Информбезопасность: борцы с IT-угрозами сами могут стать угрозой

«Лаборатория Касперского» подготовила аналитический отчет «Развитие информационных угроз в I квартале 2010 года». Согласно ему, мишенью №1 для хакеров и вирусописателей стали продукты компании Adobe. Это связано с популярностью и кроссплатформенностью данного ПО, а также тем, что пользователи плохо осведомлены об опасности открытия неизвестных PDF-файлов.

Среди всех обнаруженных эксплойтов абсолютным лидером стало семейство Exploit.Win32.Pdfka, использующее уязвимости в программах Adobe Reader и Adobe Acrobat. Его доля составила 42,97%.

В сумме доля двух семейств эксплойтов для продуктов Adobe – Exploit.Win32.Pdfka и Exploit.Win32.Pidief – достигла 47,5%, то есть почти половины обнаруженных. Эти эксплойты являются PDF-документами, содержащими сценарии Java Script, которые без ведома пользователя загружают из Интернета и запускают другие вредоносные программы.

По данным отчета, на ПК пользователей часто присутствуют продукты Adobe с незакрытыми уязвимостями. Среди десяти самых распространенных уязвимостей ПО, обнаруженных на компьютерах пользователей за отчетный период, три уязвимости найдены в ПО производства Adobe, шесть – Microsoft и одна – Sun. Три уязвимости продуктов Adobe присутствуют на 23,37%, 17,87% и 15,27% пользовательских ПК, причем первая и последняя являются критическими, то есть позволяют хакеру получить контроль над системой.

Одна из уязвимостей продуктов Adobe известна более трех лет и для нее имеется патч, что свидетельствует: многие пользователи не следят за своевременным обновлением программ. Чтобы решить эту проблему, компания Adobe недавно запустила сервис автоматических обновлений своих продуктов в фоновом режиме. Разработчики надеются, что это позволит своевременно обновлять приложения, вызывающие у киберпреступников такой повышенный интерес.

Угрозы: давайте бояться Google!

Сразу несколько компаний в конце мая предупредили пользователей об интернет-угрозах. И прежде всего о тех из них, которые связаны с интернет- серфингом, а также с установкой программ из неблагонадежных источников.

Так, компания McAfee в своем отчете McAfee Threats Report: First Quarter 2010 поставила на первое место угрозы, распространяемые через портативные накопители. Инфекции, связанные с автоматическим запуском приложений (AutoRun), заняли I и III места. Специалисты компании связывают это с широким применением USB-накопителей. В первую пятерку рейтинга угроз вошли разнообразные трояны, нацеленные на похищение паролей. Среди них обычные программы для скачивания, нежелательные программы и игровое ПО, анонимно накапливающие статистическую информацию.

Американская компания Zscaler, занимающаяся предоставлением услуг в области информационной безопасности, также опубликовала отчет «Ситуация в сети Интернет» за I квартал 2010 года. В документе представлен обзор угроз и ловушек, грозящих пользователям Сети. Среди них – хакерские ловушки, вирусы, вредоносные программы, психологические атаки и множество других неприятных сюрпризов.

Интересно, что список этих многочисленных угроз возглавили сервисы Google: поисковик, Google-mail, блоги, группы и т.д. По мнению специалистов Zscaler, отсюда, без ведома пользователя, загружается и устанавливается вредоносное ПО. За Google-сервисами следует ThePlanet – крупный хостинг- провайдер, часто становившийся объектом злоупотреблений.

Также серьезную угрозу для пользователей, по данным Zscaler, представляют многочисленные схемы психологических атак. Возглавляют этот список агрессивные технологии обмана путем внедрения ложного антивирусного ПО – их доля составляет 13,58% от всех уловок киберзлоумышленников. Такой же точки зрения придерживается компания «Доктор Веб». В своем аналогичном исследовании этот разработчик антивирусного ПО отмечал, что сетевые мошенники пытаются оказывать психологическое давление на пользователей. В частности, речь идет о программе Trojan.Fakealert.14886, которая распространяется под видом программного инсталлятора. При запуске она выводит сообщение об обнаружении на ПК нелегальных торрент-файлов и дальнейшей ответственности пользователя перед законом за нарушение авторских прав. Программа действует подобно троянам семейства Trojan.Winlock: блокирует доступ в систему и предлагает отправить платное сообщение для продолжения работы.

Согласно данным, представленным в отчете Zscaler, на сегодняшний день из десяти стран, где выявлено наибольшее количество вредоносного контента, семь – страны Центральной и Южной Америки. Наибольшее количество «неполезного» контента, по данным Zscaler, поступает из США, поскольку именно оттуда чаще всего запрашиваются данные через существующие глобальные каналы коммуникаций.

