Информбезопасность: лето, горячее во всех смыслах
За окном – жара и, казалось бы, самое время расслабиться, хотя бы на время позабыть о сражениях в киберпространстве. Однако на злоумышленников нынешняя погода, кажется, действует лишь стимулирующе. По крайней мере, новостей об атаках, новых программах-зловредах и обнаруженных уязвимостях меньше не становится. Тут уж и специалистам по информбезопасности остается лишь мечтать о пляже и прохладных морских волнах.
Вредоносное ПО: теперь и для смартфонов
Появились новые вредоносные программы, нацеленные на смартфоны Nokia, Samsung и Sony Ericsson с ОС Symbian, сообщила компания NetQin. Среди операционных систем Symbian уязвимы Symbian S60 3rd Edition (Symbian OS 9.1) и S60 fifth edition (Symbian OS 9.4).
Как правило, вредоносное ПО прячется в играх для смартфонов Symbian. После запуска вредонос передает автору программы контроль над зараженным смартфоном. В этом случае зараженный смартфон становится частью ботнета и может быть использован для проведения атак на другие устройства. Некоторые версии вредоносной программы получают доступ к списку контактов на зараженном смартфоне и рассылают ссылки на вредоносные сайты, а потом «заметают следы», удаляя все следы отправленных сообщений. По оценке NetQin, примерно 100.000 мобильных телефонов по всему миру уязвимы для данной вредоносной программы.
Вредоносное ПО второго квартала
Компания PandaLabs опубликовала отчет о вирусной активности во II квартале нынешнего года. Главный вывод: 51,78% всего вредоносного ПО, появившегося за последние три месяца, составили трояны. Стараются не отставать и классические вирусы – количество их распространений выросло на 10% по сравнению с I кварталом года и достигло 24,35% от всего нового вредоносного ПО. Для распространения как вирусов, так и троянов киберпреступники все чаще используют социальные сети, применяя технику Black Hat SEO.
В том же отчете приведен рейтинг наиболее «инфицированных» стран – в нем снова лидирует Тайвань (более 50% зараженных ПК); на втором месте оказалась Россия (около 48%), на третьем – Турция (около 47%).
Также эксперты PandaLabs рассказали в отчете о новой фишинг-технике, названной Tabnabbing. Она использует систему просмотра аккаунтов в современных браузерах – с ее помощью киберпреступники крадут персональные данные в то время, когда пользователи просматривают привычные им сайты. Мошенники используют JavaScript, отслеживая момент, когда пользователь не просматривает открытую ранее страницу. В этот момент и переписывается содержание страницы. Соответственно, специалисты PandaLabs рекомендуют закрывать сайты, которые не используются в данный момент. В свою очередь, словацкая антивирусная компания ESET обнародовала результаты своего анализа наиболее распространенных интернет-угроз, которые были выявлены в июне нынешнего года при помощи технологии раннего обнаружения ThreatSense.Net.
На первой строчке рейтинга, как и месяцем ранее, оказался червь Conficker с показателем распространенности 9,97%. Сильнее всего от его атак пострадали пользователи в Словении (29,17%) и Ирландии (28,3%). Далее следует семейство угроз INF/Autorun – оно лидирует в Греции и Словакии с процентом проникновения 5,98% и 5,91% соответственно. Тройку лидеров замыкает вредоносная программа Win32/PSW.OnLineGames с показателем в 4,26%. Она больше всего «наследила» в Польше (9,75%), Испании (6,35%) и Турции (5,4%).
Также эксперты ESET обращают внимание на значительный рост активности троянца JS/TrojanDownloader.Pegel.BR. Он распространяется через спам, в качестве информационного повода для рассылки которого используется чемпионат мира по футболу. Эта угроза оказалась на пятой строчке рейтинга с показателем 2,29%. Этот троянец также вошел в тройку наиболее серьезных локальных угроз в большинстве европейских стран. Наиболее высока доля его проникновения в Австрии (14,55%), Великобритании (12,34%), Бельгии (8,77%), Чехии (10,16%), Дании (11,87%) и Норвегии (10,1%).
