Μου έχει τύχει πολλές φορές, όταν επιδιορθώνω τον υπολογιστή κάποιου γνωστού, να με ρωτάνε «Ποιος δημιουργεί/γράφει όλους αυτούς τους ιούς;» .. και συνήθως πίσω από αυτή την ερώτηση κρύβεται η σιγουριά ότι τους δημιουργούν οι εταιρείες/παραγωγοί anti-virus για να διατηρούν τη δουλειά τους!
Μακάρι να ήταν τόσο απλά τα πράγματα… Η πραγματικότητα ωστόσο είναι πολύ διαφορετική. Πέρα από το γεγονός ότι αυτό θα ήταν ηθικά απαράδεκτο αλλά και παράνομο, είναι σχετικά εύκολο να αποδείξει κανείς ότι αυτό είναι τεχνικά αδύνατο για τις εταιρείες anti-virus, δεδομένου του όγκου των ιών που παράγονται ημερησίως (περίπου 3000-5000).
Υπολογισμός Κόστους/οφέλους
Οι παρόντες Viruses, Trojans και Bots είναι αποτέλεσμα ενός τεράστιου ποσού προγραμματιστικής εργασίας.
Ο πηγαίος κώδικας τέτοιων κατασκευασμάτων όταν δημοσιοποιείται -εκούσια και ακούσια- επιτρέπει μία πρόχειρη εκτίμηση της απαιτούμενης αρχικής προσπάθειας αλλά κάποιος μπορεί εύκολα να υποθέσει ότι κάθε νέο γένος Malware είναι το αποτέλεσμα τουλάχιστον 1-3 μηνών εργασιών προγραμματισμού. Νέες παραλλαγές των παλαιών Malware είναι φυσικά πιο εύκολο να παραχθούν.
Για παράδειγμα σε μία μικρή εταιρεία λογισμικού anti-virus την “Emsisoft”, προσθέτουν ημερήσια περίπου 20.000 νέες υπογραφές Malware (fingerprints) στην Βάση Δεδομένων ανίχνευσης κακόβουλου λογισμικού, δηλ. μισό εκατομμύριο κάθε μήνα. Ιστορικά ο αριθμός των νέων απειλών διπλασιάζεται κάθε χρόνο. Η παραπάνω εταιρεία έχει σήμερα έχει 5,5 εκατομμύρια υπογραφές στη βάση δεδομένων της. Αυτό περιλαμβάνει επίσης πολλές υπογραφές που ανιχνεύουν παραλλαγές του ίδιου Malware χρησιμοποιώντας γενικές τεχνικές ανίχνευσης, κατά συνέπεια ο συνολικός αριθμός των υπογραφών είναι μικρότερος από τον πραγματικό αριθμό των προγραμμάτων κακόβουλου λογισμικού.
Αν ήμουν ιδιοκτήτης μίας (διαβολικής) εταιρείας παραγωγής anti-virus το πρώτο που θα χρειαζόμουν θα ήταν ένα νέο εργαζόμενο/προγραμματιστή για να φτιάξει από την αρχή ένα ιό. Θα χρειαζόμουν επίσης κάποιον για την περαιτέρω ανάπτυξη του “προϊόντος” μου αλλά και την συντήρηση του, ώστε να προστατεύσω την επένδυση μου εξασφαλίζοντας ότι ο ιός θα συνεχίσει το “θεάρεστο” έργο του και σε μελλοντικά λειτουργικά συστήματα. Όταν ο ιός ολοκληρωθεί κατασκευαστικά, θα είναι έτοιμος να κυκλοφορήσει στον ηλεκτρονικό κόσμο, αλλά και να μπει στην Βάση Δεδομένων ανίχνευσης ιών της εταιρείας μου.
ΤΕΛΕΙΑ!!! Μέσα σε ένα μήνα μόνο έχουμε καταφέρει να φτιάξουμε ένα ιό ανάμεσα σε 500.000 άλλους νέους ιούς!!
Μέχρι τώρα, θα πρέπει να είναι σαφές σε όλους ότι απλά από εμπορική άποψη, δεν υπάρχει νόημα σε μία τέτοια εταιρεία να φτιάχνουμε ιούς. Τα πλεονεκτήματα που λαμβάνονται μέσω ανίχνευση ενός επιπλέον Malware σε σχέση με τον όγκο Malware που απελευθερώνεται κάθε μήνα είναι πολύ λίγα.
Ακόμα και όταν το κόστος μίσθωσης ενός προγραμματιστή σε χώρες με χαμηλούς μισθούς (πχ Ινδία, αυτό λέγεται dumping-wage), είναι απολύτως βέβαιο ότι κανένας κατασκευαστής Antivirus δεν μπορεί να αντέξει οικονομικά.
