- Вирусописательство стало сверхвыгодным, - утверждает Сергей Комаров, глава вирусных аналитиков в компании "Доктор Веб". - За полгода поток вирусов увеличился в 4-5 раз.
Преступники воруют данные кредитных карт, пароли от платежных систем, персонажей компьютерных игр и занимаются шантажом. Учтенный ущерб от киберпреступности в 2007 году насчитывает полтора десятка миллиардов долларов. В основном преступления совершаются с помощью вирусов.
Первая и основная обязанность антивирусного специалиста - это занесение новых данных в компьютерную базу. Вирусы похожи друг на друга, но все же немного различаются. Самые опасные вредоносные программы не очень сложны, но быстро распространяются. Их характерный код - сигнатуру - нужно заносить в базу руками.
Если вирусный аналитик ошибется и добавит в базу сигнатуру полезной программы, то антивирус компании начнет блокировать ее везде, где он установлен, а это приведет к сбою работы сотен тысяч компьютеров. Обратная сторона такой ответственности?.. "Мы в прямом смысле спасаем мир, - говорит руководитель отдела антивирусных исследований "Лаборатории Касперского" Станислав Шевченко, - ведь прогноз на этот год неблагоприятен: вирусов будет в десять раз больше. А все потому, что вирусы из разряда хулиганства и шуток превратились в преступность, организованную и не очень".
Откуда берутся вирусные программы? В большинстве случаев их присылают сами пользователи. Если идет эпидемия нового вируса, то почтовые ящики специалистов ломятся от писем в тоне "спасите-помогите". Есть коллекционеры вирусов, которые периодически безвозмездно присылают собранные образцы. Еще один способ - запустить программу-"липучку". Она будет путешествовать по интернету и собирать всякую дрянь. Также компании раз в месяц обмениваются собранными программами-вирусами.
"ДЯТЛЫ" НА СТРАЖЕ
Это первая ступень работы вирусного аналитика. Таких людей в "Лаборатории Касперского" называют "дятлами". Прозвище почетное и совсем не обидное. Сами "дятлы" им гордятся, а Евгений Касперский, один из основателей компании, даже написал в начале своей книги "Компьютерное Zловредство", что посвящается она "дятлам". Почему дятлы? "Да потому, что мы долбим", - объясняет Денис Масленников. Он работает в "Лаборатории Касперского" год и четыре месяца и действительно стучит по клавиатуре со страшной силой так, что треск стоит. На майке у него изображен двухголовый дятел. По словам Станислава Шевченко, ему приходится менять клавиатуру "дятлам" раз в месяц. Денис, не отрываясь от беседы, за минуту успевает посмотреть письмо пользователя, код вируса, отправить сигнатуру в базу и с помощью специального шаблона послать ответ человеку, приславшему сообщение.
В "Лаборатории Каспер-ского" антивирусные специалисты работают по 12 часов днем и ночью по хитрому графику. В неделю получаются законные 42 часа. В компании "Доктор Веб" вирусные аналитики работают в две смены по 8 часов, но только днем. По словам Сергея Комарова, они тоже собираются перейти на ночные дежурства, и сейчас в экстренных случаях специалиста вызывают на работу ночью. Такова суровая необходимость - вирусы идут со всего света. Работать "дятлам" приходится очень интенсивно. За смену они могут отловить до 800 вирусов.
ВЕЧНАЯ ГОНКА
После полутора лет работы "дятлы" становятся вирусными экспертами. Они могут тратить больше времени на сложные, нетипичные вирусы, пишут утилиты для автоматизации процесса работы, помогают молодым. Они также думают над устранением последствий от действий некоторых вирусов. Порой эта задача бывает сложнее поиска противоядия от вирусов.
Два года назад в россий-ском интернете появился вирус GPcode. Он шифровал файлы на компьютере пользователя и требовал за расшифровку 2000 рублей. Проблема была в том, что для работы он использовал стойкий к расшифровке алгоритм. В первой версии вируса была ошибка, и специалистам удалось заставить вирус расшифровать данные. Новая версия, вышедшая через полгода, ошибки уже не содержала, а кодировка была еще надежнее. Аналитики до сих пор ищут способ расшифровки.
