Информбезопасность: сложности оценки

Нельзя исключать, что ущерб, наносимый мировой экономике хакерами, компьютерными пиратами и прочими киберзлоумышленниками, значительно переоценен. Вот только один, но весьма показательный пример.

Главное контрольное управление США (GAO) назвало необоснованными оценки ущерба, наносимого экономике страны пиратами и производителями контрафактных товаров. В отчете, направленном в Конгресс, чиновники заявили, что оценить экономическое влияние пиратства очень сложно, если не сказать — невозможно.

В GAO рассмотрели самые популярные оценки ущерба, наносимого пиратами правообладателям. В обзор вошли как оценки, приводимые госорганами и спецслужбами, так и отраслевые. И вышло вот что: при подготовке 41-страничного отчета об интеллектуальной собственности сотрудники GOA не нашли ни одной достоверной оценки убытков правообладателей от пиратов. В ФБР не смогли объяснить, как именно получилась их оценка. В Таможенно- пограничной службе США не смогли обнаружить источник своей оценки и отказались от нее. В Федеральной торговой комиссии просто не нашли данные, на которые не раз ссылались представители американских корпораций.

Также признана необоснованной оценка ущерба от пиратства авторства Business Software Alliance, предполагающей, что вред от каждого случая пиратства соответствует упущенной выгоде от одной продажи товара. Киноассоциация MPAA, у которой тоже есть свои оценки, не раскрывает методику подсчета ущерба и потому не может приводиться как источник в законодательных актах.

Отчет GAO – следствие принятия в 2008 году закона PRO-IP Act и назначения в феврале 2010 года Виктории Эспинель на должность координатора по вопросам интеллектуальной собственности. Та в первые же дни своей работы потребовала от правообладателей достоверных данных, связанных с их деятельностью.

Документ, о котором идет речь, предназначен для членов комитетов Конгресса и представляет собой «Наблюдения за попытками измерить экономические эффекты от пиратства и контрафактных товаров». Это часть проекта по сбору информации, начатого Викторией Эспинель, копирайтной «царицей» при администрации Барака Обамы.

Уязвимости: десять казней компьютерных

Пользователи ОС Windows и среды Java подвержены серьезной уязвимости, эксплуатация которой может полностью скомпрометировать систему. Сообщения об уязвимости появились сразу из двух независимых источников.

Сообщается, что проблема кроется в фреймворке Java Web Start. Данная технология была разработана Sun Microsystems и позволяет в упрощенном режиме развертывать Java-приложения в системе. Исследователи обнаружили, что технология Java WS неверно сверяет параметры, передаваемые ей через командную строку. Воспользовавшись этим, атакующий может через HTML-тэги контролировать системные переменные. О факте данного бага сообщил Рубен Сантамарта в блоге на портале ReverseMode.com.

Примерно такое же описание дает и Тевис Орманди, сообщающий на сайте Seclists.org, что простым блокированием соответствующего плагина Java проблему решить не удастся, так как уязвимый компонент инсталлируется сам по себе и функционирует отдельно. «Проще говоря, уязвимости подвержены все Windows-пользователи последней версии Java-машины», – пишет Орманди.

«Java.exe и javaw.exe содержат в себе недокументированный скрытый командный параметр «-Xxaltjvm» и «-J-Xxaltjvm» (в случае с javaw.exe). Этот параметр подгружает альтернативную библиотеку jvm.dll или libjvm.so. И все. Если мы даем параметр -XXaltjvm=\pevil, то файл Javaw.exe загрузит нашу библиотеку», — утверждает Орманди.

Так как технология Java WS включена в Java Runtime Enviroment, которая используется всеми основными браузерами, то уязвимость может затрагивать браузеры Firefox, Google Chrome и Internet Explorer, а также операционные системы, начиная с Windows 2000 и заканчивая Windows 7. Браузеры под Mac OS X уязвимости не подвержены.

IТ-специалисты говорят, что уже проинформировали Sun об уязвимости, но в Sun не сочли ее критической настолько, чтобы выпускать экстренный патч. Другая обнаруженная недавно уязвимость по своим масштабам вполне может превзойти предыдущую. Джереми Конвей из NitroSecurity представил образец кода, позволяющего вредоносным pdf-файлам заражать другие файлы PDF, находящиеся в компьютере, без использования какой бы то ни было уязвимости. По словам исследователя, при написании кода он воспользовался наработками другого эксперта, Дидье Стивенса, который не так давно представил способ компрометации системы с помощью специально составленного файла PDF.

Вдохновленный этим открытием, Конвей написал код, который может быть использован для заражения любого файла PDF, хранящегося на ПК или доступного через сетевые диски, при этом внешне такой файл никак не изменяется. По словам специалиста, подобные файлы могут храниться на ПК пользователя годами и считаться полностью безопасными, однако на самом деле они будут таить в себе угрозы самого широкого спектра на усмотрение хакера.