Ακόμα και όλοι οι κατασκευαστές Antivirus του κόσμου μαζί δεν είναι σε θέση να δημιουργήσουν το σημερινό όγκο νέου malware.
Malware
Καλά, τότε ποιος δημιουργεί/παράγει Malware λογισμικό;
(Malware= κακόβουλα προγράμματα/λογισμικό βλέπε http://en.wikipedia.org/wiki/Malware)
Πριν από 10 χρόνια τα προγράμματα αυτά ήταν ως επί το πλείστον γραμμένα από hackers που απλώς ήθελαν να δοκιμάσουν τι ήταν δυνατό και που μπορούσαν να φτάσουν.
Δυστυχώς σήμερα ένα τεράστιο ποσό της “ποινικής” ενέργειας, οφείλεται σε hard-core εμπορικές επιχειρήσεις που βρισκόταν πίσω από τα περισσότερα κακόβουλα προγράμματα.
Ένα κεντρικά ελεγχόμενο δίκτυο μερικών χιλιάδων PCs που έχουν “απαχθεί” (Botnet) μπορεί να χρησιμοποιηθεί με μία μεγάλη ποικιλία διαφορετικών τρόπων.
Αυτό η τεράστια μαζική δύναμη υπολογιστών μπορεί να προσληφθεί ως ένα ωραίο “πακέτο” για διάφορους σκοτεινούς σκοπούς: για την αποστολή spam και phishing emails, για συντονισμένες επιθέσεις υπερφόρτωσης webserver (DDoS), προκειμένου να εκβιάσει εταιρείες ή ως υποκατάστατο διακομιστή δικτύου για την απόκρυψη ιχνών παράνομων δραστηριοτήτων.
Τα μεγαλύτερα botnet που έχουν ανιχνευτεί ποτέ όπως το Conficker, το Rustock ή το Cutwail είχαν πάνω από ένα εκατομμύριο τέτοιους υπολογιστές “Zombie” διαθέσιμους.
Άλλοι προγραμματιστές κακόβουλου λογισμικού προσπαθούν να μετατρέψουν την εργασία τους απευθείας σε μετρητά, με την κρυπτογράφηση σημαντικών προσωπικών πληροφοριών και στη συνέχεια ζητούν λύτρα για την αποκρυπτογράφηση των δεδομένων (τα λεγόμενα ransomware).
Μερικά Malware απευθύνονται άμεσα σε συγκεκριμένες εταιρείες ή συστήματα, όπως για παράδειγμα η επίθεση δολιοφθοράς εναντίον του ιρανικού προγράμματος ατομικής ενέργειας χρησιμοποιώντας τους Malware Stuxnet στο τέλος του 2010.
Antivirus vs Virus
Ένας άλλος λόγος για τη φήμη ότι εταιρείες Antivirus παράγουν τους ιούς είναι η αύξηση του αριθμού των πλαστών προϊόντων Antivirus (τα λεγόμενα Rogue λογισμικά προστασίας από ιούς).
Οι συγγραφείς αυτού του τύπου κακόβουλου λογισμικού χρησιμοποιούν ονόματα που είναι παρόμοια με γνωστές μάρκες Antivirus για να ξεγελάσουν τους χρήστες ώστε να εγκαταστήσουν το λογισμικό που προσποιείται ότι ανιχνεύει ιούς.
Οι Πλαστές ανιχνεύσεις χρησιμοποιούνται στη συνέχεια για να παροτρύνουν τον πελάτη να αγοράσει μια “πλήρη έκδοση” αυτού του λογισμικού.
Συμπέρασμα
Όπως βλέπετε, οι συντάκτες κακόβουλου λογισμικού έχουν πολλά κίνητρα για να γράψουν νέες καταστροφικές εκδόσεις λογισμικού. Όλα αυτά τα κίνητρα έχουν ένα κοινό στοιχείο: Προσφέρουν πολύ μεγαλύτερη ανταμοιβή από τις εταιρίες Antivirus σε σχέση με την ανταμοιβή από το γράψιμο του δικού τους ιού.
Πέρα από αυτό το γεγονός, τέτοιος τύπος δραστηριότητας θα ήταν μια νομική, εμπορική καταστροφή αλλά και αποκλεισμός από τα media για έναν κατασκευαστή Antivirus.
Υπάρχει επίσης το επιχείρημα ότι οι εταιρείες Antivirus εξαρτώνται από το έργο των συγγραφέων Malware. Αυτό μπορεί να αληθεύει μέχρι ενός σημείου, αλλά σίγουρα οι προθέσεις βρίσκονται στο αντίθετο άκρο του φάσματος της ηθική και ασφαλώς υπάρχουν εταιρείες που κάνουν το καλύτερο για να καταστήσουν το Διαδίκτυο ασφαλέστερο.
