Информбезопасность: под ударом – промышленные системы

Безопасность ПО, используемого для контроля аппаратуры на ядерных станциях, газоочистительных заводах и других промышленных предприятиях, находится под угрозой. В разных странах сейчас идут тщательные проверки, поскольку исследователи выявили атакующий код, эксплуатирующий десятки серьезных уязвимостей в широко распространенных программах. И не просто выявили, а опубликовали его, сделав доступным как для коллег, так и для киберпреступников.

Уязвимости в программах, продаваемых Siemens, Iconics, 7-Technologies, Datac и Control Microsystems, во многих случаях предоставляют злоумышленникам возможность удаленно выполнить код, когда программный пакет, так называемая программа для диспетчерского управления и сбора данных (Supervisory Control And Data Acquisition, SCADA), установлен на компьютеры, подключенные к Интернету.

«SCADA является критической зоной, но никто на самом деле об этом не заботится, – написал один из известных исследователей в области информбезопасности Луиджи Ауриемма. — Это также объясняет, почему я предпочел опубликовать данные уязвимости в рамках философии полной открытости».

Публикация информации об уязвимостях включает proof-of-concept код для, по меньшей мере, 34 уязвимостей в широко используемых программах SCADA, которые продаются четырьмя различными производителями. Ауриемма отметил, что большинство багов делают возможным выполнение кода, в то время как остальные позволяют злоумышленникам получить доступ к секретной информации, хранящейся в конфигурационных файлах, а это в свою очередь дает возможность подорвать работу оборудования, использующего данное ПО.

Сообщение об уязвимостях и эксплойтах для них появилось спустя шесть дней после того, как московская фирма под названием Gleg объявила о наличии эксплойт-пака Agora SCADA+, целью которого является собрать практически все известные уязвимости SCADA в единый пакет. 22 модуля включают эксплойты для одиннадцати 0-day уязвимостей.

Тенденции: сложность IT-безопасности

Компания Check Point Software Technologies и Ponemon Institute опубликовали данные глобального исследования «Обоснование вопроса сложности обеспечения безопасности в сфере IТ в XXI веке», проведенного путем опроса администраторов по IТ-безопасности из США, Великобритании, Франции, Германии и Японии.

Более 2400 респондентов считают управление сложной средой безопасности наиболее важной из задач, стоящих сегодня перед компаниями, причем свыше 55% компаний используют более семи различных поставщиков для обеспечения безопасности своих сетей. Исследование показало, что в вопросах укрепления IТ-сектора организации пытаются снижать расходы и увеличивать производительность.

«Для повышения уровня безопасности в наше время организациям необходимо более тщательно анализировать свое положение, расставлять приоритеты в краткосрочных и долгосрочных проектах, – считает Джульетт Султан, глава отдела международного маркетинга Check Point Software Technologies. – Подход Check Point 3D Security повышает осведомленность о современных проблемах в сфере безопасности, обеспечивая организациям лучшую видимость и контроль».

Более 700 опрошенных уверены, что соблюдение правил является первоочередной задачей для внедрения технологии трехмерной безопасности. С распространением «облачных» и мобильных технологий, Web 2.0 и приложений для совместного доступа к файлам компании зачастую пытаются обеспечить соответствующие уровни безопасности на всех сетевых уровнях, в то же время строго придерживаясь нормативных требований. Безопасность и соблюдение нормативных требований в современных условиях начинается с четко определенной политики, согласованной с деловыми потребностями организации и отраслевыми стандартами.

Новые технологии создали новые методы коммуникации и сотрудничества для компаний. Однако организации пытаются управлять многомерными вычислительными средами, что зачастую усложняет обеспечение безопасности и увеличивает риск потери информации сотрудниками или иными лицами, имеющими к ней доступ.

48,8% респондентов считают, что их сотрудники недостаточно информированы о защите данных и корпоративной политике. Таким образом, необходим более высокий уровень осведомленности, чтобы помочь людям осознать важность их роли в обеспечении безопасности компании. Кроме того, опрошенные считают, что способность пользователя управлять политиками является ключевой функцией для общего укрепления безопасности, а 58% респондентов назвали осведомленность приоритетным вопросом.

