Информационная безопасность в стиле хард-рок
Любопытное наблюдение: судя по всему, кризисный период (с сентября 2008-го и по самый конец нынешнего года) участники рынка информационной безопасности будут вспоминать с теплотой и нежностью, как период буквально-таки расцвета их бизнеса. В то время, когда деловая активность во всем IT-секторе значительно упала, и даже интернет-реклама чувствовала себя неуютно, рынок инфобеза только рос. Объяснять это можно долго и по- разному аргументируя, но факт остается фактом.
Что будет теперь. Прогнозировать, конечно, сложно, но ясно одно: в ближайшее время рынок информационной безопасности своих позиций не уступит – пусть, может, и расти особо не будет. Когда я с полгода назад увидел одного средней руки бизнесмена, впервые за десятилетнюю историю своей фирмы ставящего на ее компьютеры антивирус (и как бы оправдывающегося – «так кризис же»), я понял: убыточным сектор инфобеза не будет никогда!
Тенденции
Корпорация Microsoft опубликовала очередной – уже седьмой по счету – отчет об угрозах информационной безопасности, выявленных за последние полгода. Основная тенденция первого полугодия 2009-года оказалась такова: количество заражений сетевыми червями в корпоративном секторе выросло почти на 100%. В то же время spyware хоть и остается одной из наиболее серьезных IТ-проблем для компаний, активность шпионского ПО сократилась на 20%. В дополнение к этому, семейство троянов Zlob, бушевавшее в корпоративном секторе полтора-два года назад, сейчас почти сошло на нет во всех проявлениях.
Напомню, что отчет Microsoft Security Intelligence Report строится на статистических данных, полученных в результате работы ПО Malicious Sotfware Removal Tool, входящего в состав Windows и установленного на 450 млн ПК по всему миру. На этот раз в отчет были включены статистические данные, полученные в результате анализа поисковой интернет-системы Bing и программы Windows Defender. Для корпоративного сектора в расчет также брались отчеты о работе антивирусов Forefront.
В первой половине нынешнего года активно распространялись сетевые черви, причем именно бизнес-сектор был им наиболее подвержен. Домашние пользователи оказались защищены гораздо лучше. В то же время, основными источниками распространения червей были частные и публичные файлообменные сети и сервисы, а также съемные носители.
Наиболее опасными червями в первом полугодии стали: в корпоративном секторе Conficker, а в секторе конечных пользователей Taterf, впервые замеченный еще в конце 2008-го, причем распространялся данный червь в основном через многопользовательские игры. «Здесь предприятиям и пользователям нужно обратить внимание на то, как и кто работает со съемными носителями, а также кто и как подключается к их ПК», – говорят в Microsoft.
Еще одним опасным трендом первого полугодия авторы отчета назвали т.н. программы-шантажисты. За полгода таких программ с ПК пользователей было удалено более 13 млн копий. Потому в отчете сказано: «Пользователям необходимо обзавестись ПО, удаляющим шантажистов в реальном времени, дабы в дальнейшем не оказаться на крючке мошенников».
По данным Microsoft, распространение различного рода инфекций очень значительно различается географически. Пользователи разных стран по-разному подходят к проблеме своей IТ-безопасности. В качестве образцов для подражания Microsoft называет Японию, Германию и Австралию, где уровень заражения стабильно остается низким. Одной из причин качественной защиты авторы отчета называют высокую квалификацию пользователей и их осведомленность о современных угрозах. В то же время в Японии и Австралии действуют специальные государственные центры информирования об IТ- угрозах.
В США, Великобритании, Франции и Италии наиболее распространенной категорией угроз оказались программы-троянцы, в Китае преобладали угрозы, связанные с браузером, в Бразилии были широко распространены атаки против пользователей услуг интернет-банкинга, в Испании и Корее преобладали черви и атаки, направленные против любителей онлайн-игр.
В первом полугодии 2009-го ОС Windows Vista имела значительно более низкий уровень заражения по сравнению с Windows XP, причем независимо от пакета обновления. Уровень заражения для Windows Vista с пакетом обновления 1 (SP1) был на 61,9% ниже, чем для Windows XP с пакетом обновления 3 (SP3). Уровень заражения для Windows Server 2008 RTM был на 52,6% ниже, чем для Windows Server 2003 с пакетом обновления 2 (SP2).