Компания McAfee, в свою очередь, обнаружила, что наиболее высокая доля вредоносного ПО и спама приходится на Таиланд, Румынию, Филиппины, Индию, Индонезию, Колумбию, Чили и Бразилию. Специалисты компании связывают это с бурным ростом количества интернет-пользователей в перечисленных странах за последние пять лет. Однако «с точки зрения осведомленности в вопросах обеспечения безопасности в этих странах наблюдается отставание», – считают эксперты.

Соцсети и онлайн-игры, по мнению исследователей, также потенциально опасны: в отчете Zscaler говорится, что фишинговые эксплойты в Facebook и World of Warcraft (WoW) позволяют хакерам получать значительную прибыль со своих не подозревающих об опасности жертв.

Источником 5% всех уязвимостей браузеров явилась связка эксплойтов Eleonore. И эта цифра растет. Под раздачу также попала шестая версия Internet Explorer, названная в исследовании крайне уязвимой. «Уровень распространения этого появившегося девять лет назад браузера остается неприемлемо высоким», – отмечает Zscaler.

По утверждению Майкла Саттона, вице-президента Zscaler по вопросам исследований в области безопасности, хакеры не останавливаются на достигнутом. «Применяя тактики Black hat SEO, поражающие легитимные сайты, или распространяя фиктивные антивирусные программы, они снова и снова используют проверенные и отлаженные техники атак, пугающие своей эффективностью». Кроме того, он сделал вывод, что «знание о таких угрозах, к примеру, крупных ботнетах, не позволяет вам от них избавиться».

Специалисты McAfee отмечают, что 98% адресов вредоносных web-сайтов указывают на серверы, расположенные в США. Из оставшихся двух процентов 61% серверов располагаются в Китае, а 34% – в Канаде.

Антивирусы: ПК, смартфоны, далее – везде

Американская корпорация Symantec объявила о запуске инициативы под названием Norton Everywhere, целью которой является выход в новые сегменты рынка – за пределы ПК.
Norton Everywhere охватывает три направления: смартфоны, продажи которых, как ожидается, к концу 2011-го превысят продажи десктопов; web-серфинг как таковой (вне зависимости от используемого устройства) и встраиваемые решения (прежде всего – бытовая техника). Вместе с объявлением новой инициативы компания анонсировала выход первых продуктов в ее рамках: Norton Smartphone Security for Android Beta, Norton Connect Beta и Norton DNS Beta.

Запланированное к выходу в июне приложение Norton Smartphone Security for Android Beta расширит портфель мобильных решений Symantec. Оно позволит владельцам смартфонов на платформе Android удаленно блокировать доступ к устройствам или уничтожать сохраненную в их памяти информацию путем отсылки SMS-сообщения. Кроме того, приложение будет иметь функции защиты от вредоносного ПО и блокирования звонков от нежелательных абонентов.

В июне также планируется выпуск Norton Connect Beta, бесплатного приложения, открывающего доступ к облачному хранилищу данных Norton с iPhone, iPad или устройства на базе Android. Речь идет об «облачных» хранилищах, которые можно создавать при помощи Norton Online Backup или Norton 360. Таким образом, благодаря Norton Connect владельцы устройств смогут получить доступ к личным файлам в любое время и в любом месте (при наличии высокоскоростного Интернета). Скачать приложение можно будет соответственно с App Store или Android Market, в зависимости от платформы. Norton DNS Beta – аналог Google Public DNS и других подобных сервисов, выполняющих роль фильтра при просмотре web-страниц. Для того чтобы воспользоваться данным сервисом, который будет запущен в июне и также будет бесплатным, достаточно будет прописать DNS-серверы Symantec в браузере или роутере, через который осуществляется доступ в Сеть. Данный сервис можно будет использовать на различных устройствах, включая обычные ПК, роутеры, смартфоны и т. д. Он будет анализировать web-сайты, на которые отправляются запросы, на наличие вредоносного ПО или порнографии и блокировать доступ при их наличии, в соответствии с указанными настройками.

Наконец, Symantec планирует защитить пользователей телевизоров, медиасерверов, Blu-ray-плееров и другой техники, не относящейся к категории ПК, но имеющей возможность подключения к Интернету. По данным IDC, на сегодняшний день в мире насчитывается более 10 млрд таких устройств, число которых к 2014 году вырастет почти в два раза. «С ростом числа устройств, имеющих подключение к интернету, возможности хакеров становятся шире с каждым днем. Новая инициатива призвана обеспечить безопасность пользователя, с каким бы электронным устройством он ни обращался, что бы ни делал», – говорят в Symantec. С данной целью компания заключила ряд соглашений с игроками рынка, в том числе с подразделением HTC, вместе с которым будет проводиться тестирование мобильных приложений.

Вредоносное ПО: снова фальшивые антивирусы

Троим интернет-мошенникам – двум гражданам США и гражданину Швеции – предъявлены официальные обвинения в мошенничестве, связанном с распространением псевдоантивирусного ПО. В случае доказательства их вины им грозит тюремное заключение, сообщается в пресс-релизе министерства юстиции США.

