Информбезопасность: новые времена – новые угрозы

Новые технологии – новые опасности. Ведь киберзлоумышленники всегда на шаг впереди разработчиков систем защиты. Тем временем хакеры начинают использовать все то новое, что появляется: гипервизоры, протокол шифрования TLS, Windows 7, IE8 и прочие новшества. Так и продолжается вечное соревнование снаряда и брони.

Виртуализация как источник опасности

Согласно опросу, проведенному консалтинговой компанией CDW, более 90% предприятий с численностью штата 100 и более сотрудников используют серверную виртуализацию. Она помогает сократить издержки и эффективнее использовать ресурсы. Вместе с этим на пути внедрения новой технологии были и остаются преграды, одной из которых является более низкий уровень безопасности. По данным Gartner, к концу 2015 г. 30% виртуальных серверов в мире будет обладать более низкой защитой по сравнению с физическими серверами, которые они заменяют. А в период с 2010 по 2012 гг. число таких серверов будет достигать 60%. Аналитики рекомендуют предпринимать как можно большие усилия по повышению безопасности виртуальных систем, не пренебрегая привлечением специалистов на начальном этапе их внедрения.

Виртуализация по своей сути является безопасной технологией. Проблема заключается в том, что при ее внедрении безопасностью пренебрегают, тогда как к ней нужно относиться так же внимательно, как если бы речь шла о физической системе. По прогнозу Gartner, в конце 2009 г. приблизительно 18% ресурсов центров обработки данных было переведено в виртуальную форму, а к концу 2012 г. эта цифра достигнет 50%. Виртуализация будет усложняться – ее начнут использовать в новых областях и для решения новых, более важных задач. В связи с этим возникнет необходимость в повышении уровня защиты.

По результатам опроса, проведенного Gartner в конце 2009 г., выяснилось, что специалисты по информационной безопасности не принимают участие в этапе начальной разработки 40% проектов виртуализации. По убеждению компаний, развертывание виртуальных систем вполне успешно осуществляется на базе существующих навыков в области программного и аппаратного обеспечения, поэтому необходимости в дополнительном персонале и обучении не возникает. Аналитики, однако, считают, что гипервизор (или монитор виртуальных машин) является новым ПО, для работы с которым существующих навыков отнюдь не достаточно.

Уязвимости виртуальных систем, продолжают в Gartner, могут крыться непосредственно в гипервизоре. Он создается людьми и, как любое другое ПО, обязательно имеет «дыры», для которых периодически необходимо выпускать «заплатки». В противном случае хакеры, в случае получения прав уровня гипервизора, могут эксплуатировать эти уязвимости и скомпрометировать всю виртуальную среду.

Рассуждая о рынке серверной виртуализации, аналитики также указывают на отсутствие качественных инструментов контроля доступа к гипервизору, а также инструментов управления и мониторинга внутренних сетей, служащих для связи виртуальных машин друг с другом. В идеале предприятиям следует предоставить возможности для жестоко разграничения доступа к гипервизору по ролям и новые средства, которые бы смогли отобразить виртуальные соединения во избежание неправильного конфигурирования, снижающего уровень безопасности.

Есть еще один риск безопасности при использовании виртуализации. В частности, данная технология начинает применяться для решения более важных задач, к защите которых предъявляются более высокие требования. Чтобы обеспечить должный уровень безопасности, эксперты рекомендуют запускать приложения различного уровня доступа на разных физических машинах. Например, для запуска виртуальных рабочих столов стоит избрать отдельный физический сервер. Наконец, эксперты рекомендуют возлагать обязанности по управлению виртуальными системами на плечи технических специалистов, несущих ответственность за физическую вычислительную сеть. Это позволит организовать качественную и безопасную сетевую политику.

Топ-менеджеры готовы платить за IT-безопасность

Корпорация IBM и исследовательская организация Ponemon Institute, специализирующаяся в вопросах конфиденциальности и управления информацией, опубликовали результаты опроса 115-ти бизнес-руководителей высшего звена в Великобритании.

Согласно данным, полученным в ходе этого исследования, 77% опрошенных сообщили, что их организации не раз сталкивались со случаями нарушения целостности и потери данных, причем все респонденты подтвердили, что их корпоративные данные действительно подвергались атакам за последний год. Кроме того, 76% директоров, принявших участие в исследовании, считают, что уменьшение потенциальных недостатков и ошибок в системах безопасности критичных для бизнеса приложений является самым важным аспектом их инициатив по защите данных.

Как показывают результаты опроса, высшие руководители компаний уверены, что эффективные методы защиты данных могут содействовать достижению важных организационных целей, таких как соблюдение регуляционных норм и поддержка деловой репутации и доверия клиентов. Фактически, лишь небольшая часть опрошенных главных исполнительных директоров – всего 18% – полагают, что их организации не пострадают от компрометации или потери данных в течение следующего года, тогда как 81% CEO убеждены, что инвестирование в стратегию обеспечения информационной безопасности может значительно уменьшить риск порчи или кражи данных.

