Информбезопасность: автоматизация киберпреступности

Хакеры в последнее время не просто используют сплав технологических приемов и разнообразных методик социальной инженерии. Теперь компьютерные злоумышленники стараются по максимуму автоматизировать свои действия с тем, чтобы охватить сразу как можно больше пользователей. Интернет растет, и закон больших чисел оказывается на стороне преступников.

Хитроумные взломы отдельных сетей и ПК, которые можно было назвать чудесами хакерской изобретательности, уходят в прошлое. Сегодняшние интернет- злоумышленники «бьют по площадям». Они исходят из формулы «100/(n+m)». В ней «100» – это сотня произвольно взятых пользователей, «n» – число пользователей в этой сотне, не отягощенных наличием головы на плечах, а «m» – число пользователей в сотне, не заботящихся о сохранности данных на своем ПК.

Тенденции киберпреступности

«Лаборатория Касперского» опубликовала рейтинги вредоносного ПО, обнаруженного и заблокированного в мае. Эксплойты и связанные с ними троянцы составляют значительную часть лидеров как в рейтинге вредоносных программ, задетектированных на компьютерах пользователей при первом обращении к ним, так и в двадцатке зловредов в Интернете.

Данные рейтингов говорят о том, что в последние месяцы киберпреступники активно применяют эксплойты – специальные программы, атакующие компьютеры через уязвимости легального ПО. Цель их неизменна – получение конфиденциальной информации пользователей, но при этом способы распространения вредоносного кода, используемые техники, затрудняющие анализ и детектирование, варьируются.

В Топ-20 рейтинга вредоносных программ, блокированных на ПК пользователей, отличились троянские программы, ворующие пароли и логины популярных онлайновых игр. Так, от Trojan-GameThief.Win32.Magania.dbtv пострадали пользователи CabalOnline, Metin2, Mu Online и игр производства компании Nexon.net.

Эксплойты и связанные с ними троянцы заняли 11 из 20 позиций рейтинга наиболее часто встречавшихся вредоносов в Интернете в мае этого года. Они занимают пять позиций подряд сверху, начиная со второго места, и присутствуют далее блоками по 2-3 модификации. Сразу три новых участника рейтинга представляют собой эксплойты для Java. Это указывает на то, что пользователям данной платформы следует регулярнее обновлять свое ПО. Первое место в рейтинге вредоносных программ в Интернете занял троянец Trojan-Clicker.JS.Iframe.bb. Его задача – накрутка посещаемости сайтов за счет кликов, совершаемых от лица посетителей зараженных ресурсов. В мае этим троянцем были инфицированы почти 400 тыс. интернет-страниц. Антивирусная компания Sophos предупредила о том, что несколько сотен тысяч пользователей социальной сети Facebook стали жертвами атаки типа clickjacking или т. н. «угона кликов». Ее суть заключается в том, что пользователей обманом заставляют нажимать на невидимые элементы страниц в Интернете (ссылки или диалоговые элементы), что может вести к изменению правил безопасности на ПК пользователя или к посещению опасных web- сайтов.

Этот метод обмана пользователя не нов, однако свежие исследования свидетельствуют о расширении спектра ПО, в рамках которого пользователь может стать жертвой clickjacking. К примеру, в этот список попали Adobe Flash Player, Internet Explorer, Opera, Safari и Firefox.

В Sophos говорят, что в сети Facebook сейчас есть как минимум пара эксплойтов, использующих возможности недавно созданной Like. Как правило, злоумышленники используют популярные в обществе темы, такие как Чемпионат мира по футболу, чтобы увести пользователей на необходимые им сайты. При нажатии на Like в Facebook происходит переход на страницу, где необходимо подтвердить свои действия. Однако эта же система позволяет открывать и сторонние сайты, теоретически способные атаковать компьютер пользователя. По словам Грэма Клули, старшего технического консультанта Sophos, сейчас «угон кликов» на Facebook довольно тривиален, но в ближайшее время можно ожидать появления многоходовых операций с использованием продвинутых социальных функций.

«То, что мы видим сейчас – это больше концептуальные атаки, но можно сказать, что в будущем эти атаки будут совершенствоваться, и злоумышленники будут пытаться заработать на этом», – говорит Клули. Кроме того, он отметил, что опасность этой атаки заключается в том, что она работает на всех браузерах и в большинстве операционных систем.

Уязвимости: у Adobe снова проблемы

Компания Adobe Systems сообщила об обнаружении критической уязвимости во Flash Player, а также в Adobe Reader и Acrobat. В пресс-службе корпорации уточнили, что угрозе хакерских атак подвержены Flash Player 10.0.45.2 и более ранние версии плеера для всех операционных систем. Кроме того, уязвимость была обнаружена в компоненте authplay.dll, поставляемом вместе с Adobe Reader 9.x и Acrobat 9.x для Windows, Macintosh и Unix.

