Информбезопасность: хакерское лето переходит… во что?

Нынешний год, а в особенности подходящее к концу лето, наверняка останется в памяти как период необычайно высокой хакерской активности. Одна только хакерская группа Anonymous чего стоит, а уж сколько последователей у них появилось в Сети!... Но вот что любопытно. Где-то год-полтора назад специалисты по информбезопасности сошлись во мнении: «классических», «идейных» хакеров больше нет. Дескать, близкие к анархистам интернет- хулиганы конца 90-х окончательно сошли на нет – повзрослели, обзавелись детьми и собственностью и занялись зарабатыванием денег. Пусть даже столь же нелегальным. Так сказать, «монетизировали» свои хакерские знания и навыки. И теперь они стараются не угробить ПК пользователя, а сделать его, например, узлом ботнета, рассылающего спам.
Но мы видим, что на смену хакерам 90-х пришло новое поколение – «молодое, незнакомое». И опять мы имеем «идеологические» взломы сайтов одиозных госструктур (привет Госдепу США!), атаки на противников WikiLeaks, политические акции, противостояние цензуре и взломы ради демонстрации уязвимости различных систем. Всё повторяется.

Атаки: Anonymous против хозяев электричек

Участники хакерской группировки Anonymous взломали один из интернет-ресурсов BART – системы скоростных электропоездов, обслуживающей городскую агломерацию Сан-Франциско. Атаке подвергся сайт myBART.org, на котором хранится личная информация пассажиров. Данные по меньшей мере 2,4 тыс. пользователей, включая имена и фамилии, адреса, телефоны и электронные ящики, «анонимы» выложили в общий доступ. В общей сложности в системе зарегистрированы 55 тысяч пользователей. Основной сайт BART взломан не был.

Сайт myBART.org был атакован 14 августа. Помимо кражи личных данных, участники Anonymous также разместили на главной странице ресурса свою символику. Несколько часов спустя сайт ушел в оффлайн и долгое время был недоступен.

Атака на myBART.org была предпринята Anonymous в ответ на решение руководства BART отключить мобильную связь на нескольких станциях 11 августа. На этот день была запланирована акция протеста против действий полиции BART. 3 июля на станции Civic Center двое полицейских застрелили 45- летнего бездомного, который якобы угрожал им ножом.

«ВКонтакте» невольно потворствует кибермошенникам

Появившийся в конце мая этого года в соцсети «ВКонтакте» сервис хранения и обмена файлами «Мои документы» дал мошенникам возможность усовершенствовать фишинговую схему, считают эксперты «Доктор Веб». Наиболее популярный способ, который использовался злоумышленниками ранее – троян, рассылающий при заражении с аккаунта пользователя ссылки на фишинговые ресурсы. В этом случае владелец учетной записи предупреждался о том, что переходит на внешнюю страницу.

В схеме, которую злоумышленники все чаще используют сейчас, пользователь такого предупреждения не получает, что и является причиной его беспечности. Обман происходит следующим образом: владелец аккаунта видит у себя в ленте новостей сообщение со ссылкой на графический файл, который хранится в файлообменнике «ВКонтакте». На картинке за подписью соцсети изображена ссылка на фишинговый сайт злоумышленников. Пользователю предлагается вручную ввести эту ссылку в браузере. При переходе по ней, жертва попадает на сайт, который копирует интерфейс «ВКонтакте». На нем пользователю предлагается установить какое-либо приложение, например, утилиту для отслеживания заходов посетителей на собственную страницу в социальной сети.

Попадая на фишинговый сайт, который очень напоминает «ВКонтакте», пользователь спокойно вводит там свой логин и пароль. Учетные данные, которые попадают к злоумышленникам, в дальнейшем также используются для рассылки фишинговой рекламы.

В некоторых случаях, зафиксированных «Доктор Веб», используется другая схема: на картинке пользователю предлагается для скачивания приложения отправить платную SMS на короткий номер. В качестве примера приводится приложение MyGuests, установка которого обойдется в 169 руб. 33 коп. Однако, отправив SMS на короткий номер, пользователь получит ссылку на совершенно бесплатное приложение.

Cisco обвинили в пособничестве цензуре и репрессиям

Китайские политзаключенные Ду Даобинь, Чжоу Юаньчжи, Лю Сяньбинь и еще 10 человек, имена которых не называются, подали иск в окружной суд в Мэриленде, США, обвинив компанию Cisco Systems в поощрении режима Коммунистической партии Китая. Даниэль Уорд из американского адвокатского бюро Ward & Ward, согласившегося выступать в суде от имени заявителей, считает, что действия Cisco соответствуют поведению «IBM в нацистской Германии». Он напомнил, что немецкая «дочка» IBM, компания Dehomag, в 1930-х поставляла оборудование для обработки результатов расовой переписи в Германии. По ее итогам были поставлены на учет евреи, цыгане и полукровки, подлежащие уничтожению.