В России двадцатку вредоносов возглавил вирус Win32/Spy.Ursnif.A, крадущий персональную информацию, учетные записи с зараженного ПК и отправляющий их на удаленный сервер. Также он может распространяться в составе другого вредоносного ПО. На второй позиции в локальном рейтинге с долей 4,99% оказалась Win32/Agent – это троянская программа, предназначенная для кражи личных данных пользователя. Третьей по проникновению в России угрозой стало семейство INF/Autorun – 4,90%.
Общий процент заражения различными модификациями червя Conficker в регионе СНГ составил 11,77%; наибольшее распространение из них получил троянец Win32/Conficker.AA (4,81%). А Win32/Conficker.X благодаря росту своей активности занял пятую строчку с показателем в 2,22%. Вопреки широко распространенному мнению, в Сети намного больше зараженных «хороших» сайтов, чем зараженных порносайтов и других традиционных источников вредоносного ПО – в пропорции примерно 99 к 1. Об этом свидетельствует статистика антивирусной компании Avast – там считают, что их данные доказывают ложность утверждения, гласящего, что киберзаразу распространяют только сайты «для взрослых». Так, технический директор компании Ондрей Волчек говорит: «Мы вовсе не рекомендуем людям начинать искать в Интернете порнографические материалы, но статистика не вызывает сомнений: на каждый зараженный домен «для взрослых», который мы идентифицируем, находится 99 других, с исключительно законным содержанием, которые также заражены».
Действительно, киберзлоумышленники действительно все чаще выявляют и эксплуатируют бреши в защите «добропорядочных» сайтов, внедряя в них свои коды. Например, вирусы в разное время раздавали посетителям сайты Гидрометцентра России, Роскосмоса, Казначейства США и даже антивирусной компании ESET – подобных инцидентов за последние пять лет было великое множество.
Атаки: банки под ударом
В Сети появилась новая версия банковского трояна ZeuS/Zbot, которая предназначена для кражи паролей в российских системах интернет-банкинга и электронных денег. Среди целей новой модификации бота – российские сайты Ситибанка, МДМ Банка, ВТБ24 (система «Телебанк»), а также платежные системы ОСМП, «Яндекс.Деньги», Webmoney и RBK Money.
Аналитик из TrendMicro Лусиф Харуни отмечает, что это первый случай, когда он видит среди целей «Зевса» российские банки – ведь считается, что интернет-банкинг в России пока не развит, и раньше фишеры не очень интересовались этим регионом. Вероятно, это знак, полагает аналитик: системы онлайнового банкинга из России развились достаточно, чтобы попасть под прицел злоумышленников, и теперь появится больше банковских троянов, направленных на Россию.
Для справки: ZeuS – это хакерский инструментарий, который можно приобрести на черном рынке и развернуть с его помощью собственную зомби-сеть. Трояны ZeuS специализируются на краже логинов и паролей к системам онлайн-банкинга. Раньше Zeus распространялся в основном через спамерские рассылки с вредоносными ссылками, но с некоторых пор троян умеет заражать программы. Многие центры управления Zeus-ботнетом хостятся в России. Российские кардеры освоили новый способ отъема денег у населения. Незадачливым владельцам отсылают SMS о том, что их карта якобы заблокирована, а для «разблокирования» просят выслать все данные по ней.
Получив необходимые сведения, злоумышленники выводят средства через интернет-банкинг. О новом способе обмана своих клиентов уже предупредили Ситибанк и Альфа-банк. Как говорится в сообщении Альфа-банка, пострадавших просили перезвонить на мобильный номер и назвать номер карты, срок ее действия и код проверки подлинности (CVV2), напечатанный рядом с подписью владельца на обратной стороне карты.
