Введение
25 и 26 января “Лаборатория Касперского” провела ежегодное подведение итогов, на которое были приглашены федеральные и региональные журналисты. Оба дня были информационно насыщенны, но мы уже публиковали довольно подробный материал об экскурсии в “Лабораторию Касперского”, поэтому в данной статье мы остановимся на том, что нового нам удалось узнать.
Кроме того, мы рекомендуем посмотреть короткий ролик о деятельности “Лаборатории Касперского”.
Гарри Кондаков: 2010 – год глобализации
Первым на конференции выступил Гарри Кондаков, управляющий директор “Лаборатории Касперского” в странах Восточной Европы, СНГ, Ближнего Востока, Африки (регион EEMEA). Гарри отметил тренд года 2010 – глобализация “Лаборатории Касперского”. Компания совершает буквально скачок – она многие годы работает в стране, но в какой-то момент становится международной. И тогда компания понимает, что стала глобальной. За глобальным присутствием приходит глобальное признание. Появляются новые возможности, новые амбиции, теперь уже на глобальном, общемировом уровне.
Год был непростой, в связи с известными экономическими трудностями. Впрочем, как неоднократно отмечал и Евгений Касперский, 2009 год стал годом рекрутинга – в компании значительно увеличился штат, сегодня в “Лаборатории Касперского” работает уже более 1700 сотрудников. Причём часть сотрудников перешла от конкурентов.
Гарри Кондаков рассказал о современной структуре компании. Для облегчения управления она разделилась на четыре блока. Первый блок – Kaspersky Labs (KL) Europe, куда входят страны Западной Европы (этот блок сегодня даёт около 60% дохода компании). Блок KL Americas отвечает за операции на всём западном полушарии. Блок KL APAC за Азию и тихоокеанский регион, Австралию, а штаб-квартира находится в Китае. Наконец, ближе всего нам четвёртый блок KL EEMEA, куда входит более 100 стран Восточной Европы, Ближнего Востока, Африки и СНГ, включая Россию. Конечно, штаб-квартира этого блока находится в Москве.
Что касается разделения сотрудников, то 30% персонала “Лаборатории Касперского” работают в штаб-квартире, ещё 35% распределены по географическим дивизионам, а оставшиеся 35% заняты исследованием и разработкой. Действительно, для современной антивирусной компании очень важны “мозги”, поскольку приходится решать множество интеллектуально ёмких задач.
Гарри отметил, что в 2009 году в регионе EEMEA произошёл буквально прорыв в области розничных продаж. Программное обеспечение “Лаборатории Касперского” появилось в крупных розничных сетях, причём не просто появилось, но и активно продавалось. Удивили в 2009 году и партнёры из Объединённых Арабских Эмиратов: там “Антивирус Касперского” стал впервые продаваться в комплекте с Microsoft Office, быстро став лидером продаж.
В 2009 году “Лаборатория Касперского” провела глобальный запуск нового продукта Kaspersky Internet Security 2010 примерно в 35 странах, причём о выходе продукта в России мы уже довольно подробно писали. Впервые прошёл запуск продукта в Казахстане. В Украине масштабный лонч Kaspersky Internet Security тоже оказался весьма оригинальным: в рамках продвижения концепции территории безопасности “GreenZone” на улицу был выставлен зелёный диван, на котором сидела симпатичная девушка.
В своём выступлении Гарри неоднократно подчёркивал тренд глобализации. Конечно, подобное осознание роста и масштаба привело к появлению глобальных амбиций. В смысле бизнеса нынешний период “Лаборатории Касперского” можно назвать мировой экспансией. Компания старается присутствовать везде, где есть потенциальный интерес, где есть потенциальные возможности, чтобы обеспечить тот же уровень сервиса, что в России и Украине, то есть думать глобально, а присутствовать локально. Гарри отметил, что с партнёрами “Лаборатории Касперского” установлены доверительные отношения, которые можно назвать семейными. То есть “Лаборатория Касперского” и партнёры – это одна большая семья. Действительно в 2009 году, несмотря на сложную экономическую ситуацию в мире, “Лаборатория Касперского” провела более десятка конференций для партнёров (последняя, например, прошла в ноябре в Украине).
Итог таков: если всё пойдёт по плану, то в 2010 году “Лаборатория Касперского” станет номером три на рынке Security Management. Компания действительно выросла до уровня “тройки призёров”, так что остаётся пожелать ей удачи в дальнейшем развитии.
