Интернет-угрозы В 2009 Году: Основные Тенденции, (с) http://offline.cio-world.ru/2009/90/493330/ |
Здравствуйте, гость ( Вход | Регистрация )
Интернет-угрозы В 2009 Году: Основные Тенденции, (с) http://offline.cio-world.ru/2009/90/493330/ |
14.1.2010, 15:17
Сообщение
#1
|
|
tourist Группа: Teremki@LAN Сообщений: 1718 Регистрация: 13.2.2004 Из: Теремки Пользователь №: 3 |
В конце года разработчики ПО для защиты компьютера от внешних компьютерных угроз традиционно подводят его итоги. Широкой публике о них становится известно только в феврале, поэтому возьмем на себя смелость изложить в целом ясные и понятные, пусть и предварительные, результаты анализа состояния этой сферы.
Вредоносные программы Само слово «вирус» в отчетах «антивирусных» компаний встречается все реже. Это вредоносные программы, которые могут саморазмножаться в компьютерных сетях, причем созданные копии обладают той же способностью. Различие между компьютерными вирусами и червями только в том, что последние используют сетевые сервисы. На классические вирусы (не применяющие сетевые службы), по данным антивирусных компаний, в 2009 году приходилось менее 5% инцидентов. Подавляющее же большинство вредоносных программ (более 75%) являются троянскими; как и вирусы, они часто могут размножать свои копии, но главное их отличие — способность к скрытому управлению зараженными компьютерами. Еще 15% — это программы класса Adware, создаваемые для незапрашиваемого показа рекламы, подмены результатов поиска и баннеров на сайтах. Еще лет пять назад стало очевидно, что вирусописательство как способ самовыражения школьников и студентов изживает себя, вирусов-хулиганов и вирусов-вандалов становится все меньше. Правда, с распространением «конструкторов вирусов» стало возможным создавать компьютерную заразу совсем уж с минимальными знаниями, но и сами вирусы, производимые таким промышленным способом, становились легкой добычей для антивирусов. Можно констатировать, что в 2009 году продолжилась устойчивая на протяжении последних 4–5 лет тенденция коммерциализации индустрии вредоносных ПО. Идейно новых программ и интернет-угроз в этом году появилось немного. Внимания заслуживает новый вирус Win32.Induc, который заражал среду разработки программ Delphi и встраивал себя в компилируемые программы. Изза высокой популярности Delphi среди разработчиков «индюк» довольно быстро распространился и по итогам, например, III квартала вошел в топ-10 вредоносных программ. Интересно, что вирус не имеет деструктивного функционала, из-за чего его не могли детектировать в течение года. Возможно, это просто «проба пера»: относительная безвредность часто встречается у концептуально новых вирусов. Сравнительной новинкой в России стали троянские программы-скимеры» для банкоматов. Информация о них появилась в конце марта — правда, никто из российских банков за помощью антивирусных компаний официально не обратился. Возможно, дорога репутация, да и программа детектируется антивирусами «Лаборатории Касперского» и Dr.Web. Троянец заражал банкоматы фирмы Diebold (наиболее распространенные в нашей стране) — вероятнее всего, при их обслуживании. Программный скимер способен запоминать номера кредитных карт и ПИНкоды, а затем распечатывать их на чеке при вводе специальной последовательности на банкомате. Поскольку скимер создавался для работы с долларами, рублями и гривнами, можно однозначно говорить о местном характере разработки. О случаях извлечения прибыли с помощью этой программы неизвестно; возможно, это тоже пока только «проба пера». По-прежнему популярны и эксплойты — вредоносные программы, использующие уязвимости в ПО, которые появляются вследствие неаккуратного программирования. Наиболее часто такие уязвимости встречаются в браузерах, так как позволяют по Интернету загрузить на компьютер жертвы вредоносный код. Не случайно, по данным «Лаборатории Касперского», все эксплойты, входящие в топ-10, используют уязвимости в обработке браузерами java-скриптов. Заметны в этом году были и эксплойты, использующие уязвимости в «офисных» программах (Microsoft