Отчет об угрозах интернет-безопасности
Корпорация Symantec выпустила девятый том своего отчета об угрозах интернет-безопасности (Internet Security Threat Report), одного из наиболее полных источников данных об интернет-угрозах. Очередной том отчета, выпускаемого раз в полгода, охватывает шестимесячный период с 1 июля по 31 декабря 2005 года. В нем отмечается нарастание угроз, исходящих от киберпреступников.
Если в прошлом целью атак была порча данных, то сегодняшние атаки все больше нацелены исключительно на кражу данных с целью извлечения дохода без заметных повреждений, которые насторожили бы пользователя. В предыдущем отчете об интернет-угрозах Symantec предупреждала о росте числа вредоносных программ, нацеленных на извлечение дохода, и во втором полугодии 2005 года эта тенденция продолжалась. Число вредоносных программ, предназначенных для кражу конфиденциальной информации, выросло с 74% среди 50 самых распространенных образцов кода в прошлый отчетный период до 80% в данный период.
Отчет детализирует также растущую тенденцию к использованию злоумышленниками бот-сетей, целенаправленных атак на веб-приложения и веб-браузеры, а также модульного вредоносного кода. Основываясь на данных этого и предыдущих отчетов, Symantec прогнозирует использование преступниками все более разнообразных и изощренных методов, а также рост числа покушений на кражу конфиденциальной, финансовой и персональной информации с целью наживы.
Инструменты преступников становятся богаче и изощреннее
Связанные с киберпреступностью угрозы становятся все опаснее вследствие использования преступниками программных инструментов, предназначенных для осуществления онлайновых афер и кражи информации у потребителей и организаций (crimeware). Как отмечала Symantec в предыдущем отчете об интернет-угрозах, злоумышленники уходят от крупных, многоцелевых атак, нацеленных против традиционных средств защиты, таких как брандмауэры и маршрутизаторы. Вместо этого они сосредотачивают усилия на региональных целях, настольных ПК и веб-приложениях, пытаясь похитить корпоративную, персональную, финансовую или конфиденциальную информацию; впоследствии эта информация может использоваться для дальнейшей преступной деятельности.
Программы, обеспечивающие злоумышленникам несанкционированный контроль над компьютером, называемые ботами, также вносят вклад в усугубление киберугроз. Хотя число бот-инфецированных компьютеров в последний отчетный период снизилось на 11% - в среднем в этот период ежедневно фиксировались 9163 зараженные системы - бот-сети всё интенсивнее используются для такой преступной деятельности как попытки вымогательства с помощью атак на отказ в обслуживании (DoS). По оценке Symantec, при этом измерении учитывается только часть всемирной деятельности, и реальное число зараженных компьютеров, вероятно, значительно больше. В среднем Symantec наблюдала 1402 DoS-атаки в день, что на 51% больше, чем за предыдущий отчетный период. Symantec утверждает, что эта тенденция к росту продолжится, так как злоумышленники используют все большее число уязвимостей веб-приложений и браузеров.
В предыдущем отчете Symantec предупреждала, что интенсивность атак, направленных на веб-приложения, будет расти. За текущий отчетный период 69% уязвимостей, о которых стало известно Symantec, были связаны с технологиями веб-приложений - это на 15% больше, чем за предыдущий отчетный период. Технологии веб-приложений, пользовательский интерфейс которых опирается на браузер, представляют собой более легкую мишень для злоумышленников из-за их доступности через общеупотребительные протоколы, такие как HTTP.
Symantec зафиксировала также рост числа модульных вредоносных программ, которые сначала обладают ограниченной функциональностью, но впоследствии могут приобретать новые, более разрушительные возможности. Модульные угрозы часто содержат конфиденциальную информацию, которую затем можно использовать для кражи персональных данных, кредитных карт или другой преступной финансовой деятельности. За последние шесть месяцев 2005 года на долю модульных вредоносных программ пришлось 88% из 50 самых опасных образцов вредоносного кода, полученных Symantec, против 77% за прошлый отчетный период.
Другие важные результаты
•Самый интенсивный, 37%-ый рост числа бот-инфицированных компьютеров демонстрирует Китай - на 24 процентных пункта выше среднего уровня, что ставит Китай на второе место после США в этой категории. По всей вероятности, такой рост связан с быстрым увеличением количества широкополосных интернет-подключений в Китае. Китай продемонстрировал также самое резкое общее увеличение числа исходящих атак; таких атак стало на 153% больше, чем в прошлый отчетный период, что на 72 процентных пункта выше средних темпов роста. Усиливающим фактором этой деятельности могут быть боты.
•Во втором полугодии 2005 года продолжала усиливаться угроза фишинга, то есть число попыток выведать у пользователей конфиденциальную информацию обманным путем, но они концентрировались на более мелких, региональных целях. Во втором полугодии 2005 года было выявлено 7, 92 млн попыток фишинга в день против 5, 70 млн попыток в день в предыдущий отчетный период. В будущем Symantec ожидает роста числа фишинговых сообщений и вредоносных программ, распространяемых через службы интернет-пейджинга.