«Компании постоянно сталкиваются с новыми угрозами безопасности, как из внешних, так и из внутренних источников, которые могут нанести ущерб бизнесу. Наше исследование продемонстрировало, что одна кибератака может обойтись в сумму от $237 тысяч до $52 млн, – отметил Ларри Понемон, директор и основатель Ponemon Institute. – Однако сотрудники могут играть важную роль первой линии обороны, помогая своей компании посредством строгого соблюдения мер безопасности и информирования других пользователей внутри организации».

Угрозы: Касперский подсчитал троянов

Количество вредоносных программ, предназначенных для кражи персональных данных, в прошлом году впервые превысило 100 тысяч. За год показатель увеличился на 87%. По сравнению с 2006 годом троянов стало больше в 7,5 раз, сообщает «Лаборатория Касперского».

Самый высокий показатель роста – 135% за год – наблюдается среди вредоносов, созданных для ведения электронного шпионажа за пользователем. Число троянцев, предназначенных для кражи логинов и паролей, выросло на 94%, а зловредов, пытающихся получить доступ к банковским системам, системам электронных денег и пластиковых карт, – на 22%.

«Ежедневно миллионы пользовательских компьютеров подвергаются хакерским атакам и становятся частью ботнетов, предназначенных для рассылки спама и совершения DDoS-атак, – говорит ведущий антивирусный эксперт «Лаборатории Касперского» Стефан Танасе. – При этом злоумышленники получают полный доступ к зараженным компьютерам, а соответственно, при желании могут использовать любую хранящуюся на них информацию, в том числе личную и конфиденциальную".

Как сообщала "Лаборатория" в конце января, главной темой рекламных рассылок на русском языке в прошлом году стали проекты и услуги в области образования. В англоязычных же спам-сообщениях чаще всего предлагалось купить фармацевтические препараты.

Угрозы: PandaLabs рассказала о новых вредоносах

На протяжении первых трех месяцев 2011 года специалисты PandaLabs ежедневно обнаруживали в среднем около 73.000 новых образцов вредоносного ПО, большинство из которых оказались троянами. Также было зафиксировано увеличение количества появляющихся ежедневно угроз на 26% по сравнению с аналогичным периодом прошлого года. Трояны все еще остаются наиболее распространенным типом угроз и на данный момент составляют 70% от общего объема вредоносного ПО.

«Распространение в Интернете программ, позволяющих людям без специальных знаний запросто создавать трояны и организовывать нелегальный бизнес, особенно если это может обеспечить доступ к банковским реквизитам, влечет за собой невероятный рост количества троянов в Сети», – прокомментировал статистику Луи Корронс, технический директор антивирусной лаборатории PandaLabs.

Анализ подклассов обнаруженного вредоносного ПО, проведенный PandaLabs, показал, что количество банковских троянов уменьшилось, количество ботов осталось на том же уровне, а популярность поддельного антивирусного программного обеспечения снизилась. Тем не менее, число зловредов класса downloader значительно увеличилось. «Загрузчики» являются подклассом троянов, которые, однажды заразив ПК пользователя, автоматически подключаются к Сети и загружают еще больше вредоносного программного обеспечения. Хакеры часто используют этот метод, поскольку сам загрузчик невелик по объему и, в отличие от других троянских программ, может проникнуть на компьютер пользователя совершенно незаметно.

Угрозы: ситуация глазами Symantec

Пользователям устройств на ОС Android стоит задуматься о безопасности своих гаджетов. В период с 10 по 17 марта значительную активность проявил вирус, который поражает устройства на данной ОС и меняет в них настройки APN, свидетельствуют данные обзора Symantec. Эксперты компании обнаружили зараженную трояном версию Google Security Tool. Данная система не только не способна защитить девайс от вирусов, но и меняет его APN- настройки.

Также миру угрожал вирус, поражающий пакет AutoCAD, который используется профессиональными дизайнерами, инженерами и конструкторами. Однако, отмечено в исследовании, антивирусы легко обнаруживали вредоносную программу.

