Интервю на Яна Илиева с Андржей Конткеивич, системен инженер в Symantec *

Мистър Конткейвич, по време на международния форум за компютърните престъпления повечето участници споменаха често вирусите I Love You, Blaster, Sobig F и Slamer. Смятате ли, че пощенските червеи са най-сериозната заплаха за сигурността на Интернет?

Да, наистина са заплаха. Ние установихме, че 78 % от всичките атаки срещу компютрите и компютърните мрежи идват от вируси и пощенски червеи. 78 процента, това е доста голям дял от всички атаки. По-важното в случая е, не броят на атаките, а броят на компютрите, които са заразени и големите загуби в резултат на вирусните атаки. Например аз споменах за вируса Nimda. Nimda причини загуби до 2 млрд. долара. Code Red донесе щети за над 2.5 млрд. долара. И други примери могат да бъдат споменати. Големият проблем е свързан не само с финансовите загуби, но и с т.н. DoS атаки или прекъсването на работния процес в резултат на вируси. Най-добрият пример е Sobig F, типичен пощенски червей. Той се разпространи толкова ефективно и бързо, че хората получаваха за един ден стотици мейли. Мейл сървърите бяха блокирани. Поставени пред тази необичайна ситуация, потребителите се преориентираха към факса, за да разпратят кореспонденцията си. Така че наистина тези вируси представляват сериозна заплаха за Интернет.

Целта на Sobig F бе организиране на DoS атака ....

Да, по същество да. Sobig F изключително ефективно поразява SMTP сървърите и се само разпространяваше в Мрежата много бързо. А и има и още едно нещо много типично за този тип вируси. Той се саморазпространява до адресите от адресната кутия на инфектирания компютър. Когато потребителят получи мейл с такъв вирус, той смята, че някой му го е пуснал. В много случаи корпорациите се опитват да се защитят максимално и не вярват, че и изпращачът също е достатъчно защитен. Резултатът е, че престават да вярват, че техният антивирусен софтуер действително е ефективен и са убедени, че програмата не успява да засича вирусите. Така че те наистина костват още доста проблеми.

Споменахте за т.н. hacking tools, които в повечето случаи са достъпни свободно в Интернет. Правят ли се опити от страна на индустрията или от страна на властите да се спира разпространението и използването на този тип софтуер?

Доста трудно е да се предотврати използването на тези инструментариуми, защото те не са само на една или на няколко уеб страници например. Още десет могат да се появят със същия софтуер. Трудно е и да принудим хората да не ги използват. Самото създаване на такъв инструментариум не е кой знае какъв проблем, както и не може да се докаже, че се използва за някакво криминално деяние.

Подобен пример има с програма за крак на DVD записи. Тя бе публикувана в сайт, който в последствие бе снет от Интернет със съдебно решение.

Да, забраняването на една такава страница кара хората, които правят такъв инструментариум, да намерят още десет сайта, където да го публикуват и то само за няколко дни. Можете да забраните публикуването или да свалите от Мрежата сайт с такова съдържание, но създателите му веднага ще решат проблема. Тези програми ще бъдат достъпни винаги или чрез peer-to-peer или чрез някакъв друг подобен тип уеб ресурси. Много по-добре е да се взимат мерки срещу тези, които ги използват. Публикуването ще е забранено разбира се, но по-важното е и по-трудно е да се намери кой използва тези програми, отколкото кой ги публикува.

Или по-скоро конкретния човек?

Точно така, разбира се ...

Представихте данни от изследване на Symantec, според което хакерските атаки са нарастнали в сравнение с миналата година. Имате ли някакво обяснение защо има тенденция към растеж?

Причината това да се случва е много проста. В Глобалната мрежа се включват все повече и повече хора с все повече умения. Все повече и повече потребители използват високоскоростен интернет достъп, broadband връзка. В доста страни страни broadband e с нарастваща популярност и е лесно да се използва. Когато хората, особено младите хора, имат бърз интернет и могат да прекарват повече време онлайн, радвайки се на бърза връзка, те имат повече възможности да извършват различен тип дейности.

Broadband връзката въобще не е лошо нещо...

Не казвам, че е нещо лошо. Но все пак предоставя по-бърз и лесен достъп до Интернет и също и в доста случаи доста по-евтин. В началото се използваха модеми и трябваше да се набира телефонен номер, да се изчаква и да се плащат доста пари на телекомуникационните компании. Това като цяло ограничава времето, което се прекарва онлайн. Имайки високоскоростен интернет достъп 24-часа, седем дни в седмицата срещу поносима месечна такса, хората правят в Интернет много повече неща.

В момента IT секторът съсредоточва още повече усилия в тестването на телекомуникационни протоколи за още по-бърза връзка, особено в сферата на мобилния интернет и wireless комуникациите ?