В Adobe Systems предупреждают, что обнаруженная уязвимость может привести к краху системы. Кроме того, она позволяет злоумышленнику получить контроль над компьютером пользователя. Как сообщили в компании, в настоящее время хакеры активно пользуются этой «дырой» в продуктах Adobe. Особая опасность уязвимости в том, что Adobe Reader, Acrobat и Adobe Flash Player работают с двумя ключевыми для Adobe технологиями – PDF и Flash. За последние несколько месяцев эти технологии стали настоящей мишенью для хакеров и объектом критики для конкурентов Adobe, а также многочисленных пользователей этих разработок.

Занимающаяся электронной коммерцией фирма Digital River скомпрометировала данные двухсот тысяч своих клиентов. Инцидент произошел после того, как хакер выполнил «крайне необычную поисковую команду» на защищенных серверах компании.

О факте взлома стало известно после того, как 19-летний житель Нью-Йорка Эрик Порат попытался продать украденные данные конкурентам Digital River за $500.000. Газета The Minneapolis Star-Tribune пишет, что после нескольких таких попыток компания Media Breakaway, которой хакер и хотел продать информацию, уведомила о его намерениях Digital River. В настоящее время, это дело расследуется в судебном порядке с помощью ФБР. Сообщается, что среди скомпрометированных сведений были почтовые и электронные адреса, названия web-сайтов и уникальные идентификаторы для 198.398 человек. Вся эта информация была собрана аффилированными маркетинговыми фирмами с использованием ПО от Direct Response Technologies. Хранилась она на защищенных паролями серверах.

Что касается хакера, то он проживает в Нью-Йорке вместе с родителями. Злоумышленник пытался продать данные тому покупателю, который больше всего за них заплатит. Руководителю Media Breakaway Порат сообщил, что информация была получена от консультанта Digital River, который сумел извлечь ее во время временной приостановки работы систем защиты.

Вредоносное ПО: массовые удары

Исследователи Джулиано Риццо и Тай Донг выпустили анонсированную в феврале утилиту Padding Oracle Exploitation Tool (Poet), которая позволяет получать персональную информацию и выполнять произвольный код на тысячах веб-сайтов. Для этого Poet использует уязвимость в популярной платформе разработки JavaServer Faces.

Программа Poet способна расшифровывать закодированные данные без знания секретного ключа. Она позволяет хакерам обходить CAPTCHA, получать доступ к личной информации, хранимой на порталах банков, онлайн-магазинов и других компаний. В некоторых случаях утилиту можно использовать для запуска на серверах вредоносного кода.

Poet эксплуатирует хорошо известную уязвимость при шифровании текста, хранимого в cookie, скрытых полях HTML и параметрах запросов. Модифицируя зашифрованную информацию и отправляя ее обратно на сервер, злоумышленники имеют возможность восстанавливать небольшие фрагменты зашифрованных данных, получая таким образом доступ к паролям и закрытым директориям web-серверов.

Эксплуатация данной бреши становится возможной благодаря ошибке, допускаемой платформой JavaServer Faces при использовании алгоритмов шифрования AES/DES. Утилита пользуется тем, что на многих сайтах применяется одно лишь шифрование, а не связка шифрования, аутентификации и проверки целостности данных.

Приложение было протестировано на серверах Apache и Sun Mojarra, работающих в паре с JavaServer Faces. Однако исследователи полагают, что уязвимыми могут оказаться и многие другие платформы. Poet работает под управлением Windows, Mac OS X и Linux.

Специалисты компании Intego предупреждают о шпионских троянах, распространяющихся вместе с рядом бесплатных приложений и скринсейверов для Mac OS X. Бесплатные загрузки доступны на вполне честных сайтах вроде MacUpdate, VersionTracker и Softpedia.

Чтобы проникнуть в систему, вредоносной программе приходится преодолевать барьер в виде пользователя: при установке от него требуется ввести пароль администратора. Если пользователь оказывается достаточно наивным, троян обустраивается в системе и принимается за свои черные дела. В частности, он устанавливает HTTP-бэкдор, внедряется в Safari, Firefox и iChat при запуске этих программ для сбора email-адресов и других данных, сканирует папки и файлы всех жестких дисков, мониторит сетевой трафик и регулярно шифрует и отсылает собранную информацию на свои серверы.

Отмечается также, что иногда скачанная пользователем программа «предупреждает» при установке о том, что тот должен одобрить инсталляцию специального приложения по «исследованию рынка», но во многих случаях не делается даже такого предупреждения. После удаления программы-носителя троян-шпион остается в системе.

В Intego не уточняют, какие именно данные интересуют эту шпионскую программу, ограничиваясь лишь общими фразами о потенциальных угрозах (пароли, номера кредиток и т. п.) Неизвестно также, какое количество мак-пользователей установили этого трояна при установке «хороших» программ и дали ему root-права.