Таким образом, исследователю удалось показать, что проблема намного серьезнее, чем казалась на первый взгляд, и лежит внутри самих спецификаций формата PDF. В этой связи необходимо отметить, что и Adobe, и Foxit Software уже подтвердили факт разработки более серьезного решения для устранения данной бреши.

А вот краткое описание ряда других уязвимостей, обнаруженных в последнее время:

* В системе управления web-контентом TYPO3 найдена критическая уязвимость, позволяющая любому посетителю выполнить PHP-код на сервере. Для успешной эксплуатации уязвимости в конфигурации PHP должны быть активированы режимы «register_globals2, «allow_url_include» и «allow_url_fopen». Уязвимость исправлена в версии TYPO3 4.3.3.

* В системе для аудита беспроводных сетей Aircrack-ng найдена уязвимость, которая может привести к выполнению кода злоумышленника при анализе в Aircrack-ng специальным образом оформленных EAPOL-пакетов.

* В web-интерфейсе для управления системой мониторинга Zabbix найдена уязвимость, позволяющая осуществить подстановку SQL-кода через передачу запроса к api_jsonrpc.php с передачей в поле «user» специально оформленного значения. Проблема исправлена в версии 1.8.2.

* В различных продуктах VMware (VMware Workstation, VMware Player, VMware ESX и т.д.) обнаружено в общей сложности девять уязвимостей, некоторые из которых позволяют повысить свои привилегии в системе и выйти за пределы изолированного окружения.

* В memcached 1.4.3 устранена проблема безопасности, дающая возможность локальному злоумышленнику, имеющему доступ к управляющему TCP-порту memcached, вызвать отказ в обслуживании через инициирование излишне большого потребления памяти.

* Несколько уязвимостей в ядре Linux:
- ошибка форматирования строки в SCSI Target Framework (tgt) может быть использована локальным злоумышленником для вызова краха ядра или потенциально для повышения своих привилегий в системе;
- в реализации файловой системы ReiserFS найдена уязвимость, связанная с некорректной установкой прав доступа на директорию «.reiserfs_priv», что может быть использовано для получения повышенных привилегий;
- в функции cifs_create обнаружена возможность разыменования NULL-указателя, что может привести к краху при создании файла без ассоциированной с ним структуры «nameidata»;
- в коде драйвера r128 найдена уязвимость, позволяющая вызвать крах или потенциально повысить свои привилегии в системе через отправку специального IOCTL-вызова.

Атаки: «умные телефоны» под ударом

Компания Sophos предупреждает о появлении вредоносной программы, инфицирующей смартфоны и коммуникаторы под управлением Windows Mobile. Код трояна, получившего название Troj/Terdial-A, встроен в мобильную игру 3D Anti-terrorist Action (приложение размещено на множестве сайтов, предлагающих контент для коммуникаторов).

Пользователи, столкнувшиеся с инфицированной игрой 3D Anti-terrorist Action, сообщают, что мобильные устройства самопроизвольно совершают дорогостоящие международные звонки в Доминиканскую Республику, Сомали и прочие подобные места планеты.

По данным Sophos, троян создан неким киберпреступником с российскими корнями, по всей видимости, получающим долю от стоимости звонков на премиум- номера. О том, какое количество владельцев Windows-смартфонов успело загрузить инфицированную игру, не сообщается.

Кибермошенничества: новые социальные технологии

В Интернете обнаружен новый тип мошенничества. Суть его заключается в том, что злоумышленники, выступающие под именем компании ICPP Foundation, которая якобы сотрудничает с организациями по защите авторских прав, предлагают пользователям выплатить «штраф» за скачивание пиратских торрентов.

Мошенники используют троян, который проводит сканирование системы и находит пиратские BitTorrent-файлы. После этого пользователям предлагается выплатить «штраф» в размере $400 для внесудебного решения конфликта. Исследователи из компании F-Secure отмечают, что требование выплатить штраф появляется даже в случае отсутствия на жестком диске торрентов.

Троян принуждает пользователей оставить свое имя, адрес и данные кредитной карты. В противном случае «нарушителям» угрожают привлечением к судебной ответственности с последующей выплатой штрафа в $250.000 и тюремным заключением на срок до пяти лет.

Программа, с помощью которой злоумышленники пытаются вымогать деньги, обычно устанавливается в папку под названием IQManager. Она содержит ссылки на отчет о правонарушении, а также на сайт организации – это должно убедить пользователей в серьезности предъявляемых им обвинений. Звонки специалистов F-Secure на телефонные номера с итальянским телефонным кодом, расположенные на сайте ICPP Foundation (ICPP-online.com), остались без ответа. По данным сервиса WHOIS, сайт, на котором располагаются так называемые отчеты, принадлежит «Защищенной сомалийской сети», IP-адрес которой указывает на систему, расположенную в Молдавии.