Excel, Word, Powerpoint Outlook) и программы-плееры (Adobe Flash Player и Apple QuickTime). Некоторые эксплойты по-прежнему «налегают» на давно известные уязвимости, к которым выпущены соответствующие патчи, однако системные администраторы и пользователи не торопятся их закрывать. Бот-сети Заметен и продолжающийся рост бот- или зомби-сетей, то есть сетей зараженных компьютеров, которые по команде из «центра» через Интернет способны выполнять злонамеренные действия помимо воли их владельцев. Впоследствии они используются для рассылки спама и проведения компьютерных атак. Крупные сети насчитывают уже миллионы пользователей и часто «сдаются в аренду». Наиболее крупной, по данным антивирусных компаний, стала в 2009 сеть, управляемая червем NetWorm.Win32.Kido (он же Win32.HLLW.Shadow). По оценкам «ЛК», в нее вошло около 5 млн зараженных компьютеров по всему миру. Секрет «успеха» Kido в использовании сразу нескольких способов распространения, в том числе через уязвимости и подбор паролей администратора сети, однако основным способом остаются съемные носители с функцией autorun, или, проще говоря, «флешки»*. Троянская программа Kido, сидящая на зараженном компьютере, периодически обновляет свою версию. В начале апреля на зараженные Kido компьютеры были загружены спам‑бот семейства Net‑Worm.Win32.Iksmas и лжеантивирус FraudTool. Win32.SpywareProtect2009, которые, по всей видимости, «сдавались в аренду» по модной схеме BaaS. Так, компьютер, зараженный Iksmas, способен рассылать 80 тыс. писем в сутки, то есть вся Сеть ежесуточно способна к распространению 400 млрд писем! SpywareProtect2009, в свою очередь, выдавал предупреждение о компьютерном вирусе и предлагал оплатить его «лечение» (причем достаточно точно имитировался интерфейс именно той программы, что установлена на компьютере жертвы). Тот, кто повелся на это предложение, выдал злоумышленнику номер своей кредитной карты. Интересно, что атака была непродолжительной, после чего сеть Kido затихла. Понятно, что сеть не рассосалась и, по всей видимости, в дальнейшем из соображений самосохранения будет работать в «импульсном режиме». К тому же бот‑сети часто используются для DDoS‑атак с последующим шантажом владельцев сайтов‑жертв; при таких атаках каждый «зомбированный» компьютер в отдельности проявляет минимальную и плохо обнаруживаемую активность. Другой хит уходящего года — бот‑сеть из сайтов, зараженных скриптовым загрузчиком Gumblar, сделанным, очевидно, в Китае (более 30% зараженных сайтов — китайские, а на сайте Gumblar.cn находился подгружаемый скрипт). О нем стало известно в мае, после чего вышло еще несколько версий, и к осени Gumblar уже уверенно держался на первом месте среди веб‑вирусов. Используя уязвимости в программах Adobe Acrobat Reader/Adobe Flash Player, Microsoft Office, скрипт, загружаемый при посещении зараженного сайта, разыскивает на компьютере пароли для доступа к FTP‑ресурсам и заражает сайты, с которыми работает пользователь. По данным Dr.Web, сеть зараженных сайтов в период пика насчитывала более 60 тыс., а это, опять же, миллионы потенциальных жертв. Наконец, все больше привлекает внимание платформа MacOS X: в начале года появился троянец Mac.Iservice, который включал зараженные компьютеры в ботсеть. Dr.Web считает это первым случаем подобного объединения компьютеров под управлением Mac OS X. Социальные сети Серьезным фактором роста масштаба интернетугроз стала популярность социальных сетей — таких как Twitter, Facebook, MySpace, российских «ВКонтакте» и «Одноклассники». В 2009 году еще чаще, чем в предшествующем, они становились медиатором действий фишеров и создателей троянских программ. Один из вариантов атаки прост до примитивности: пользователь получает фальшивое сообщение от «друга» с предложением зайти на некий сайт (например с якобы важной антивирусной программой), где его уже поджидает вредоносный код. Причина большего успеха таких атак по сравнению с примитивной спамрассылкой — в массовости сервиса и применении социального инжиниринга. Пользователь, получая письмо от «друга» (с привычной