Авторы отчета объясняют: «Серверные версии ОС Windows, как правило, демонстрируют в среднем более низкий показатель заражения по сравнению с клиентскими. Серверы меньше подвержены атакам, чем ПК под управлением клиентских ОС, поскольку они обычно работают в контролируемых условиях, обслуживаются квалифицированными администраторами и обладают одним или несколькими уровнями защиты».
Наиболее распространенной категорией спама в первом полугодии 2009 г. была реклама товаров, главным образом фармацевтических препаратов. Во втором полугодии 2008-го реклама товаров составляла 69,2% всей нежелательной почты.
Общее количество выявленных в отрасли уникальных уязвимостей резко сократилось в первом полугодии этого года – на 28,4%, по сравнению со вторым полугодием 2008-го. И если количество уязвимостей приложений сократилось по сравнению со вторым полугодием 2008 г., то количество уязвимостей операционной системы осталось приблизительно на том же уровне, что и в предшествующий период, а количество уязвимостей браузеров немного выросло.
Количество уязвимостей, степень опасности которых по общей системе оценки уязвимостей (CVSS) оценивается как высокая, уменьшилось за год на 12,9%; 46% от общего числа уязвимостей оцениваются как уязвимости высокой степени опасности. В первом полугодии 2009 г. 54,2% всех уязвимостей были уязвимостями низкой степени сложности (по сравнению с 57,7% во втором полугодии 2008 г.) – сокращение почти на 30% за последние пять лет. «Ежедневно обнаруживается большее количество web-узлов, распространяющих вредоносное ПО, чем серверов – источников фишинг-атак. Размещение вредоносного ПО является более стабильным и менее географически диверсифицированным явлением. По всей видимости, это связано с тем, что акции по нейтрализации опасных web-серверов и использование технологии оценки репутации web-узлов в качестве средства борьбы с распространением вредоносного ПО были введены в практику относительно недавно. Это означает, что распространителям вредоносного ПО, в отличие от фишеров, пока не приходится диверсифицировать расположение своих серверов», – пишут авторы отчета.
В первом полугодии 2009-го количество просмотров фишинговых страниц значительно возросло, главным образом по причине увеличения количества фишинговых атак, направленных на социальные сети. Фишеры атаковали более широкий круг web-сайтов, наиболее часто атакам подвергались игровые сайты, порталы, а также интернет-ресурсы крупных корпораций.
Утечки данных
В одном из крупнейших в Германии книжных интернет-магазинов Libri.de произошла утечка персональных данных клиентов. В открытом доступе оказались в общей сложности 563 тысячи 640 счетов-фактур, содержащих имена клиентов, их адреса, историю заказов и номера счетов.
Об утечке на сайт netzpolitik.org сообщил один из клиентов Libri.de: его насторожило, что порядковый номер его счета, содержащийся в присланной ему магазином ссылке на PDF-документ, содержит больше цифр, чем обычно. Изменив пару цифр наугад, он получил доступ к счету-фактуре другого клиента. Администраторы ресурса netzpolitik.org решили проверить эту информацию и менее чем за полчаса смогли скачать около 20 тысяч счетов покупателей Libri.de. В целом, как удалось установить, в открытом доступе находились более полумиллиона счетов сотен тысяч клиентов. Представители netzpolitik.org связались с Libri.de, проинформировав о случившемся. В Libri.de не стали пытаться замять скандал, вместо этого по возможности быстро ликвидировали утечку, пока никто еще не успел воспользоваться личными данными клиентов в корыстных целях.
Иогоннес Каспар, уполномоченный по защите личных данных муниципалитета Гамбурга, где располагается Libri.de, назвал масштабы утечки шокирующими. По его словам, многие люди заказывают книги через интернет-магазин, поскольку стесняются сделать это публично в магазине. Поэтому утечка может рассматриваться как грубое вторжение в их личную жизнь. Ситуацию осложняет еще и то, что качество систем защиты личных данных сайта Libri.de было официально подтверждено сертификатом качества TUV.