В этой связи служба безопасности банка рекомендует клиентам никогда не называть мошенникам всех реквизитов карты, а также обратить внимания на то, что в направленных банком SMS, в отличие от мошеннических, всегда указывается часть номера заблокированной карты, а ее владельцев просят перезвонить на бесплатный телефонный номер (начинающийся на 8-800). Аналогичное предупреждение направил клиентам и Ситибанк.
Уязвимости: грустное лидерство Apple
Мониторинговая компания Secunia выпустила новый отчет, согласно которому общее число обнаруженных в первом полугодии 2010 года уязвимостей приблизилось к числу брешей, найденных за весь 2009 год.
Первое место по количеству зафиксированных уязвимостей занимает компания Apple, за ней следует корпорация Oracle, а третье место в этом списке сомнительных достижений досталось Microsoft. За первые шесть месяцев текущего года специалисты Secunia выявили 380 новых уязвимостей среди пятидесяти самых распространенных пакетов ПО, установленного на компьютеры конечных пользователей. Эта цифра на 89% больше той, что была зафиксирована по итогам прошлого года.
Аналитики Secunia отмечают, что картина угроз безопасности теперь в большей степени формируется за счет уязвимостей в стороннем ПО, а не по вине самих операционных систем. Так, на типичном пользовательском компьютере с пятидесятью установленными программами 24 сторонних приложения имеют в 3,5 раза больше багов, чем 26 программ от Microsoft. Согласно прогнозам, в конце 2010 года это соотношение увеличится до 4,4.
Кроме того, процесс установки обновлений на средний ПК обычно затруднен тем, что патчи для имеющихся на нем программ устанавливаются тринадцатью различными способами. В Secunia констатируют, что за период с 2007 по 2009 годы количество брешей, имеющихся на среднестатистическом клиентском ПК, увеличилось с 220 до 420. В этом году их число опять существенно возрастет и может достигнуть отметки в 760.
Защитные системы: рынок только растет
По итогам I квартала нынешнего года рынок решений для обеспечения безопасности в Западной Европе показал 0,8%-й рост доходов, которые достигли отметки в $399,5 млн, отмечают аналитики компании IDC. В рамках этого квартала здесь было поставлено порядка 133.913 решений – рост рынка составил 1,3%.
«Упомянутый отчетный период стал первым кварталом роста для западноевропейского рынка решений для обеспечения безопасности, начиная с I квартала 2009 года. Важно отметить, что мировой экономический кризис оказывал здесь давление в основном во втором и третьем кварталах прошлого года, а уже в IV квартале мы увидели первые признаки восстановления», – отметили в IDC.
Лидирующим сегментом рынка в этом квартале снова стал сегмент решений в области управления контентом – рост здесь составил 42,2%, а доходы достигли отметки в $92,2 млн. На данный момент на долю этого сегмента приходится порядка 23% от общего объема доходов по рынку – лучший показатель только у сегмента UTM.
Социальные сети: Facebook перестраховывается
Британское отделение социальной сети Facebook сдалось и объявило о введении «тревожной кнопки», предназначенной для детей и подростков. Нажав ее, дети и подростки могут отправить жалобу на действия собеседника в Центр защиты детей от эксплуатации и онлайн-насилия Великобритании (CEOP) и администрацию социальной сети. Переговоры между центром и Facebook продолжались с ноября прошлого года, поскольку интернет-компания по каким- то причинам сопротивлялась этой идее, что привело к жесткой критике со стороны правозащитников и скандалу, которым не преминули воспользоваться конкуренты. Первой аналогичную «тревожную кнопку» внедрила соцсеть Bebo, ее примеру последовала MySpace. Facebook же долгое время заявляла, что ее собственных систем безопасности вполне достаточно.
Давление на социальную сеть усилилось после изнасилования и убийства 17-летней британки Эшли Холл, которые совершил 33-летний рецидивист, выдав себя за подростка и познакомившись с нею на Facebook. После этого сорок четыре начальника полиции Англии, Уэльса и Шотландии подписали письмо в поддержку требований CEOP.
