Информбезопасность: ламер как угроза

Отчет компании Symantec за 2009 год показал: главной угрозой компьютерной безопасности теперь является неспособность пользователей устанавливать обновления на свои ПК. То есть, попросту говоря, элементарная компьютерная неграмотность.

Отчет Internet Security Threat Report приводит любопытную статистику. К примеру, если в 2008 году доля эксплоитов для PDF в сетевых атаках составляла 11%, то в 2009 году эта цифра выросла до 49%. Internet Explorer, в свою очередь, стал вторым по частоте атак приложением – на его долю в прошлом году пришлось 18% нападений хакеров.

Тем не менее, две трети всех атак приходится всего на две этих программы, при этом самое удивительное в том, что одна из наиболее часто атакуемых уязвимостей в Internet Explorer (в ADODB.Stream Object File) была обнаружена еще в августе 2003-го, а закрыта в июле 2004-го. Наибольшее число браузерных уязвимостей (169) было зафиксировано у Mozilla, однако Internet Explorer все равно атаковался чаще, хотя в минувшем году в нем было обнаружено лишь 45 брешей.

14% из 374 брешей, найденных в браузерах в 2009 году, остаются непропатченными, но главная проблема заключается в другом. Оказывается, пользователи не могут установить обновления даже в тех случаях, когда они доступны. Некоторые компьютеры не обновляются никогда, что вообще делает бессмысленным устранение уязвимостей.

Другая группа риска после ламеров – молодежь. Как показало исследование, проведенное RSA, отделом службы безопасности корпорации EMC, молодежь, прекрасно зная об опасностях, подстерегающих пользователя в Сети, ведет себя очень рискованно, предпочитая удобство безопасности.

Главный технолог RSA Сэм Карри говорит: «Ирония заключается в том, что представители поколения, выросшего на высоких технологиях и, по их словам, знающие о рисках, что эти технологии несут, пренебрегают добрыми советами».

В феврале этого года фирма TRU провела опрос среди молодежи об их повседневном поведении в Сети и принимаемых мерах безопасности. Было опрошено 1002 человека в возрасте от 18 до 24 лет. Более 70% опрошенных отметили, что они не так осторожны в Сети, как следовало бы быть, когда размещают информацию онлайн. К тому же они часто пренебрегают простейшими мерами безопасности при общении в социальных сетях.

В то время как 73% респондентов осознают, что кража персональных данных приводит к тяжелым последствиям, более 50% опрошенных отмечают, что для доступа на разные сайты они пользуются одним и тем же паролем. 75% опрошенных сказали, что для большинства их сверстников при покупках онлайн решающее значение имеет цена, а не защищенность процесса покупки в Сети.

55% никогда не проверяли своего кредитного отчета, 35% после покупок онлайн не всегда проверяют выписку из банковского счета. 31% опрошенных не всегда проверяют сайт, на который они отсылают реквизиты своей кредитной карточки. Поразительная беспечность, если учесть, что 64% опрошенных утверждают, что:
- они были жертвой кражи персональных данных;
- у них крали (или они теряли) мобильник, ноутбук, флешку, кредитную карту;
- они были жертвой взлома HDD, почтового аккаунта, аккаунта в социальной сети или платежной системе либо другого финансового аккаунта; - их фотографии или другая личная информация появлялись в Сети без их ведома.

Все опрошенные – молодые люди, 76% из них ищут или скоро собираются искать работу. Даже зная о том, как могут повредить репутации следы, оставленные в Сети, 67% размещали в Интернете неподобающий контент, а также фото и/или видео со сценами употребления алкоголя, наркотиков, курения или секса.

Но вернусь к отчету Symantec о киберугрозах. Согласно ему, 2009 год был отмечен двумя мощнейшими атаками – Downadup в начале года и Hydraq в конце. В целом же год характеризовался продолжением роста объемов и изощренности киберугроз.

Стивен Триллинг, старший вице-президент Symantec по технологиям защиты, утверждает: «Киберпреступники переходят от простых атак к крайне изощренным шпионским кампаниям, целью которых становятся крупнейшие мировые корпорации и правительственные структуры. Масштаб таких угроз и тот факт, что они возникают по всему миру, переводит данную проблему на международный уровень. Необходима совместная работа коммерческих компаний и мировых правительств».

Аналитики Symantec отмечают, что хакеры используют распространенную в соцсетях персональную информацию для организации массовых атак на ключевых менеджеров целевых компаний. Hydraq, ставший широко известным в начале 2010-го, – лишь последняя популярная угроза из числа многочисленных аналогичных вредоносных кампаний, таких, как Shadow Network в 2009-м и Ghostnet в 2008-м.