Μου έχει τύχει πολλές φορές, όταν επιδιορθώνω τον υπολογιστή κάποιου γνωστού, να με ρωτάνε «Ποιος δημιουργεί/γράφει όλους αυτούς τους ιούς;» .. και συνήθως πίσω από αυτή την ερώτηση κρύβεται η σιγουριά ότι τους δημιουργούν οι εταιρείες/παραγωγοί anti-virus για να διατηρούν τη δουλειά τους!
Μακάρι να ήταν τόσο απλά τα πράγματα… Η πραγματικότητα ωστόσο είναι πολύ διαφορετική. Πέρα από το γεγονός ότι αυτό θα ήταν ηθικά απαράδεκτο αλλά και παράνομο, είναι σχετικά εύκολο να αποδείξει κανείς ότι αυτό είναι τεχνικά αδύνατο για τις εταιρείες anti-virus, δεδομένου του όγκου των ιών που παράγονται ημερησίως (περίπου 3000-5000).
Υπολογισμός Κόστους/οφέλους
Οι παρόντες Viruses, Trojans και Bots είναι αποτέλεσμα ενός τεράστιου ποσού προγραμματιστικής εργασίας.
Ο πηγαίος κώδικας τέτοιων κατασκευασμάτων όταν δημοσιοποιείται -εκούσια και ακούσια- επιτρέπει μία πρόχειρη εκτίμηση της απαιτούμενης αρχικής προσπάθειας αλλά κάποιος μπορεί εύκολα να υποθέσει ότι κάθε νέο γένος Malware είναι το αποτέλεσμα τουλάχιστον 1-3 μηνών εργασιών προγραμματισμού. Νέες παραλλαγές των παλαιών Malware είναι φυσικά πιο εύκολο να παραχθούν.
Για παράδειγμα σε μία μικρή εταιρεία λογισμικού anti-virus την “Emsisoft”, προσθέτουν ημερήσια περίπου 20.000 νέες υπογραφές Malware (fingerprints) στην Βάση Δεδομένων ανίχνευσης κακόβουλου λογισμικού, δηλ. μισό εκατομμύριο κάθε μήνα. Ιστορικά ο αριθμός των νέων απειλών διπλασιάζεται κάθε χρόνο. Η παραπάνω εταιρεία έχει σήμερα έχει 5,5 εκατομμύρια υπογραφές στη βάση δεδομένων της. Αυτό περιλαμβάνει επίσης πολλές υπογραφές που ανιχνεύουν παραλλαγές του ίδιου Malware χρησιμοποιώντας γενικές τεχνικές ανίχνευσης, κατά συνέπεια ο συνολικός αριθμός των υπογραφών είναι μικρότερος από τον πραγματικό αριθμό των προγραμμάτων κακόβουλου λογισμικού.
Αν ήμουν ιδιοκτήτης μίας (διαβολικής) εταιρείας παραγωγής anti-virus το πρώτο που θα χρειαζόμουν θα ήταν ένα νέο εργαζόμενο/προγραμματιστή για να φτιάξει από την αρχή ένα ιό. Θα χρειαζόμουν επίσης κάποιον για την περαιτέρω ανάπτυξη του “προϊόντος” μου αλλά και την συντήρηση του, ώστε να προστατεύσω την επένδυση μου εξασφαλίζοντας ότι ο ιός θα συνεχίσει το “θεάρεστο” έργο του και σε μελλοντικά λειτουργικά συστήματα. Όταν ο ιός ολοκληρωθεί κατασκευαστικά, θα είναι έτοιμος να κυκλοφορήσει στον ηλεκτρονικό κόσμο, αλλά και να μπει στην Βάση Δεδομένων ανίχνευσης ιών της εταιρείας μου.
ΤΕΛΕΙΑ!!! Μέσα σε ένα μήνα μόνο έχουμε καταφέρει να φτιάξουμε ένα ιό ανάμεσα σε 500.000 άλλους νέους ιούς!!
Μέχρι τώρα, θα πρέπει να είναι σαφές σε όλους ότι απλά από εμπορική άποψη, δεν υπάρχει νόημα σε μία τέτοια εταιρεία να φτιάχνουμε ιούς. Τα πλεονεκτήματα που λαμβάνονται μέσω ανίχνευση ενός επιπλέον Malware σε σχέση με τον όγκο Malware που απελευθερώνεται κάθε μήνα είναι πολύ λίγα.
Ακόμα και όταν το κόστος μίσθωσης ενός προγραμματιστή σε χώρες με χαμηλούς μισθούς (πχ Ινδία, αυτό λέγεται dumping-wage), είναι απολύτως βέβαιο ότι κανένας κατασκευαστής Antivirus δεν μπορεί να αντέξει οικονομικά.
