Информбезопасность: всего, и помногу

Как показала статистика, собранная с помощью облачного сервиса Kaspersky Security Network (KSN), в III квартале этого года было блокировано более полумиллиарда попыток заражения ПК вредоносными программами.

Наиболее опасной для пользователей страной в отчете названа Россия. В III квартале атакам вредоносов подверглось 52,8% компьютеров российского сегмента KSN. На втором месте рейтинга оказалась Беларусь (44,2%), тройку замкнул Китай (41,3%). Далее идут Казахстан (40,7%), Украина (39,2%), США (38,1%), Индия (37,6%), Бангладеш (36%), Шри-Ланка (36%) и Саудовская Аравия (34%).

Источники зловредов существуют практически в каждой стране. Но 83% всех площадок, используемых для их распространения, расположены всего в десяти государствах, и лидером рейтинга являются США, где находится четверть всех источников заражения.

Главным же событием квартала стала атака червя Stuxnet, который использовал для заражения системы не одну, а сразу четыре Windows-уязвимости. Особенностью деятельности червя стало применение похищенных цифровых сертификатов компаний Realtec и JMicron, благодаря которым Stuxnet долго скрывался от антивирусных программ.

Как известно, цифровые сертификаты и подписи играют важную роль в сфере информационной безопасности, подтверждая легальность приложений. Так, в 2010 году отмечен повышенный интерес к таким подписям со стороны разработчиков вредоносного ПО. Кража сертификатов в III квартале стала одной из функций и трояна ZeuS.

Что касается рейтинга вредоносных программ, то по сравнению с прошлым кварталом он изменился незначительно. Лидерами оказались трояны с шириной охвата в 58,1%. Второе место досталось зловредам Worm.Win32.FlyStudio.cu, Worm.Win32.Mabezat.b, Worm.Win32.VBNA.b и Worm.Win32.Autoit.xl (30,2%). Серьезно не изменилась категория Trojan-Downloader, где наиболее распространенными программами признаны программы, написанные на VisualBasic и детектирующиеся как Trojan-Downloader.Win32.VB.eql (23,1%).

Уязвимости: Internet Explorer беззащитен даже в Protected Mode

Исследователи нашли способ использовать drive-by эксплойты, даже когда жертвы пользуются последними версиями Internet Explorer с защитой Protected Mode (защищенный режим). Нападение, описанное специалистами компании Verizon Business, требует, чтобы у нападающего был эксплойт, соответствующий уязвимости, которая на данный момент не закрыта патчем. Эксплойт работает только против ПК, на которых работает Local Intranet Zone, что по умолчанию включено для всех рабочих станций, входящих в домен.

Защищенный режим, который был представлен в IE7, направлен на предотвращение доступа вредоносных кодов к важным частям Windows, к таким, которые могут, к примеру, создавать файлы или изменять настройки реестра. Но исследователи Verizon Business заявляют, что они нашли надежный способ обходить данную защиту, и этот способ не требует взаимодействия со стороны жертвы.

«Нападение комбинирует два факта: сокеты не подпадают под Mandatory Integrity Control, и сайты локальной зоны Intranet обрабатываются с выключенным защищенным режимом», утверждается в докладе.

И далее: «Вредоносная web-страница может быть обработана в Локальной зоне Intranet, и процесс рендеринга будет происходить при среднем уровне защиты. При использовании той же уязвимости во второй раз исполнение произвольного кода тем же пользователем может достичь того же среднего уровня. Это обеспечит полный доступ к аккаунту пользователя и позволит вредоносным программам постоянно существовать на клиенте, что было невозможно при низком уровне защиты в Защищенном режиме».

Утечки: ноутбуки несут потери

Убытки компаний в результате потери или хищения служебных ноутбуков за последние 12 месяцев составили $2,1 млрд. Несмотря на это, многие фирмы продолжают пренебрегать элементарными правилами информбезопасности, говорится в исследовании, проведенном Intel и Ponemon Institute. Выяснилось, что сотрудники 329 опрошенных в США компаний за последний год потеряли в общей сложности более 86 тыс. ноутбуков. При этом лишь каждая третья компания выполняет шифрование, резервирование или пользуется технологиями дистанционного блокирования доступа к данным. Чаще всего ноутбуки теряют сотрудники образовательных учреждений и научно-исследовательских центров, реже – сотрудники банковской сферы. Крадут компьютеры в 25% случаев. В 15% кража лишь предполагается. В остальных 60% случаев ноутбуки оставляют сами пользователи. Из всех потерянных сотрудниками американских компаний за год ноутбуков в 46% содержались конфиденциальные данные. Согласно исследованию, в среднем потеря ноутбука обходится фирме в $50 тыс. Большая часть этой суммы – деньги, потерянные из-за утраты важных данных.

