Эти выходные западная пресса провела без сна — и тому есть хорошая причина: всю минувшую неделю, один за другим, всплывали факты проникновения таинственных взломщиков в святая святых американской журналистики. New York Times, Wall Street Journal, Washington Post пострадали, насколько можно судить сейчас, от одной и той же команды чёрных хакеров, орудовавших в их внутренних сетях на протяжении трёх с лишним месяцев. Следы ведут в Китай, что, конечно, добавляет красок этой мрачной картине, но в случившемся есть и ещё одна интересная деталь, связанная с поведением защитных инструментов. Впрочем, давайте по порядку.

Начала шумиху New York Times, опубликовав 30 января пространный материал, в котором описывала, как на протяжении последних 4 месяцев редакция противостояла интернет-атаке на свои системы. Нападение не было полным сюрпризом, его ждали, однако в какой-то момент ситуация вышла из под контроля и то, что начиналось как занятный эксперимент, превратилось в маленькую войну. NYT привлекла сторонних специалистов по компьютерной безопасности и ФБР, с чьей помощью в конце концов сумела вычистить оставленные взломщиками “закладки” и предположить, кто организовал налёт.

На китайцев указывает совокупность улик. Начало атаки совпало с публикацией NYT результатов скандального расследования, посвящённого состоянию, скопленному родственниками китайского премьер-министра Вэня Цзябао. Первый удар был направлен на компьютеры сотрудников, непосредственно занимавшихся подготовкой той публикации. Кроме того, манера заметать следы и некоторые другие характерные приёмы также заставляют предположить китайское вмешательство.

Если верить NYT и её секьюрити-партнёрам, китайские хакеры работают по расписанию. Начинают в 8 утра по пекинскому времени и трудятся весь день, иногда задерживаясь до ночи
Если верить NYT и её секьюрити-партнёрам, китайские хакеры работают по расписанию. Начинают в 8 утра по пекинскому времени и трудятся весь день, иногда задерживаясь до ночи

Вломившись в NYT, злоумышленники крали пароли, переписку, контакты, прочие документы сотрудников, очевидно, надеясь обнаружить имена информаторов, помогших американцам вскрыть финансовую подноготную семьи китайского премьера. Такие атаки не новость: вот уже лет пять, как западные журналисты периодически становятся объектами подобных нападений. Предполагается, что так китайская государственная машина пытается предвосхитить критические статьи в иностранных СМИ и упредить “удар буржуазной пропаганды”. Вот почему хоть уровень доступа и позволял взломщикам причинить серьёзный вред издательской машине NYT, вредить они не стали. Та же история и с другими вышеназванными изданиями: целили в сотрудников, занимавшихся Китаем, данные только крали, но не стирали и т.д.

Всё вместе это позволяет предположить, что взлом газет — дело рук не просто китайских кракеров, а кракеров, находящихся на государственной службе. Mandiant, одна из security-фирм, работающих на NYT, даже дала им название: “группа A.P.T. number 12”. Понятно, что дальше должен был произойти скандал — и он, конечно, случился: МИД Китая, другие официальные лица выступили с заявлениями, смысл которых сводится к недопустимости подобных обвинений без твёрдых доказательств. Что ж, китайскую сторону поддержал и кое-кто из западных журналистов (мол, даже если следы действительно ведут в Поднебесную, это ещё не значит, что виноваты китайские власти), но я предлагаю на этом остановиться и обратиться к другому аспекту истории.

Атаку на NYT, повторюсь, ждали, за ней следили, она вышла из-под контроля, а когда контроль над компьютерами издательства удалось восстановить в полном объёме, специалисты обнаружили почти полсотни экземпляров различных шпионских и атакующих программ. При этом защита — основанная в данном случае на инструментах Symantec — среагировала только на один (!) из образчиков заразы. Из этого популярная пресса немедленно сделала малоприятный вывод: если вами заинтересовались профессионалы, обычная защита вас не спасёт. Сама Symantec попыталась этот вердикт смягчить: мол, только антивируса действительно недостаточно, чтобы жить спокойно в постоянно меняющемся мире, следует использовать весь комплекс защитных средств. Компания не заявляет прямо: купите! Но это читается между строк. New York Times, очевидно, поскупилась, полагаясь лишь на один из компонентов защитного пакета Symantec. А скупой платит… ну, вы помните.

Собственно, в грызне между популярной прессой и антивирусными вендорами нет ничего нового: первая грешит на несовершенство программных продуктов, вторые рекомендуют не жмотиться, и длится это уже бог знает сколько. Но случившееся с NYT и её коллегами по цеху заставляет поставить вопрос ребром. Насколько вообще полезны стоковые защитные продукты — и антивирусы, как их основа?

Специалисты говорят так: если вы знаете каждую программу в корпоративной сети, антивирусы вам не нужны. А если не знаете — они не помогут
Реалисты говорят так: если вы знаете каждую программу в корпоративной сети, антивирусы вам не нужны. А если не знаете — они не помогут

Двадцать лет назад антивирусы были устроены просто: сличали кусок кода из программы с образцами известной заразы и при совпадении поднимали тревогу. Такой — сигнатурный — подход и поныне остаётся краеугольным камнем защитных механизмов, но вирусы не стояли на месте, и соответственно не стояли на месте технологии защиты. Вирусы научились шифроваться, мутировать на ходу, маскироваться в системе, внедряясь в ядро или критически важные программы. Самые современные, вроде Stuxnet и Red October, взяли манеру делиться на модули и подгружаться по частям. В свою очередь, защита освоила многогранный поведенческий анализ и — писк моды — анализ репутационный: безопасность каждой контент-единицы определяется комплексной оценкой по десяткам критериев (наличию цифровой подписи, источнику, дате создания и модификации и т.д. и т.п.).

Это то же самое соревнование щита и меча, что и в случае с военными технологиями, и — увы! — атакующие здесь также на шаг впереди. Для нового вируса или шпионской программы всегда можно подобрать новую уязвимость нулевого дня, протестировать на предмет незаметности той или иной защитой — и таким образом гарантировать проникновение в подзащитный периметр. В результате чем дальше, тем менее эффективен цифровой щит: статистика здесь приводится разная, но, к примеру, уже упоминавшаяся Mandiant пару лет назад показала, что антивирусными программами обнаруживается лишь каждый четвёртый образец вредоносного софта на персоналках.

Понятное дело, Mandiant не хуже и не лучше других игроков: она тянет одеяло на себя, предлагая пользоваться своими сервисами и продуктами. Но те немногие эксперты, что рискнули ответить на поставленный выше вопрос беспристрастно, дают парадоксальный ответ. Чтобы сделать домашнюю, корпоративную или национальную защиту эффективней, стоит перераспределить защитный бюджет. Вместо акцента на покупных инструментах следует использовать свободный антивирус и свободные же средства обнаружения проникновений (ClamAV + Snort, к примеру), а высвободившиеся деньги потратить на кастомизацию, подстройку защиты для индивидуальных особенностей ваших систем. Это даст лучший эффект и, возможно, будет дешевле, чем постоянное обновление билета на комфортабельное место в догоняющем составе.

В статье использована иллюстрация Jonathan Kos-Read