Аналитикам удалось выяснить, что в рамках этой мошеннической схемы злоумышленники используют контактную информацию, ранее указывавшуюся в схемах с использованием трояна Zeus и червя Koobface. Zeus получил известность после обнаружения в феврале 2010 года гигантского ботнета, в который входило не менее 75 тысяч компьютеров. Предполагалось, что именно этот троян использовался для распространения ботнета.

Инструменты безопасности: главное – защитить Windows

Корпорация Microsoft представила новый инструмент для анализа состояния защищенности продуктов MS Windows 7 и Internet Explorer 8. Решение под названием Security Compliance Manager призвано упростить процессы использования существующих стандартов защиты и требований к обеспечению безопасности IТ-среды.

Security Compliance Manager представляет собой единое приложение для автоматизации управления настройками системы для устранения потенциально опасных ситуаций (отсутствие установленного пакета обновлений, неверная конфигурация учетной записи, незакрытые уязвимости в ПО и так далее). С помощью Security Compliance Manager IТ-специалист может создавать, развертывать, исполнять и управлять конфигурациями для клиентских и серверных изданий Windows, включая и Windows 7, а также связанных с ними приложений. Для этого ему будет предоставлен доступ к полной базе данных рекомендованных Microsoft настроек безопасности, которые могут быть изменены в соответствии с конкретными задачами, которые решаются в компании. Их можно будет загружать в различных форматах для анализа или немедленного применения (DCM, SCAP, XLS, GPO).

Противодействие киберкриминалу

К двум годам лишения свободы и 35 тыс. рублей штрафа приговорил Кузьминский суд Москвы Альберта Сааева, который, по данным ФСБ, придерживается идеологии ваххабизма. Он был признан виновным в организации хакерских атак на сайты органов власти Чечни, Ингушетии и Дагестана, сообщает Генпрокуратура РФ. Приговор был вынесен по части 2 статьи 272 («неправомерный доступ к компьютерной информации») и части 1 статьи 273 («создание, использование и распространение вредоносных программ для ЭВМ»).

По версии следствия, Сааев за денежное вознаграждение организовал DDoS-атаки на сайты СМИ и органов власти ряда северокавказских регионов. Кроме того, он привлек соучастника для создания вредоносной программы. Атаки на сайты выдавались за действия «киберподразделения «Ансар» незаконного вооруженного формирования «Эмират Кавказ»», говорится в сообщении Генпрокуратуры.

Кроме того, следствие считает, что Сааев предоставил незаконно полученный им доступ к сайту chechnyatoday.com неким людям, которые разместили на нем угрозы в адрес президента Чечни Рамзана Кадырова. По этому факту было возбуждено отдельное уголовное дело.

Ранее сообщалось, что Сааев, задержанный в сентябре 2009 года, отказывается признавать свою вину. Он утверждал, что лишь консультировал за деньги неких людей, которые просили его «указать слабые места в защите правительственных сайтов». Адвокат осужденного также говорил, что на его клиента оказывалось давление: ему предлагали признаться не только в организации, но и в осуществлении хакерских атак, угрожая в противном случае передать его чеченским властям для проведения следственных мероприятий.

А гендиректор «Лаборатории Касперского» Евгений Касперский сравнил действия хакеров в Интернете с гражданской войной. В интервью британскому изданию PCR он сообщил, что за многими крупными кибератаками стоят правительства определенных стран. «Я уверен в этом на 90%. В настоящее время ситуация очень опасна. Мировая экономика зависит от Интернета», – уверен Евгений Касперский.

По его словам, такие проблемы, как финансовый кризис или глобальное потепление, отойдут на второй план в случае целенаправленного уничтожения интернет-инфраструктуры государств. Евгений Касперский подчеркнул, что дни, когда хакерами называли студентов, а к кибератакам часто причисляли безобидные вирусы, написанные ради удовольствия, прошли.

«Теперь действуют настоящие преступники, которые целенаправленно организуют атаки глобального масштаба, затрагивающие все сферы мировой экономики», – добавил основатель «Лаборатории Касперского».

Евгений Касперский также рассказал, каким он видит ближайшее будущее цифровых технологий. Он считает, что со временем компьютеры исчезнут, а их функции будут выполнять телефоны. «Нам не понадобятся компьютеры. Например, в гостиницах будут располагаться клавиатуры и дисплеи, к которым можно подключить ваш телефон», – уверен Евгений Касперский.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 15 за 2010 год в рубрике безопасность

©1997-2024 Компьютерная газета