределенные сервисы. Речь идет не только о расширении функциональности, но и о возможности защиты пользователя в новых ситуациях. 
 Первое важное изменение, которое произошло несколько лет назад, заключалось в том, что продукты, которые защищали отдельные блоки информационно системы, стали объединяться в пакеты. Это был очень важный переход от отдельных технологий к комплексным решениям. Следующим этапом развития будет переход от комплексных решений в комплексным сервисам. На сегодняшний день пользователю не нужен развитый функционал как таковой. Ему нужно, чтобы в сложной ситуации у него было решение. 
 Одним из перспективных направлений, по моему мнению, являются облачные технологии, которые позволяют минимизировать скорость реакции и повысить качество защиты. Кроме того, стремительно будут развиваться технологии защиты мобильных устройств и сред сотрудничества. Одним словом, для всех сред, где актуальные проблемы безопасности, будут разрабатываться соответствующие решения.  - Видите ли вы перспективы для бесплатных антивирусов? Не вытеснят ли они с рынка платные аналоги?  - Бесплатный антивирус – это выход для тех, кто не может себе позволить качественный платный продукт. О сильных и слабых сторонах платных и бесплатных защитных решений можно говорить очень много, но, по сути, на стороне вторых единственное преимущество – цена, а точнее ее отсутствие. С точки зрения технологий защиты они, ожидаемо, проигрывают коммерческим продуктам. Чтобы в этом убедиться, достаточно изучить результаты сравнительных тестирований, которые проводят различные независимые лаборатории, такие как, например, AV-Test.
 Тем не менее, перспектива у них, безусловно, есть, особенно в тех регионах мира, где уровень жизни недостаточно высок, и люди еще не готовы платить за антивирусную защиту. Можно, конечно, рассудить по-другому, сказав, что у людей просто нет достаточно ценной информации, которую они бояться потерять. Но, если честно, я не очень верю в это объяснение.
 Просто представьте на минуту, что кто-то залез в Ваш компьютер и украл семейный фотоальбом и требует кругленькую сумму за его восстановление. Сколько Вы готовы за него заплатить? Предполагаю, что гораздо больше, чем обошлась бы защита. Но если денег ни на выкуп, ни на защиту нет, то бесплатный антивирус – это выход. Он не обеспечит 100%-ую защиту, но во всяком случае поможет снизить риски. Так что, если выбор стоит между бесплатным продуктом и отсутствием антивируса вообще, то я однозначно за бесплатник. Но лишь до тех пор, пока не придет осознание, что наша информация – это важная часть нашей жизни, и она нуждается в надежной защите. Как правило, именно в такой момент, когда человек созрел, он сам переходит на коммерческий продукт, обеспечивающий ему не только более надежную защиту, но и сервис, возможность технической поддержки, гарантию того, что в случае любой сложной ситуации, ему придут на помощь. - Сами на свой домашний/рабочий компьютер "ловили" случайно вирус? Давно? Какой? Как лечились?  - Надо сказать, что именно с "поимки" вируса и началась история "Лаборатории". После окончания Института криптографии я работал в научно-исследовательском институте при Министерстве обороны. И одним прекрасным днем 1989 года на моем рабочем компьютере "зажил" вирус. Я стал разбираться, как работает эта вредоносная программа, и быстро написал "лечилку", которая восстановила  работоспособность компьютера. Этот процесс мне очень понравился, и я начал собственными силами лечить попадавшиеся мне вирусы интереса ради. Интерес превратился в хобби, а хобби в дальнейшем – в компанию. - Окей, если немного отойти от вирусов... С вашей точки зрения, нужно ли регулировать интернет и как? Каково ваше отношение к SOPA/PIPA/ACTA? - Мой ответ однозначен – да, регулировать нужно. В противном случае мы будем иметь примерно то, что имеем сейчас, только в гораздо более сложной форме – хаос и анархию. Только ленивый не называл  интернет самой большой помойкой на Земле. Надеяться на то, что здесь сработает принцип саморегулирующейся системы не стоит. Может и не сработать. Так что регулирование должно быть однозначно. Другой вопрос, кто возьмет на себя эти функции, и как не превратить их в цензуру и механизм подавления свободы. 
 Я не раз говорил о том, что все происходящее в виртуальном пространстве является отражением нашей реальной жизни. И вести себя здесь надо соблюдая "законы улицы". Почему в обычной жизни никто не говорит на личные темы с первым встречным, а в Сети таких случаев сколько угодно? Так что и механизмы регулирования должны быть примерно те же, что и в реальной жизни, а функции регулятора должно взять на себя государство. Естественно, под пристальным общественным контролем, который бы позволил избежать злоупотреблений. 
 Что касается законопроекта SOPA, то эта инициатива американских законодателей явно не соответствуют требованиям времени. То, что они предлагают, - это попытка отстоять интересы отнюдь не производителей контента и его конечных потребителей, то есть нас с вами, а некой группы, которая в эпоху интернета осталась не у дел – правообладателей, по сути посредников. 
 Да, безусловно, раньше, лет 10, 20, 30 назад все было совсем иначе. Для того чтобы донести контент до потребителя, необходима была сложная система производства, печати, распространения и т.д., с которой вынужден был работать автор. В противном случае вся его работа шла бы исключительно "в стол". Теперь же такой проблемы нет. Интернет максимально сокращает путь креативного контента от автора к потребителю. И этот путь должен быть легальным, быстрым и удобным. Подобная схема уже реализована в таких онлайн-магазинах как, например, iTunes. Как можно заставлять людей покупать CD и DVD, когда во многих современных устройствах оптический привод конструктивно уже не предусмотрен, а для молодого поколения это вообще анахронизм. Контент должен быть легко доступен, причем в зависимости от его качества, он может быть платным или бесплатным. Хочешь посмотреть ролик на YouYube? Пожалуйста. Качество устраивает? Нет проблем. Хочешь посмотреть кино дома на большом экране или послушать новый альбом на стереосистеме? Скачай его в онлайн магазине, заплатив за это небольшую сумму денег, которая пойдет прямиком автору. Отдельная категория контента – для публичного использования (кинотеатры, концерты). Его, я думаю, можно будет получить только по регистрации, которая подтверждает соответствующие права. 
 Конечно, при любом уровне развития технологий всегда будут любители винила, CD и т.д. Те, кто любит иметь коллекцию на полке. Но это эксклюзив. То, о чем я говорил выше, рассчитано на массовую аудиторию. 
 Что касается мнения о том, что отсутствие регулирования со стороны правообладателей, приведет к массовому распространению в Сети нелегального контента, позволю себе не согласиться. Пиратство это не вопрос "головы", а вопрос "кошелька". Если у пользователя недостаточно денег, то он будет тратить  время поиски и взлом. Появятся деньги – купит. - Какой вопрос вам чаще всего задают на интервью и какой ваш любимый ответ на этот вопрос?

