Ищут Касперские, ищет полиция

Российская АВ-компания разработала детальные инструкции, позволяющие пострадавшим спастись от «зомбирования» и очистить свой компьютер от сопричастных зловредов. Любопытно, что распространена эта спасительная инструкция была с помощью средств самой же зомби-сети. Специальная утилита сообщала пользователю о заражении и перенаправляла его на соответствующую страницу, а также позволяла подать жалобу в полицию.

Антивирусы в полицейской форме

В «Лаборатории Касперского» признают, что нейтрализация ботнетов не входит в непосредственные задачи компании. Хотя обычно антивирусные аналитики не отказывают в помощи «уполномоченным органам». Поскольку зомби-сети остаются одной из самых актуальных угроз ИБ, ЛК считает своим долгом работать в этом направлении. В данном случае пользователи продуктов компании были защищены от Shadow еще с 30 января. Коллеги из Dr.Web считают борьбу с ботнетами делом полиции, разработчики антивирусов должны обеспечивать пользователей эффективными средствами защиты. По-другому на этот вопрос смотрят в ESET. «Современный этап развития рынка АВ-решений в России предполагает, что компании, взявшие на себя «почетное право» разрабатывать программные средства для обеспечения безопасности, вынуждены задуматься о социальной ответственности перед всем IT-сообществом», - считает технический директор ESET Григорий Васильев.

В числе таких социальных инициатив упоминаются обучающие мероприятия для пользователей, распространение технологий глобального мониторинга угроз и сотрудничество с правоохранительными органами. Распространение ботнетов в ESET также считают социальной проблемой, «и не всегда технологии являются лучшим решением». Представители Agnitum полагают, что с задачей нейтрализации ботнета постфактум смог бы справиться любой крупный антивирусный вендор, добавивший в свои базы сигнатуру троянца Shadow. Гораздо сложнее проактивно защитить серверы (или ПК) и предотвратить само «закабаление». Проактивная защиты – прерогатива брандмауэров и HIPS.

Раскатать противника его же танком

Некоторые сомнения вызывает и использованный в голландском инциденте метод рассылки «лекарств», а именно – доставка инструкций по обезвреживанию Shadow средствами самой зомби-сети. Здравый смысл подсказывает, что это наиболее рациональный и эффективный способ, однако пользоваться оружием вирусописателей АВ-вендоры долгое время отказывались по принципиальным соображениям.

«Дело в том, что ранее при обнаружении ботнета можно было лишь перекрыть зомби-машинам доступ к центру управления. При этом тысячи машин оставались зараженными и могли перейти на управление через другой сервер», - пояснил Виталий Камлюк, старший антивирусный аналитик «Лаборатории Касперского». Тактику «ответного удара», использованную голландской полицией, он сам не считает однозначно правильной во всех случаях. По его словам, такие действия должны быть запрещены для всех, кроме уполномоченных организаций. «То, что мы видим сейчас - это первый шаг к тому, что Евгений Касперский некогда назвал интернет-интерполом. Соглашение между полицией всех стран, и координированное устранение ботнетов должно стать нормальной практикой в будущем глобальной сети», - добавил он.

В компании Agnitum считают, что отвечать ботнетом на ботнет не стоит не столько из этических, сколько из технологических соображений. «Не имея точной информации о прижившемся вредоносном коде, можно, посредством тех же предупреждений (в каком виде они дойдут до получателя?), окончательно подпортить свою репутацию», - считает Алексей Белкин, руководитель отдела постановки задач. Тактика борьбы с киберпреступниками их же методами обречена на провал, гораздо эффективнее будут юридические и карательные меры.

В «Лаборатории Касперского» сообщили, что иностранные аналитики компании, живущие за границей, локально работают с подразделениями полиции. Обращения происходят не слишком часто, в среднем 2-3 раза в квартал. Случай с Shadow на фоне обычно практики кажется экстраординарным примером.