фотографией), мгновенно и без критического анализа выполняет его просьбу. Хотя если бы то же предложение пришло по обычной электронной почте и от незнакомого человека, он бы сто раз подумал. Возможно, интерес криминала к социальным сетям — закономерное следствие падения эффективности обычного спама (сказывается рост осведомленности пользователей и его дискредитация в интернетсообществе). Неудивительно, что, по оценкам «Лаборатории Касперского», эффективность рассылки в социальной сети вдесятеро превышает спамовую. Неоднозначно расценивается специалистами такое событие, как утечка в конце июля базы данных пользователей «ВКонтакте». Кражи паролей в социальных сетях через фишинговые сайты случались и раньше, однако на этот раз база паролей из 130 тыс. аккаунтов была опубликована в Интернете. Это вроде бы не так много (менее 0,1% клиентской базы), однако опасность состоит в «волновом эффекте»: во-первых, многие пользователи используют одни и те же пароли для доступа к разным службам, вовторых, как мы сказали, размножение фальшивых писем в социальных сетях происходит намного быстрее. Кстати, анализ выложенной базы показал, что большинство пользователей применяют «слабые пароли». СМС — российская специфика Поскольку распространенность банковских карт и интернетопераций с ними в нашей стране находится все еще в зачаточном состоянии, враждебные вихри с Запада до владельцев российских банковских карт практически не доходят. Однако ниша «окучивания» кошельков российских граждан в этом году была заполнена за счет такого простого и понятного (и преступникам, и жертвам) способа, как СМСплатежи. «ЛК» в уходящем году выделила две группы «троянцев»: Blocker и Smser, которые при активации блокировали компьютер пользователя весьма аутентичным «виндосовским» экраном с призывом оплатить по СМС используемую пиратскую версию Windows. Вероятно, речь идет о некотором базовом «движке», который был использован несколькими группами: они отличаются выдаваемой картинкой (на сайте Dr.Web их около 20 вариантов) и короткими номерами операторов. Одни корректно присылали «код разблокировки», другие — явно наглели, не давая кодов или предлагая недействительные. Расчет на то, что пользователь, понуждаемый чувством вины за незаконное использование ПО Microsoft (опять же налицо успехи в освоении социального инжиниринга!), оплатит, — оправдались. Хотя нормального человека должны насторожить такие признаки, как отсутствие информации о стоимости сообщения, неправильный адрес офиса Microsoft и синтаксические ошибки, выдающие, что авторы имеют весьма среднее образование. Отечественные операторы мобильной связи либо не подозревают о масштабах мошенничества с этим способом обналичивания денег, либо не способны взять ситуацию под контроль. Правда, в уходящем году было обнаружено немало некомпьютерных видов мошенничества с СМС-платежами, и на эту сферу обратили более пристальное внимание и правоохранительные органы, и службы безопасности мобильных операторов, да и сами пользователи становятся все более бдительными. И о спаме Каких-либо успехов в борьбе со спамом не достигнуто. Квартальные отчеты «Лаборатории Касперского» за 2009 год дают устойчивый показатель: 85% (а то и более) почтового трафика — это спам. В мировом масштабе цифры еще более впечатляющие — 92% (по данным McAfee за III квартал). Источником спамерских рассылок, циркулирующих в России, остаются США и Бразилия, генерировавшие по пятой части всего трафика. На третьем месте — «отечественные производители». Причем у Бразилии наметилась специализация на фишинге банковских реквизитов, российские же спамеры реже используют его в мошеннических целях, в основном напирая на рекламу образовательных, медицинских и юридических услуг, а также продвижение сомнительных сайтов. Спамерские письма попрежнему успешно преодолевают фильтры благодаря использованию графики и HTMLтаблиц, и какихто удач в чисто техническом противодействии не предвидится. Более того, антиспамовые фильтры попрежнему доставляют неудобство пользователям, так как зачастую не пропускают обычную переписку. Спам