- Пожалуй, один из самых часто задаваемых вопросов – это сами ли мы пишем вирусы, чтобы их потом ловить и обезвреживать. Почему-то в представлении обывателей все выглядит именно так. Наверное, это происходит от того, что люди даже не догадываются, какие деньги вращаются в этом виде криминального бизнеса, сколько нечестным путем зарабатывают злоумышленники путем краж и использования мошеннических схем.

Конечно, вряд ли у многих ваших знакомых крали с карточки значительные суммы. Однако же про так называемые блокеры, вредоносные программы, которые полностью блокируют доступ к компьютеру и требуют заплатить за восстановление его работоспособности, знают практически все. Согласен, в масштабах одного единственного случая сумма небольшая. Но вы попробуйте умножить ее на количество людей, которые уже попадались на эту удочку, возможно, не единожды, и масштаб проблемы станет более очевиден. И это только вершина айсберга. Я бы сказал, мелкое киберхулиганство. А существуют и различные схемы обмана пользователей при использовании ими сервиса онлайн банкинг, тогда как про целенаправленные атаки на предприятия с целью кражи конфиденциальной информации или банальной компрометации я уже не говорю. 
 Так что, если разобраться, в списке тех, кому выгоден хаос в киберпространстве, антивирусные компании никогда не занимали лидирующих позиций.  
Евгений Касперский

Евгений Валентинович Касперский – генеральный директор "Лаборатории Касперского".
Родился 4 октября 1965 года в Новороссийске.

В 1987 г. окончил Институт криптографии, связи и информатики, где помимо математики и криптографии изучал компьютерные технологии. После окончания учебы по распределению попал в многопрофильный научно-исследовательский институт при Министерстве обороны, где проработал до 1991 г.

В 1989 г. впервые обнаружив на своем рабочем компьютере вирус "Cascade", разобрав его и создав первое в своей жизни компьютерное противоядие.

В 1991 г. начал работу в компании "КАМИ", где вместе с группой единомышленников развивал антивирусный проект “Antiviral Toolkit Pro” ("AVP"), прототип будущего Антивируса Касперского.

В 1997 г. Евгений Касперский вместе с коллегами основывает независимую компанию "Лаборатории Касперского". С этого момента Евгений Касперский — бессменный руководитель антивирусных исследований компании.

В 2007 г. Евгений назначен генеральным директором "Лаборатории Касперского".

В 2009 г. Евгению Касперскому присуждена Государственная премия Российской Федерации в области науки и технологий. Евгений становится членом Общественной палаты РФ третьего созыва.

В 2010 г. Евгений Касперский получил звание "Руководитель года" от журнала SC Magazine Europe.

Женат, двое детей.