Предполагается, что Бьорн Сундин и Шайлешкумар Джаин вместе с другими неназванными лицами управляли созданной ими компанией Innovative Marketing. Эта компания размещала в Сети не соответствовавшую действительности рекламу, сообщавшую пользователям, что их компьютеры заражены вирусами, и предлагала установить свое «антивирусное» ПО. В результате компания смогла заработать на доверчивых пользователях более $100 млн. Всего от ее деятельности пострадали свыше миллиона человек из 60 стран мира.

Третий обвиняемый – Джеймс Рино – был одним из руководителей колл-центра Byte Hosting Internet Services, который обеспечивал телефонную поддержку пользователей псевдоантивируса. Отмечается, что Сундин и Джаин в настоящий момент находятся за пределами США. Причем, по сведениям министерства юстиции, последний скрывается на территории Украины. Ожидается, что Рино, который ранее заявлял о своей непричастности к противозаконным действиям, предстанет перед судом добровольно.
Компания Innovative Marketing, которая прекратила свою деятельность по решению суда больше года назад, распространяла такие решения, как «DriveCleaner» и «ErrorSafe». Их стоимость составляла от $30 до $70.

А лаборатория PandaLabs обнаружила сеть, в которой продаются боты, специализирующиеся на социальных сетях и системах электронной почты. На общедоступной web-странице выложен подробный каталог программ, нацеленных на сервисы электронной почты и социальные сети, включая Twitter, Facebook, Hi5, MySpace, MyYearBook, YouTube, Tuenti, Friendster, Gmail и Yahoo.

К каждому боту прилагается объяснение цели создания данного бота: одновременное создание многочисленных аккаунтов в социальных сетях; кража персональных данных, друзей, поклонников и контактов; автоматическая отправка сообщений и др. PandaLabs сообщает: «Все боты работают традиционным способом, они собирают ID/имена друзей и отправляют запросы на добавление в друзья, оставляют сообщения и автоматические комментарии».

Луис Корронс, технический директор PandaLabs, говорит: «Мы расследуем это дело, налицо еще один пример чрезвычайно выгодного бизнеса кибер- преступников – распространение вредоносного ПО. Каталог ботов для продажи – это всего лишь один из множества вариантов использования интернет- угроз. Некоторые из представленных в каталоге ботов практически невинны, если можно употребить в данном контексте это слово (те, что создают аккаунты). Однако другие нацелены на мошенничество – они крадут персональные данные, фотографий и пр.».

Самый дешевый бот стоит от $95, самый дорогой – $225. Весь каталог ботов можно приобрести за $4500. Создатели гарантируют, что ни одно решение безопасности не сможет обнаружить этих ботов, поскольку они специально были разработаны с учетом смены пользователей, агентов и заголовков так часто, как это необходимо для того, чтобы не быть обнаруженными. Также они умеют обходить механизм защиты CAPTCHA, присутствующий на многих сайтах, поэтому покупателю останется только установить параметры и позволить ботам работать самостоятельно. Кроме того, в стоимость включена функция постоянного обновления.

Наиболее необычные действия, ради которых создаются боты:
- автоматический генератор визитов и просмотров видеозаписей на YouTube,
- оптимизация рейтингов в Alexa,
- подкуп избирателей в Digg,
- неограниченная отправка сообщений на сайтах знакомств, таких как DirectMatches.

Боты специально адаптированы под каждый web-сайт. Они нацелены не только на социальные сети и сообщества, имеющие международную популярность, но и на локальные сайты, такие как Tuenti, Yahoo UK и др.

«На этом портале также предлагается зарабатывать деньги за счет перепродажи «продукции». Именно по такой модели строятся кибермафия и организации, работающие на территории нескольких стран. Мы не должны забывать, что этот бизнес живет не только потому, что существуют разработчики угроз, но и потому, что всегда находятся преступники, готовые за эти угрозы платить. До тех пор, пока мы не будем в состоянии оградить пользователей от подобного искушения, данная бизнес-модель будет процветать», – заключил Луис Корронс.

Человеческий фактор: спасут ли психологи от интернет-экстремистов?

Правительство Москвы намерено внедрить в социальные сети и на форумы профессиональных психологов, которые будут бороться с проявлениями экстремизма в Сети. Обязанностью этнопсихологов и конфликтологов будет препятствование распространению в Сети экстремистских настроений. В задачи борцов с экстремизмом будет входить мониторинг популярных в молодежной среде web-ресурсов, прежде всего – социальных сетей «Одноклассники» и «ВКонтакте». Также психологи будут проводить в Сети дискуссии и конференции на тему националистической деятельности и межэтнических отношений и организовывать психологические консультации. Собранная психологами информация будет передана в Центр интеграции, созданный при Московском доме национальностей.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 22 за 2010 год в рубрике безопасность

©1997-2024 Компьютерная газета