Евгений Касперский: для кого кризис, а для кого и возможности роста
В тот же день прошёл круглый стол с участием ведущих специалистов компании. На нём присутствовал и Евгений Касперский. Наверное, главной новостью можно назвать увеличение интеллектуального потенциала компании в 2009 году. “Лаборатория Касперского” успешно росла, менялась в сторону глобализации, обзаводилась новыми специалистами. Евгений рассказал и о том, что в 2010 году откроется пятый центр исследований и разработок в Сиэтле, но подробностями не поделился. Напомним, что у “Лаборатории Касперского” уже есть четыре центра R&D (три в России, один в Китае). Американский же центр должен привлечь специалистов, которые будут работать в Америке.
В 2010 году “Лаборатория Касперского”, как пообещал Евгений, уделит пристальное внимание корпоративной линейке продуктов, которую немало критикуют за некоторое отставание по срокам и версиям по сравнению с розничной линейкой. Так что для корпоративных клиентов всё будет более оперативно и более своевременно. Будем надеяться!
Александр Гостев: антивирусные итоги 2009 года и прогнозы
Александр Гостев, руководитель центра глобальных исследований и анализа угроз, подвёл итоги развития угроз в 2009 году и сделал новые прогнозы на нынешний год. В начале доклада Александр отметил, что он уже несколько лет делал прогнозы, и каждый раз они сбывались.
На смену резкому росту количества новых вредоносных программ пришла относительная стабильность. В 2008 году число “вредоносов” выросло до 15 миллионов (и это с двух миллионов!). Если бы этот рост продолжился в 2009 году, то этот вал мог бы просто проглотить пользователей и буквально уничтожить антивирусную индустрию. К счастью, наступила стабилизация – приятный показатель, который позволяет более точно планировать развитие технологий и ресурсов.
Но есть конкретные причины стабилизации. Самый главный фактор “взрыва” в 2008 году – Китай. Массово появились китайские вирусописатели, которые начали писать вирусы. На протяжении полутора лет они писали вирусы в таком количестве, что “волосы вставали дыбом”. В 2009 году все, кто мог писать вирусы – уже их написали, и мы вышли на “плато”. Как отметил Александр, китайцы специализировались на создании троянских программ, которые воровали учётные записи онлайновых игр. В Китае они как раз очень популярны. В 2009 году наступило снижение вредоносных программ для онлайн игр – рынок насытился. Между китайскими вирусописателями началась жёсткая конкуренция, упали доходы. С деньгами после кризиса стало совсем плохо, поэтому китайцы стали писать вирусов поменьше (к счастью).
Ещё один выполненный прогноз – антивирусная индустрия начала, наконец, консолидироваться – причём не только внутри себя. Налаживалось сотрудничество с правоохранительными органами, образовательными учреждениями, провайдерами. К концу 2008 года было закрыто три крупных хостинга “вредоносов” (McColo, Atrivo, EstDomains), в 2009 году были закрыты их последователи (UkrTeleGroup, RealHost, 3FN). Всё это повлияло на количество вредоносных программ – с хостингом возникали проблемы, программы негде было размещать, нужно было регулярно переезжать и так далее.
В 2009 году наступило разделение вредоносных технологий на два диаметрально противоположных полюса, которые отличаются уровнем профессионализма.
С одной стороны появились очень сложные “вредоносы” – тот же “червь” Kido в 2009 году. Наблюдалось стремительное развитие руткит-технологий. Если раньше были концепты подобных решений, то в 2009 году они пошли в массы. Александр Гостев назвал несколько примеров. Sinowal – руткит, который заражает загрузочный сектор. “Зловред” TDSS заражает драйверы Windows, то есть он стартует раньше самой Windows, отсюда и проблемы с лечением. Clampi – сложный многокомпонентный “вредонос”, который почти не затронул Россию (поскольку за ним, по всей видимости, стоят русскоязычные вирусописатели). От Clampi пострадали несколько финансовых институтов и организаций на Западе.
На иллюстрации приведён список вредоносного ПО, поразившего больше 1 миллиона компьютеров (по данным Kaspersky Security Network). Александр прокомментировал список словами, что мы видим своего рода возвращение вирусных технологий, которые преобладали лет десять назад.
Эпидемия Kido продолжалась на протяжении всего 2009 года. С января по март внимание СМИ было приковано к данному червю, но это не значит, что эпидемия затем прекратилось. Как видно по следующему графику, пик эпидемии Kido наблюдался в ноябре-октябре 2009 года. Так, в ноябре количество заражённых систем превысило 7 млн.