остается серьезной интернетугрозой, ущерб от которой измеряется далеко не только потраченным трафиком. И не столько им. При стремящейся к нулю стоимости трафика ущерб российских пользователей и провайдеров, по некоторым оценкам, составляет 50 млн долларов в год, но это лишь прямой ущерб. Гораздо больше — косвенный. Со спамом все чаще распространяются вредоносные вложения (0,5–1% всего трафика), фишинговые письма (около 1%). Заметна и доля собственной рекламы спамеров — своеобразные инвестиции в будущее. Сейчас самореклама — это около 10% спамерских рассылок, что в 3–4 раза больше, чем пару лет назад: сказывается влияние кризиса и снижение эффективности спам-услуг. Итак, в мире отмечается рост числа рассылок с вредоносными программами (в первую очередь фишерами), основная цель — пользователи американских (Bank of America, JPMorgan Chase Bank, Community State Bank) и австралийских (St. George Bank) банков, а также платежной системы PayPal, интернет-аукциона eBay и магазина Amazon. Уровень распространения веб-банкинга и платежных систем в России пока оставляет нашу страну вне зоны интереса этого рода мошенников, но в любой момент может «рвануть». Есть и первые «звонки»: фишинговая рассылка якобы от системы «Яндекс.Деньги» (январь 2009-го): нажатие на кнопку в тексте письма приводило к переходу на фишинговый сайт. Характерный признак — явные грамматические ошибки, что указывает на молодость «писателей». С ростом популярности российских электронных платежных систем ситуация может усугубиться. Осенью 2009 года, по данным «Яндекса», ежедневно с помощью «Яндекс.Денег» совершалось более 54 тысяч операций. Рост за год составил 70%; пользователи все чаще делают крупные оплаты: например, авиа- или железнодорожных билетов. В более распространенной системе WebMoney количество операций превышает 210 тыс., ежедневно выполняется более 8 тыс. новых регистраций. Прогноз на будущее Что же ждет нас в области внешних интернет-угроз в 2010 году? Сможет ли цивилизованная часть компьютерного мира что-то противопоставить все более профессиональной и изощренной компьютерной преступности? Ответы на эти вопросы лежат в изучении причин успешности угроз. Ни популярность Интернета, ни аппетиты криминальных групп, конечно, не снизятся, не стоит ожидать и резкого повышения эффективности чисто технических решений. Огромным резервом остается еще невысокий уровень подкованности компьютерных пользователей. Мы уже отмечали, что «успех» эксплойтов, которые используют уже давно известные и «пропатченные» производителями уязвимости, говорит о том, что пользователи и системные администраторы все еще не признают безусловную необходимость установки пакетов обновлений используемого ПО. По-прежнему вредоносные программы используют некомпетентность пользователя (побуждая его нажать на кнопку или посетить некий сайт). Правда, как мы видели, создателям таких программ приходится постоянно совершенствовать их правдоподобность. При возникновении нештатных ситуаций они все чаще ищут ответы именно на официальных сайтах антивирусных компаний. Нельзя не заметить и то, что сами разработчики систем компьютерной безопасности все больше вкладываются в развитие образовательной составляющей своих сайтов: обзоры угроз, подробное описание вредоносных программ, бесплатные утилиты и др. Развитию распределенного характера угроз можно противопоставить и распределенный характер защиты. Идеи Web 2.0 проникают в антивирусы и фаерволы. Пользователи добровольно соглашаются на отсылку информации о подозрительных событиях на своих компьютерах. В этой мировой тенденции уже год работает сеть Kaspersky Security Network, которая позволяет в режиме онлайн собирать информацию об активности интернет-угроз с нескольких миллионов компьютеров по всему миру. По-прежнему незначительны успехи законодательного и правоохранительного противодействия подобным угрозам в нашей стране. Попытки применить против спамеров нормы закона «О рекламе» и «О персональных данных» значимого результата не принесли. В одном из случаев суду так и не удалось доказать, что электронный