Феномен Gpcode: капитуляция или мобилизация?

Опубликовано: 10.06.2008, 18:45 Автор: Смирнов Федор Рубрики: безопасность
Феномен Gpcode: капитуляция или мобилизация? Мы привыкли ассоциировать антивирусные компании с крепостными стенами и боевыми щитами, надежно укрывающими пользователей от любых происков вирусописателей. Они должны легко разгадывать самые коварные замыслы, играючи «ломать» вредоносные программы и - что немаловажно - помогать пострадавшим. Такая картинка, несмотря на реальное положение вещей, прочно закрепилась в сознании пользователей.

Это кажущееся «всемогущество» АВ-компаний имеет все меньше общего с действительностью. Новая эпидемия «шифровальщика» Gpcode, с использованием ключа RSA длиной 1024 бит, заставила «Лабораторию Касперского» обратиться за помощью к добровольцам: специалистам по криптографии и просто энтузиастам. Помочь первым жертвам эпидемии разработчики антивирусов пока не в силах. По сравнению с атакой двухлетней давности, автор «шантажиста» значительно усложнил задачу. «Взлом» ключа не по зубам отдельному участнику рынка, и даже объединение усилий, вполне возможно, не даст ожидаемого результата.

Восхождение «шантажиста»

Появление «вымогателей» в Рунете датируется концом 2004 года, когда в поле зрения аналитиков попали образцы PGPcoder. С тех пор сама идея не претерпела серьезных изменений, этот класс зловредов совершенствовался в технологическом плане. Если PGPcoder, в котором подозревают выходца из России, использовал собственный алгоритм шифрования, то его последователи – различные модификации Gpcode сделали ставку на RSA.

Особенность этого метода заключается в использовании двух ключей – открытого и секретного. В случаем с Gpcode первый применяется для шифрования данных, вернуть файлы в исходное состояние можно, если воспользоваться секретным ключом. Это и создает основу для «бизнеса». На компьютере жертвы программа разыскивает файлы с популярными расширениями (даже в старых версиях Gpcode их было порядка 80) и тщательно шифрует информацию. В пострадавших каталогах появлялось послание readme.txt, в котором автор «шантажиста» рассказывал жертве о надежности алгоритма RSA и предлагал приобрести избавление.

Предыдущая серьезная эпидемия Gpcode пришлась на июнь 2006 года, тогда длина ключа составляла 330 и 660 бит. В тот момент «взлом» алгоритма потребовал бы значительных ресурсов – 3 месяцев работы кластера из 80 компьютеров. «Лаборатории Касперского» удалось сделать это гораздо быстрее, «благодаря неосторожным допущениям» вирусописателя. Кстати, аналитики довольно долго не могли понять, каким же образом «шантажист» проникал на компьютер. Как выяснилось, виной всему была спам-рассылка по пользователям Job.ru, где некий HR-менеджер предлагал заполнить небольшую анкету, приложенную к письму. Троянец незаметно для пользователя загружал модули Gpcode, и в один прекрасный день пользовательские данные оказывались зашифрованными.

Минувшие годы явно не прошли для создателя «шантажиста» даром. Красиво и символично он нанес удар именно 5 июня, причем длину ключа увеличил почти в два раза (до 1024 бит), а прежние промахи – устранил. Это сразу перевело спасение зашифрованных компьютеров в разряд сложных криптографических задач, которые требуют огромных вычислительных ресурсов – около 15 млн. компьютеров.

Сверхзадача для коммунальной криптографии

Если быть точным, то пользователей «предупреждали» еще в 2006 году. Если автор вредоносной программы сделает для себя правильные выводы и увеличит длину ключа, «Лаборатория Касперского» вряд ли сможет помочь, - писал в блоге Виталий Камлюк. Компания не намерена отступать и сейчас, когда имеет дело с «нереальной» задачей. При этом ставка делается на профессиональное сообщество, которое в ответ на брошенный «клич» поделится своими результатами факторизации ключа. На форуме ЛК появился даже специальный топик, где пользователи предлагали собственные варианты спасения.

Самые «догадливые» советовали купить у злоумышленника один ключ и произвести всеобщее исцеление. Этот очевидный вариант не решает проблемы, поскольку ключ уникален для каждой системы, а значит и действие «лекарства» ограничится одним конкретным компьютером. Другие предлагали «изловить мерзавца», используя платежные реквизиты, и заставить выдать все секреты. Третьи говорили об использовании свободных ресурсов пользовательских компьютеров. Так, огромная сеть из приверженцев Kaspersky Internet Security могла бы в фоновом режиме заниматься факторизацией ключа. Можно вообще создать специальное приложение, занимающееся распределенными вычислениями, специально для решения этой задачи.

Пока же компания ограничилась призывом к неравнодушным и публикацией открытых ключей, чего вполне достаточно для начала работы. Тщеславие добровольцев подогревается уникальностью задачи: «взлом» Gpcode называют «первым в истории случаем, который требует объединения накопленных знаний и существующих вычислительных ресурсов для достижения практической и благородной цели, а не только для академических исследований или хакерства».

Антивирусы, чистая совесть и потерянные данные

Другие участники рынка информационной безопасности прохладно отнеслись к этой инициативе. В Eset обратили внимание на «пикантный момент». Дело в том, что взламываемый ключ создается с помощью штатных криптоалгоритмов операционной системы Windows (Microsoft Enhanced Cryptographic Provider v1.0). Возникает вопрос о том, кто, кроме антивирусных аналитиков, получит доступ к результатам этой коллективной работы, ведь их вполне можно использовать в неблаговидных целях.

В этом году Gpcode наглядно продемонстрировал ограниченные возможности АВ-компаний по «спасению утопающих». Умелое использование достаточно стойких алгоритмов шифрования уже вынуждает разработчиков средств защиты «капитулировать», поскольку задача попадает в разряд героических. Производители антивирусов категорически не согласны с такой точкой зрения.

По мнению Михаила Кондрашина, главы Центра компетенции Trend Micro в России, единственным способом защиты от подобных атак является резервное копирование. Задача, которую пытается решить «Лаборатория Касперского», лежит вне компетенции антивирусной индустрии. «Если это и выход, то только для данного конкретного образца. Всех авторов вредоносного кода не поймаешь, и завтра другой юный гений займется подобным промыслом», - заявил он.

С ним солидарны и представители Eset. Gpcode детектируется всеми антивирусными программами. В числе пострадавших оказываются те пользователи, которые не используют защиту, либо отключают ее, столкнувшись с назойливым или медленным продуктом. «Большинство пользователей, использующих антивирусные программы в реальном времени, защищены от подобных угроз, так что ни о какой капитуляции нет речи, - объяснил свою позицию Григорий Васильев, технический директор Eset. - Однако восстановление поврежденных данных - несколько другая задача. Например, она неразрешима в принципе, если преступник эти данные тщательно удалил с диска».


Добавьте комментарий
Для размещения комментария необходима регистрация или авторизация:
 пользователь:   
 запись OpenID: 


Заработай деньги
на своём сайте!
Новый сервис монетизации СМИ и блогов.
Приглашаем сайты к бета-тестированию →
Новости СМИ2

ТЕМА НЕДЕЛИ


Rambler's Top100