Угрозы в 2008 году. По тенденциям
Вот мы и подошли к логическому завершению нашего обзора угроз, с которыми ИТ-сообщество столкнулось в 2008 году. Сегодня мы поговорим о том, чего же ждать, и подведем небольшие итоги уже произошедшего.
Материалы, подобные этому, имеют большой вес в сфере безопасности информационных технологий, так как большинство грамотных политик и моделей безопасности построены именно на аналитических основах с использованием программных реализаций, естественно. Некоторые могут со мной не согласиться и сказать, что "нечего тут думать – прикрыл все "лишности" и делов-то". Однако это не совсем так. Модель безопасности, прежде всего, должна быть гибкой, иначе она попросту будет не готова к нестандартным ситуациям. В качестве примера можно привести хотя бы противостояние уже известным, но быстрым в распространении зловредам (заметьте, про не известные сигнатурным сканерам коды я вообще молчу). Именно в такой ситуации должна работать логическая защита, основанная на аналитике, так как банальное прикрытие брешей далеко не всегда даст желаемый результат. В общем, не буду заострять внимание на важности процесса мышления, приступлю к рассмотрению ожидаемых в 2009 году концепций развития.
В начале материала хочу привести цитату из статьи semu "Толковый багтрак: обзор уязвимостей за второе полугодие 2008 года", опубликованную на сайте журнала Хакер. Полагаю, что информация, которую он предоставил, будет интересна многим разработчикам и не только.
"Все вышесказанное свидетельствует о необходимости обороняться и противостоять темным силам. Причем гораздо эффективнее бороться с причинами уязвимостей, а не противостоять последствиям нападений. Поэтому в помощь специалистам IT-безопасности, особенно разработчикам, могу порекомендовать документ, вышедший уже в январе 2009 года, под названием "Top 25 Most Dangerous Programming Errors" ( сайт ). Документ составлен профессионалами своего дела из более чем 30 компаний и описывает 25 наиболее опасных ошибок программирования. Потенциальные ошибки удачно поделены на категории и содержат такие комментарии, как распространенность ошибки, цена исправления и частота атак, что позволяет оценить и приоритизировать процесс анализа и правки кода. Среди описаний можно встретить как классические ошибки переполнения буфера, так и, например, ошибки веб-программирования".
Вот такой вот документ, на который я бы советовал обратить внимание, особенно людям, которые занимаются разработкой и оптимизацией кода.
Совсем недавно масштабные эпидемии практически закончили свое существование, их количество значительно уменьшилось, и в 2008 году наблюдался штиль в этом направлении. Однако, по мнению аналитиков из SASecurity group и KasperskyLab, в 2009 году положение дел изменится не в лучшую сторону. Количество эпидемий возрастет, и стимулировать это будут два фактора: рост популярность атак с использованием бот-сетей и повышение и ужесточение конкуренции между хак-группами и отдельными взломщиками.
В 2008 году атаки с использованием бот-сетей заняли одну из лидирующих позиций, эта ситуация в 2009 никак не изменится, поэтому количество бот- сетей будет неумолимо расти. Для создания последних используются зловреды, которые инфицируют машины и зомбируют их. Именно построение бот-сетей и приведет к глобальным эпидемиям. В среднем для создания сети размером в 80.000 машин необходимо инфицировать около одного миллиона компьютеров, вот вам и эпидемия в глобальных масштабах.
Экономический кризис тоже сыграют свою черную роль в обострении ситуации, а как же без него =). В общем, осложнение с рабочими местами для ИТ- шников, понижение их доходов приведет к тому, что они будут вовлекаться в темный бизнес, а некоторые и сами создавать группы взломщиков. При этом имейте в виду, что их уровень местами будет намного выше, чем у большинства уже действующих одиночек/группировок. Благодаря этому факту возникнет всплеск конкуренции, который и приведет к эпидемиям. Увеличение конкуренции, собственно, уже сейчас наблюдается достаточно стремительное.
