Информбезопасность: время драконов

В опубликованном недавно докладе компании Symantec сказано: каждую секунду на Земле совершается в среднем сто хакерских атак. По данным Symantec, количество злоупотреблений в Сети в 2009 году выросло на 71% по сравнению с 2008-м.

Подавляющее большинство случаев хакерского вмешательства безобидны, но каждые 4,5 секунды одна из них приносит реальный вред. В прошлом году эксперты Symantec зарегистрировали 2,9 млн вирусов, троянов и других вредных программ, 51% которых появились впервые.

Стремительный рост киберпреступности подстегивает появление большого числа простых в обращении пакетов ПО, с помощью которых вирусы могут создавать даже начинающие хакеры, говорит эксперт Symantec Тони Осборн. Некоторые из них доступны в Сети бесплатно, другие стоят недешево. Один из самых известных, Zeus, обойдется желающему в $700. Дошло уже до того, что его создатели предлагают телефонную консультацию тем, у кого он не запускается.

По данным Symаntec, в 2009 году было продано свыше 90 тыс. пакетов Zeus, и именно с их помощью были созданы наиболее вредные вирусы. Zeus при помощи спам-сообщений заманивает людей на сайты, где их обманом заставляют устанавливать вредные коды, или проникает в ПК, используя известные слабые места.

Все чаще, говорится в докладе, компьютерные преступники создают бот-сети из компьютеров-«зомби», которыми можно управлять дистанционно и без ведома их владельцев использовать для рассылки спама или кражи персональных данных. Как утверждают эксперты Symantec, в прошлом году почти семь миллионов ПК были втянуты в бот-сети.

Кража данных из ПК стала повседневным занятием для множества людей, утверждает Тони Осборн. «А почему бы им этого не делать? Деньги даются легко, а поймать злоумышленников сложно», – говорит он.

По некоторым данным, профессиональные киберпреступники в поисках информации о корпоративных служащих и компаниях, в которых те работают, обратили внимание на социальные сети и почтовые службы. Рост компьютерной преступности затронул и развивающиеся страны, особенно Индию и Бразилию, где все больше людей пользуется Интернетом для повседневных дел.

Атаки: Gmail снова под ударом

Пользователи почтового сервиса Google Gmail сообщают о множественных случаях взлома почтовых ящиков и бесконтрольной рассылке спама. Как показало предварительное расследование, спам рассылается по адресам из книги контактов аккаунта жертвы. Тема сообщений не указывается, а в теле писем приводится лишь ссылка на некую интернет-аптеку в зоне .co.cc (оказавшись на указанном сайте, браузер атакуется набором эксплойтов к свежим уязвимостям). Копии писем сохраняются в папке «Отправленные», иногда их можно обнаружить в «Корзине». Некоторые письма не доходят до адресата и оседают в виде уведомлений о недоставке в папке «Входящие».

«Лаборатория Касперского» отмечает, что взламываются как действующие аккаунты, так и те, которыми давно перестали пользоваться. Каким именно образом злоумышленники получают доступ к чужим почтовым ящикам, пока не ясно. Надежность пароля и наличие антивируса, а также тип установленных ОС и браузера, похоже, никакой роли не играют.

Примечательно, что киберпреступники используют контакты своих жертв только для рассылки спама. Пароли к почтовым ящикам остаются нетронутыми; записи из адресной книги или письма из папок не уничтожаются.

Как много Gmail-аккаунтов подверглись взлому, эксперты не знают. Ну а компания Google пока уклоняется от официальных комментариев.

А вот, «для комплекта», и другая неприятная новость от интернет-гиганта. В ходе взлома компьютерных систем Google в декабре 2009 года хакерам удалось заполучить парольную систему Gaia, контролирующую доступ миллионов пользователей к почти всем web-сервисам компании. В число сервисов, затронутых взломом, входят web-почта и сервисы компании для корпоративных клиентов. Между тем, хакерам не удалось похитить сами пароли. Кроме того, вскоре после взлома компания внесла значительные изменения в систему безопасности.

Google до сих пор использует Gaia (теперь она называется Single Sign-On), однако компания добавила шифрование для web-почты Gmail и усилила безопасность передачи данных между сервисами. Тем не менее, как считают специалисты, остается возможность того, что хакеры, изучив Gaia, найдут в ней уязвимость и воспользуются ею.

Сам взлом, как выяснилось, начался с сообщения, отправленного сотруднику Google через программу Microsoft Messenger. Нажав на ссылку, сотрудник зашел на зараженный сайт и невольно предоставил злоумышленникам доступ к своему ПК, а затем и к компьютерам разработчиков в штаб-квартире компании. Хакерам удалось получить контроль над хранилищем разработок соответствующего отдела.