Кроме того, Symantec зафиксировал рост активности фишеров. В частности, они пытаются зарабатывать на желании людей помочь пострадавшей от землетрясения Японии. Хакеры создают фейковые страницы благотворительных организаций. На них пользователям предлагается перевести деньги в помощь пострадавшим и заполнить соответствующие формы, в которых указывается информация о пользователе и его банковской карте. Данные сохраняются у фишеров и могут быть ими использованы. В связи с возросшей активностью фишеров пользователям стоит проявлять бдительность при переходе с сайта на сайт.

Symantec также отметила возросшую в феврале активность спамеров. По данным компании, она в прошлом месяце возросла на 8,7%. Также отмечено, что 73% сообщений Facebook, содержащих ссылки, ведут на вредоносные сайты или в лапы мошенников.

Также установлен вирус, который в начале марта атаковал сайты правительства Южной Кореи, – это Trojan.Koredos. Впоследствии экспертами была обнаружена и более сложная версия Trojan.Koredos – Trojan-Backdoor.Prioxer, который прячет зараженные файлы без использования руткитов.

Противодействие киберкриминалу: как избежать DDoS-атаки

Израильские эксперты по сетевой безопасности из компании Radware открыли любопытный способ борьбы с атаками на отказ в обслуживании. Юрий Гущин и Алекс Бехар предлагают обратить активность множества машин, управляемых преступниками (ботнета), против них самих. С помощью этого способа разработчики намерены обмануть машины ботнета, заставляя их думать, что атакуемый сервер подключен к Интернету через слишком медленный канал. Типовая распределенная атака на отказ в обслуживания (DDoS – Distributed Denial Of Service) подразумевает вывод web-сайтов из строя путем отправки огромного числа запросов на сервер с армии зараженных ПК (ботнета). Израильские специалисты решили нанести ответный удар, принуждая атакующие машины к резкому увеличению нагрузки на собственные ресурсы.

Новая разработка исследователей из компании Radware значительно отличается от традиционных способов защиты. Дело в том, что в рамках общепринятого подхода защитники блокируют входящие соединения от атакующих компьютеров и сокращают полосу пропускания канала, который соединяет сервер с Сетью. Учитывая растущие масштабы согласованных атак на web-сайты, старый подход оказывается все менее и менее эффективным, поскольку сервер в таком случае на самом деле практически перестает обрабатывать реальные запросы пользователей, что, по сути, и является целью злоумышленников.

Гущин и Бехар предлагают манипулировать входящими подключениями атакующих таким образом, чтобы повысить нагрузку на сам ботнет. Намеренно игнорируя часть однотипных запросов, сервер убеждает атакующие компьютеры в том, что он не успевает их обрабатывать – из-за этого атакующие ПК вновь и вновь пытаются установить соединение. Итоговая задержка составляет 5 минут – в течение этого времени каждый узел ботнета работает вхолостую, что серьезно снижает общую производительность хакерской сети. В какой-то момент атакующие компьютеры будут вынуждены сдаться в зависимости от указаний, которые им отдал тот, кто управляет ботнетом. Несмотря на сложное описание, новый подход уже прошел успешные испытания на практике.

Особого внимания заслуживает прием, который авторы использовали для распознавания запросов к серверу от «нормальных» ПК. Когда на сервер поступает запрос соединения, тот отправляет в ответ фрагмент сценария Javascript или Flash-контента – обычный компьютер должен загрузить эти фрагменты в свой браузер. В результате обработки фрагмента в браузере генерируется ключ, удостоверяющий добропорядочность пользователя – ему предоставляется доступ к серверу в обычном режиме. Злоумышленники, теоретически, не смогут пройти подобный тест, поскольку попытки подключения осуществляются без участия браузера.

Авторы нового способа защиты от DDoS-атак выпустили бесплатную версию своей утилиты для проверки легитимности пользователей под названием Roboo – она была представлена на конференции Black Hat Europe в Барселоне. Авторы признают, что эффект от нового способа различения ботов и людей может оказаться очень коротким, если создатели ботнетов найдут метод обработки тестовых откликов сервера.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 12 за 2011 год в рубрике безопасность

©1997-2024 Компьютерная газета