Помимо кнопки, которая позволяет ребенку при появлении нехороших предчувствий связаться со специалистами, подготовлена специальная страничка с привлекательной для подростков информацией: знаменитости, музыка, экзамены, – на которой в том числе есть раздел о правилах безопасности в Интернете.
Денис Лавникевич
Вредоносное ПО: теперь и для смартфонов
Появились новые вредоносные программы, нацеленные на смартфоны Nokia, Samsung и Sony Ericsson с ОС Symbian, сообщила компания NetQin. Среди операционных систем Symbian уязвимы Symbian S60 3rd Edition (Symbian OS 9.1) и S60 fifth edition (Symbian OS 9.4).
Как правило, вредоносное ПО прячется в играх для смартфонов Symbian. После запуска вредонос передает автору программы контроль над зараженным смартфоном. В этом случае зараженный смартфон становится частью ботнета и может быть использован для проведения атак на другие устройства. Некоторые версии вредоносной программы получают доступ к списку контактов на зараженном смартфоне и рассылают ссылки на вредоносные сайты, а потом «заметают следы», удаляя все следы отправленных сообщений. По оценке NetQin, примерно 100.000 мобильных телефонов по всему миру уязвимы для данной вредоносной программы.
Вредоносное ПО второго квартала
Компания PandaLabs опубликовала отчет о вирусной активности во II квартале нынешнего года. Главный вывод: 51,78% всего вредоносного ПО, появившегося за последние три месяца, составили трояны. Стараются не отставать и классические вирусы – количество их распространений выросло на 10% по сравнению с I кварталом года и достигло 24,35% от всего нового вредоносного ПО. Для распространения как вирусов, так и троянов киберпреступники все чаще используют социальные сети, применяя технику Black Hat SEO.
В том же отчете приведен рейтинг наиболее «инфицированных» стран – в нем снова лидирует Тайвань (более 50% зараженных ПК); на втором месте оказалась Россия (около 48%), на третьем – Турция (около 47%).
Также эксперты PandaLabs рассказали в отчете о новой фишинг-технике, названной Tabnabbing. Она использует систему просмотра аккаунтов в современных браузерах – с ее помощью киберпреступники крадут персональные данные в то время, когда пользователи просматривают привычные им сайты. Мошенники используют JavaScript, отслеживая момент, когда пользователь не просматривает открытую ранее страницу. В этот момент и переписывается содержание страницы. Соответственно, специалисты PandaLabs рекомендуют закрывать сайты, которые не используются в данный момент. В свою очередь, словацкая антивирусная компания ESET обнародовала результаты своего анализа наиболее распространенных интернет-угроз, которые были выявлены в июне нынешнего года при помощи технологии раннего обнаружения ThreatSense.Net.
На первой строчке рейтинга, как и месяцем ранее, оказался червь Conficker с показателем распространенности 9,97%. Сильнее всего от его атак пострадали пользователи в Словении (29,17%) и Ирландии (28,3%). Далее следует семейство угроз INF/Autorun – оно лидирует в Греции и Словакии с процентом проникновения 5,98% и 5,91% соответственно. Тройку лидеров замыкает вредоносная программа Win32/PSW.OnLineGames с показателем в 4,26%. Она больше всего «наследила» в Польше (9,75%), Испании (6,35%) и Турции (5,4%).
Также эксперты ESET обращают внимание на значительный рост активности троянца JS/TrojanDownloader.Pegel.BR. Он распространяется через спам, в качестве информационного повода для рассылки которого используется чемпионат мира по футболу. Эта угроза оказалась на пятой строчке рейтинга с показателем 2,29%. Этот троянец также вошел в тройку наиболее серьезных локальных угроз в большинстве европейских стран. Наиболее высока доля его проникновения в Австрии (14,55%), Великобритании (12,34%), Бельгии (8,77%), Чехии (10,16%), Дании (11,87%) и Норвегии (10,1%).