Сотрудники Google публично сообщили о взломе и краже интеллектуальной собственности в январе, однако не уточнили, к чему именно получили доступ хакеры. В Google лишь отметили, что злоумышленники были из Китая и пригрозили покинуть китайский рынок. Что, собственно, недавно и произошло. А вот кое-что смешное. Третьеклассник из штата Вирджиния, США, присвоил себе права администратора, вошел в систему и поменял пароли учителей. Полиция решила не привлекать ребенка к уголовной ответственности. 9-летний житель городка Маклин смог взломать систему дистанционного обучения Blackboard Learning System, которая применяется в некоторых школах США. Имя мальчика не называется.

Полиция сообщает, что третьеклассник зашел в систему под именем администратора. Он поменял пароли учителей и внес изменения в некоторые разделы сайта. Атаку мальчик произвел с домашнего ПК. Хакера вычислили по IP-адресу. Сперва полиция подозревала, что к взлому причастна мать ребенка. Истинного виновника стражи правопорядка вычислили в ходе допроса. Представитель полиции округа Фэрфакс Дон Готхард сообщил, что ребенка не будут привлекать к уголовной ответственности. Следствие решило, что при взломе мальчик не руководствовался преступными побуждениями.

С помощью системы Blackboard Learning System американские учителя публикуют списки заданий, проводят дискуссии и просматривают сведения об успеваемости. Ученики используют сайт для домашних занятий.

Вредоносное ПО: вирус против Apple Mac OS Х

Компания Intego, специализирующаяся на компьютерной безопасности, предупреждает о появлении новой вредоносной программы, поражающей компьютеры под управлением Apple Mac OS Х.

HellRTS.D представляет собой очередную мутацию вируса, появившегося в 2004 году. Программа инфицирует «Макинтоши», построенные на процессорах Intel, а также старые модели, оснащенные чипами IBM PowerPC. HellRTS.D может попасть в ПК, например, через уязвимость в браузере. Программа замечена на ряде web-форумов; впрочем, распространения она пока не получила.

Проникнув в машину, HellRTS.D копирует себя под различными именами, используя для маскировки названия привычных приложений, таких как iPhoto. Вредоносная программа открывает черный вход в систему, через который злоумышленники могут получить прямой доступ к ресурсам ПК. HellRTS.D позволяет удаленно перезагружать или выключать компьютер, просматривать информацию в буфере обмена, делать снимки рабочего стола и т.д. Специалисты румынской антивирусной фирмы BitDefender предупредили пользователей о появлении фальшивой утилиты для разблокировки iPhone, истинным назначением которой является перехват интернет-соединений на скомпрометированном ПК.

Рассылаемый злоумышленниками спам рекламирует потенциальным жертвам портал iphone-iphone.info, на котором содержится ссылка для загрузки исполняемого файла Windows, озаглавленного blackra1n.exe. Программа якобы помогает разблокировать смартфон производства Apple, однако на самом деле изменяет на инфицированных машинах настройки DNS по умолчанию и перехватывает соединения с Сетью.

По информации экспертов, троян Trojan-BAT-AACL содержится в командном файле Windows, упакованным вместе с приложением для разблокировки iPhone. Адреса вредоносных DNS-серверов начинаются с цифр 188.210.ххх.ххх. Через них злоумышленники перехватывают запросы пользователей и перенаправляют их на свои собственные сайты.

Уязвимости: противостояние

Платежная система PayPal объявила о закрытии ряда критических уязвимостей в системе безопасности, обнаруженных исследователем Avnet Technologies Ниром Голдшлагером. Среди этих брешей была уязвимость, позволяющая атакующему получать доступ к базе данных финансовых отчетов для фирм и владельцев привилегированных аккаунтов и извлекать оттуда большие объемы информации.

Уязвимости были пропатчены после того, как Голдшлагер привлек к ним внимание администрации. Самым опасным багом была проблема с установленными разрешениями на сайте business.paypal.com, поскольку она могла привести к массированной утечке данных. По словам эксперта, неавторизованный доступ к базе отчетов позволял просматривать полную информацию о сделанных за месяц или день заказах, адресах отгрузки, идентификаторах транзакций, а также их сумме и дате.

Среди прочих брешей были обнаруженные Голдшлагером уязвимости к межсайтовому скриптингу (XSS) на сайтах paypal.com и business.paypal.com, позволявшие красть идентификаторы сессий и взламывать аккаунты пользователей, а также уязвимость к межсайтовой подделке запросов (CSFR), связанная с системой мгновенного уведомления о транзакциях, с помощью которой нападающий мог получить доступ к пользовательским данным, вставив в адрес рассылки указание на свой web-сайт.