Что происходило с Kido – тоже отдельная и большая история. Был создан крупнейший ботнет за последние годы. Возникал вопрос – что с ним будут делать? Червь сам по себе ничего вредного не делал – только проникал на компьютеры. Но рано или поздно на компьютеры должно было быть установлено что-то новое. Либо можно было сделать DDOS-атаку. 7 миллионов компьютеров достаточно, чтобы вывести из строя тот же Google, не говоря уже о сайтах, не рассчитанных на высокую нагрузку.
Но с Kido этого не случилось (тоже к счастью). В начале апреля 2009 года на заражённые компьютеры были высланы две программы. Первая – почтовый “червь”, который занимался рассылкой спама. Сотрудники “Лаборатории Касперского” быстро выловили этот момент. Один компьютер мог отсылать до 80 тысяч сообщений в сутки. Поэтому можно представить потенциальные объёмы спама. Вторая программа – поддельный антивирус. Подобные программы в 2009 году стали одним из основных источников дохода кибер-преступников. Причём это российское ноу-хау (или украинское). Поэтому можно предположить, что Kido тоже был создан на просторах бывшего СССР.
Второе интересное событие – эпидемия Gumblar. “Зловред” именован по названию одного из первых вредоносных сайтов, которые использовались для распространения. Gumblar затронул десятки тысяч ресурсов – отметим первый ботнет, созданный не из компьютеров, а из сайтов. Была создана сеть заражённых web-сайтов, которые ссылались друг на друга, перенаправляли посетителей на несколько диспетчеров; последние распределяли поток пользователей ещё по 50 сайтам, с которых происходило заражение. Ботнет мог самоподдерживаться в отличие от других систем, существовавших раньше. Человек мог попадать на абсолютно легальный сайт, который был взломан – в код страницы внедрялась специальная ссылка, которая перенаправляла на другие ресурсы. В результате компьютер пользователя подвергается заражению программой, которая ворует пароли доступа на сайт через ftp. Затем “вредонос” получал доступ к сайту пользователя, дописывал туда код, в итоге появляется ещё один взломанный сайт.
Всего у Gumblar было две волны: май 2009 года, потом октябрь 2009 года. И Россия со своими сайтами находится в числе наиболее пострадавших стран.
Следующая тема, поднятая Александром Гостевым, касалась интернет-мошенничества. Начнём с того, что в 2009 году его стало больше. Сюда входят различные GSM-локаторы, якобы определяющие местоположение абонента. Есть и перехватчики информации, якобы перехватывающие SMS других абонентов. В целом, как отметил Александр, российские мошенники были безграничны в своей фантазии. Специалисты “Лаборатории Касперского” насчитали порядка 30 видов такого обмана. В социальных сетях в 2009 году было множества спама с подобной тематикой. И в конце 2009 года проблема стала мучить не только антивирусную индустрию. Администрация социальных сетей, наконец, стала налаживать контакты с мобильными операторами и контент-провайдерами. Появилось внимание со стороны правоохранительных органов. Пока не было ещё ни одного судебного процесса по этому поводу, но в 2010 году они наверняка будут (как надеется Александр).
Псевдо-антивирусы появились не так давно (в 2007 году), затем они вышли на хороший поток, но до сих пор не привлекали много внимания. Но ситуация изменилась – в 2009 году можно отметить пик популярности поддельных антивирусов. Принцип их работы прост: программа ставится на компьютер, находит якобы “вирусы”, но вам придётся купить антивирус, чтобы их вылечить. Например, потратить долларов 50. Или выслать платную SMS. Причём фантазия авторов подобных программ была весьма богатая – начав с примитивных поделок, к концу 2009 года они уже начали копировать интерфейсы реальных программ. Так что с поддельными антивирусами всё будет довольно интересно.
Есть шансы, что в 2010 году проблема с ними будет решена. В 2007 году индустрия ещё не имела единого мнения по этому поводу – действительно, эти программы ничего не крадут, работу компьютера не блокируют. Конечно, они занимаются мошенничеством, но это уже отдельная тема. В 2008 году антивирусная индустрия, наконец, договорилась – поддельные антивирусы стали детектировать все настоящие антивирусы. Пусть даже это потенциально может привести к появлению исков. На вопрос журналистов, где проходит грань, отличающая поддельный антивирус от настоящего, Александр ответил очень просто: он появляется в компьютере не по вашему желанию, а сам по себе. То есть вы ничего не делали, и вдруг “добрая” программа ставится на компьютер и начинает находить вирусы.
Перейдём к мобильным платформам. Как можно видеть по графику, количество “вредоносов” растёт. Интересен и качественный показатель. В 2009 году антивирусная индустрия дождалась того, чего долго ждала – появились первые вредоносные программы для iPhone. “Червь” был написан в Австралии. И жертвами стали пользователи только разлоченых iPhone.