И такие вещи происходят постоянно. Между вирусными аналитиками и вирусописателями существует постоянная "гонка вооружений". Действие каждой из сторон встречает практически немедленное противодействие. Аналитики зачастую встречают нецензурную брань в свой адрес в коде вирусов, а также программы, которые направлены конкретно против антивирусов. Вирусописатели шифруют вредоносные программы с помощью специальных упаковщиков, затрудняя работу. Это увеличивает интерес аналитиков к работе.
Казалось, не проще ли поймать злоумышленника? Зачастую это невозможно физически, ведь вирусы идут со всего света. Но даже если злоумышленник находится в России, вирусные аналитики напрямую в его поимке не участвуют. Если сотрудник "Лаборатории Касперского" или компании "Доктор Веб" видит, что вирус отправляет данные по конкретному адресу или переводит деньги на определенный счет, он сообщает об этом начальству, которое передает данные правоохранительным органам. "К сожалению, им не всегда это интересно", - сетует Сергей Комаров.
В "Лабораторию Касперского" часто привозят компьютеры вирусописателей на экспертизу: узнать, действительно ли на нем был написан тот или иной вирус. "Однажды привезли компьютер, разрубленный пополам лопатой, - вспоминает Шевченко. - Преступник пытался так уничтожить данные". Винчестер, однако, остался цел. Один из сотрудников лаборатории даже ездил на "захват" компьютера с омоновцами. Он должен был указать оперативникам нужный компьютер.
НЕ СПОСОБНЫЕ К ЗЛУ
Кадры - это головная боль антивирусных компаний. Станислав Шевченко в день просматривает 18-20 резюме. Из них на собеседование приглашается пара человек. В чем проблема? От антивирусного специалиста требуется редкое сочетание технических знаний и душевных качеств.
"Вирусный аналитик, - объясняет Шевченко, - может достичь успеха только на своем месте". Конечно, потенциальные вирусные аналитики могут работать в банках, но будут глубоко несчастны. Им нравится копаться, разбираться в вирусах, им не интересно просто писать программы.
Станислав Шевченко рассказывает, что однажды взял на работу после собеседования человека, резюме которого состояло всего из четырех строчек: имени, фамилии, контакт-ных данных, а также фраз "не люблю программировать" и "знаю АСМ".
АСМ - это ассемблер, специфический язык программирования низкого уровня. На нем пишут драйвера, загрузчики для операционных систем и, конечно, вирусы. В последние годы вредоносных программ на ассемблере стало очень мало, но знание ассемблера необходимо антивирусному специалисту, а найти людей с этим знанием непросто. "Раньше ему нигде не учили, но многие программисты хорошо его знали, - рассказывает Сергей Комаров. - Сейчас учат, но все равно мало кто знает. Как и раньше, в основном приходят самоучки".
Даже если человек обладает нужными знаниями, не факт, что его возьмут работать вирусным аналитиком. Коллекция вирусов у компаний насчитывает терабайты, поэтому они тщательно следят за теми, кто имеет к ней доступ. "Нам нужны люди, которые в силу своего характера не способны или не хотят писать вредоносные коды", - объясняет Шевченко. Для того чтобы лучше опознавать таких людей, ему пришлось получить третье высшее образование - психологическое. Ни в "Касперском", ни "Доктор Веб" не берут людей, которые занимались коммерческим вирусописательством.
В профессию, как правило, попадают случайно, но остаются в ней навсегда. Текучка кадров очень маленькая - так утверждают и Шевченко, и Комаров. "Это мое первое место работы и, надеюсь, последнее", - говорит Масленников из "Лаборатории Касперского". Мартьянов работает в "Доктор Веб" полгода, ему тоже пока не надоело.
Многие обыватели уверены, что вирусы пишут и распространяют сами антивирусные компании. Специалисты с этим в корне не согласны. "Возможно, каждый аналитик и написал в своей жизни хотя бы один вирус, - говорит Сергей Комаров, - но на волю его точно не выпустил". Вот почему компьютерные вирусологи всерьез обижаются, услышав стандартный вопрос-обвинение: "Вы же пишете вирусы, да?"
ЗАРПЛАТЫ
40 000* рублей
получает опытный вирусный аналитик
80 000* рублей
получает вирусный эксперт
* после уплаты налогов