Вредоносное ПО
Специалисты компании Symantec предупреждают о появлении нового трояна, шифрующего информацию на зараженных ПК. Вредоносная программа Ramvicrype, попав на ПК жертвы, кодирует пользовательские данные с применением алгоритма RC4. Зашифрованным файлам присваивается расширение .vicrypt, а открыть их можно лишь при помощи специальных инструментов. Троян представляет угрозу для Windows-компьютеров.
Примечательно, что, в отличие от других вирусов-шифровальщиков, Ramvicrype не предлагает напрямую своим жертвам приобрести средства дешифрации. Распространители трояна рассчитывают, что пользователи сами выйдут на них, пытаясь найти помощь через поисковые системы. И действительно, многие из ссылок по запросам вроде «vicrypt help» ведут на сайты злоумышленников.
Правда, специалисты компании Symantec отмечают, что зачастую на ПК, пораженном Ramvicrype, невозможно не только получить доступ в Сеть, но и воспользоваться каким-либо ПО, поскольку троян шифрует файлы в системной папке.
Владельцам ПК, обнаружившим на своих машинах файлы с расширением .vicrypt, Symantec рекомендует для дешифрации воспользоваться специальной бесплатной утилитой. Скачать ее можно по адресу: http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-102921-3210-99 Также исследовательское подразделение Symantec сообщило об обнаружении нового троянского кода, использующего социальную сеть Facebook в качестве своеобразного командного сервера. Троянец, получивший название Whitewell, обычно распространяется через документы форматов PDF или MS Office, содержащие те или иные ранее обнаруженные уязвимости.
При попадании на ПК пользователя, троянец пытается связаться с мобильной версией Facebook и считать команду с определенной страницы в сети. Проанализировав код, в Symantec пришли к выводу, что троянец может выполнять четыре вида действий в зависимости от конкретных команд, найденных в заголовках Facebook.
По словам Андреа Лелли, антивирусного аналитика Symantec, реальное управление троянцем происходит с других ресурсов, тогда как Facebook выступает в качестве передаточного механизма. «В троянце реализован свой механизм HTML-парсинга, получения динамических данных и отправки адреса зараженного компьютера и времени его заражения», – говорит она.
При этом троянец обменивается с Facebook очень простыми односложными командами, такими как White, WebServer, Wells и другими. Каждая из них выступает в качестве ключевого слова. В компании подчеркивают, что пока не зафиксировали широкого распространения данного троянца.
Человеческий фактор
Подавляющее большинство учителей, детей и их родителей в Украине не осведомлены о потенциальных рисках для детей в Интернете и о том, как их избежать. 22% детей периодически попадают на сайты для взрослых. 28% детей, увидев в Интернете рекламу алкоголя или табака, хоть раз пробовали их купить, а 11% – пытались купить наркотики.
Таковы результаты всеукраинского социологического исследования «Знание и отношение украинцев к вопросу безопасности детей в Интернете», проведенного Институтом социологии НАН Украины. Исследование проводилось с августа по сентябрь 2009-го в 11 городах всех регионов Украины и включало в себя количественный и качественный опрос детей и взрослых. Всего было опрошено более 1200 респондентов.
Более 28% опрошенных детей готовы переслать свои фотографии незнакомцам в Сети. 17% без колебаний соглашаются сообщить информацию о себе и своей семье – место жительства, профессию и график работы родителей, наличие в доме ценных вещей и т.д. О том, для чего посторонним может потребоваться такая информация, дети, как правило, даже не задумываются.
Около 14% опрошенных время от времени отправляют платные SMS за бонусы в онлайн-играх и лишь немногие обращают внимание на стоимость такой опции. При этом 87% родителей считают, что именно они должны обучать детей правилам безопасного пользования мобильным Интернетом. Однако лишь в 18% случаев взрослые проверяют, какие сайты посещал ребенок.
Заместитель директора «Центра социальных экспертиз» Украины Гульбаршин Чепурко так прокомментировал результаты: «Как показали исследования, родители и учителя зачастую не ориентируются ни в Интернете, ни в вопросах потенциальных онлайн-рисков для детей, а значит, не могут вести с детьми полноценную профилактическую работу. Большинство родителей, 76 процентов, даже не интересуются, какие сайты посещает их ребенок. А поскольку Интернетом дети в основном пользуются самостоятельно, контроль со стороны родителей – минимален и ограничивается разве что суммой денег, выдаваемых ребенку на пополнение счета».