Ακόμα και όλοι οι κατασκευαστές Antivirus του κόσμου μαζί δεν είναι σε θέση να δημιουργήσουν το σημερινό όγκο νέου malware.
Malware
Καλά, τότε ποιος δημιουργεί/παράγει Malware λογισμικό;
(Malware= κακόβουλα προγράμματα/λογισμικό βλέπε http://en.wikipedia.org/wiki/Malware)
Πριν από 10 χρόνια τα προγράμματα αυτά ήταν ως επί το πλείστον γραμμένα από hackers που απλώς ήθελαν να δοκιμάσουν τι ήταν δυνατό και που μπορούσαν να φτάσουν.
Δυστυχώς σήμερα ένα τεράστιο ποσό της “ποινικής” ενέργειας, οφείλεται σε hard-core εμπορικές επιχειρήσεις που βρισκόταν πίσω από τα περισσότερα κακόβουλα προγράμματα.
Ένα κεντρικά ελεγχόμενο δίκτυο μερικών χιλιάδων PCs που έχουν “απαχθεί” (Botnet) μπορεί να χρησιμοποιηθεί με μία μεγάλη ποικιλία διαφορετικών τρόπων.
Αυτό η τεράστια μαζική δύναμη υπολογιστών μπορεί να προσληφθεί ως ένα ωραίο “πακέτο” για διάφορους σκοτεινούς σκοπούς: για την αποστολή spam και phishing emails, για συντονισμένες επιθέσεις υπερφόρτωσης webserver (DDoS), προκειμένου να εκβιάσει εταιρείες ή ως υποκατάστατο διακομιστή δικτύου για την απόκρυψη ιχνών παράνομων δραστηριοτήτων.
Τα μεγαλύτερα botnet που έχουν ανιχνευτεί ποτέ όπως το Conficker, το Rustock ή το Cutwail είχαν πάνω από ένα εκατομμύριο τέτοιους υπολογιστές “Zombie” διαθέσιμους.
Άλλοι προγραμματιστές κακόβουλου λογισμικού προσπαθούν να μετατρέψουν την εργασία τους απευθείας σε μετρητά, με την κρυπτογράφηση σημαντικών προσωπικών πληροφοριών και στη συνέχεια ζητούν λύτρα για την αποκρυπτογράφηση των δεδομένων (τα λεγόμενα ransomware).
Μερικά Malware απευθύνονται άμεσα σε συγκεκριμένες εταιρείες ή συστήματα, όπως για παράδειγμα η επίθεση δολιοφθοράς εναντίον του ιρανικού προγράμματος ατομικής ενέργειας χρησιμοποιώντας τους Malware Stuxnet στο τέλος του 2010.
Antivirus vs Virus
Ένας άλλος λόγος για τη φήμη ότι εταιρείες Antivirus παράγουν τους ιούς είναι η αύξηση του αριθμού των πλαστών προϊόντων Antivirus (τα λεγόμενα Rogue λογισμικά προστασίας από ιούς).
Οι συγγραφείς αυτού του τύπου κακόβουλου λογισμικού χρησιμοποιούν ονόματα που είναι παρόμοια με γνωστές μάρκες Antivirus για να ξεγελάσουν τους χρήστες ώστε να εγκαταστήσουν το λογισμικό που προσποιείται ότι ανιχνεύει ιούς.
Οι Πλαστές ανιχνεύσεις χρησιμοποιούνται στη συνέχεια για να παροτρύνουν τον πελάτη να αγοράσει μια “πλήρη έκδοση” αυτού του λογισμικού.
Συμπέρασμα
Όπως βλέπετε, οι συντάκτες κακόβουλου λογισμικού έχουν πολλά κίνητρα για να γράψουν νέες καταστροφικές εκδόσεις λογισμικού. Όλα αυτά τα κίνητρα έχουν ένα κοινό στοιχείο: Προσφέρουν πολύ μεγαλύτερη ανταμοιβή από τις εταιρίες Antivirus σε σχέση με την ανταμοιβή από το γράψιμο του δικού τους ιού.
Πέρα από αυτό το γεγονός, τέτοιος τύπος δραστηριότητας θα ήταν μια νομική, εμπορική καταστροφή αλλά και αποκλεισμός από τα media για έναν κατασκευαστή Antivirus.
Υπάρχει επίσης το επιχείρημα ότι οι εταιρείες Antivirus εξαρτώνται από το έργο των συγγραφέων Malware. Αυτό μπορεί να αληθεύει μέχρι ενός σημείου, αλλά σίγουρα οι προθέσεις βρίσκονται στο αντίθετο άκρο του φάσματος της ηθική και ασφαλώς υπάρχουν εταιρείες που κάνουν το καλύτερο για να καταστήσουν το Διαδίκτυο ασφαλέστερο.