Обращает Symantec внимание и на то, что готовые инструменты делают интернет-атаки все более простыми. Специальные инструменты позволяют новичкам гораздо легче взламывать ПК и воровать данные. Один из таких пакетов Zeus (Zbot), стоимостью всего $700, автоматизирует создание кастомизированного вредоносного кода, позволяющего получить доступ к персональным данным. Используя эти инструменты, злоумышленники создали миллионы вариантов программ, предназначенных для того, чтобы обходить средства защиты.

Количество web-атак продолжает расти. Киберзлоумышленники используют приемы социальной инженерии для привлечения пользователей к зараженным web- сайтам. Затем с сайтов атакуется браузер жертвы, используются уязвимые плагины, необходимые для просмотра видеоматериалов или документов. Аналитики подтвердили и то, что кибератаки приходят из развивающихся стран, где активно расширяется инфраструктура ШПД, – таких, как Бразилия, Индия, Польша, Вьетнам и Россия. В 2009-м эти страны поднялись на первые позиции в рейтинге источников и целей вредоносной активности злоумышленников. Активное преследование киберпреступников со стороны развитых стран заставило мошенников уйти в развивающиеся государства, где вероятность наказания за такие действия существенно ниже.

В 2009 году в Symantec обнаружили более 240 млн абсолютно новых образцов кода – это означает 100%-й прирост по сравнению с 2008-м. Самыми распространенными угрозами 2009-го стали вирус Sality.AE, троян Brisv Trojan и червь SillyFDC. Вредоносный код Downadup (Conficker) продолжает распространяться. К концу 2009-го Downadup заразил более 6,5 млн ПК по всему миру. Несмотря на то что машины, инфицированные Downadup/Conficker, еще не были замечены в какой-либо вредоносной деятельности, угроза их активации сохраняется.

Количество компрометированных данных продолжает расти. 60% всех случаев кражи конфиденциальных данных стали результатом хакерской деятельности. Этот вид угроз касается не только деятельности крупных корпораций, отчет Symantec State of Enterprise Security Report 2010 показывает: в 2009 году 75% бизнес-структур подвергались разного рода кибератакам.

Атаки: iPad под ударом

Хакеры начинают охоту за пользователями новых устройств iPad. В Сети уже зафиксированы поддельные обновления ПО, маскирующиеся под некие программные апдейты для iPad. По данным румынской компании BitDefender, хакерское обновление якобы работает через iTunes и выпускается для перепрошивки iPad.

Пока не совсем понятно, что именно делает «обновление». Известно только, что оно рекомендуется для установки всем пользователям iPad «для повышения производительности и оснащения рядом новых функций». В сообщении пользователям предлагается скачать файл itunessetup.exe, который на самом деле представляет собой троян, подключающийся к процессу explorer.exe и открывающий внешний доступ к планшетнику.

Далее злоумышленники просто рассылают по зараженным ПК вредоносный софт, делающий из компьютеров ботнет. В классификации BitDefender представленный код получил название Backdoor.Bitrose.AADY.

Телекоммуникации: проблемы GSM-сетей

Эксперты по безопасности сетей Дон Бэйли из компании iSec Partners и независимый специалист Ник ДеПетрильо представили структурный взлом GSM- сетей. Дон Бэйли заявил, что в телеком-индустрии есть множество потенциальных угроз, но теперь удалось объединить эти потенциальные угрозы в единый мощный инструмент, доказывающий беззащитность сотовых сетей США. Работа Бэйли и ДеПетрильо базируется на исследованиях Тобиаса Энгела, обнародованных в конце 2008 года. Энгел показал, как определить приблизительное местоположение абонента, зная его номер, но Бэйли и ДеПетрильо пошли гораздо дальше.

По словам авторов открытия, ужасно то, что их система позволяет найти информацию практически по любому наугад взятому номеру. Например, если нужен телефон Брэда Питта, есть способ проанализировать информацию, которую сотовые операторы передают в сигнале определения номера Caller ID. Используя эту информацию, хакеры могут просмотреть всю информацию о номерах в Калифорнии и найти абонента с таким именем.

Новый способ взлома сотовых сетей использует особенности механизма определения номера Caller ID в GSM-сетях. Авторам удалось использовать этот механизм для получения полного телефонного справочника практически по всем номерам. Чтобы выполнить свой трюк, ДеПетрильо и Бэйли создали виртуальный номер на базе учетной записи в одном из сервисов интернет-телефонии VoIP. К этому номеру был подключен механизм определения номеров Caller ID. После создания виртуального номера авторы начали звонить на этот номер снова и снова, используя крупные блоки заведомо ложных номеров, а отклик механизма Caller ID по каждому из номеров фиксировался с помощью VoIP-сервера на базе популярной платформы Asterisk. Особенность GSM-сетей в США в том, что операторы поддерживают так называемый «реестр домашних адресов» HLR (Home Location Register). Обычно эта информация, связывающая личности абонентов с их номерами, скрыта от рядовых пользователей, но специалистам удалось найти способ получения информации напрямую из реестра HLR. Собранная информация помогла создать полноценный каталог, связывающий конкретных людей с номерами сотовых телефонов. Каталог позволяет найти человека по номеру и номер по имени человека. В ходе исследований были собраны огромные массивы информации о номерах, принадлежащих частным компаниям и госорганизациям.