Игровые трояны, которые достаточно серьезно беспокоили пользователей в ушедшем году, медленно, но верно будут уходить на покой. Будет это наблюдаться потому, что вирусописателям гораздо выгоднее, в денежном смысле, выполнять другие заказы/собственные задумки. Уровень доходов, получаемых от продаж виртуальных ценностей (читай, артефактов, денег, чаров и т.п.). Кризис и тут сыграл свою роль: теперь сознательные любители виртуальных приключений вынуждены выбивать артефакты, а не покупать их за юани, доллары, евро и т.д.
Концепция Malware 2.0, предложенная Лабораторией Касперского при подведении итогов 2007 года, в 2009-м сменится новой – Malware 2.5, которая несет в своей основе использование гигантских распределенных систем-ботнетов. Это было предложено русскоязычными хакерами и было реализовано в зловредах типа Rustock.C, Sinowal и им подобным. Ниже приведу некоторые черты новой концепции.
. Отсутствие стационарного центра управления ботнетом – так называемый "мигрирующий ботнет", детально описанный нами в исследовании буткита. Центр управления ботнетом либо постоянно перемещается с одного IP-адреса, сервера на другой, либо может даже не существовать какое-то время. Реализована система создания произвольных адресов центра управления, таким образом злоумышленники решают проблему обнаружения и отключения С&C и получают возможность выбора мест его размещения.
. Использование стойких криптографических алгоритмов при взаимодействии между C&C и машинами в ботнете. Даже получив доступ к C&C или перехватив передаваемые данные, исследователи не в состоянии перехватить управление ботнетом, который рассчитан на работу с ключами шифрования, известными только хозяевам ботнета.
. Использование универсальных центров управления для разных ботнетов. Развитие идеи "универсального кода", реализованной во вредоносной программе Zbot: вредоносные программы разных авторов могут коммуницировать с одним и тем же типом центра управления. В настоящее время наблюдается тенденция к тому, чтобы реализовать возможность одновременно управлять разными ботнетами из одного C&C.
Приведу цитату-комментарий аналитиков Лаборатории Касперского по поводу этих концепций: "Эти технологии тесно связаны с областью распределенных вычислений и созданием систем, работающих под значительной нагрузкой с громадными объемами данных (архитектура HighLoad). В обычной жизни примеры подобных решений мы можем видеть в поисковых системах. Они также являются основой модной технологии cloud computing, которая используется в том числе и рядом антивирусных компаний".
Именно те, кто умеет работать и создавать свои системы HighLoad, и будут задавать уровень угроз в 2009 году. Что будет свидетельствовать о значительно возросшем уровне специалистов в мире андерграунда.
Фишинг/мошенничество – еще одна область киберпреступности, на которую повлияет мировой экономический кризис. Фишинг и мошенничество в Сети будут набирать обороты.
Во-первых, кризис заставляет интернет-пользователей более нервно реагировать на любые события, связанные с платежными системами, онлайн- банкингом, электронными деньгами. В период, когда банки разоряются, меняют владельцев или испытывают проблемы с выплатами, появляется много новых возможностей для атак на пользователей.
Во-вторых, учитывая, что современные вредоносные программы требуют все больше ресурсов для их разработки, распространения и использования, для множества злоумышленников на первый план выходят более простые, дешевые и грубые методы атак. Фишинг ( сайт может стать для киберпреступников одним из наиболее привлекательных решений.
Конкуренция среди фишеров растет. Для обмана пользователей простейшей подделки сайта банка будет уже недостаточно – атаки станут более изощренными и интенсивными.
В целом, денег в Сети из-за кризиса станет меньше. Особенно если серьезные проблемы коснутся систем электронных денег, не справляющихся с задачей обналичивания виртуальных денег в реальные.
Вот и все, что я хотел сказать. Мы закончили рассуждать на тему "что было – что будет". Как видите, прогнозы на будущее не сильно радуют, собственно, как и итоги ушедшего года. Хотя с последними мы бороться закончили, а вот с первыми еще предстоит… Активное использование новейших технологий создает буфер опасности между активностью злоумышленников и появлением эффективных средств противодействия. Это так или иначе заставит снять системы защиты с режима "автомата" и думать самим – об этом я и говорил в начале статьи. Ну что ж, мне остается только пожелать вам удачи и посоветовать размышлять над проблемами ;).