О да, разбира се. Разбира се! От тази гледна точка положението все повече се влошава, защото когато хората имат достъп до високи скорости и неограничен достъп, все повече и повече потенциалин хакери ще се пробват. Атаките срещу Интернет, умишлени или в доста случаи непреднамерени, ще нарастнат. Голяма част от хакерките атаки са неумишлени, защото понякога хората не си дават сметка какво вършат. Те просто са чули, че нещо е интересно и може да прави еди какво си и решават да го пробват.

След случая с вируса Blaster попаднах за пореден път на коментар в онлайн медиите, направен от експерт в сферата на компютърната сигурност, според който основната причина за вирусните епидемии са индивидуалните потребители с ниска интернет култура. Какво мислите за това?

В много случаи това е истина поради една много проста причина. Корпоративните потребители много по-добре защитават системите си, отколкото обикновените, домашни потребители. Повечето компании имат системни администратори, екипи, отговорни за сигурността. Това са компютърни експерти, които знаят за опасностите, за неоходимостта от използването на антивирусен софтуер, знаят как да предпазят системите си, какво да правят, когато получат някакви странни съобщения. Могат да обучат служителите от останалите отдели как да се предпазват от теми в електронните писма от сорта на "I Love You".

Или просто да им ограничат правата до известна степен......!

Да, или да им обяснят да не отварят такива мейли, да ги трият. Докато домашните потребители получават всички тези писма и в доста случаи не осъзнават необходимостта от използването на антивирусен софтуер. Не знаят как да процедират и отварят вратите за вирусите. Това веднага дава възможност пощенските червеи да плъзнат бързо до други незащитени компютри. Домашните потребители наистина са голяма опасност за Интернет; доста по-голяма от компаниите.

Според друга теза най-голямата опасност е Windows?

Аз мисля, че доста от бъговете, които бяха открити във всички операционни системи, са едни и същи. Има приблизително еднакъв брой пропуски за Microsoft Windows, за Unix или Linux, но Microsoft Windows е най-популярната система и всички създатели на вируси се прицелват в грешките на Windows, защото искат да се разпространят по-бързо. Вируси за Unix или други системи не са толкова познати, защото и системите не се използват широко. Такива вируси ще съществуват за кратко време.

Принципно може ли от Майкрософт да бъде поискана отговорност за пораженията над Интернет, които са резултат от системни грешки в нейния софтуер?

Бъгове във всеки софтуер. Не вярвам да има операционна система без грешки. Всичко е въпрос на откриване на бъговете и опит да бъдат използвани. Основният проблем на Microsoft Windows е популярността и. Ако някой създаде вирус за Solaris, IBM AIX, HP UX , може би много малко компютри или сървъри в големи компании могат да пострадат, но не и домашните потребители. Така, че шансът този зловреден код да се разпространи масово е много малък.

Споделяте ли предположението, че атаките срещу Интернет зависят от ограничаването на т.н. "дигитална пропаст" и въвличането на все повече общества в Глобалната мрежа?

От гледна точка на тези, които атакуват, колкото повече знаят за Интернет, толкова по-добре знаят и как да се предпазват. Новите потребители не знаят какви опасности ги дебнат и не знаят как да се защитят. От друга страна, колкото повече хората използват Интернет, толкова повече се увеличава шансът на някой да му хрумне да направи нещо лошо. Потребителите придобиват повече опит и да се пазят и да върши каквото не трябва.

А пък от друга страна, това е добре за бизнеса с антивирусен софтуер...

Да, разбира се... (смее се )

Казахте, че нови технологии като p2p, чат програмите и системите с отворен код са потенциалните източници на неприятности. В доста прогнози за бъдещето на високите технологии, например open source се сочи като решение на проблемите със системните грешки и вирусите, заради по-високата степен на защита, която предлага. Всъщност, вие знаете ли дали има единно становище по този въпрос?

За отворения код, за Linux системите, дали са по-защитени от останалите...? Не мисля! Аз вече споменах, че създателите на вируси или хакерите търсят най-популярните системи, които се използват от най-много хора. Те се насочват срещу Microsoft Windows, защото мнозинството хора я използват. Microsoft System е доста уязвима. Те знаят къде са уязвимостите и как да ги използват. Популярността на Linux нараства. Има нови технологии все по-известни технологии като Instant Messaging. Те са атрактивни и все повече хора ги използват. Това означава, че ще растат и атаките срещу тях. 70 % от активните интернет потребители използват програми за бърз обмен на съобщения. И колкото повече стават потребителите на този канал за комуникация, толкова повече растат и рисковете. Същата е ситуацията с peer-to-peer мрежите. Тук не говоря за пиратството. Това е друга тема. Обменът на музикални файлове, филми и софтуер... Но peer-to-peer мрежите "отварят компютрите" на потребителите за download на файлове, които могат да съдържат вируси или троянски коне. Това създава голям проблем и за компаниите и индивидуалните потребители. Дори и компаниите са под заплаха, независимо, че използват Firewall или т.н. Intrusion Detection Systems.

