...
...

Информбезопасность: на стыке десятилетий

Начался новый год, а заодно и десятилетие. Год, в который наверняка появится легион новых угроз информационной безопасности. И прошлый год будет выглядеть уже совсем не таким страшным, каким он нам казался еще недавно.

Но чего нам ждать от 2011-го? Главное, нас ожидает бум угроз мобильным устройствам. Точнее, хранящейся на них информации. А ее там будет все больше и больше – ведь уже сегодня мобильные устройства используются и для бизнеса, и для учебы… да, в общем-то, буквально для всего, для чего можно представить. И в ближайшие годы ситуация будет только усугубляться – именно усугубляться, я не ошибся словом.

Других тенденций тоже много. Но я выделю одну: еще быстрее будут расти доходы антивирусных компаний – да и прочих компаний сегмента информбезопасности.

Android в опасности





Эксперты по информационной безопасности предупреждают, что хакеры нацелились на пользователей мобильной ОС Google Android с новым злонамеренным ПО. Его задача – получать персональную информацию о владельце смартфона и передавать ее на удаленный сервер. Указанное вредоносное ПО называется Geinimi и, судя по всему, представляет собой первое ботнет-подобное приложение, изначально предназначенное для пользователей Android. Кевин Махаффи, технический директор компании Lookout Mobile Security, уверен, что родина Geinimi – это Китай, так как первые сигналы о распространении этой программы были зафиксированы именно тут. Кроме того, первой появилась именно китайская версия программы.

Эти поддельные приложения появились на сторонних сайтах, а не на оригинальном Android Market, так как в последнем случае они просто не прошли бы валидацию на безопасность. Несмотря на это, количество скачиваний приложений измеряется тысячами.

В Lookout Mobile говорят, что пока непонятно, как именно злоумышленники намерены использовать полученные данные. Тем не менее, созданный софт уже вызывает опасения у экспертов, так как это первое Android-решение, использующее удаленный командный сервер и возможность потенциальной загрузки третьих злонамеренных программ. Кроме того, решение сделано таким образом, что у удаленного сервера чрезвычайно широкие полномочия – он может удалять или добавлять данные, стирать другие программы и выполнять иные действия.

Вдобавок к этому специалисты обнаружили, что Geinimi отправляет данные о местонахождении устройства и аппаратные данные об устройстве, такие как IMEI-код смартфона и сведения о SIM-карте, на удаленный сервер каждые пять минут. Также программа посылает данные об инсталлированных приложениях и может контактировать с 10 доменами для отправки сведений.

По мнению специалистов, многое из использованного в Geinimi является концептуальным для системы Android и скорее всего будет использовано в будущих образцах вредоносного ПО.

Кто нам вредил в 2010-м…

Антивирусная компания Dr.Web опубликовала собственный «Хит-парад» вредоносных программ 2010 года. По словам специалистов компании, уходящий год можно назвать годом расцвета интернет-мошенничества. Редкий интернет-пользователь сегодня не слышал об этом явлении. В то время как для противодействия интернет-мошенникам разработчики защитного ПО постоянно совершенствуют свои продукты, правоохранительные органы также всерьез взялись за эту разновидность киберпреступности.

Тем не менее, интернет-мошенничество продолжает развиваться, принимает новые воплощения, использует разные схемы получения нелегального дохода. И выход – только в комплексном противодействии злоумышленникам: и со стороны антивирусных компаний, и со стороны тех финансовых институтов, через которые деньги поступают от пользователей-жертв к злоумышленникам, и со стороны правоохранительных органов, и даже со стороны самих пострадавших пользователей. По факту заражения компьютера и вымогания денежных средств они могут предоставить новую важную информацию в антивирусные компании.

Итак, вот десятка мошеннических инструментов – 2010:

10. Псевдоуслуги
Довольно часто злоумышленники предлагают пользователям за небольшую сумму интересную и при этом часто незаконную информацию. Плата за такую «информацию» – обычно SMS-сообщение стоимостью несколько сотен рублей. При этом в качестве «товара» могут предлагаться самые фантастические вещи – от приватной информации о пользователях социальных сетей до содержимого секретных архивов спецслужб. Качество таких услуг зачастую оказывается сомнительным. Более того, нередко обещанное является банальным блефом – злоумышленники просто ничего не дают взамен отправленных денег. Ссылки на сайты, на которых используется такая схема мошенничества, обычно распространяются посредством рекламных баннерных сетей через сайты с бесплатным контентом.

9. Ложные архивы. Trojan.SMSSend
Злоумышленники создают поддельные торрент-трекеры или фальшивые файловые хранилища, с которых якобы можно скачать популярный контент (музыку, фильмы, электронные книги). Как следствие, данные ресурсы появляются в первых строчках популярных запросов в поисковых системах.
Воспользовавшись таким ресурсом, жертва мошенничества думает, что скачивает архив с интересной информацией. На деле «архив» оказывается исполняемым файлом, внешне очень похожим на самораспаковывающийся архив. Отличие такого архива от настоящего в том, что в процессе «распаковки» в определенный момент пользователю выводится информация о том, что для окончания распаковки необходимо выплатить некоторую сумму денег. Фактически пользователь обманывается дважды – отправляет деньги злоумышленникам и не получает никакой полезной для себя информации. Архивы не содержат в себе ничего, кроме графической оболочки и мусора, а их размер (видимо, для усыпления бдительности пользователей) может достигать 70 Мб и более.