Евгений Кучук SASecurity gr.
Материалы, подобные этому, имеют большой вес в сфере безопасности информационных технологий, так как большинство грамотных политик и моделей безопасности построены именно на аналитических основах с использованием программных реализаций, естественно. Некоторые могут со мной не согласиться и сказать, что "нечего тут думать – прикрыл все "лишности" и делов-то". Однако это не совсем так. Модель безопасности, прежде всего, должна быть гибкой, иначе она попросту будет не готова к нестандартным ситуациям. В качестве примера можно привести хотя бы противостояние уже известным, но быстрым в распространении зловредам (заметьте, про не известные сигнатурным сканерам коды я вообще молчу). Именно в такой ситуации должна работать логическая защита, основанная на аналитике, так как банальное прикрытие брешей далеко не всегда даст желаемый результат. В общем, не буду заострять внимание на важности процесса мышления, приступлю к рассмотрению ожидаемых в 2009 году концепций развития.
В начале материала хочу привести цитату из статьи semu "Толковый багтрак: обзор уязвимостей за второе полугодие 2008 года", опубликованную на сайте журнала Хакер. Полагаю, что информация, которую он предоставил, будет интересна многим разработчикам и не только.
"Все вышесказанное свидетельствует о необходимости обороняться и противостоять темным силам. Причем гораздо эффективнее бороться с причинами уязвимостей, а не противостоять последствиям нападений. Поэтому в помощь специалистам IT-безопасности, особенно разработчикам, могу порекомендовать документ, вышедший уже в январе 2009 года, под названием "Top 25 Most Dangerous Programming Errors" ( сайт ). Документ составлен профессионалами своего дела из более чем 30 компаний и описывает 25 наиболее опасных ошибок программирования. Потенциальные ошибки удачно поделены на категории и содержат такие комментарии, как распространенность ошибки, цена исправления и частота атак, что позволяет оценить и приоритизировать процесс анализа и правки кода. Среди описаний можно встретить как классические ошибки переполнения буфера, так и, например, ошибки веб-программирования".
Вот такой вот документ, на который я бы советовал обратить внимание, особенно людям, которые занимаются разработкой и оптимизацией кода.
Совсем недавно масштабные эпидемии практически закончили свое существование, их количество значительно уменьшилось, и в 2008 году наблюдался штиль в этом направлении. Однако, по мнению аналитиков из SASecurity group и KasperskyLab, в 2009 году положение дел изменится не в лучшую сторону. Количество эпидемий возрастет, и стимулировать это будут два фактора: рост популярность атак с использованием бот-сетей и повышение и ужесточение конкуренции между хак-группами и отдельными взломщиками.
В 2008 году атаки с использованием бот-сетей заняли одну из лидирующих позиций, эта ситуация в 2009 никак не изменится, поэтому количество бот- сетей будет неумолимо расти. Для создания последних используются зловреды, которые инфицируют машины и зомбируют их. Именно построение бот-сетей и приведет к глобальным эпидемиям. В среднем для создания сети размером в 80.000 машин необходимо инфицировать около одного миллиона компьютеров, вот вам и эпидемия в глобальных масштабах.
Экономический кризис тоже сыграют свою черную роль в обострении ситуации, а как же без него =). В общем, осложнение с рабочими местами для ИТ- шников, понижение их доходов приведет к тому, что они будут вовлекаться в темный бизнес, а некоторые и сами создавать группы взломщиков. При этом имейте в виду, что их уровень местами будет намного выше, чем у большинства уже действующих одиночек/группировок. Благодаря этому факту возникнет всплеск конкуренции, который и приведет к эпидемиям. Увеличение конкуренции, собственно, уже сейчас наблюдается достаточно стремительное.
Игровые трояны, которые достаточно серьезно беспокоили пользователей в ушедшем году, медленно, но верно будут уходить на покой. Будет это наблюдаться потому, что вирусописателям гораздо выгоднее, в денежном смысле, выполнять другие заказы/собственные задумки. Уровень доходов, получаемых от продаж виртуальных ценностей (читай, артефактов, денег, чаров и т.п.). Кризис и тут сыграл свою роль: теперь сознательные любители виртуальных приключений вынуждены выбивать артефакты, а не покупать их за юани, доллары, евро и т.д.