В мае, как и в предыдущие месяцы, самым распространенным в мире (9,12%) был сетевой червь Win32/Conficker, сообщает Eset. Для распространения это вредоносное ПО использует Windows-уязвимость, которая находится в подсистеме вызова удаленных процедур (RPC), а также незащищенные общедоступные папки и съемные носители информации. Первым делом этот червь отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих ПК начинается сетевая атака.

Не уступает свою позицию вредоносная программа INF/Autorun, которая использует возможность автозапуска на съемных носителях информации и запускает вредоносные программы каждый раз при подключении съемного носителя информации к компьютеру. В мае количество жертв данной угрозы в мире возросло и составляет уже 8,06%.

На третьем месте остается вредоносная программа, предназначенная для кражи личных данных пользователей, – Win32/Agent. Эта угроза при запуске копирует себя в %WINDIR%/System32 под случайным именем, а также регистрирует себя в системном реестре для автозагрузки. Win32/Agent имеет функцию обновления своих компонентов через Internet, следит за действиями пользователя, собирает различную информацию. В процентном эквиваленте по отношению к общему количеству атак ее доля уменьшилась по сравнению с апрелем и составляет 3,25%.

Увеличилось число компьютеров, зараженных вредоносной программой Win32/Peerfrag (4,1%). Данная угроза распространяется через Р2Р сети и заражает съемные носители информации путем модификации файла автозапуска, а также рассылает с зараженного ПК сообщения, содержащие ссылку на червя. Замыкает пятерку лидеров в украинском рейтинге угроз вредоносная программа Win32/Tifaut (3,4%), предназначенная для кражи с зараженных компьютеров персональных данных и конфиденциальной информации пользователей. Также эта троянская программа усложняет возможность ее обнаружения антивирусными решениями за счет того, что генерирует произвольные комментарии. Win32/Tifaut продолжает оставаться довольно распространенной во всем мире (0,94%).

Напомню, что по мнению экспертов, среди самых актуальных в ближайшее время IT-угроз особенно активно будут развиваться кибератаки через уязвимости в web-приложениях, усложненные схемы фишинга и фарминга, спам и атаки на социальные медиа.

Защита: лидеры объединяются

О слиянии Symantec с PGP Corporation и GuardianEdge – лидеров на рынке шифрования данных и сообщений электронной почты – стало известно в конце апреля 2010-го, а 7 июня корпорация Symantec завершила сделку по приобретению этих двух компаний. Сделка расширит возможности Symantec в области защиты информации и управления данными.

Symantec объединит технологии шифрования PGP и GuardianEdge со своими решениями по безопасности конечных точек (Symantec Endpoint Protection) и решениями по защите от потери данных (Symantec Data Loss Prevention). Таким образом, у Symantec сформируется широкий набор интегрированных решений по защите данных для удовлетворения потребностей любых клиентов, от крупных предприятий до малого бизнеса.

Человеческий фактор информбезопасности

Исследование, проведенное в апреле, показало, что 83% работающих в сфере IT считают коммерческое ПО уязвимым и поэтому уделяют большое внимание тестированию безопасности своих ресурсов. В ходе исследования было опрошено 300 IT-специалистов, большинство из которых работают в крупных компаниях. 56% респондентов полагали, что уязвимости коммерческого ПО, используемого на их предприятии, позволят хакерам проникнуть в систему. По мнению Fortify Software, компании, занимающейся безопасностью ПО, около половины респондентов взламывали системы собственного предприятия. 73% из «взломщиков» делали это в рамках тестирования безопасности системы, 13% – «из любви к искусству» или из любопытства.

31% опрошенных также признались в том, что были жертвами хакерских атак, причем большинство из них утверждает, что в основном взлом системы происходит именно через уязвимости в приложениях.

В России обнаружением экстремистских сообщений на форумах интернет-СМИ и отправкой официальных писем в редакции будет заниматься лишь один федеральный орган исполнительный власти – Роскомнадзор. Об этом договорились члены рабочей группы по подготовке постановления пленума Верховного суда РФ о применении закона о СМИ.

Ранее секретарь Союза журналистов России Михаил Федотов сообщал, что жалобы на экстремизм изданиям сможет отправлять также прокуратура, а граждане смогут заявить редакции об обнаруженной на форуме клевете. После обращения редакция может удалить сообщение, отредактировать его или опубликовать рядом дополнительную информацию, проясняющую степень его достоверности. Если редакция не будет согласна с надзорным органом, она может ничего не менять. В ответ Роскомнадзор будет вправе вынести СМИ предупреждение, которое может быть оспорено только в судебном порядке.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 23 за 2010 год в рубрике безопасность

©1997-2024 Компьютерная газета