Cisco опровергла обвинения, назвав их пустыми. В компании заявили, что они всего лишь поставляют решения и не несут ответственность за то, как они используются. Главный юрист Cisco Марк Чендлер пояснил в корпоративном блоге, что компания выступает за свободу слова и открытый Интернет. Между тем компания не смогла ответить на вопросы, связанные с одной из ее внутренних презентаций. В ней говорится, что Cisco была одним из участников проекта Golden Shield («Золотой щит»), также известного как Great Firewall of China («Великий китайский фаервол»).

В презентации, датированной 2002 годом, идет речь о том, как технологии Cisco помогут «поддерживать стабильность» в государстве, «останавливать преступления, связанные с Интернетом», подавлять духовное движение Фалуньгун и различные неподходящие китайской компартии сообщества. Специальный раздел презентации посвящен технологиям слежки за диссидентами.

Дело, однако, не ограничивается просто продажей сетевого оборудования. По словам Уорда, помимо этого Cisco выпускала специальное ПО и участвовала в обучении китайских чиновников, как с помощью ее технологий следить за людьми и оказывать на них давление. При этом в Cisco знали, насколько жесткие методы китайские власти используют для подавления инакомыслящих, и это, по мнению адвоката, не подлежит прощению.

Утечки: GOM TV проштрафился

Аналитический центр SecurIT Analitycs сообщил об очередной крупной утечке пользовательских данных популярного южнокорейского веб-сервиса. В прошлом месяце об утечке персональной информации более чем 35 млн пользователей сообщали корейские сайты Nate и Cyworld. На этот раз об аналогичном инциденте объявил популярный сервис GOM TV, с помощью которого можно просматривать видеоконтент в потоковом режиме.

По словам представителей GOM TV, утечка произошла 12 августа утром по местному времени. Сервис разослал всем своим пользователям уведомление о потенциальной краже их личных данных. «Мы сообщаем о том, что 12 августа произошла атака на наш сайт. Мы обнаружили, что в результате этой атаки были скомпрометированы личные данные некоторых пользователей. Мы подозреваем, что хакеры смогли получить доступ к следующей информации: имена пользователей, их место жительства, адреса электронной почты, а также логины и пароли на GOMTV.net», – сообщила администрация сервиса. Финансовые данные пользователей и другая информация не пострадали благодаря тому, что платежные услуги для GOM TV осуществляет система PayPal. Количество пользователей, пострадавших в результате данной утечки, неизвестно. Вероятно, их число составляет как минимум несколько миллионов. Представители GOM TV посоветовали всем своим пользователям немедленно сменить пароли и принесли извинения за данный инцидент.

Атаки: угроза для Java

В июле и начале августа вирусный рейтинг возглавил новый Exploit.CplLnk.Gen, используемый мошенниками для распространения опасных программ через ярлыки со съемных носителей. На сегодняшний день подобные опасные вредоносы занимают 8% от всех вирусов, сообщила G Data.

«Exploit.CplLnk.Gen не является зловредным файлом, а лишь использует возможность одной из библиотек .dll запускать определенный временный файл, – отметил Роман Карась, управляющий продажами G Data Software в России и СНГ. – Вот злоумышленники и распространяют его в комплекте с вредоносной программой с именем временного файла. Как известно, все новое – это хорошо забытое старое. Мы уже привыкли, что большинство вирусов попадает на наш ПК из Интернета, но и старые рекордсмены, такие как флеш-носители, не сдают позиций. Тем более, мало кто из пользователей сначала проверяет сторонний флеш-носитель на наличие вирусов, и лишь затем начинает работать с ним. Поэтому получается отличная ловушка». В июле свою активность проявили и два представителя семейства Ramnit. Эти сетевые полиморфные черви распространяются в основном вместе с флеш- носителями, атакуют файлы .exe, .dll и .html, а после заражения связываются с удаленным сервером и позволяют преступникам нелегально завладеть управлением ПК. Для борьбы с такими программами следует проверять на вирусы все сторонние мобильные носители.