Злоумышленники, стоящие за использованием хакерского инструментария Zeus, начали эксплуатацию непропатченной уязвимости в файлах PDF для установки на компьютеры пользователей вредоносного ПО. Согласно сообщению экспертов M86 Security Labs, распространяемые мошенниками по e-mail файлы PDF якобы представляют собой счета-фактуры. Если пользователь откроет такой файл и кликнет по кнопкам в появляющихся друг за другом диалоговых окнах, он либо запустит (в случае с программами Adobe), либо автоматически сохранит на жестком диске (в случае с Foxit Reader) вредоносный файл, делающий ПК частью ботнета.

Впрочем, эксплойт, использующий открытую экспертом Дидье Стивенсом структурную уязвимость в стандарте PDF, явно сделан на скорую руку. Во- первых, он требует наличия включенного JavaScript, а во-вторых, не подменяет текст предупреждения о запуске файла, появляющегося в одном из диалоговых окон. Тем не менее, он представляет собой образец реальной атаки, использующей найденную Стивенсом брешь.

В Adobe уже сообщили о своем намерении внести изменения в Reader и Acrobat, чтобы решить проблему, пока же пользователи этих программ могут самостоятельно минимизировать риск заражения, кликнув по вкладке Trust Manager в левой части панели предпочтений и сняв пометку с пункта «Allow opening of non-PDF file attachments with external applications».

ПО для информбезопасности

Иностранные производители систем защиты от утечек данных быстро захватывают российский рынок. Пока россияне уверено лидируют, но потенциал их развития заметно ниже.
Аналитики Anti-malware.ru провели анализ российского рынка систем защиты от утечек данных (DLP), сравнив его состояние в 2008 и 2009 годах. Общий объем российского рынка DLP-систем в 2009-м вырос на 8,1% до $15,3 млн, годом ранее этот показатель составлял $14,2 млн.

Под DLP-системами в исследовании понимались продукты, позволяющие обнаружить или блокировать несанкционированную передачу конфиденциальной информации с использованием информационной инфраструктуры предприятия. Такое ПО должно контролировать передачу данных через e-mail или мессенджеры, запись на внешние устройства и сетевую печать.

Все крупнейшие разработчики показали рост продаж, исключая лидера – компанию Infowatch. Ее выручка снизилась более чем на 30% – с $7,2 млн в 2008 году до $5 млн в 2009-м. Рыночная доля упала с 50,9% до 32,7%. Для аналитики Infowatch предоставляла данные аудированной отчетности, в указанные суммы входит только продажа лицензий на Traffic Monitor.

«Мы работаем в enterprise-сегменте, наши проекты начинаются от 1000 пользователей. Продажи у этих клиентов просто отложились, до августа 2009 года никто из них не вкладывался в информбезопасность», – объясняет заместитель генерального директора Infowatch Рустэм Хайретдинов. Зато в I квартале 2010 года, по его словам, Infowatch подписал контрактов на сумму, сопоставимую с объемом продаж всего 2009-го.

Выручка от продажи DLP-решений находящейся на втором месте компании «Инфосистемы Джет» выросла более чем на 28% – с $3,5 млн до $4,5 млн. Рыночная доля увеличилась с 24,7% до 29,4%. Третье место рейтинга также за российским игроком SecurIT. Его выручка от DLP в 2009 году составила $2,9 млн, доля – 19%. Замыкают первую шестерку списка зарубежные игроки – Websence, Symantec и McAfee. В 2008 году в сумме на них приходилось 7,4% российского рынка, а в 2009-м этот показатель вырос до 17%. В 2010 году аналитики прогнозируют рост российского рынка DLP-систем на 20-30% до общего объема $18-20 млн. Оценивая потенциал роста компаний, аналитики прогнозируют низкую динамику роста всем троим российским игрокам, и высокую – догоняющим их зарубежным компаниям.

Как считает Илья Шабанов, основатель и управляющий партнер anti-malware.ru, после 2010 года рост доли иностранных компаний в продажах DPL-систем в России продолжится. «Этот рынок растворится в более крупном рынке информационной безопасности. Отдельно DLP-функционал будет востребован мало, заказчики будут стремиться получить комплексные, гарантированно совместимые решения одного разработчика. Что, безусловно, усилит позиции зарубежных игроков, так как их российские коллеги сейчас не могут закрыть своими решениями такие потребности», – говорит он.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 16 за 2010 год в рубрике безопасность

©1997-2024 Компьютерная газета