В России двадцатку вредоносов возглавил вирус Win32/Spy.Ursnif.A, крадущий персональную информацию, учетные записи с зараженного ПК и отправляющий их на удаленный сервер. Также он может распространяться в составе другого вредоносного ПО. На второй позиции в локальном рейтинге с долей 4,99% оказалась Win32/Agent – это троянская программа, предназначенная для кражи личных данных пользователя. Третьей по проникновению в России угрозой стало семейство INF/Autorun – 4,90%.
Общий процент заражения различными модификациями червя Conficker в регионе СНГ составил 11,77%; наибольшее распространение из них получил троянец Win32/Conficker.AA (4,81%). А Win32/Conficker.X благодаря росту своей активности занял пятую строчку с показателем в 2,22%. Вопреки широко распространенному мнению, в Сети намного больше зараженных «хороших» сайтов, чем зараженных порносайтов и других традиционных источников вредоносного ПО – в пропорции примерно 99 к 1. Об этом свидетельствует статистика антивирусной компании Avast – там считают, что их данные доказывают ложность утверждения, гласящего, что киберзаразу распространяют только сайты «для взрослых». Так, технический директор компании Ондрей Волчек говорит: «Мы вовсе не рекомендуем людям начинать искать в Интернете порнографические материалы, но статистика не вызывает сомнений: на каждый зараженный домен «для взрослых», который мы идентифицируем, находится 99 других, с исключительно законным содержанием, которые также заражены».
Действительно, киберзлоумышленники действительно все чаще выявляют и эксплуатируют бреши в защите «добропорядочных» сайтов, внедряя в них свои коды. Например, вирусы в разное время раздавали посетителям сайты Гидрометцентра России, Роскосмоса, Казначейства США и даже антивирусной компании ESET – подобных инцидентов за последние пять лет было великое множество.
Атаки: банки под ударом
В Сети появилась новая версия банковского трояна ZeuS/Zbot, которая предназначена для кражи паролей в российских системах интернет-банкинга и электронных денег. Среди целей новой модификации бота – российские сайты Ситибанка, МДМ Банка, ВТБ24 (система «Телебанк»), а также платежные системы ОСМП, «Яндекс.Деньги», Webmoney и RBK Money.
Аналитик из TrendMicro Лусиф Харуни отмечает, что это первый случай, когда он видит среди целей «Зевса» российские банки – ведь считается, что интернет-банкинг в России пока не развит, и раньше фишеры не очень интересовались этим регионом. Вероятно, это знак, полагает аналитик: системы онлайнового банкинга из России развились достаточно, чтобы попасть под прицел злоумышленников, и теперь появится больше банковских троянов, направленных на Россию.
Для справки: ZeuS – это хакерский инструментарий, который можно приобрести на черном рынке и развернуть с его помощью собственную зомби-сеть. Трояны ZeuS специализируются на краже логинов и паролей к системам онлайн-банкинга. Раньше Zeus распространялся в основном через спамерские рассылки с вредоносными ссылками, но с некоторых пор троян умеет заражать программы. Многие центры управления Zeus-ботнетом хостятся в России. Российские кардеры освоили новый способ отъема денег у населения. Незадачливым владельцам отсылают SMS о том, что их карта якобы заблокирована, а для «разблокирования» просят выслать все данные по ней.
Получив необходимые сведения, злоумышленники выводят средства через интернет-банкинг. О новом способе обмана своих клиентов уже предупредили Ситибанк и Альфа-банк. Как говорится в сообщении Альфа-банка, пострадавших просили перезвонить на мобильный номер и назвать номер карты, срок ее действия и код проверки подлинности (CVV2), напечатанный рядом с подписью владельца на обратной стороне карты.
В этой связи служба безопасности банка рекомендует клиентам никогда не называть мошенникам всех реквизитов карты, а также обратить внимания на то, что в направленных банком SMS, в отличие от мошеннических, всегда указывается часть номера заблокированной карты, а ее владельцев просят перезвонить на бесплатный телефонный номер (начинающийся на 8-800). Аналогичное предупреждение направил клиентам и Ситибанк.