Второй интересный факт: появилась первая шпионская программа для Android.
Обнаружились первые инциденты с подписанными вредоносными программами Symbian. Для запуска приложений под Symbian требовался сертификат, поэтому на какое-то время вирусы исчезли. Но в 2009 году защита была пробита – авторами “вредоносов” был как-то получен сертификат, который дал возможность распространять программу.
В 2008 году было обнаружено 30 новых семейств мобильных “вредоносов”, а в 2009 – уже 39. Количественно наблюдался рост: со 143 до 257 образцов мобильных “зловредов”.
Перейдём к альтернативным платформам (в данном случае это все платформы, не являющиеся популярной Windows). Появилась первая троянская программа для Mac OS. Ещё год назад Apple заявляла, что вирусов для Mac не существует. Сообщение отзывалось, подтверждалось, но в начале 2009 года были обнаружены первые “трояны” для Mac OS. А именно программы, которые перенаправляют пользовательские запросы (изменения DNS). Появился и первый поддельный антивирус для Mac – Imunizator.
В итоге компания Apple изменила своё мнение об антивирусах. В сентябре в состав новой операционной системы “Снежный Леопард” был включён сканер, способный детектировать и удалять пять вредоносных программ.
Что ещё интересного было в 2009 году? Была обнаружена первая вредоносная программа для банкоматов. Впрочем, вокруг этого события началась какая-то истерия. Как показали исследования специалистов “Лаборатории Касперского”, на самом деле вирус был обнаружен ещё в конце 2008 года. В итоге в России оказался заражён ряд банкоматов. Обладая специальной кредитной карточкой, злоумышленник мог снять все деньги, а также снять информацию о транзакциях (номера карточек). В Санкт-Петербурге, например, злоумышлениики украли около 4 млн. рублей из банкомата. Александр отметил, что основных путей проникновения в данном случае два. Это либо прямой физический контакт с компьютером в банкомате (например, загрузка вируса с флэшки), либо нечестный сотрудник банка.
Какие можно сделать прогнозы на 2010 год? Основной тренд: изменение вектора заражения пользователей. Пять лет назад основной угрозой была электронная почта. В 2005-2006 – атаки через уязвимости операционной системы и приложений. В 2006-2009 годах наступила эпоха заражения через web-сайты и социальные сети.
В 2010 году вирусописатели будут активно осваивать файлообменные сети (торренты). Один из факторов, способствующих распространению “зловредов” – пользователи выключают антивирусную программу при скачивании пиратского софта, чтобы она не реагировала на “кряки”. В результате они получают заражение.
В 2010 году произойдёт качественный скачок сложности “вредоносов”. Они станут ещё сложнее. Жёсткая борьба между антивирусными компаниями и вирусописателями продолжится. Злоумышленники будут писать ещё более сложное ПО, чтобы проникнуть в систему. А производители антивирусов будут ставить более совершенную защиту, чтобы предотвратить попадание вируса в систему.
Александр упомянул новый проект Google Wave, который объединяет всё в одном. В 2010 году он станет лакомым куском для авторов вредоносных программ. Можно спрогнозировать развитие ситуации в следующем порядке: сначала будут спам-рассылки, затем фишинговые атаки, затем будет использование уязвимостей, а потом и распространение вредоносного ПО. Будем надеяться, конечно, что такого не случится.
В области мобильных платформ можно ожидать активный выход на рынок телефонов на основе операционной системы Android, особенно среди китайских пользователей. При этом в Android можно ставить программы откуда угодно. А за незначительную плату можно попасть и в официальный магазин программ, которые могут не так скрупулёзно проверяться на потенциальные опасные действия.
Что касается антивирусной индустрии, то все компании начинают использовать “облачные” технологии. Напомним, что под облачными технологиями подразумевается хранение данных пользователей не локально на компьютере, а в серверах в Интернете (которые и формируют так называемое “облако”). В этом заключается основной тренд развития современной антивирусной индустрии. И все антивирусные компании будут поддерживать облачные технологии, иначе они просто уйдут с рынка. Облачные технологии, конечно, улучшают защиту пользователей. Однако и возможность кражи из облака интеллектуальной собственности антивирусных компаний тоже весьма велика.
Александр отметил, что для борьбы с Kido была создана рабочая группа из антивирусных экспертов. Подобная консолидация продолжается не только среди антивирусных компаний, но налаживаются связи и с образованием, и с провайдерами, и с регулирующими органами, и с правоохранительными органами. Всё это способно дать весьма хороший эффект. Конечно, всё только начинается, но перспективы подробного сотрудничества весьма большие.