WikiLeaks борется за существование

Хакеры организовали DDoS-атаки на сайт банковского подразделения почты Швейцарии, а также на блог и основной сайт платежной системы PayPal, которые ранее заблокировали счет Джулиана Ассанжа и аккаунт сайта WikiLeaks.

Атака на блог PayPal была совершена еще 4 декабря. Ресурс не работал более восьми часов. 6 декабря DDoS-атаке подвергся основной сайт платежной системы, а также портал PostFinance, банковского подразделения почты Швейцарии. Сайт PostFinance был недоступен как минимум десять часов. Работа PayPal также была нарушена.
По информации различных интернет-СМИ, эти атаки осуществила та же группа пиратов, целями которой в прошлом были американские организации по защите авторских прав MPAA (Motion Picture Association of America) и RIAA (Recording Industry Association of America). Нынешняя атака была совершена под девизом поддержки борьбы WikiLeaks за свободу информации.

PayPal заблокировал учетную запись WikiLeaks 3 декабря, ссылаясь на то, что платежная система не может использоваться для чего-либо, связанного с незаконными действиями (хотя незаконность действий WikiLeaks не была подтверждена никаким официальным решением). PostFinance 6 декабря закрыл счет Ассанжа на том основании, что банку были предоставлены неверные сведения о его месте жительства. Счет был открыт на имя «Ассанж, Джулиан Пол, Женева».

7 декабря Ассанж был арестован в Великобритании по ордеру, выданному Швецией, где основателя WikiLeaks подозревают в изнасиловании и домогательствах, однако могут передать и США. Но на момент написания этого обзора оставалось неясным, как хакеры будут мстить теперь уже за арест Ассанжа. Но что реакция хакерского сообщества последует – никто не сомневается.

Между тем, многие американские правительственные организации заблокировали доступ к сайту WikiLeaks и его «зеркалам». В частности, доступ к ресурсу закрыли в Библиотеке Конгресса США, Министерстве энергетики, государственных лабораториях и институтах.

А вот администрация Facebook сообщила, что не будет блокировать аккаунт WikiLeaks. «На странице WikiLeaks не нарушаются наши стандарты», – отметили представители ресурса. У скандально известного сайта Джулиана Ассанжа в Facebook уже около миллиона «друзей».

Технологии: с детской порнографией в Сети будет бороться суперкомпьютер

При помощи суперкомпьютера Jaguar (1.8 петафлоп), исследователи в Национальной лаборатории Оак Ридж в американском штате Теннеси проверяют интернет-трафик в поиске подозрительных схем, которые приведут полицию к производителям детской порнографии.

В стандартной работе полиции проверка жесткого диска подозреваемого показывает, загружался ли им незаконный контент, такой как детская порнография. Но поимка преступников, которые производят подобный материал, – более важная задача, потому что они часто выводят полицию на детей- жертв злоупотреблений. Это непросто, так как не всегда можно выяснить, кто снимал материал, хранимый на жестком диске.

Проблема с надзором над детской порнографией в Сети заключается в том, что ее слишком много, говорит Грайер Уикс, исполнительный директор Национальной ассоциации по защите детей. «Мы можем увеличить в четыре раза численность наших органов правопорядка, занимающихся этой проблемой каждую ночь, и все равно они будут перегружены работой», – поясняет он.

В поисках решения проблемы он обратился к ученым-компьютерщикам в Оак Ридж. «Они были по-настоящему поражены и взволнованы тем, что они услышали», - рассказал он журналу New Scientist. Затем ведущий исследователь проекта в лаборатории Оак Ридж, Роберт Паттон, разработал алгоритмы, которые анализируют трафик, наблюдая за ключевыми словами поиска, которые люди используют в пиринговых файлообменных сетях. Ключевые слова поиска, которые указывают на то, что кто-то ищет детскую порнографию, отмечаются сигналом, и алгоритм наблюдает, как различные IP-адреса реагируют на запрос. Таким образом, система направляет правоохранительные органы на ПК, которые на файлообменники выкладывают новые материалы. «С точки зрения правоохранительных органов, вам нужно принять важное решение: Как мне распределить ресурсы, чтобы эффект был максимальным? – говорит Паттон. - И именно сюда надо идти, чтобы поймать производителей, потому что здесь вы получите результат. Мы хотим, чтобы мы могли сказать: вот все данные, которые вы сейчас изучаете, вот несколько IP-адресов, которые вам следует расследовать дальше».

