Проблема пиратства в области программного обеспечения до сих пор не решена. Государственные службы с ней не справляются. В компании Microsoft решили, что чиновникам нужна помощь, и создали Microsoft Cybercrime Center, крупнейшую организацию по борьбе с киберпреступностью.
В свежем ежегодном отчете по исследованию компании CheckPoint — Security Report 2014 — говорится, что активность киберпреступников выросла по сравнению с предыдущим годом. Так, вредоносное ПО было обнаружено в 84% организаций. В 2012 году в 14% компаний пользователи загружали вредоностный код как минимум каждые два часа, а в 2013 году это стало происходить уже в 58% организаций. То есть риск заражения стал невероятно велик. В 2013 году как минимум один бот был обнаружен в 73% изученных организаций, в 2012 году — в 62%.
Заражение компьютеров вирусами и вредоносным ПО напрямую связано с пиратством. Часто нелицензионные копии уже содержат в себе вредоносный код. Даже если его там нет, ворованная программа не может быть обновлена, значит, остается уязвимой, когда появляются новые угрозы, использующие дыры в защите. Только официальные копии получают регулярные обновления, где устранены уязвимости.
Аналитики IDC в 2013 году исследовали связь между пиратством и заражением компьютеров в 11 странах мира и выяснили, что в среднем 61% абсолютно новых ПК, купленных на свободном рынке с уже имеющимся нелицензионным ПО, заражены тем или иным зловредным кодом. В России эта цифра составляет 56%, в Мексике — 100%, в Китае — 85%, в США — 31%.
Компания Microsoft с 2003 года борется с распространением нелицензионных копий своих продуктов. Этим занимается подразделение — Digital Crime Unit (DCU). В ноябре прошлого года борьба перешла в новую стадию: компания открыла Microsoft Cybercrime Center, который специализируется сразу на нескольких направлениях борьбы с киберпреступностью: пиратство и нарушения против интеллектуальной собственности, ботнеты и вредоносные программы (включая софт для фрода), эксплуатация детей (в том числе детское порно).
Компания понимает, что борьба с киберпреступниками — это командный спорт, где необходимо сотрудничать как с государственными, так и с коммерческими организациями. Сегодня в MCC уже накопилась экспертиза, которая транслируется клиентам, используется при выпуске новых продуктов и обновленных версий. Партнерами MCC стали банки и государственные организации из разных стран. Банк FIS прислал своего представителя на обучение. MCC регулярно отправляет сведения об обнаруженных криминальных группах в фармацевтические, телеком- и другие компании. Совместно с Интерполом в этом году, к примеру, была обнаружен и обезврежен ботнет ZeroAccess, состоящий из 2 млн зараженных ПК, посредством которого были украдены миллионы долларов у рекламодателей, размещающих онлайновую рекламу.
Спайдермен
Питер Анаман родом из Ганы, он служил во Французском легионе, жил в Лондоне, а сегодня работает в Редмонде директором MCC по онлайновому пиратству. Питер был одним из создателей специальной программы-"паука", которая непрерывно сканирует всемирную паутину в поисках сайтов, продающих программное обеспечение Microsoft. Программа Питера выявляет упоминания продуктов Microsoft, особый набор слов и общие паттерны, характерные для пиратских сайтов.
Питер говорит, что его цель — сделать так, чтобы пиратство стало экономически нецелесообразно. Деятельность пиратов требует больших вложений: необходимо купить или добыть ворованные ключи для программных продуктов, создать интернет-магазин, привлечь туда покупателей, например, потратившись на контекстную рекламу. Чтобы продать много нелицензионных копий за короткое время, пока не поймали, нужно создать не один интернет-магазин, а сотню или две, и лучше на разных языках в разных странах. Задача же Питера Анамана и его людей — обнаружить эти сайты как можно скорее, выявить факт продажи нелегального ПО и передать эту информацию компетентным органам, которые заблокируют сайты. Помимо программ-"пауков" здесь могут использоваться любые законные методы. Однажды Анаману пришлось прикинуться девушкой и наладить общение с одним из киберпреступников по мессенджеру ICQ. Только таким способом удалось выявить его местонахождение и передать эти сведения в полицию.
Однако сотрудничество с госорганами не всегда получается эффективным. Часто бывает так, что специалисты MCC обнаруживают преступников и даже могут точно выявить их место жительства. Но если они не совершили ничего криминального на территории своей страны, местная полиция не может их преследовать. А для запуска делопроизводства на международном уровне требуется время и более серьезные основания. К примеру, создатель целого криминального бизнес-сообщества Citadel, по сведениям MCC, живет в Восточной Европе, вероятно в России. Но вредоносная программа, превращающая компьютеры в зомби, которую распространяет преступник, умеет определять язык ПК и не заражает те, где используется русский.
Отдел Анамана занимается только онлайновым пиратством, однако распространение физических поддельных копий программного обеспечения не перестало быть проблемой. В MCC поступает множество дисков с ПО, купленных криминалистами компании в подозрительных местах. Эти копии проверяются в специальной лаборатории, и часто их почти невозможно отличить от оригинальных. Но бывают и случаи, когда пираты особо не стараются. В Мексике до сих пор продаются диски с ворованными программами, где можно обнаружить фирменную наклейку мафиозного картеля La Familia. Точно такую же маркировку преступники размещают на пакетах с кокаином, которые контрабандным путем пересекают границу между Мексикой и США. В картеле, видимо, считают, что эта наклейка — особый знак качества.
Брайан Хурд (Bryan Hurd) занимается темой киберпреступности и кибертерроризма последние двадцать лет. Все это время он работал на американское правительство и лишь чуть больше полугода назад присоединился к команде MCC. Сейчас он возглавляет отдел "продвинутой" аналитики в подразделении, занимающемся темой преступлений в цифровом пространстве. Хурд объясняет: он пришел в Microsoft, потому что "это как играть в футбольной команде мирового уровня". Он считает, что здесь может принести больше пользы, чем работая на правительство. Хурд рассказывает, что в его центре каждый месяц обрабатываются от 5 млн до 10 млн обращений с компьютеров, на которых установлены программы Microsoft со всего мира. Это может быть все что угодно: запросы на обновления софта, активация ПО, данные от партнеров. MCC также перехватывают сигналы от компьютеров-зомби (sync-code) и анализирует их.
По его словам, работа с Big Data сильно отличается от анализа обычных данных. "Большие данные говорят нам больше, чем мы у них спрашиваем",— утверждает он. Специальные мощные программы обнаруживают и визуализируют корреляции, паттерны, необычные следы в огромных массивах информации. Задача аналитика — понять, что они означают, определить, есть ли в этих событиях какой-то скрытый смысл. Однажды аналитическая программа показала необычный всплеск количества регистраций ПО, которые производились из одного места. При этом ключи, которые активировались, были предназначены для разных стран. Позднее выяснилось, что киберпреступник решил проверить, настоящие ли ключи он купил на черном рынке, и начал их тестировать, активируя через интернет.
Дэвид Финн, генеральный директор DCU и MCC, надеется, что другие частные компании, в особенности производители программного обеспечения, последуют примеру Microsoft и откроют подобные центры, это значительно облегчило бы задачу построения безопасного интернета. Но пока о таких планах на рынке не слышно.