Има общо разпространено мнение, че когато потребителят има повече възможност за достъп до кода и намеса в системата си, би могъл сам да се защити в по-голяма степен?

Да, като цяло това е вярно, но само в общия случай тъй като той няма цялата информация за всички възможни уязвимости. За да имат цялата тази информация, трябва да прекарва много време в Интернет и да се рови във всички възможни сайтове или пък да се мъчи да изнамери пачове. Това не е толкова просто. Ние откриваме средно по седем системни грешки дневно. 60 % от тях са лесно реализируеми. Той ще кастомизира компютъра си, ще създаде firewall-и, ще скрива IP адреса си или ще използва IP Tables, но тази защита ще е само в рамките на информацията, с която разполагат за възможните уязвимости. За да знае всичко, трябва да прекарват много време, търсейки най-новата информация в Интернет. Да, може да "настрои" системата си според начина за защита, от който той самият смята че има нужда, но това няма да е много ефективно. Тази защита не би могла да бъде по-добра от предлаганата от търговския софтуер, който се обновява практически ежедневно. Той се базира на информация, събирана от Интернет не само от един човек, а от голям екип, който се занимава само с това да търси нови уязвимости и средства за защита.

Съществува ли споразумение между Symantec и правителствените служби за някакъв тип сътрудничество в ситуация на сериозна вирусна епидемия?

Не знам точно отговора на този въпрос. Аз се занимавам с продуктите, не с политиката на компанията, така че ми е трудно да отговоря.

Вие кои методи бихте препоръчали като най-ефективни за антивирусна превенция?

Номер едно определено е антивирусният софтуер, инсталиран на компютъра. Но това не е достатъчно. Често пъти хората си купуват антивирусен софтуер, мислейки си, че той ще прави всичко сам. Трябва да го ъпдейтват често с най-новите т.н. антивирусни дефиниции. Целият антивирусен пакет е толкова добър, колкото по-добри антивирусни дефиниции използва. В много случаи, когато говоря с хора и ги питам коя си направихте за последен път ъпдейт на софтуера, те казват преди две седмици. Това не е актуален ъпдейт. Ние пускаме ъпдейти почти всеки ден. Ако някой иска да бъде наистина защитен, трябва да ги тегли своевременно. Другата защитна мярка е да не се отварят електронни писма със странен subject или идващи от непознати лица или фирми. В много случаи е по-добре да ги триете, без да се опитвате да четете. Следващото нещо е достъпът до Интернет и начина, по-който се правят download-ите. Хората имат бърз достъп до уеб страниците и понякога бързат за си изтеглят нещо, обявено като много хубава игра или нещо друго, което могат да вземат безплатно. В много случаи тези игри имат вируси или троянски кон. И ако нямате антивирусен софтуер, ви заразява компютъра.

Нещо повече за активацията на Norton Antivirus 2004?

Да, ние представихме Norton Antivirus 2004 със система за активация. Причината е много проста - искаме да спрем пиратството. Това е нещо, което повече и повече компании въвеждат в своя софтуер. Microsoft го въведе за Windows XP и Office XP. Ние решихме същото за NA. Това е тип регистрация изисква всеки да регистрира допълнително своя собствен антивирусен пакет. Едва тогава може да го използва. Започнахе преди две години с ограничаване на достъпа до Live Update секцията, използвана за download на антивирусните пачове. И сега решихме да установим тази регистрация само за Live Update за всичките ни продукти. Много хора използват пиратски копия на софтуера ни.

Смятате ли, че това може да отблъсне клиентите, особено тези, които са свикнали да имат безплатно NA?

Да и не, защото те просто могат да платят за подновяване на абонамент, което струва твърде малко пари. Ние се опитваме да се борим срещу използването на пиратски копия. Разбирам, че прекалено високата цена може да отблъсне потребителя, но смятам, че нашият софтуер не е толкова скъп. Ние предлагаме качествен софтуер с висока интензивност на обновяване на антивирусните пачове и с набор от съпътстваща документация.



* Андржей Конткейвич е главен системен инженер в полския отдел на компания Symantec. Завършил е в във Варшавския институт по електроника и политехника. Като стипендиант на Фулбрайт продължава образованието си в Университета в Минесота и Южнокалифорнийския университет в Лос Анжелис. През 1982 г. става доктор на техническите науки. Работил е по изследователски проекти в Университета в Южна Калифорния. През 1990 г. започва практиката си в IT сектора. От 1999 г. работи като системен инженер в Symantec Poland.