...
...

Информбезопасность. Октябрь. Плохие новости

Главная плохая новость нынешнего месяца: на совершенно новый уровень выходят мобильные угрозы. Хакерами уже скомпрометированы Symbian и BlackBerryOS, а вот Android просто «слишком много позволяет» своим приложениям.

Другая опасность – скорее социального плана. Правообладатели в последнее время прилагают максимум усилий, чтобы обычная публика воспринимала в качестве самых страшных компьютерных злоумышленников вовсе не хакеров, спамеров или организаторов ботнетов, а тех, кто бесплатно скачивает из Сети контент либо пользуется взломанным ПО. К сожалению, им это вполне удается.

Тенденции: платить за защиту не хотят

Согласно последнему отчету OESIS OK, даже в США – ключевом рынке для платных антивирусных продуктов – бесплатные решения уверенно занимают все большую нишу. По количеству установок на пользовательские компьютеры бесплатные продукты уже почти вплотную подобрались к платным. Из пяти ведущих компаний в портфеле у трех (Avast Software, AVG Technologies и Microsoft) есть бесплатные продукты. Avast при этом не слишком сильно уступает Symantec Corp., продукты которой (Norton Antivirus, Norton Internet Security и Norton 360) часто устанавливаются на новые компьютеры перед продажей. Вкупе с Avira четыре компании, предлагающие бесплатные решения, имеют немногим менее 40% от числа всех установок.





Американские пользователи часто выбирают бесплатные программы, даже несмотря на то, что они в целом привыкли платить за софт. Антивирусы отличаются от большинства остальных программ прежде всего тем, что за них недостаточно заплатить один раз. Операционную систему, офисный пакет, фоторедактор, пакет для звукозаписи достаточно купить – и пользоваться ими можно неограниченно долго. Антивирусы же требуют ежегодной оплаты, пусть и не слишком большой для платного софта (обычно – в пределах $80). Возможно, именно это и пугает пользователей.

Бесплатные же антивирусы имеют один существенный недостаток. Какими бы качественными они ни были, они не могут позволить себе слишком часто обновлять вирусную базу – и в то время как платные антивирусы обновляют ее почти в реальном времени, бесплатные обычно делают не более одного обновления в сутки. Учитывая же скорость распространения современных червей, эту скорость можно смело назвать низкой. Однако обновлять пользовательские базы чаще бесплатные антивирусы просто не в состоянии: каждое обновление стоит им денег.

Кроме того, бесплатные программы обычно не содержат модулей, отличных от обычного антивируса. В то время как платные версии пакетов содержат разнообразнейшие инструменты, защищающие от спама, рекламного ПО, сетевых атак, необнаруженных угроз, нежелательного контента web-страниц, бесплатные ничего этого обычно не умеют.

Несмотря на вышеперечисленные соображения, бесплатные антивирусы продолжают набирать популярность – это означает, что хоть людям и дорога безопасность компьютера, многие из них не готовы за нее платить.

Угрозы: Касперский отчитался за сентябрь

По исследованию специалистов «Лаборатории Касперского», в сентябре большое распространение получила новая модификация известного полиморфного вируса Sality – «bh». В рейтинг программа попала впервые, но сразу заняла 11-е место. Sality.bh распространяется с помощью дроппера Trojan- Dropper.Win32.Sality.cx, использующего Windows-уязвимость в LNK-файлах. Это первая обнаруженная уязвимость «нулевого дня», использованная нашумевшим червем Stuxnet, эту же уязвимость эксплуатировал в августе Trojan-Dropper.Win32.Sality.r. Среди лидеров по числу заражений, в порядке убывания количества срабатываний – Индия, Вьетнам и Россия.

«Киберпреступники обычно очень оперативно реагируют на открытие новых уязвимостей выпуском эксплойтов. Этому способствует тот факт, что огромное количество пользователей нерегулярно обновляют программное обеспечение. Новости о Stuxnet послужили своего рода рекламой для уязвимости, принятой на вооружение разными группами кибепреступников», – отметил Вячеслав Закоржевский, старший вирусный аналитик «Лаборатории Касперского», автор отчета.

В сентябре впервые число зловредов класса adware сравнялось с количеством популярных среди киберпреступников эксплойтов. В двадцатку попали сразу семь AdWare.Win32-программ. Они не несут серьезной опасности, лишь назойливо обращают внимание пользователя на рекламные баннеры, размещенные в обычных программах.

Среди новичков сентябрьской двадцатки web-заражений очень интересна программа Exploit.SWF.Agent.du, которая представляет собой уязвимый Flash- файл. Прежде эксплуатация уязвимостей в технологии Flash наблюдалась нечасто.

Кибершпионаж: Android провинился, другие мобильные ОС тоже виноваты

Бесплатные программы для мобильной платформы Android могут играть двойную роль – быть невинной игрой или программой для смены обоев на рабочем столе и в то же время передавать на удаленные серверы личную информацию о пользователе. К такому выводу пришли американские исследователи из Университета Дьюка, Университета Пенсильвании и Intel Labs.

