Комментарий
Из
беседы с Виталием Камлюком, старшим
вирусным аналитиком "Лаборатории
Касперского".
Не возникнет ли
ситуация, при которой мне придется
тратить 99% ресурсов своего компьютера
на работу антивируса и 99% трафика на
обновление его баз?
- Сейчас обновления не столь
большие. Антивирусные записи хранятся
компактно, они не содержат в себе
мегабайты кода. Движок построен так, что
значительный рост числа записей не
сильно влияет на скорость работы движка.
База может быть гигантской, она может
быть в сто раз больше, и скорость упадет
незначительно.
То есть у этой
технологии есть запас - скажем, лет на
пять?
- Я
думаю, что на больший срок. Проблема в
другом: как справляться с этим потоком?
Штат компании не может расти
экспоненциально. Мы и не растем, это
проигрышная стратегия - расти вслед за
вирусным кодом. Мы разрабатываем
технологии, которые позволяют
обрабатывать весь этот вирусный поток. В
ответ на автоматизацию процесса
написания вирусов у нас есть своя
автоматизация. Трояны сходят с
"конвейера", мы их аккуратненько
поднимаем и переносим на наш конвейер,
где автоматически детектируем, не
задействуя человеческие ресурсы.
Это понятно, но ломать
не строить: запутывать код проще, чем
распутывать, и т. д. Вы будете на шаг
позади…
-
Нам просто нужно работать эффективнее,
быть гораздо сильнее и умнее, чем они. У
нас разные уровни: у вирусописателей
технический уровень может быть ниже, чем
у вирусного аналитика. Так или иначе,
это подпольное предприятие, и все
понимают, что оно временное. Там
все-таки нет уверенности, как у
настоящей индустрии, хотя мы и называем
ее так из-за масштабов и довольно
сложной структуры.
Malware as a
service
Увиденное за дверью
стало для Джексона полной
неожиданностью. Gozi оказался не
внутренней разработкой взломщиков,
созданной для своих нужд. Не
предназначался троян и для продажи. Он
был основой сервиса, своебразного
криминального магазина самообслуживания.
Пользователь системы, имеющий аккаунт,
мог подписаться на доступ в течение
месяца к информации, поступающей с
каких-то Gozi-инфицированных машин по
цене от $1000 за штуку. Войдя в систему,
пользователь видел список "своих"
троянов и мог анализировать полученные
от них "передачи". Насколько удачным
оказывался "улов" и как клиент
преобразовывал украденные данные в
деньги - было уже проблемой подписчика.
Чаще всего подписчики продавали добытые
сведения на черном рынке тем людям,
которые непосредственно занимались
снятием денег со счетов и покупкой
товаров, и реже использовали эти
сведения самостоятельно.