Уязвимости: грустное лидерство Apple
Мониторинговая компания Secunia выпустила новый отчет, согласно которому общее число обнаруженных в первом полугодии 2010 года уязвимостей приблизилось к числу брешей, найденных за весь 2009 год.
Первое место по количеству зафиксированных уязвимостей занимает компания Apple, за ней следует корпорация Oracle, а третье место в этом списке сомнительных достижений досталось Microsoft. За первые шесть месяцев текущего года специалисты Secunia выявили 380 новых уязвимостей среди пятидесяти самых распространенных пакетов ПО, установленного на компьютеры конечных пользователей. Эта цифра на 89% больше той, что была зафиксирована по итогам прошлого года.
Аналитики Secunia отмечают, что картина угроз безопасности теперь в большей степени формируется за счет уязвимостей в стороннем ПО, а не по вине самих операционных систем. Так, на типичном пользовательском компьютере с пятидесятью установленными программами 24 сторонних приложения имеют в 3,5 раза больше багов, чем 26 программ от Microsoft. Согласно прогнозам, в конце 2010 года это соотношение увеличится до 4,4.
Кроме того, процесс установки обновлений на средний ПК обычно затруднен тем, что патчи для имеющихся на нем программ устанавливаются тринадцатью различными способами. В Secunia констатируют, что за период с 2007 по 2009 годы количество брешей, имеющихся на среднестатистическом клиентском ПК, увеличилось с 220 до 420. В этом году их число опять существенно возрастет и может достигнуть отметки в 760.
Защитные системы: рынок только растет
По итогам I квартала нынешнего года рынок решений для обеспечения безопасности в Западной Европе показал 0,8%-й рост доходов, которые достигли отметки в $399,5 млн, отмечают аналитики компании IDC. В рамках этого квартала здесь было поставлено порядка 133.913 решений – рост рынка составил 1,3%.
«Упомянутый отчетный период стал первым кварталом роста для западноевропейского рынка решений для обеспечения безопасности, начиная с I квартала 2009 года. Важно отметить, что мировой экономический кризис оказывал здесь давление в основном во втором и третьем кварталах прошлого года, а уже в IV квартале мы увидели первые признаки восстановления», – отметили в IDC.
Лидирующим сегментом рынка в этом квартале снова стал сегмент решений в области управления контентом – рост здесь составил 42,2%, а доходы достигли отметки в $92,2 млн. На данный момент на долю этого сегмента приходится порядка 23% от общего объема доходов по рынку – лучший показатель только у сегмента UTM.
Социальные сети: Facebook перестраховывается
Британское отделение социальной сети Facebook сдалось и объявило о введении «тревожной кнопки», предназначенной для детей и подростков. Нажав ее, дети и подростки могут отправить жалобу на действия собеседника в Центр защиты детей от эксплуатации и онлайн-насилия Великобритании (CEOP) и администрацию социальной сети. Переговоры между центром и Facebook продолжались с ноября прошлого года, поскольку интернет-компания по каким- то причинам сопротивлялась этой идее, что привело к жесткой критике со стороны правозащитников и скандалу, которым не преминули воспользоваться конкуренты. Первой аналогичную «тревожную кнопку» внедрила соцсеть Bebo, ее примеру последовала MySpace. Facebook же долгое время заявляла, что ее собственных систем безопасности вполне достаточно.
Давление на социальную сеть усилилось после изнасилования и убийства 17-летней британки Эшли Холл, которые совершил 33-летний рецидивист, выдав себя за подростка и познакомившись с нею на Facebook. После этого сорок четыре начальника полиции Англии, Уэльса и Шотландии подписали письмо в поддержку требований CEOP.
Помимо кнопки, которая позволяет ребенку при появлении нехороших предчувствий связаться со специалистами, подготовлена специальная страничка с привлекательной для подростков информацией: знаменитости, музыка, экзамены, – на которой в том числе есть раздел о правилах безопасности в Интернете.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 27 за 2010 год в рубрике безопасность