•Symantec зафиксировала 1895 новых уязвимостей программного обеспечения, самое большое общее число уязвимостей с 1998 года. Из них 97% был присвоен умеренный или высокий уровень опасности и 79% считаются простыми для использования.
•Чтобы подчеркнуть важность быстрого исправления операционной системы и приложений, Symantec оценила время, затрачиваемое злоумышленниками на взлом вновь установленных операционных систем в стандартных системах, таких как веб-серверы и настольные ПК. Среди серверных систем Windows 2000 Server без установленных исправлений продемонстрировала самое короткое среднее время до взлома, тогда как исправленная Windows 2003 Web Edition и RedHat Enterprise Linux 3 - как исправленная, так и неисправленная - за период тестирования взломаны не были. Среди настольных систем Microsoft Windows XP Professional без исправлений продемонстрировала самое короткое среднее время до взлома, но та же операционная система со всеми установленными исправлениями, а также SuSE Linux 9 Desktop взломаны не были.
•С учетом растущего объема обнаруженных уязвимостей Symantec следит также за скоростью, с которой организации могут исправлять уязвимые системы. В этот отчетный период с момента объявления уязвимости до выпуска использующего ее кода проходило в среднем 6, 8 суток против 6 суток в предыдущий период. Между обнаружением уязвимости и выпуском исправления поставщиком проходит в среднем 49 дней. Таким образом предприятия и потребители могут быть восприимчивыми к потенциальным атакам в течение 42 дней, что подчеркивает необходимость для пользователей как можно быстрее исправлять системы или принимать другие защитные меры. Symantec ожидает усиления коммерциализации процесса обнаружения уязвимостей с ростом черного рынка и учащением приобретений информации об уязвимостях в преступных целях.
•Symantec зафиксировала небольшое увеличение числа новых вариантов вирусов и червей Win32 до 10992 за текущий отчетный период с 10866 за прошлый период. Эта тенденция сопровождается заметным спадом интенсивности угроз категорий 3 и 4 (умеренные и серьезные угрозы) и соответствующим увеличением интенсивности угроз категорий 1 и 2 (низкий и очень низкий уровень опасности). При этом число семейств новых вирусов и червей Win32 уменьшилось на 39% - со 170 новых семейств в первом полугодии 2005 года до 104 во втором. Это указывает на то, что разработчики вредоносного кода предпочитают модифицировать циркулирующие в настоящее время программы, вместо того, чтобы создавать их заново.
Если в прошлом целью атак была порча данных, то сегодняшние атаки все больше нацелены исключительно на кражу данных с целью извлечения дохода без заметных повреждений, которые насторожили бы пользователя. В предыдущем отчете об интернет-угрозах Symantec предупреждала о росте числа вредоносных программ, нацеленных на извлечение дохода, и во втором полугодии 2005 года эта тенденция продолжалась. Число вредоносных программ, предназначенных для кражу конфиденциальной информации, выросло с 74% среди 50 самых распространенных образцов кода в прошлый отчетный период до 80% в данный период.
Отчет детализирует также растущую тенденцию к использованию злоумышленниками бот-сетей, целенаправленных атак на веб-приложения и веб-браузеры, а также модульного вредоносного кода. Основываясь на данных этого и предыдущих отчетов, Symantec прогнозирует использование преступниками все более разнообразных и изощренных методов, а также рост числа покушений на кражу конфиденциальной, финансовой и персональной информации с целью наживы.
Инструменты преступников становятся богаче и изощреннее
Связанные с киберпреступностью угрозы становятся все опаснее вследствие использования преступниками программных инструментов, предназначенных для осуществления онлайновых афер и кражи информации у потребителей и организаций (crimeware). Как отмечала Symantec в предыдущем отчете об интернет-угрозах, злоумышленники уходят от крупных, многоцелевых атак, нацеленных против традиционных средств защиты, таких как брандмауэры и маршрутизаторы. Вместо этого они сосредотачивают усилия на региональных целях, настольных ПК и веб-приложениях, пытаясь похитить корпоративную, персональную, финансовую или конфиденциальную информацию; впоследствии эта информация может использоваться для дальнейшей преступной деятельности.
Программы, обеспечивающие злоумышленникам несанкционированный контроль над компьютером, называемые ботами, также вносят вклад в усугубление киберугроз. Хотя число бот-инфецированных компьютеров в последний отчетный период снизилось на 11% - в среднем в этот период ежедневно фиксировались 9163 зараженные системы - бот-сети всё интенсивнее используются для такой преступной деятельности как попытки вымогательства с помощью атак на отказ в обслуживании (DoS). По оценке Symantec, при этом измерении учитывается только часть всемирной деятельности, и реальное число зараженных компьютеров, вероятно, значительно больше. В среднем Symantec наблюдала 1402 DoS-атаки в день, что на 51% больше, чем за предыдущий отчетный период. Symantec утверждает, что эта тенденция к росту продолжится, так как злоумышленники используют все большее число уязвимостей веб-приложений и браузеров.