Доктор Ларри Понемон, председатель правления и основатель Ponemon Institute, утверждает: «Находясь перед лицом растущих угроз информбезопасности, руководители бизнеса окончательно осознают, что надежная и действенная стратегия защиты корпоративных данных играет важнейшую роль в достижении желаемых финансовых результатов. Когда-то вопрос об инвестировании в программные средства IТ-безопасности считался чисто техническим, однако мнения респондентов, полученные в ходе нашего исследования, отражают коренное изменение в том, как теперь организации относятся к этому вопросу. Сегодня руководители высшего звена пришли к выводу, что экономия затрат как результат инвестирования в программу защиты данных существенно превышает оценочное значение потенциального экономического эффекта от восстановления испорченных или утраченных данных. Мы подтверждаем вывод, что бизнес-руководители высшего звена уделяют гораздо больше внимания и практических усилий реализации стратегий безопасности, чем когда-либо ранее. Результаты исследования Ponemon Institute подчеркивают возросшее понимание лидерами бизнеса важности устранения недостатков в корпоративной системе IТ-безопасности на самых ранних стадиях, до того, когда решение этих проблем станет слишком дорогим и они приведут к необратимому ущербу для бизнеса».

Исследователи также отметили большое влияние стратегии обеспечения безопасности на итоговые финансовые показатели организации. Было установлено, что средняя экономия затрат или улучшение доходности как следствие инициатив по защите данных составила, в целом, 11 млн фунтов стерлингов для организаций. Согласно оценке руководителей высшего звена, принявших участие в исследовании, средняя величина издержек в результате порчи или утраты данных составляет 112 фунтов стерлингов в расчете на скомпрометированный блок (запись) данных, в то время как опрошенные респонденты в ранге главного исполнительного директора оценили эти «удельные» издержки в 143 фунта стерлингов.

Угрозы месяца: хитроумные трояны и ботнеты

Компания Semantec опубликовала своеобразный рейтинг расширений файлов, которые в мировом почтовом трафике чаще всего содержат вирусы. Так, файлы .xls и .doc «отвечают» за 15% всех пересылаемых «доброжелателями» вирусов, скрытых в приложениях электронной почты (иллюстрация: 1.jpg). Реже всего вирусы попадаются в файлах с расширением .tif, что неудивительно, ведь такие «тяжелые» файлы и пересылаются, и открываются получателем реже всего. Такой рейтинг был опубликован в отчете MessageLabs, в котором анализировался мартовский почтовый трафик. Также, по результатам исследования, в марте:
- около 90,7% писем содержали спам;
- каждое из 358 писем содержало вирус (что на 0,5% меньше показателей февраля);
- каждое из 513 писем было составлено фишерами (содержало ссылку, похожую на URL известного ресурса, но ведущую на другой сайт);
- почти 40% ресурсов, содержащих вредоносное ПО, были новыми (зарегистрированными в марте).

Самыми активными в марте стали китайские хакеры (они ответственны за 28,2% атак), за ними идут румынские и американские киберпреступники (21,1% и 13,8%).
Напомню, что, по прогнозам специалистов, в 2010 году киберпреступники будут постепенно смещать фокус с web-атак в сторону атак через файлообменные сети и торренты.

Печально известный ботнет Rustock существенно увеличил в последнее время объем рассылки спама, зашифрованного по протоколу TLS. Это изменение в его поведении сигнализирует о новой тенденции в работе спам-ботнетов.

Недавно эксперты MessageLabs впервые обратили внимание на то, что значительные объемы спама шифруются по протоколу TLS (протокол безопасности транспортного уровня), который является наследником более известного протокола SSL. В обычных случаях этот протокол предназначен для защиты содержимого электронных писем во время их пересылки между почтовым сервером и получателем.

В тот момент доля зашифрованных ботнетом Rustock писем составляла 35%. Однако, согласно последнему отчету компании, теперь эта цифра равна 77%. Помимо дополнительных трудностей в отслеживании работы данной зомби-сети, рост числа зашифрованных по протоколу TLS писем приводит к увеличению нагрузки на почтовые серверы. По оценкам специалистов, каждое письмо, закодированное с помощью TLS, приводит к росту трафика на 1 Кб по сравнению с обычным сообщением.

Учитывая, что большинство рассылаемых в мире писем – это спам, суммарный рост нагрузки на почтовые серверы может оказаться весьма значительным. Ситуация усугубляется тем, что Rustock по-прежнему является одним из трех крупнейших спам-ботнетов на планете.

Борцы с вирусами обращают внимание пользователей на широкое распространение троянцев семейства Trojan.Oficla, количество детектов которых в неделю составляет более 100.000. При заражении ПК они скрывают свою вредоносную активность, создавая процесс winword.exe (если в системе установлен Microsoft Word). В дальнейшем Trojan.Oficla включает компьютер в ботнет и позволяет злоумышленникам загружать на него другое вредоносное ПО.

На сегодняшний день Trojan.Oficla (известный также под названием myLoader) активно распространяется по электронной почте вместе со спамом, а также используя уязвимости браузеров. Возможно, в будущем злоумышленники воспользуются и другими каналами распространения вредоносного ПО для того, чтобы расширить круг жертв Trojan.Oficla.