Исследователи изучили 30 бесплатных приложений, которые они случайным путем выбрали в Android Market. Половина программ отсылала разработчикам разнообразные личные данные пользователя – от его местоположения до номера телефона. При отсылке данных никаких уведомлений пользователю не выдавалось. Одна из программ отсылала на удаленный сервер координаты с GPS каждые полминуты.

Особенность платформы Android состоит в том, что любое приложение при установке должно проинформировать пользователя о том, какие данные нужны ему для работы. Ознакомившись с этой информацией, пользователь может либо продолжить установку приложения, либо отказаться от нее.

Однако при этом не оговаривается, как именно программа намерена распорядиться предоставленными ей данными – например, она может использовать GPS- координаты для поиска находящихся неподалеку игроков в многопользовательских играх или же отправить их рекламодателю. Так, в июле было установлено, что программа для Android с бесплатными обоями для рабочего стола отсылала на китайский сервер историю посещений браузера, SMS, номер SIM-карты и пароль к голосовой почте.

Между тем, по данным компании Fortinet, киберпреступники уже начали использовать мобильные устройства под управлением операционных систем Symbian и BlackBerry для преодоления мультифакторных систем аутентификации, используемых для защиты рядом банков. Сообщается, что новый троянец, нацеленный на две указанные мобильные ОС, пытается обойти двухфакторные системы аутентификации в онлайн-банкингах ряда европейских банков. Мобильное ПО, используемое на сей раз, очень похоже на ранее известный банковский троянец Zeus, также воровавший банковские реквизиты. Новое шпионское ПО получило название Zitmo. По словам Дерека Манки, менеджера по исследованиям в компании Fortinet, переход в мобильную сферу с ПК – это необходимый для современных мошенников шаг. «Они (преступники) должны получить пользовательские реквизиты, но они не могут просто войти в систему банкинга и похитить деньги, так как им необходимо пройти второй уровень аутентификации – транзакционный номер, который передается на телефон», – говорит Манки.

При помощи старых методов фишинга и социального инжиниринга атакующие получают номера сотовых телефонов пользователей. За счет различных фишинговых схем номер телефона получался мошенниками в реальном времени. После этого у мошенников было необходимое количество информации для сверки процесса аутентификации. «Как только они получают номер телефона пользователя, то тут же отправляют пользователю ссылку на сайт с их вредоносным ПО», – говорит эксперт.

После того, как Zitmo инсталлируется на телефон, атакующие получают доступ к телефонным данным. В качестве носителя вредоносного софта хакеры используют форматы BlackBerry или JAR-архивы для Symbian.

Между тем, имидж BlackBerry подпортили и российские программисты из компании Элкомсофт, которые утверждают, что им удалось сделать то, что не смогли сделать спецслужбы нескольких десятков стран, а именно взломать систему защиты платформы RIM BlackBerry.

Ранее «невзламываемая» система защиты Blackberry становилась предметом международного разбирательства в Индии, ОАЭ, Франции и других странах, где силовые ведомства, ссылаясь на вопросы безопасности, требовали от компании RIM предоставить доступ к платформе Blackberry, чтобы иметь возможность читать сообщения пользователей и потенциальных террористов.

Теперь такого согласия, скорее всего, не потребуется. По крайней мере, это предусмотрено в функционале новой версии программы Elcomsoft Phone Password Breaker. Ранее эта программа позволяла получать доступ к защищенным паролем резервным копиям Apple iPhone и iPod Touch. Теперь здесь появилась и поддержка Blackberry. Добавляя поддержку BlackBerry, разработчики предоставили возможность доступа к зашифрованным данным, хранящимся в аппаратах Apple и BlackBerry, включая сообщения, электронную почту, контакты, данные органайзера, историю браузера, голосовую почту, аккаунты и установки электронной почты.

Угрозы: в «деле Stuxnet» нашли «крайнего»

Несмотря на то что одним из главных подозреваемых в заражении компьютеров иранской атомной электростанции в Бушере вирусом Stuxnet был «Моссад», оказалось, что на этот раз он ни при чем. Подозрения в адрес российских специалистов также оказались напрасными, равно как и обвинения в адрес американских хакеров.
Компания Siemens Systems призналась, что за распространение компьютерного червя и в частности его внедрение в компьютеры иранского ядерного реактора, стоят ее сотрудники. При этом представитель компании подчеркнул, что это было сделано «неумышленно».

По сообщению немецкой газеты Sueddeutsche Zeitung, за последний месяц как минимум 15 компаний, использовавших технологию Siemens, в том числе электростанции, химические заводы и другие промышленные предприятия, сообщили об обнаружении данного вируса в своих компьютерах.