В предыдущем отчете Symantec предупреждала, что интенсивность атак, направленных на веб-приложения, будет расти. За текущий отчетный период 69% уязвимостей, о которых стало известно Symantec, были связаны с технологиями веб-приложений - это на 15% больше, чем за предыдущий отчетный период. Технологии веб-приложений, пользовательский интерфейс которых опирается на браузер, представляют собой более легкую мишень для злоумышленников из-за их доступности через общеупотребительные протоколы, такие как HTTP.
Symantec зафиксировала также рост числа модульных вредоносных программ, которые сначала обладают ограниченной функциональностью, но впоследствии могут приобретать новые, более разрушительные возможности. Модульные угрозы часто содержат конфиденциальную информацию, которую затем можно использовать для кражи персональных данных, кредитных карт или другой преступной финансовой деятельности. За последние шесть месяцев 2005 года на долю модульных вредоносных программ пришлось 88% из 50 самых опасных образцов вредоносного кода, полученных Symantec, против 77% за прошлый отчетный период.
Другие важные результаты
•Самый интенсивный, 37%-ый рост числа бот-инфицированных компьютеров демонстрирует Китай - на 24 процентных пункта выше среднего уровня, что ставит Китай на второе место после США в этой категории. По всей вероятности, такой рост связан с быстрым увеличением количества широкополосных интернет-подключений в Китае. Китай продемонстрировал также самое резкое общее увеличение числа исходящих атак; таких атак стало на 153% больше, чем в прошлый отчетный период, что на 72 процентных пункта выше средних темпов роста. Усиливающим фактором этой деятельности могут быть боты.
•Во втором полугодии 2005 года продолжала усиливаться угроза фишинга, то есть число попыток выведать у пользователей конфиденциальную информацию обманным путем, но они концентрировались на более мелких, региональных целях. Во втором полугодии 2005 года было выявлено 7, 92 млн попыток фишинга в день против 5, 70 млн попыток в день в предыдущий отчетный период. В будущем Symantec ожидает роста числа фишинговых сообщений и вредоносных программ, распространяемых через службы интернет-пейджинга.
•Symantec зафиксировала 1895 новых уязвимостей программного обеспечения, самое большое общее число уязвимостей с 1998 года. Из них 97% был присвоен умеренный или высокий уровень опасности и 79% считаются простыми для использования.
•Чтобы подчеркнуть важность быстрого исправления операционной системы и приложений, Symantec оценила время, затрачиваемое злоумышленниками на взлом вновь установленных операционных систем в стандартных системах, таких как веб-серверы и настольные ПК. Среди серверных систем Windows 2000 Server без установленных исправлений продемонстрировала самое короткое среднее время до взлома, тогда как исправленная Windows 2003 Web Edition и RedHat Enterprise Linux 3 - как исправленная, так и неисправленная - за период тестирования взломаны не были. Среди настольных систем Microsoft Windows XP Professional без исправлений продемонстрировала самое короткое среднее время до взлома, но та же операционная система со всеми установленными исправлениями, а также SuSE Linux 9 Desktop взломаны не были.
•С учетом растущего объема обнаруженных уязвимостей Symantec следит также за скоростью, с которой организации могут исправлять уязвимые системы. В этот отчетный период с момента объявления уязвимости до выпуска использующего ее кода проходило в среднем 6, 8 суток против 6 суток в предыдущий период. Между обнаружением уязвимости и выпуском исправления поставщиком проходит в среднем 49 дней. Таким образом предприятия и потребители могут быть восприимчивыми к потенциальным атакам в течение 42 дней, что подчеркивает необходимость для пользователей как можно быстрее исправлять системы или принимать другие защитные меры. Symantec ожидает усиления коммерциализации процесса обнаружения уязвимостей с ростом черного рынка и учащением приобретений информации об уязвимостях в преступных целях.
•Symantec зафиксировала небольшое увеличение числа новых вариантов вирусов и червей Win32 до 10992 за текущий отчетный период с 10866 за прошлый период. Эта тенденция сопровождается заметным спадом интенсивности угроз категорий 3 и 4 (умеренные и серьезные угрозы) и соответствующим увеличением интенсивности угроз категорий 1 и 2 (низкий и очень низкий уровень опасности). При этом число семейств новых вирусов и червей Win32 уменьшилось на 39% - со 170 новых семейств в первом полугодии 2005 года до 104 во втором. Это указывает на то, что разработчики вредоносного кода предпочитают модифицировать циркулирующие в настоящее время программы, вместо того, чтобы создавать их заново.