Помимо этого, различные модификации данного троянца предлагаются на специализированных сайтах и форумах другим злоумышленникам по цене от $450 до $700.
С помощью Trojan.Oficla киберпреступники могут сформировать собственный ботнет, что и подтверждается обнаружением большого количества установленных модулей администрирования бот-сетей, расположенных на различных сайтах.

После заражения системы владельцы ботнета, формируемого Trojan.Oficla, получают возможность контролировать ПК жертвы. В частности, они могут загружать, устанавливать и использовать на нем практически любое вредоносное ПО.

Наряду с этим функционалом Trojan.Oficla обладает возможностью обходить различные антивирусные решения и популярные брандмауэры. Для этого может использоваться исполняемый файл winword.exe, если Microsoft Word установлен в системе. Скрываясь за данным процессом, Trojan.Oficla отводит от себя подозрения и затрудняет анализ зараженной системы. Если же MS Word отсутствует, Trojan.Oficla внедряется в системный процесс svchost.exe. Эксперты Eset отмечают рост числа заражений троянцем-спамером Lethic на территории Европы. В середине марта в Голландии на его долю приходилось около 13% от общего числа детектов, в Эстонии – 9%, в Бельгии — 7%. Следы инфекции замечены также в Дании, Норвегии, Швеции, Португалии, Словении, Словакии, Хорватии, Сербии, Греции, Великобритании и России. В масштабах всей Европы присутствие Lethic оценивается в 1%, что позволило исследователям занести этого троянца в Top 20 интернет-угроз.

История Lethic короткая, но бурная. Одноименный ботнет привлек к себе внимание борцов за чистоту Интернета в конце прошлого года, когда его вклад в спам-трафик стал заметен. В начале января M86 Security и MessageLabs зафиксировали резкое увеличение потоков нелегитимной
корреспонденции, распространяемой спамботами Lethic. Однако усилиями американских регистраторов и интернет-провайдеров его управляющие центры удалось на неделю нейтрализовать. В середине месяца ботнет-спамер вернулся в строй, приняв экстренные меры для защиты командного трафика. Данный троянец, по-видимому, загружается на ПК пользователей другими вредоносными программами. В настоящее время для маскировки именует себя explorer.exe.

Специалисты по информбезопасности также предупреждают о всплеске активности «червя» Koobface, заражающего сайты социальных сетей и способного собирать конфиденциальную информацию о пользователях.
Так, по наблюдениям группы исследователей «Лаборатории Касперского», в течение трех последних недель командные серверы Koobface отключались или подвергались лечению в среднем три раза в сутки. Командные серверы используются для посылки удаленных команд и обновлений на все ПК, зараженные данным червем.

Алгоритм заражения Koobface таков: комментарии и сообщения, отправляемые пользователям через зараженный аккаунт, содержат ссылку на подложный сайт YouTube, откуда под видом установочного файла новой версии проигрывателя Flash Player, к примеру, на компьютер пользователя попадает сетевой червь.
Как указывают эксперты, сначала количество работающих командных серверов червя постоянно снижалось, однако сейчас оно растет, и угроза заражения сохраняется, потому что количество атак Koobface будет только увеличиваться.

«25 февраля их (командных серверов) было 107, а 8 марта уже 71. Однако затем в течение всего двух суток их число выросло вдвое, до 142. По состоянию на 18 марта количество серверов составило 79, так что в ближайшее время стоит ожидать очередного роста» – сказано в сообщении производителя антивирусных программ.
В первую очередь количество серверов вируса увеличилось в США – их доля выросла с 48% до 52%. Проследить количество командных серверов Koobface можно, оценив географическое распределение IP-адресов, через которые происходит обмен информацией с зараженными компьютерами.

Уязвимости: опять про Windows 7

Согласно последнему исследованию, проведенному специалистами фирмы BeyondTrust, лишение пользователей административных прав доступа в системе является сдерживающим фактором для эксплуатации 90% от общего количества критических уязвимостей Windows 7.

Эти результаты демонстрируют необходимость более тщательного разграничения полномочий доступа при развертывании Windows 7 на корпоративных системах. При соответствующем контроле даже наличие непропатченных брешей в Windows 7 в подавляющем большинстве случаев не позволит хакерам скомпрометировать клиентские машины.

Лишение пользователей административных прав доступа помогает обеспечить лучшую защиту от 100% всех уязвимостей в Microsoft Office и Internet Explorer 8, обнаруженных в 2009 году, а также от 94% всех уязвимостей в Internet Explorer более ранних версий и от 64% всех уязвимостей в программных продуктах Microsoft, найденных в прошлом году.

В отчете BeyondTrust были учтены все известные уязвимости в ПО Microsoft, информация о которых была опубликована в 2009 году, а также все уязвимости в Windows 7, известные к настоящему моменту. Авторы исследования повторяют замечание компании из Редмонда, которое она делает практически в каждом своем отчете об обнаружении уязвимости. Текст замечания гласит: «пользователи, чьи аккаунты имеют более низкий уровень привилегий в системе, менее подвержены уязвимости, чем те, кто имеет административные права доступа».

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 13 за 2010 год в рубрике безопасность

©1997-2024 Компьютерная газета