8. Загрузочные блокировщики. Trojan.MBRlock
В ноябре было зафиксировано распространение блокировщика, который при заражении прописывается в загрузочную область жесткого диска, тем самым блокируя загрузку используемой ОС. При включении компьютера на экран пользователя выводится информация с требованиями злоумышленников.

7. Блокировщики запуска IM-клиентов. Trojan.IMLock
На протяжении нескольких месяцев в 2010 году злоумышленники распространяли вредоносную программу, которая блокировала запуск популярных клиентов мгновенного обмена сообщениями. Под ударом оказались пользователи ICQ, QIP и Skype. Вместо заблокированного IM-клиента на экран выводилось окно, похожее на интерфейс заблокированного ПО, в котором сообщалось, что за восстановление доступа к соответствующему сервису необходимо отправить платное SMS-сообщение.

6. Лжеантивирусы. Trojan.Fakealert
Лжеантивирусы внешне похожи на популярное антивирусное ПО, и часто их дизайн напоминает сразу несколько антивирусных продуктов. Но ничего общего с антивирусами эти вредоносные программы не имеют. Будучи установленными в систему, такие «антивирусы» сразу же сообщают о том, что система якобы заражена (отчасти это соответствует истине), и для лечения системы якобы необходимо приобрести платную версию антивирусной программы.

5. Редиректоры на вредоносные сайты. Trojan.Hosts.
Данные вредоносные программы создаются злоумышленниками для изменения системного файла hosts таким образом, чтобы при попытке зайти на популярный сайт (например, одной из популярных социальных сетей) в браузере отображался фальшивый сайт с дизайном, похожим на оригинальный. При этом с пользователя за полноценный доступ будут требоваться деньги, которые уйдут злоумышленникам.

4. Редиректоры на локальный web-сервер. Trojan.HttpBlock
В отличие от Trojan.Hosts данные вредоносные программы после заражения системы перенаправляют пользователя на страницы, которые генерирует локально устанавливаемый на компьютере web-сервер. В этом случае злоумышленники облегчают себе задачу нахождения хостера, который не удалит вредоносный сайт со своих адресов до заражения компьютера пользователя-жертвы.

3. Шифровальщики данных. Trojan.Encoder
В 2010 году появилось множество новых модификаций троянцев-шифровальщиков, целью которых являются документы пользователей. После того как троянец зашифровывает документы, выводится информация о том, что за расшифровку необходимо отправить деньги злоумышленникам. В подавляющем большинстве случаев специалисты антивирусных компаний оперативно разрабатывают утилиты, с помощью которых можно расшифровать пользовательские данные. Но, поскольку это возможно не всегда и злоумышленники требуют за расшифровку значительные суммы денег, Trojan.Encoder занимает третью строчку десятки.

2. Блокировщики Windows. Trojan.Winlock
Второе место по праву занимают классические блокировщики Windows, которые держат в напряжении пользователей и специалистов антивирусных компаний с осени 2009-го. К блокировщикам Windows относят вредоносные программы, которые выводят окно (блокирующее другие окна) с требованиями злоумышленников. Таким образом, пользователь лишается возможности работать за ПК, пока не заплатит за разблокировку. В течение 2010 года специалисты «Доктор Веб» фиксировали несколько пиков распространения «винлоков», но активное распространение новых модификаций таких вредоносных программ продолжается и сейчас.

1. Банковские троянцы. Trojan.PWS.Ibank, Trojan.PWS.Banker, Trojan.PWS.Multi
Первое место «хит-парада» компании «Доктор Веб», состоящего из средств вооружения кибермошенников, присуждается банковским троянцам. К данной категории вредоносных программ относятся те, которые ориентированы на получение неавторизованного доступа к счетам физических и юридических лиц через системы дистанционного банковского обслуживания. Последние сейчас стремительно набирают популярность, и преступники стремятся этой популярностью воспользоваться. Вероятно, в 2011 году мы станем свидетелями смещения сферы интересов интернет-мошенников с частных пользователей на юридических лиц, на счетах которых сосредоточены куда более значительные суммы денег.

Германия откроет центр защиты от кибератак

Правительство ФРГ собирается открыть в 2011 году Национальный центр защиты от кибератак. В задачи Центра будет входить также борьба с электронным шпионажем и создание системы обеспечения электронной безопасности.

По словам представителя министерства внутренних дел ФРГ, Центр будет создан в ответ на стремительно растущее количество интернет-атак. Так, в ведомстве по охране конституции за 2010 год зафиксировано 1 тыс. 600 атак, в то время как в 2009 году их было 900. По данным исследований, интернет-атаки наносят немецкой экономике ущерб в размере от 20 до 50 млрд евро в год. Поэтому, отмечается в заявлении министерства внутренних дел, Центр защиты от кибератак будет тесно сотрудничать с министерством финансов ФРГ.