Денис Лавникевич
Что будет теперь. Прогнозировать, конечно, сложно, но ясно одно: в ближайшее время рынок информационной безопасности своих позиций не уступит – пусть, может, и расти особо не будет. Когда я с полгода назад увидел одного средней руки бизнесмена, впервые за десятилетнюю историю своей фирмы ставящего на ее компьютеры антивирус (и как бы оправдывающегося – «так кризис же»), я понял: убыточным сектор инфобеза не будет никогда!
Тенденции
Корпорация Microsoft опубликовала очередной – уже седьмой по счету – отчет об угрозах информационной безопасности, выявленных за последние полгода. Основная тенденция первого полугодия 2009-года оказалась такова: количество заражений сетевыми червями в корпоративном секторе выросло почти на 100%. В то же время spyware хоть и остается одной из наиболее серьезных IТ-проблем для компаний, активность шпионского ПО сократилась на 20%. В дополнение к этому, семейство троянов Zlob, бушевавшее в корпоративном секторе полтора-два года назад, сейчас почти сошло на нет во всех проявлениях.
Напомню, что отчет Microsoft Security Intelligence Report строится на статистических данных, полученных в результате работы ПО Malicious Sotfware Removal Tool, входящего в состав Windows и установленного на 450 млн ПК по всему миру. На этот раз в отчет были включены статистические данные, полученные в результате анализа поисковой интернет-системы Bing и программы Windows Defender. Для корпоративного сектора в расчет также брались отчеты о работе антивирусов Forefront.
В первой половине нынешнего года активно распространялись сетевые черви, причем именно бизнес-сектор был им наиболее подвержен. Домашние пользователи оказались защищены гораздо лучше. В то же время, основными источниками распространения червей были частные и публичные файлообменные сети и сервисы, а также съемные носители.
Наиболее опасными червями в первом полугодии стали: в корпоративном секторе Conficker, а в секторе конечных пользователей Taterf, впервые замеченный еще в конце 2008-го, причем распространялся данный червь в основном через многопользовательские игры. «Здесь предприятиям и пользователям нужно обратить внимание на то, как и кто работает со съемными носителями, а также кто и как подключается к их ПК», – говорят в Microsoft.
Еще одним опасным трендом первого полугодия авторы отчета назвали т.н. программы-шантажисты. За полгода таких программ с ПК пользователей было удалено более 13 млн копий. Потому в отчете сказано: «Пользователям необходимо обзавестись ПО, удаляющим шантажистов в реальном времени, дабы в дальнейшем не оказаться на крючке мошенников».
По данным Microsoft, распространение различного рода инфекций очень значительно различается географически. Пользователи разных стран по-разному подходят к проблеме своей IТ-безопасности. В качестве образцов для подражания Microsoft называет Японию, Германию и Австралию, где уровень заражения стабильно остается низким. Одной из причин качественной защиты авторы отчета называют высокую квалификацию пользователей и их осведомленность о современных угрозах. В то же время в Японии и Австралии действуют специальные государственные центры информирования об IТ- угрозах.
В США, Великобритании, Франции и Италии наиболее распространенной категорией угроз оказались программы-троянцы, в Китае преобладали угрозы, связанные с браузером, в Бразилии были широко распространены атаки против пользователей услуг интернет-банкинга, в Испании и Корее преобладали черви и атаки, направленные против любителей онлайн-игр.
В первом полугодии 2009-го ОС Windows Vista имела значительно более низкий уровень заражения по сравнению с Windows XP, причем независимо от пакета обновления. Уровень заражения для Windows Vista с пакетом обновления 1 (SP1) был на 61,9% ниже, чем для Windows XP с пакетом обновления 3 (SP3). Уровень заражения для Windows Server 2008 RTM был на 52,6% ниже, чем для Windows Server 2003 с пакетом обновления 2 (SP2).