На данный момент исследователи не раскрывают полный перечень инструментов, использованный для взлома. В то же время авторы открытия уже предупредили о возможной опасности крупнейших сотовых операторов США.

Уязвимости: опять Facebook

Новый интерфейс Graph API, недавно внедренный в Facebook и призванный объединить сеть еще крепче, содержит серьезную брешь, позволяющую увидеть список публичных мероприятий, которые пользователи посетили или планируют посетить. Быть «другом» этих пользователей на Facebook для извлечения данной информации вовсе не обязательно.

Первым о проблеме рассказал программист благотворительного фонда Google Ка-Пин Йи, который при поиске через Graph API обнаружил, что практически все запросы позволяли ему увидеть мероприятия, которые те или иные люди планировали посетить или уже посетили. Йи продемонстрировал уязвимость этого API, связанного напрямую с базами данных Facebook, показав список запланированных мероприятий ее основателя Марка Цукерберга. По словам эксперта, способов предотвратить появление списка событий в публичном доступе с помощью настроек безопасности нет. Единственный вариант избежать огласки – это заявить, что ты не собираешься посещать определенную встречу, даже если тебя на нее пригласили.

Несмотря на то, что новая система показывает информацию лишь об «открытых» мероприятиях, которая по сути своей и должна быть открытой, она радикально меняет ситуацию. К примеру, с помощью списка запланированных визитов можно в конечном итоге получить сведения о домашнем адресе человека, адресах его друзей, фамилии людей, имеющих общие с определенным пользователем интересы, его пристрастия, а также сведения об осуществляемой им политической или религиозной деятельности.

Кибермошенничество: торренты-фальшивки

Компания «Доктор Веб» выявила сеть из более чем 20 поддельных торрент-трекеров и файлообменников, созданных злоумышленниками для реализации их мошеннических схем. Несмотря на формальную бесплатность, при запуске скачанного с такого сайта файла требуется отправить несколько платных SMS- сообщений. Но и после этого запрашиваемый фильм, музыкальный трек или книгу пользователь не получает.

Выявленная Dr.Web сеть включает 20 сайтов, зарегистрированных с 8 марта по 14 апреля этого года. В этот же период в Сети появилась и их реклама. Подобные интернет-ресурсы «откликаются» на популярные запросы, что позволяет привлечь большую аудиторию пользователей, желающих скачать кинофильмы, книги, музыкальные композиции, игры, а также различное ПО. В свою очередь, на этих сайтах также работают системы поиска, предлагающие пользователям «ответ» практически на любой запрос.

Схема, по которой работают злоумышленники, создавшие данные интернет-ресурсы, такова: пользователь попадает на поддельный сайт либо по ссылке в поисковой системе, либо через рекламу, размещенную на других ресурсах, далее по соответствующей ссылке скачивает исполняемый файл (выдает себя за архив), размер которого всегда остается неизменным, – около 16 Mб (вне зависимости от того, что загрузил пользователь – кино или mp3-файл). Для распаковки желаемого файла от пользователя требуют отправить три платных SMS-сообщения, каждое из которых стоит от 150 до 200 российских рублей. Но взамен он получает лишь фальшивку, потеряв при этом достаточно значительную сумму.

Антивирусные продукты Dr.Web определяют подобный файл как Tool.SMSSend.2. Согласно статистике количество попыток его проникновения на компьютеры пользователей уже превышает 6000 в сутки.

Список известных на сегодняшний день поддельных торрент-трекеров и файлообменников:
doownle.com
re-tracker.org
rapid-load.net
positivfiles.com
topnewfiles.ru
vskachke.info
giga-files.net
gigafiles.biz
realdownload.biz
vprokachke.com
download-club.ru
downloadf.ru
softdownload-mirror1.in
softdownload-mirror2.in
softdownload-mirror3.in
softdownload-mirror4.in
softdownload-mirror5.in
softdownload-mirror6.in
softdownload-mirror7.in
softdownload-mirror8.in

Зачастую такие сайты занимают первые места в поисковых системах, что увеличивает число потенциальных жертв.

Будьте бдительны!

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 17 за 2010 год в рубрике безопасность

©1997-2022 Компьютерная газета
oJnWE3?=нD}{DfHM=|]| ,Rh٣ <Ļi՛)^l`6=Rep9oyB~{<@- $ 3?:͜i*Ifgf$;9'yUw9Z.N#ҧcxS`np^i㺔o; :_].mC[tTbH)n̳\jzskV[CMͿ v}\I?lI_ }:7„CzhrE