Андрей Никишин: спам-итоги 2009 года и прогнозы
Андрей Никишин, директор лаборатории контентной фильтрации “Лаборатории Касперского”, сразу же отметил, что в целом 2009 год не дал каких-то революционных изменений, все старые тенденции сохранились.
Доля потока спама в почте до 2009 года росла года от года. В 2009 году наблюдалась обратная тенденция (как раз из-за закрытия нескольких крупных хостов спамеров). В среднем доля спама составляла 85%, и можно говорить о стабилизации. 2010 год будет достаточно стабилен, роста доли спама в потоке не будет.
Какие были тематики спама? В 2008 году мы видим довольно большое присутствие товаров и услуг – реального сектора или малого бизнеса. В 2009 году медикаменты остались, товары и услуги тоже, хотя доля заметно снизилась.
Но интереснее разбивка по полугодиям. В первом полугодии (в самый разгар кризиса) на третьем месте находилась реклама спамерских услуг. А реальный сектор отошёл на четвёртое место. Во втором полугодии резко увеличилась реклама всевозможных семинаров (образование – 21%). Увеличилась реклама малого бизнеса. Самореклама услуг спамеров снизилась с 20% в месяц до практически докризисного уровня.
В 2009 году доля США выросла в спам-услугах до первого места, обогнав Россию – это случилось из-за вредоносных программ, которые поразили американские компьютеры. Андрей отметил, что очень интересное законодательство наблюдается в Австралии – там провайдер имеет право отключить клиента в случае вирусной активности и направить специального человека, чтобы вылечить его компьютер.
Андрей Никишин поговорил и о том, как на спам подействовал кризис. Он привёл в качестве примера интересное “кризисное” письмо, которое касается продажи доли в бизнесе. Также были рассылки и с предложением продажи нефтяного месторождения.
В кризис реальный сектор уменьшился, поэтому спамеры стали заполнять сети саморекламой – доля рекламы рассылок доходила до 20% в апреле-мае 2009 года. Причём стали активно рекламироваться так называемые “партнёрки” (если спамер рекламирует какую-либо услугу, то получает с неё долю в случае покупки клиентом). Доля “партнёрок” в спаме увеличивалась в некоторые периоды до 40%.
В целом же, по оценке Андрея Никишина, доходы спамеров в 2009 году сократились на 10-15%.
В 2009 году увеличилось мошенничество через SMS. В России это связано с тем, что получение префикса у провайдера (для платных SMS) можно сделать анонимно. Продолжили деятельность и так называемые “нигерийские невесты”, которые разводят доверчивых клиентов на отсылку денег. Андрей даже показал фотографию с такими невестами – к сожалению, мы не можем её привести.
Спамеры в 2009 году развлекались по-своему. Например, они поздравили с праздником 9 мая. Не обошли они выборы в думу, а также и тему свиного гриппа.
Какие появились интересные “трюки и фишки” в 2009 году? Опять же, ничего революционного. Появился спам на YouTube, который был всё равно успешно продетектирован.
Были обнаружены случаи рассылки аудио-спама.
Спамеры освоили и картинки мозаикой, чтобы попытаться обойти антиспам-фильтры.
На картинках вновь появились волны.
Какие можно сделать прогнозы на 2010 год? Андрей отметил, что спама в процентах меньше не будет. Криминальный спам будет по-прежнему популярен (то есть будут новые приёмы “честного” отъёма денег). Спамеры будут мигрировать в социальные сети. А каких-либо “прорывов” в спам-технологиях в 2010 году не ожидается.
Заключение
В нашей статье мы попытались вкратце рассказать об интересных фактах и цифрах, связанных с деятельностью “Лаборатории Касперского”. Мы благодарим сотрудников “ЛК” за интересные доклады и помощь в предоставлении информации.
Если вам нужна более подробная информация о развитии угроз в 2009 году, то мы рекомендуем перейти к соответствующему докладу “Лаборатории Касперского”.
В нашей статье, посвящённой выходу Kaspersky Internet Security 2010, мы уже приводили два забавных видеоролика “Альтернативная история” про Раскольникова и Пушкина. “Лаборатория Касперского” с того времени опубликовала ещё два ролика про Дарвина и Джека-Потрошителя, с которыми вы можете ознакомиться ниже. Наконец, для чтения мы рекомендуем следующие статьи.
- “Kaspersky Internet Security 2010: территория безопасности дома и в офисе“;
- “Kaspersky Open Space Security: комплексное решение для защиты ИТ-инфраструктуры предприятий“;
- ““Лаборатория Касперского”: экскурсия и взгляд изнутри“.