Авторы отчета объясняют: «Серверные версии ОС Windows, как правило, демонстрируют в среднем более низкий показатель заражения по сравнению с клиентскими. Серверы меньше подвержены атакам, чем ПК под управлением клиентских ОС, поскольку они обычно работают в контролируемых условиях, обслуживаются квалифицированными администраторами и обладают одним или несколькими уровнями защиты».
Наиболее распространенной категорией спама в первом полугодии 2009 г. была реклама товаров, главным образом фармацевтических препаратов. Во втором полугодии 2008-го реклама товаров составляла 69,2% всей нежелательной почты.
Общее количество выявленных в отрасли уникальных уязвимостей резко сократилось в первом полугодии этого года – на 28,4%, по сравнению со вторым полугодием 2008-го. И если количество уязвимостей приложений сократилось по сравнению со вторым полугодием 2008 г., то количество уязвимостей операционной системы осталось приблизительно на том же уровне, что и в предшествующий период, а количество уязвимостей браузеров немного выросло.
Количество уязвимостей, степень опасности которых по общей системе оценки уязвимостей (CVSS) оценивается как высокая, уменьшилось за год на 12,9%; 46% от общего числа уязвимостей оцениваются как уязвимости высокой степени опасности. В первом полугодии 2009 г. 54,2% всех уязвимостей были уязвимостями низкой степени сложности (по сравнению с 57,7% во втором полугодии 2008 г.) – сокращение почти на 30% за последние пять лет. «Ежедневно обнаруживается большее количество web-узлов, распространяющих вредоносное ПО, чем серверов – источников фишинг-атак. Размещение вредоносного ПО является более стабильным и менее географически диверсифицированным явлением. По всей видимости, это связано с тем, что акции по нейтрализации опасных web-серверов и использование технологии оценки репутации web-узлов в качестве средства борьбы с распространением вредоносного ПО были введены в практику относительно недавно. Это означает, что распространителям вредоносного ПО, в отличие от фишеров, пока не приходится диверсифицировать расположение своих серверов», – пишут авторы отчета.
В первом полугодии 2009-го количество просмотров фишинговых страниц значительно возросло, главным образом по причине увеличения количества фишинговых атак, направленных на социальные сети. Фишеры атаковали более широкий круг web-сайтов, наиболее часто атакам подвергались игровые сайты, порталы, а также интернет-ресурсы крупных корпораций.
Утечки данных
В одном из крупнейших в Германии книжных интернет-магазинов Libri.de произошла утечка персональных данных клиентов. В открытом доступе оказались в общей сложности 563 тысячи 640 счетов-фактур, содержащих имена клиентов, их адреса, историю заказов и номера счетов.
Об утечке на сайт netzpolitik.org сообщил один из клиентов Libri.de: его насторожило, что порядковый номер его счета, содержащийся в присланной ему магазином ссылке на PDF-документ, содержит больше цифр, чем обычно. Изменив пару цифр наугад, он получил доступ к счету-фактуре другого клиента. Администраторы ресурса netzpolitik.org решили проверить эту информацию и менее чем за полчаса смогли скачать около 20 тысяч счетов покупателей Libri.de. В целом, как удалось установить, в открытом доступе находились более полумиллиона счетов сотен тысяч клиентов. Представители netzpolitik.org связались с Libri.de, проинформировав о случившемся. В Libri.de не стали пытаться замять скандал, вместо этого по возможности быстро ликвидировали утечку, пока никто еще не успел воспользоваться личными данными клиентов в корыстных целях.
Иогоннес Каспар, уполномоченный по защите личных данных муниципалитета Гамбурга, где располагается Libri.de, назвал масштабы утечки шокирующими. По его словам, многие люди заказывают книги через интернет-магазин, поскольку стесняются сделать это публично в магазине. Поэтому утечка может рассматриваться как грубое вторжение в их личную жизнь. Ситуацию осложняет еще и то, что качество систем защиты личных данных сайта Libri.de было официально подтверждено сертификатом качества TUV.
Вредоносное ПО
Специалисты компании Symantec предупреждают о появлении нового трояна, шифрующего информацию на зараженных ПК. Вредоносная программа Ramvicrype, попав на ПК жертвы, кодирует пользовательские данные с применением алгоритма RC4. Зашифрованным файлам присваивается расширение .vicrypt, а открыть их можно лишь при помощи специальных инструментов. Троян представляет угрозу для Windows-компьютеров.
