Эти выходные западная пресса совершила без сна — и тому имеется хорошая обстоятельство: всю прошлую семь дней, друг за другом, всплывали факты проникновения загадочных взломщиков в святая святых американской журналистики. New York Times, Wall Street Journal, Вашингтон Пост пострадали, как возможно делать выводы на данный момент, от одной и той же команды тёмных хакеров, орудовавших в их внутренних сетях в течении трёх с лишним месяцев. Следы ведут в Китай, что, само собой разумеется, додаёт красок данной мрачной картине, но в произошедшем имеется и ещё одна увлекательная подробность, которая связана с поведением защитных инструментов. Но, давайте по порядку.
Начала шумиху New York Times, опубликовав 30 января пространный материал, в котором обрисовывала, как в течении последних 4 месяцев редакция противостояла интернет-атаке на собственные совокупности. Наступление не было полным сюрпризом, его ожидали, но в какой-то момент обстановка вышла из под контроля да и то, что начиналось как занятный опыт, превратилось в мелкую войну. NYT привлекла сторонних экспертов по компьютерной безопасности и FBI, с чьей помощью в итоге сумела вычистить покинутые взломщиками “закладки” и предположить, кто организовал налёт.
На китайцев показывает совокупность улик. Начало атаки совпало с публикацией NYT результатов скандального расследования, посвящённого состоянию, скопленному родственниками китайского премьера Вэня Цзябао. Первый удар был направлен на компьютеры сотрудников, конкретно занимавшихся подготовкой той публикации. Помимо этого, манера заметать следы и другие характерные приёмы кроме этого заставляют предположить китайское вмешательство.
Если доверять NYT и её секьюрити-партнёрам, китайские хакеры трудятся по расписанию. Начинают в 8 утра по пекинскому времени и трудятся целый сутки, время от времени задерживаясь до ночи
Вломившись в NYT, преступники крали пароли, переписку, контакты, другие документы сотрудников, разумеется, сохраняя надежду найти имена осведомителей, помогших американцам вскрыть денежную подноготную семьи китайского премьера. Такие атаки не новость: вот уже лет пять, как западные журналисты иногда становятся объектами аналогичных нападений. Предполагается, что так китайская национальная машина пробует предвосхитить критические статьи в зарубежных СМИ и упредить “удар буржуазной пропаганды”. Вот из-за чего хоть уровень доступа и разрешал взломщикам причинить большой ущерб издательской машине NYT, вредить они не стали. Та же история и с другими названными выше изданиями: целили в сотрудников, занимавшихся Китаем, эти лишь крали, но не стирали и т.д.
Всё совместно это разрешает высказать предположение, что взлом газет — дело рук не просто китайских кракеров, а кракеров, находящихся на национальной работе. Mandiant, одна из security-компаний, трудящихся на NYT, кроме того дала им наименование: “несколько A.P.T. number 12”. Ясно, что дальше должен был случиться скандал — и он, само собой разумеется, произошёл: МИД Китая, другие должностные лица выступили с заявлениями, суть которых сводится к недопустимости аналогичных обвинений без жёстких доказательств. Что ж, китайскую сторону поддержал и кое-кто из западных журналистов (дескать, даже в том случае, если следы вправду ведут в Поднебесную, это ещё не означает, что виноваты власти Китая), но я предлагаю на этом остановиться и обратиться к второму нюансу истории.
Атаку на NYT, повторюсь, ожидали, за ней следили, она вышла из-под контроля, а в то время, когда контроль над компьютерами издательства удалось вернуть полностью, эксперты нашли практически полсотни экземпляров разных шпионских и атакующих программ. Наряду с этим защита — основанная в этом случае на инструментах Symantec — среагировала лишь на один (!) из образчиков заразы. Из этого популярная пресса срочно сделала малоприятный вывод: в случае если вами заинтересовались специалисты, простая защита вас не спасёт. Сама Symantec постаралась данный вердикт смягчить: дескать, лишь антивируса вправду не хватает, дабы жить нормально в неизменно изменяющемся мире, направляться применять целый комплекс защитных средств. Компания не заявляет прямо: купите! Но это читается между строчков. New York Times, разумеется, поскупилась, надеясь только на один из компонентов защитного пакета Symantec. А скупой платит… ну, вы не забывайте.
Фактически, в грызне между популярной прессой и противовирусными вендорами нет ничего нового: первая грешит на несовершенство программных продуктов, вторые советуют не жмотиться, и продолжается это уже всевышний знает какое количество. Но произошедшее с NYT и её сотрудниками по цеху заставляет поставить вопрос ребром. Как по большому счету нужны стоковые антивирусы и — защитные продукты, как их база?
Реалисты говорят так: если вы понимаете каждую программу в корпоративной сети, антивирусы вам не необходимы. А если не понимаете — они не окажут помощь
Двадцать лет назад антивирусы были устроены : кусок кода из программы с примерами известной заразы и при совпадении поднимали тревогу. Таковой — сигнатурный — подход и поныне остаётся основа защитных механизмов, но вирусы не находились на месте, и соответственно не находились на месте разработки защиты. Вирусы обучились шифроваться, мутировать на ходу, маскироваться в совокупности, внедряясь в ядро либо критически ответственные программы. Самые современные, наподобие Stuxnet и Red October, забрали манеру делиться на модули и подгружаться по частям. Со своей стороны, защита освоила многогранный писк моды и — поведенческий анализ — анализ репутационный: безопасность каждой контент-единицы определяется комплексной оценкой по десяткам параметров (наличию цифровой подписи, источнику, модификации и дате создания и т.д. и т.п.).
Это то же самое соревнование щита и меча, что и при с армейскими разработками, и — увы! — атакующие тут кроме этого на ход в первых рядах. Для нового вируса либо шпионской программы неизменно возможно подобрать новую уязвимость нулевого дня, протестировать на предмет незаметности той либо другой таким — образом и защитой обеспечивать проникновение в подзащитный периметр. В следствии чем дальше, тем менее действен цифровой щит: статистика тут приводится различная, но, например, уже упоминавшаяся Mandiant несколько лет назад продемонстрировала, что противовирусными программами обнаруживается только любой четвёртый пример вредоносного софта на персоналках.
Понятное дело, Mandiant не хуже и не лучше вторых игроков: она тянет одеяло на себя, предлагая пользоваться продуктами и своими сервисами. Но те немногие специалисты, что рискнули ответить на поставленный выше вопрос беспристрастно, дают парадоксальный ответ. Дабы сделать домашнюю, корпоративную либо национальную защиту действеннее, стоит перераспределить защитный бюджет. Вместо выговора на покупных инструментах направляться применять вольный антивирус и свободные же средства обнаружения проникновений (ClamAV + Snort, к примеру), а высвободившиеся деньги израсходовать на кастомизацию, подстройку защиты для личных изюминок ваших совокупностей. Это даст лучший эффект и, быть может, будет дешевле, чем постоянное обновление билета на удобное место в догоняющем составе.
В статье использована иллюстрация Jonathan Kos-Read