По сообщению G Data Software, 30% всех вредоносных программ в июле-начале августа приходилось на зловредов, рассчитывающих на незакрытые дыры в Java. При отключении функции автоматического обновления Java мошенникам проще использовать уязвимости, для которых еще не были установлены патчи. Причем, как отмечают эксперты, это относится не только к Java, но и ко многим установленным плагинам браузера и программам на ПК. В рейтинг самых опасных и самых распространенных вредоносов вошел Trojan.Wimad.Gen.1. Этот троян выдает себя за обычный .wma аудиофайл, который можно прослушать только после установки специального кодека/декодера. Если пользователь запустит такой файл, преступник получит возможность установить в систему любую вредоносную программу. Инфицированные таким образом аудиофайлы распространяются преимущественно через P2P-сети. Червь Worm.Autorun.VHG, распространяющийся в Windows с помощью функции autorun.inf, использует сменный носитель информации (например, USB-флешка или внешний жесткий диск). А Trojan.AutorunINF.Gen способен распознать известные и неизвестные вредоносные autorun.inf, являющиеся файлами автозапуска для USB-флешек, внешних жестких дисков и DVD, которые незаконно используются злоумышленниками для распространения вирусов и вредоносного ПО.

Java.Trojan.Exploit.Bytverify.N использует уязвимость в Java Bytecode Verifier и размещается в модифицированных Java-апплетах на веб-страницах. Использование этих уязвимостей может обеспечить выполнение вредоносного кода, который, например, загрузит троянскую программу. Так злоумышленник может получить контроль над системой жертвы.

Уязвимости: удар по BlackВerry

Программное обеспечение, поддерживающее работу популярных смартфонов RIM BlackВerry, содержит опасную уязвимость, позволяющую хакерам получить полный доступ к атакованным устройствам.

Атака может быть осуществлена через сообщение электронной почты, к которому прикреплено изображение в формате PNG или TIFF с внедренным вредоносным кодом. Код запускается автоматически в случае, если пользователь открывает изображение, и теоретически позволяет злоумышленникам получить доступ к управлению смартфоном.

Уязвимость содержится в BlackBerry Enterprise Server – ПО, с помощью которого компании могут создавать собственный почтовый сервер. Производитель этого софта и смартфонов BlackВerry компания RIM уже выпустила обновление, закрывающее уязвимость, однако опасность атак через нее сохраняется, поскольку клиенты должны установить патч самостоятельно, и далеко не все компании уже сделали это.

Смартфоны BlackВerry сумели завоевать популярность среди корпоративных пользователей в том числе благодаря высокой защищенности этих устройств от утечек данных и атак хакеров. Долгое время BlackВerry были недоступными для хакеров и до сих пор, по мнению многих специалистов по информбезопасности, несанкционированное проникновение в ОС смартфона связано с большими трудностями.

Впрочем, несколько раз BlackВerry все же взламывали. В частности, в марте этого года на ежегодном хакерском соревновании pwn2own 2011 в Ванкувере двум независимым специалистам удалось осуществить несанкционированный доступ к адресной книге смартфона BlackBerry Torch 9800, а также создать файл в его памяти.

Специалисты отметили, что взломать BlackBerry Torch 9800 было очень непросто главным образом потому, что в открытом доступе нет практически никакой информации о механизмах работы его ПО.

Huawei наняла легендарного специалиста по информбезопасности

Китайская компания Huawei объявила о назначении Джона Саффолка руководителем глобальной службы информационной безопасности (Global Cyber Security Officer, GCSO). К исполнению своих обязанностей в новой должности Саффолк приступит с 1 октября. Джон Саффолк будет подотчетен генеральному директору Huawei Жэнь Чжэнфэю.

В сферу ответственности нового руководителя войдут разработка стратегии и комплексной системы обеспечения информационной безопасности Huawei, а также контроль их реализации. Система будет внедрена на глобальном уровне всеми бизнес-группами и департаментами, включая департаменты R&D, цепи поставки, маркетинга, реализации проектов и технического обслуживания. Помимо этого, Саффолк будет совершенствовать систему обеспечения информационной безопасности во взаимодействии с заказчиками, партнерами, сотрудниками и акционерами Huawei. Офис GCSO будет размещен в штаб- квартире компании Huawei (Шэньчжэнь, Китай).

Как отмечается, комплексная система ИБ Huawei охватывает облачные решения, каналы и устройства связи, а также бизнес-процессы, ориентированные на заказчика, и всю цепь поставок компании. Huawei также придает большое значение повышению осведомленности персонала в отношении ИБ. Создание и реализация системы обеспечения информационной безопасности на глобальном уровне – одна из стратегий развития Huawei, подчеркнули в компании. До прихода в Huawei Джон Саффолк руководил информационным управлением в правительстве Великобритании, занимаясь разработкой и реализацией трансформационных стратегий правительства, включая стратегии развития технологий и стратегии информационной безопасности. С 2010 г. он входит в группу экспертов Всемирного банка, консультируя органы государственной власти по вопросам использования ИКТ-технологий для взаимодействия государственных органов и общества, а также обеспечения экономического роста. Также Саффолк занимал пост гендиректора программы преобразования уголовной юстиции Великобритании.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 32 за 2011 год в рубрике безопасность

©1997-2024 Компьютерная газета