Сумма слагаемых информбезопасности

ПО для информационной безопасности – пожалуй, единственная отрасль софтверного бизнеса, которая не просто не пострадала в условиях кризиса, а наоборот – упрочила свое положение и увеличила доходы. И сейчас рост сектора ПО и услуг по обеспечению информбезопасности продолжается. Посмотрим, что же нового произошло в этой сфере на минувшей неделе.

Угрозы

Компания McAfee обнародовала результаты нового исследования в области краж конфиденциальных данных пользователей, паролей и пин-кодов. Согласно полученной информации, в прошлом году число угроз, нацеленных на похищение паролей, используемых в Интернете, выросло на 400%, и они стали заметно более изощренными. Что касается способов, которыми пользуются преступники, чтобы заполучить данные пользователей, то специалисты McAfee особо выделили несколько из них. Во-первых, киберпреступники следят за каждым шагом пользователя с помощью новых программ, которые могут сделать скриншот в тот момент, когда вводится пароль или другие данные, а также получить записи, даже скрытые от других пользователей с помощью звездочек. Во-вторых, злоумышленники взламывают сайты, запрашивающие логин/пароль и создают поддельные всплывающие окна.

Кроме того, исследование отмечает ряд новых тенденций. Новые трояны и черви, ворующие пароли, не только похищают информацию, но и оставляют лазейки для дальнейших атак на ПК пользователя. А кража паролей для онлайн-игр становится самым распространенным киберпреступлением. Еще один важный момент: сегодняшние зловреды и вирусы все труднее засечь антивирусным ПО.

Независимый специалист по безопасности Денис Синегубко из Магнитогорска обнаружил в Сети уникальный ботнет, состоящий из Linux-серверов. Каждый узел этого ботнета представляет собой рабочий web-сервер, на котором крутится какой-нибудь обычный сайт. Но кроме основного сервера Apache, работающего через порт 80, там есть и второй web-сервер nginx, который занимается рассылкой спама и вредоносного ПО через порт 8080. Создание ботнета из web-серверов – мечта любого спамера: широкие каналы, мощное оборудование, 100% аптайм всех зомби круглые сутки… Собственно, появление такого «идеального ботнета» давно предсказывали специалисты.

Во II квартале нынешнего года была зарегистрирована 151 тысяча фишинговых атак. Это максимальный за последние два года показатель. Об этом сообщила исследовательская компания MarkMonitor.

Четыре из пяти поддельных писем, отправленных во II квартале, выманивали логины и пароли пользователей банков и платежных систем. Число атак на пользователей социальных сетей за последний год выросло на 168%. В среднем во II квартале на пользователей каждого онлайн-сервиса была зарегистрирована 351 атака. Половина поддельных сайтов, предназначенных для перехвата паролей, была размещена в США. Причем число фишинговых атак растет вопреки тому, что в современные браузеры встроена технология защиты от них.

Вредоносное ПО

Компания «Доктор Веб» сообщила о новой волне распространения вирусов семейства Trojan.Encoder (Trojan.Encoder.34, а также 37, 38, 39, 40 и 41), шифрующих данные на компьютерах пользователей и требующих деньги за расшифровку. Последние модификации Trojan.Encoder созданы одним автором, иногда называющим себя «Корректор».

Модификации Trojan.Encoder шифруют большинство документов на компьютере, делая невозможной работу с ними. Исключение составляют файлы, относящиеся к системе и установленным в ней программам. Заражению они не подвергаются, а компьютер продолжает работать, позволяя жертве мошенничества связаться со злоумышленником и перечислить ему требуемую сумму денег, пояснили в «Доктор Веб».

Особенностью последних модификаций Trojan.Encoder является то, что они добавляют к зараженным файлам окончание vscrypt – к примеру, вместо pic.jpg файл получает имя pic.jpg.vscrypt. Trojan.Encoder в настоящее время распространяется через ссылки на вредоносный сайт в почтовых сообщениях. Пользователю предлагается просмотреть открытку, якобы присланную от имени сервиса открыток Мail.ru. При открытии соответствующей страницы предлагается установить кодек, который на самом деле оказывается троянской программой. После окончания процесса шифрования файлов Trojan.Encoder выводит на рабочий стол Windows сообщение о том, что документы зашифрованы, а также приводит контактные данные злоумышленника. Напомню, что в декабре, августе и сентябре прошлого года «Доктор Веб» уже сообщал о других модификациях этого семейства троянов – Trojan.Encoder.33, Trojan.Encoder.20 и Trojan.Encoder.19. Большинство модификаций Trojan.Encoder предлагают пользователю воспользоваться дешифровщиком, для чего требуют перевести на счет киберпреступников от $10 до $89. Аппетит «Корректора» сопоставим с запросами авторов предыдущих модификаций – в настоящий момент пользователи-жертвы сообщают о цене в 600 российских рублей за один экземпляр расшифровщика. Для расшифровки данных можно воспользоваться специальными утилитами, разработанными специалистами компании «Доктор Веб». Доступ к этим утилитам предоставляется по запросу пользователей, выславших образцы зашифрованных файлов, которые позволят определить версию Trojan.Encoder.