Специалисты Siemens утверждают, что вирус не так опасен, как кажется. Они смогли изолировать его и поместить в тестовую среду для дальнейшего изучения. Однако, пока исследования не дали никаких определенных результатов, цель вируса и его создатели по-прежнему неизвестны.

Напомню, что за месяц своего существования вирус Stuxnet заразил иранскую атомную станцию «Бушер». Вирус вмешался в работу компьютеров, принадлежащих сотрудникам атомной электростанции, но не привел, однако, к нарушению работы системы в целом, хотя для надежности запуск станции все равно отложили на начало 2011 года.

Также следы активной деятельности вируса были обнаружены в Германии, где вирус заразил несколько крупных предприятий, и Китае. В частности в Китае вирус поразил уже более 6 млн ПК.

Правовое поле: во Франции пиратов начали предупреждать

Французские интернет-провайдеры начали рассылать электронные предупреждения пользователям, которые были пойманы на скачивании пиратского контента. Энтузиазма у самих интернет-провайдеров это не вызывает, но они отмечают, что действуют в соответствии с новыми французскими законами. Недавно французский Высший совет по распространению произведений и защите авторских прав в Интернете (Hadopi) подтвердил отправку первых предупреждений по электронной почте. Сама организация Hadopi была создана в 2009 году для борьбы с пиратством и продвижения легальных продаж в Сети.

Текст проекта предусматривает, что «пираты», игнорирующие предупреждения по электронной почте, могут потерять доступ к Сети сроком на год, кроме того, в ряде случае предусмотрен штраф до 300.000 евро или даже тюремное заключение.

В новом проекте власти предлагают рассылать предупредительные сообщения пользователям, которые своими действиями нарушают авторские права кино- и звукозаписывающих компаний. В том случае, если данные предупреждения не возымеют эффекта, то крупнейшие французские провайдеры, такие как Orange, Vivendi или Iliad, оставляют за собой право отключить пользователя от доступа к Интернету.

Закон обязывает местных интернет-провайдеров перехватывать и передавать властям данные о людях, занимающихся распространением пиратских материалов. В отношении них будут возбуждаться уголовные дела. У обычных пользователей есть две попытки на скачку «вареза», после каждой из которых провайдер будет сообщать пользователю о нарушении, на третий раз предупреждений не будет, сразу последует блокировка учетной записи на год.

Дабы пользователи не бегали от провайдера к провайдеру с целью избежать блокировки, у провайдеров Франции будет единый «черный список» пользователей-нарушителей.
Французские эксперты говорят, что данный закон вообще не имел бы шансов на выживание, если бы у него не было мощного покровителя в лице Николя Саркози, который еще на этапе предвыборной кампании заявил, что он видит в числе своих задач «защиту культурного богатства».

Противодействие киберкриминалу: ФБР провело массовые аресты

ФБР США официально объявило об аресте участников крупной международной киберпреступной сети, состоящей из более чем 90 человек, арестованных по большей части на территории США. Задержанные в большинстве своем работали агентами по обналичке денег за оговоренный процент. Нанимателями этих людей, как сообщается, выступали восточноевропейские хакеры, которым удалось похитить в США около $70 млн.

Основная часть хакеров была задержана на прошлой неделе на территории Украины, прибалтийских стран и Великобритании. В заявлении ФБР говорится, что арестованная группа являлась одной из крупнейших подобного рода за все время. Американская прокуратура сообщает, что большинству задержанных в Штатах агентов по обналичке были предъявлены обвинения в незаконных банковских операциях и отмывании денег.

Все задержанные агенты предоставляли хакерам свои реальные банковские счета для перевода туда краденных при помощи трояна Zeus денег, после чего значительная часть денег переводилась хакерам, тогда как агенты оставляли себе некоторый процент комиссии.

В данных ФБР говорится, что в общей сложности преступная группировка пыталась похитить порядка $220 млн. Названия финансовых институтов, которые оказались мишенью хакеров, также стали известны. Это HSBC, RBS, Barclay's и Lloyds TSB.

Преступники использовали вирус Zeus, которым им удалось заразить тысячи компьютеров в Великобритании. Эта программа похищала пароли, необходимые для получения доступа к личным банковским счетам через Интернет. Завладев этими данными, мошенники незаметно снимали деньги со счетов. Из числа задержанных восьмерым предъявлено обвинение в сговоре с целью мошенничества и отмывании денег, двоим – только обвинения в мошенническом сговоре. Они остаются под стражей и сегодня должны впервые предстать перед Вестминстерским магистратским судом Лондона. Еще девять человек были арестованы по тому же делу, но отпущены под залог. Ранее сообщалось об аресте 19 человек. Позднее выяснилось, что под стражу в связи с тем же расследованием взят еще один подозреваемый, гражданин Грузии.

Денис Лавникевич



© Компьютерная газета

полезные ссылки
Обзор банков Кипра
Обзор банков Кипра