Примечательно, что, в отличие от других вирусов-шифровальщиков, Ramvicrype не предлагает напрямую своим жертвам приобрести средства дешифрации. Распространители трояна рассчитывают, что пользователи сами выйдут на них, пытаясь найти помощь через поисковые системы. И действительно, многие из ссылок по запросам вроде «vicrypt help» ведут на сайты злоумышленников.
Правда, специалисты компании Symantec отмечают, что зачастую на ПК, пораженном Ramvicrype, невозможно не только получить доступ в Сеть, но и воспользоваться каким-либо ПО, поскольку троян шифрует файлы в системной папке.
Владельцам ПК, обнаружившим на своих машинах файлы с расширением .vicrypt, Symantec рекомендует для дешифрации воспользоваться специальной бесплатной утилитой. Скачать ее можно по адресу: http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-102921-3210-99 Также исследовательское подразделение Symantec сообщило об обнаружении нового троянского кода, использующего социальную сеть Facebook в качестве своеобразного командного сервера. Троянец, получивший название Whitewell, обычно распространяется через документы форматов PDF или MS Office, содержащие те или иные ранее обнаруженные уязвимости.
При попадании на ПК пользователя, троянец пытается связаться с мобильной версией Facebook и считать команду с определенной страницы в сети. Проанализировав код, в Symantec пришли к выводу, что троянец может выполнять четыре вида действий в зависимости от конкретных команд, найденных в заголовках Facebook.
По словам Андреа Лелли, антивирусного аналитика Symantec, реальное управление троянцем происходит с других ресурсов, тогда как Facebook выступает в качестве передаточного механизма. «В троянце реализован свой механизм HTML-парсинга, получения динамических данных и отправки адреса зараженного компьютера и времени его заражения», – говорит она.
При этом троянец обменивается с Facebook очень простыми односложными командами, такими как White, WebServer, Wells и другими. Каждая из них выступает в качестве ключевого слова. В компании подчеркивают, что пока не зафиксировали широкого распространения данного троянца.
Человеческий фактор
Подавляющее большинство учителей, детей и их родителей в Украине не осведомлены о потенциальных рисках для детей в Интернете и о том, как их избежать. 22% детей периодически попадают на сайты для взрослых. 28% детей, увидев в Интернете рекламу алкоголя или табака, хоть раз пробовали их купить, а 11% – пытались купить наркотики.
Таковы результаты всеукраинского социологического исследования «Знание и отношение украинцев к вопросу безопасности детей в Интернете», проведенного Институтом социологии НАН Украины. Исследование проводилось с августа по сентябрь 2009-го в 11 городах всех регионов Украины и включало в себя количественный и качественный опрос детей и взрослых. Всего было опрошено более 1200 респондентов.
Более 28% опрошенных детей готовы переслать свои фотографии незнакомцам в Сети. 17% без колебаний соглашаются сообщить информацию о себе и своей семье – место жительства, профессию и график работы родителей, наличие в доме ценных вещей и т.д. О том, для чего посторонним может потребоваться такая информация, дети, как правило, даже не задумываются.
Около 14% опрошенных время от времени отправляют платные SMS за бонусы в онлайн-играх и лишь немногие обращают внимание на стоимость такой опции. При этом 87% родителей считают, что именно они должны обучать детей правилам безопасного пользования мобильным Интернетом. Однако лишь в 18% случаев взрослые проверяют, какие сайты посещал ребенок.
Заместитель директора «Центра социальных экспертиз» Украины Гульбаршин Чепурко так прокомментировал результаты: «Как показали исследования, родители и учителя зачастую не ориентируются ни в Интернете, ни в вопросах потенциальных онлайн-рисков для детей, а значит, не могут вести с детьми полноценную профилактическую работу. Большинство родителей, 76 процентов, даже не интересуются, какие сайты посещает их ребенок. А поскольку Интернетом дети в основном пользуются самостоятельно, контроль со стороны родителей – минимален и ограничивается разве что суммой денег, выдаваемых ребенку на пополнение счета».
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 43 за 2009 год в рубрике безопасность