В заявлении немецкого МВД также отмечается, что большая часть отслеженных кибератак направлялась из Китая.

25% пользователей отключают антивирусные программы

Несмотря на угрозу кражи персональных данных и проникновение вредоносных программ, новое исследование выяснило, что 25% пользователей отключают антивирусные программы, чтобы увеличить скорость работы компьютера.

Разработчики ПО знают, как сложно быть на шаг впереди разработчиков вредоносных программ и хакеров, которые отыскивают хитрые способы проникновения в сети предприятий и кражи личных данных клиентов.

Но новое исследование, проведенное компанией Avira, выявило еще более расстраивающий факт: один из четырех опрошенных признал, что он отключал антивирусную программу как минимум один раз за прошедший год, пытаясь улучшить скорость работы своего ПК.

«Это (результаты исследования) – четкий знак разработчикам, что еще больше усилий должно прилагаться, чтобы не перегружать ПО систем безопасности возможностями, которые могут оказывать серьезное влияние на работу системы, – отметил в своем докладе исследователь защиты данных компании Avira Сорин Мустака. — В конце концов, когда дело касается безопасности, лучше иметь незаметную минимальную защиту, чем защиту, которая свистит и звенит, и пользователь ее отключает, чтобы компьютером можно было пользоваться».

Хакеры нашли способ вывести телефон из строя с помощью SMS

Многие бюджетные мобильные телефоны не всегда способны правильно обработать входящие SMS, заявили участники хакерской конференции в Берлине. Входящее текстовое сообщение способно вывести из строя сотовый телефон – это выяснили немецкие исследователи Коллин Муллинер и Нико Голде. О чем и рассказали на конференции 27C3 в Берлине.

Муллинер и Голде утверждают, что многие недорогие телефоны без собственной ОС не могут правильно обработать определенные виды сообщений – например, MMS или текстовые сообщения из нескольких частей. Это происходит из-за ошибок в ПО телефона. Если на телефон приходит SMS, которое он не может обработать, последствия могут быть самыми разными – от временной потери сигнала соты до циклической перезагрузки.

К такому выводу исследователи пришли опытным путем. В своей лаборатории они создали модель сети GSM, подключили к ней несколько телефонов разных производителей и разослали на них 120 тыс. SMS. Ошибки при обработке сообщений были зафиксированы в бюджетных аппаратах Samsung, Sony Ericsson, Motorola, LG.

Муллинер и Голде предупредили производителей телефонов и сотовых операторов, что обнаруженной ими уязвимостью могут воспользоваться злоумышленники для организации SMS-атак.

Инсайдеры продали секреты iPhone

ФБР ищет инсайдеров, торговавших коммерческими тайнами крупнейших технологических концернов США. В преступную схему были вовлечены сотрудники, владеющие инсайдом, фирмы-посредники и заказчики – несколько хедж-фондов, игравших на акциях. В рамках расследования арестованы четыре сотрудника IT-корпораций.

Преступная цепочка успешно работала с 2008 года. Аресты вскрыли огромный серый рынок инсайда, признают юристы. По предварительным данным следствия, исследовательские компании Mountain View и Primary Global выступали посредниками в обмене информацией между инвесторами и инсайдерами. «Сотрудники ведущих мировых IT-компаний фактически оказывали консультационные услуги, предавая своих работодателей», – говорит прокурор Южного округа Нью-Йорка Прит Бхарара.

Один из арестованных – Джеймс Фляйшман, директор по продажам Primary Global Research, интернет-компании, в которой остальные три арестованных неофициально подрабатывали консультантами. Всем предъявлено обвинение в мошенничестве с использованием электронных средств коммуникации и в выдаче конфиденциальной информации.

«Консультанты» Primary Global Research обвиняются в сговоре с целью совершения мошенничества с ценными бумагами. Среди них Марк Энтони Лонгория, сотрудник корпорации AMD, Уолтер Шимун, сотрудник сингапурской Flextronics International, поставщика электронных компонентов для Apple (обвиняется в выдаче конфиденциальных сведений, касающихся прогнозов продаж и новых функций iPhone), и Маноша Карунатилака из Taiwan Semiconductor Manufacturing.

Последним арестам предшествовало долгое расследование, которое совместно вели ФБР и Департамент юстиции США. В начале ноября по делу о технологическом инсайде был арестован Дон Чин Чан Чу, в течение семи лет представлявший Primary Global Research на Тайване.

Среди известных хедж-фондов, покупавших информацию у арестованных, неофициально называют SAC Capital Advisors. Но никто из сотрудников этого фонда пока не был арестован. Впрочем, правоохранительные органы хотят добраться именно до хедж-фондов, которые нанимали экспертов-инсайдеров.

Денис Лавникевич



© Компьютерная газета

полезные ссылки
Обзор банков Кипра
Обзор банков Кипра