Концепция Malware 2.0, предложенная Лабораторией Касперского при подведении итогов 2007 года, в 2009-м сменится новой – Malware 2.5, которая несет в своей основе использование гигантских распределенных систем-ботнетов. Это было предложено русскоязычными хакерами и было реализовано в зловредах типа Rustock.C, Sinowal и им подобным. Ниже приведу некоторые черты новой концепции.
. Отсутствие стационарного центра управления ботнетом – так называемый "мигрирующий ботнет", детально описанный нами в исследовании буткита. Центр управления ботнетом либо постоянно перемещается с одного IP-адреса, сервера на другой, либо может даже не существовать какое-то время. Реализована система создания произвольных адресов центра управления, таким образом злоумышленники решают проблему обнаружения и отключения С&C и получают возможность выбора мест его размещения.
. Использование стойких криптографических алгоритмов при взаимодействии между C&C и машинами в ботнете. Даже получив доступ к C&C или перехватив передаваемые данные, исследователи не в состоянии перехватить управление ботнетом, который рассчитан на работу с ключами шифрования, известными только хозяевам ботнета.
. Использование универсальных центров управления для разных ботнетов. Развитие идеи "универсального кода", реализованной во вредоносной программе Zbot: вредоносные программы разных авторов могут коммуницировать с одним и тем же типом центра управления. В настоящее время наблюдается тенденция к тому, чтобы реализовать возможность одновременно управлять разными ботнетами из одного C&C.
Приведу цитату-комментарий аналитиков Лаборатории Касперского по поводу этих концепций: "Эти технологии тесно связаны с областью распределенных вычислений и созданием систем, работающих под значительной нагрузкой с громадными объемами данных (архитектура HighLoad). В обычной жизни примеры подобных решений мы можем видеть в поисковых системах. Они также являются основой модной технологии cloud computing, которая используется в том числе и рядом антивирусных компаний".
Именно те, кто умеет работать и создавать свои системы HighLoad, и будут задавать уровень угроз в 2009 году. Что будет свидетельствовать о значительно возросшем уровне специалистов в мире андерграунда.
Фишинг/мошенничество – еще одна область киберпреступности, на которую повлияет мировой экономический кризис. Фишинг и мошенничество в Сети будут набирать обороты.
Во-первых, кризис заставляет интернет-пользователей более нервно реагировать на любые события, связанные с платежными системами, онлайн- банкингом, электронными деньгами. В период, когда банки разоряются, меняют владельцев или испытывают проблемы с выплатами, появляется много новых возможностей для атак на пользователей.
Во-вторых, учитывая, что современные вредоносные программы требуют все больше ресурсов для их разработки, распространения и использования, для множества злоумышленников на первый план выходят более простые, дешевые и грубые методы атак. Фишинг ( сайт может стать для киберпреступников одним из наиболее привлекательных решений.
Конкуренция среди фишеров растет. Для обмана пользователей простейшей подделки сайта банка будет уже недостаточно – атаки станут более изощренными и интенсивными.
В целом, денег в Сети из-за кризиса станет меньше. Особенно если серьезные проблемы коснутся систем электронных денег, не справляющихся с задачей обналичивания виртуальных денег в реальные.
Вот и все, что я хотел сказать. Мы закончили рассуждать на тему "что было – что будет". Как видите, прогнозы на будущее не сильно радуют, собственно, как и итоги ушедшего года. Хотя с последними мы бороться закончили, а вот с первыми еще предстоит… Активное использование новейших технологий создает буфер опасности между активностью злоумышленников и появлением эффективных средств противодействия. Это так или иначе заставит снять системы защиты с режима "автомата" и думать самим – об этом я и говорил в начале статьи. Ну что ж, мне остается только пожелать вам удачи и посоветовать размышлять над проблемами ;).
Евгений Кучук SASecurity gr.
Компьютерная газета. Статья была опубликована в номере 16 за 2009 год в рубрике безопасность