Проект будет длиться год, на него выделен один миллион часов работы процессора Jaguar.

Криптозащита: как Intel с правительством России боролась

Опубликованные сайтом Wikileaks материалы объясняют, каким образом крупнейшему производителю процессоров удалось обойти ограничения на импорт в Россию криптографических технологий. Согласно опубликованным документам, корпорация Intel проводила переговоры на высоком уровне с российскими чиновниками, на которых заявила, что будет сокращать в России объем исследований и разработок, увольняя местных работников, в том случае, если Intel не сможет обойти российские законы, связанные с импортом систем защиты информации и алгоритмов шифрованная данных.

Американские дипломатические документы, датированные 3 ноября 2009 года и исходящие из посольства США в Москве, говорят, что Intel сама проводила активную политику и настаивала на участии в ней американских дипломатов, чтобы получить разрешение на ввоз ее аппаратных систем защиты информации, чтобы те могли использоваться российскими инженерами Intel.

Согласно Wikileaks, российские власти были поставлены перед выбором. Intel сообщила, что при невозможности быстрого ввоза необходимого оборудования она будет вынуждена оставить без работы более 200 своих инженеров в России и поставить вопрос о переносе ряда инженерно- исследовательских проектов в Индию или Китай. Благодаря лоббированию собственных интересов в высших эшелонах власти представители Intel смогли встретиться с высокими чинами из ФСБ. Во время этой встречи американской корпорации удалось доказать обоснованность собственных требований и добиться упразднения стандартной процедуры лицензирования.

«Бывший председатель совета директоров Intel и генеральный директор компании Крэйг Барретт встречался с президентом Дмитрием Медведевым для обсуждения этого и других насущных вопросов, – подтвердил представитель Intel Чак Маллой – При этом мы не прибегали к угрозам, а лишь постарались донести важность подобного решения, выступая от собственного лица, а также от лица OEM-производителей и дистрибьюторов. Подобные переговоры можно считать вполне обычной практикой, к которой мы прибегаем при взаимодействии с властями в разных странах мира».

Но хотя Intel смогла добиться поставленных целей, в существующее российское законодательство не было внесено никаких изменений, имеющих отношение к ввозу в страну коммерческих продуктов с зашифрованным контентом.

Борьба с пиратством: российских провайдеров обезопасят от преследования

Российские провайдеры смогут избегать ответственности за размещенный на их ресурсах контент. Это предложение содержится в проекте поправок к Гражданскому кодексу (ГК), который предложен президентским советом по кодификации законодательства. Специальная статья (1253’) об ответственности интернет-провайдеров внесена в проект новой редакции VII раздела ГК. Поправки опубликованы на сайте Высшего арбитражного суда. Статья снимает с провайдера ответственность за нарушение интеллектуальных прав при передаче и размещении контента «заказчиком или по его указанию». Для этого необходимо соблюсти два условия. Провайдер «не знал или не должен был знать» о неправомерности размещения контента, а также при получении письменного заявления третьих лиц «своевременно принял меры» для устранения последствий нарушения.

Какие меры и как скоро следует принять, будет прописано в законе об интернет-провайдерах (пока не принят), следует из поправок. Сейчас этот законопроект, подготовленный рабочей группой при Минкомсвязи РФ, проходит межведомственное согласование. По проекту провайдер должен удалять нелегальный контент в течение трех дней, приостанавливать действие домена по письму из правоохранительного органа и ограничивать доступ к информации по представлению прокурора.

Комментируя это, российские юристы говорят: давно пора внятно прописать ответственность провайдера. Сейчас этого нет – и судебная практика складывается неоднородно. Так, в декабре 2008-го президиум Высшего арбитражного суда в деле «Мастерхоста» признал провайдера техническим посредником, не несущим ответственности за передаваемую информацию, если он намеренно ее не распространяет. Но в этом году Федеральный арбитражный суд Московского округа взыскал с «Рамблера» 50.000 руб. в пользу Первого музыкального издательства за то, что провайдер не приостановил доступ к спорному контенту после заявления правообладателя.

Представители самих интернет-операторов довольны, что российские законодатели выбрали наиболее либеральный способ регулирования ответственности провайдеров из используемых в мире. Впрочем, главная борьба все равно развернется во время обсуждения в России закона об интернет-провайдерах, считают эксперты. Тут главный вопрос: придется ли правообладателю в письме поставщику интернет-услуг давать конечные ссылки на незаконный контент, или провайдеры сами будут искать контрафактные файлы после соответствующего заявления правообладателя.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 47 за 2010 год в рубрике безопасность

©1997-2024 Компьютерная газета