Утечки данных

В США Восточный университет Кентукки (Eastern Kentucky University) допустил утечку персональных данных своих сотрудников. Так, имена и номера социального страхования более 5000 человек из числа персонала учебного заведения оказались опубликованы в Интернете. Примечательно, что файл с персональными данными был скомпрометирован еще в сентябре 2008-го, однако утечка была обнаружена лишь год спустя – в конце сентября нынешнего года.

В данный момент университет не оплачивает сотрудникам стандартную процедуру кредитного мониторинга. Представители вуза объясняют это тем, что фактов несанкционированного использования персональных данных не имеется. Тем не менее, университет заверил, что в случае, если первичный бесплатный мониторинг выявит какие-то несанкционированные или подозрительные операции на счетах, либо сотрудники будут иметь другие доказательства вреда утечки, пострадавшим помогут с кредитным мониторингом, а также минимизируют их финансовые потери.

Решения по IT-безопасности
Компания Agnitum объявила о выпуске новой версии защитных продуктов Outpost 2009 (технический номер 6.7.1). К выпуску версии 6.7.1 были проведены работы по улучшению совместимости с Windows 7 RC и Vista SP2. Так, в Outpost 6.7.1 решена проблема, вызванная выпущенными обновлениями Windows, в результате которых «Центр поддержки» (Action Center, в предыдущих версиях – «Центр обеспечения безопасности») Windows выдавал сообщения о том, что брандмауэр и антивирус Outpost выключены и не работают.

В целом, в версии Outpost 6.7.1 реализованы следующие улучшения: обновлены механизмы антивирусного модуля, включая алгоритмы работы монитора постоянной защиты (в Outpost Firewall Pro обновлен механизм модуля «Антишпион»); включена поддержка Action Center на Windows 7 и Vista SP2; исправлены ошибки при загрузке вложений по POP3 в Microsoft Outlook 2000 и 2007; стабилизировано восстановление системы на Windows Vista; добавлен модуль «Быстрая настройка» (QuickTune) для создания правил в Internet Explorer (x86) на x64-системах; стабилизирована работа системы при запуске полноэкранных приложений (игр, медиапроигрывателей и т.п.) в «Игровом режиме» Outpost на Windows 7 x64.

Совместимость Outpost с Windows 7 RC была впервые реализована в версии 6.7, выпущенной в июле этого года. На сегодняшний день антивирусные продукты Outpost поддерживают стабильную и безопасную работу со всеми современными ОС – Windows XP, 2000 Pro, Server 2003/2008, Vista и Windows 7, включая также последние пакеты обновлений. Полнофункциональные 30-дневные версии «Outpost Pro 2009» (Firewall, Antivirus и Security Suite 6.7.1) можно загрузить по адресу www.agnitum.ru/products.

Разработки

Американские исследователи разрабатывают новую методику борьбы с вредоносным ПО, которая позволит повысить эффективность обнаружения новых вирусов, троянов, шпионских модулей и других зловредов. Сотрудник Тихоокеанской северо-западной национальной лаборатории (PNNL) Гленн Финк говорит, что идея, положенная в основу проектируемой системы, позаимствована у природы – у муравьиных колоний.

Несмотря на примитивность поведения каждого отдельного насекомого, действия всей колонии в целом вполне разумны. Муравьиная семья представляет собой систему с очень простыми правилами низкоуровневого взаимодействия особей, которое определяется через химические вещества – феромоны. По специальным меткам, оставляемым на земле, муравей может найти дорогу в муравейник, отыскать путь к найденной добыче или подать сигнал об опасности, что провоцирует особей либо на бегство, либо на агрессию. Со временем феромоны испаряются – это, по сути, является отрицательной обратной связью.

Похожий принцип используется и в новой системе обеспечения безопасности. Специальные микропрограммы будут постоянно осуществлять мониторинг компьютерной сети, выявляя аномальную активность – к примеру, повышенную нагрузку на аппаратные ресурсы или избыточный трафик. В таких случаях «цифровые муравьи» будут оставлять особые метки для привлечения внимания «помощников». Повышенное скопление «цифровых насекомых» в том или ином узле будет являться сигналом об опасности. Исследователи намерены создать до трех тысяч видов микропрограмм, предназначенных для оперативной идентификации различных типов вредоносного ПО.

P.S.
Долгожданный бесплатный антивирус Microsoft Security Essentials уже вышел (в бета-версии). Ваш покорный слуга его скачал и инсталлировал, так что следующий обзор по информационной безопасности будет посвящен разбору этой новинки.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 36 за 2009 год в рубрике безопасность

©1997-2024 Компьютерная газета