адрес относится к персональным данным (ввиду его общедоступности). До сих пор не принят закон, который перевел бы спам в категорию преступления или хотя бы административного правонарушения. Пять лет назад российские законодатели были как никогда близки к принятию необходимых поправок в УК и КоАП, однако «воз и ныне там», что хорошо видно на характере спамерской рассылки, рекламирующей совершенно легальные бизнесы с телефонами, адресами и схемами проезда. Давно входящая в УК РФ глава 28 (компьютерные преступления) применяется весьма странно. Достаточно посмотреть на статистику применения статьи 273 («Создание и распространение вредоносных программ») в 2009 году. Например, по ней реальные сроки постигли в Москве лишь двух человек, занимавшихся установкой нелицензионных программ; еще одного пирата привлекли за распространение «чипованных» приставок Xbox. Странным выглядит осуждение по 273-й статье студента СПбГУ (правда, дело тянется еще с 2006-го), сделавшего дефейс факультетского сайта. А вот группа из четырех преступников, укравших в Петербурге с помощью специальных устройств с кредитных карт 5 млн руб. (это лишь доказанный ущерб!), осуждены только на условные сроки. Более или менее значимым успехом сотрудников милицейского управления «К» (правда, по наводке полиции Гонконга) стала ликвидация в Петербурге «черного» хостинг-центра, организованного молодым человеком, известным как Саломон. В небольшом помещении на окраине города располагалось 30 серверов, использовавшихся для спамерских рассылок, размещения командных центров ботнетов, фишинговых сайтов. Масштаб, конечно, невелик; например, в июне по решению федеральной торговой комиссии США (FTC) был закрыт хостинг-провайдер 3FN, что привело к кратковременному снижению уровня спама на 15%. Впрочем, уровень мирового спама довольно быстро восстановился, доказывая, что даже такими решительными действиями проблему не устранить. В прошлом году закрыли провайдера McColo, который генерировал около 75% спам-рассылок, но и этот удар был быстро компенсирован. Таким образом, в наступающем году вряд ли стоит ожидать снижения киберпреступности. Даже разговор о влиянии кризиса здесь более чем уместен: эксперты отмечают начало жесткой конкуренции между крупными группировками, что приводит как к росту масштабов атак, так и к поискам повышения их эффективности. Особый упор будет сделан на фишинге и других видах мошенничества, способных принести быструю и относительно безнаказанную прибыль. Кризис также может способствовать и вовлечению в криминальные группы высвобождающихся программистов, особенно в странах, занимавшихся «офшорным программированием»: Китае, Индии, Бразилии, России, Украине. Нельзя отрицать и возможное появление принципиально новых угроз. В частности, из года в год ожидаются эпидемии вирусов и червей для мобильных телефонов (точнее, смартфонов), однако значимых пока не наблюдается — возможно, из-за «подкритического» уровня распространенности этих устройств. Эйфория вокруг «айподов» и их многочисленных клонов может в любой момент стать средой для атаки. Стремление к использованию более изощренных методов социальной инженерии, возможно, создаст человеко-машинные атаки, подобно тому как сейчас тысячи «дешевых» программистов в развивающихся странах используются для разгадывания CAPTCHA-кодов. Одним словом, в новом году компаниям, борющимся с киберугрозами, можно только пожелать успеха, ну а простым пользователям — бдительности, ибо, как мы видим, ни одна из интернет-угроз не обходится без своеобразного соучастия самих пользователей и их слабостей: невнимательности, неосведомленности, доверчивости. |
|
|
15.1.2010, 13:50
Сообщение
#2
|
|
Группа: Teremki@LAN Сообщений: 1525 Регистрация: 7.9.2006 Из: Киев Пользователь №: 1173 |
Ну и в дополнение. Оборот киберпреступников в 2008 году составил 1 трлн. долл., что больше чем доход всей легальной ИТ-индустрии вместе взятой... В 2009 году, только китайские хакеры заработали 1,5 млрд. долл.
Сообщение отредактировал Shamus - 15.1.2010, 13:51 |
|
|
15.1.2010, 14:17
Сообщение
#3
|
|
Группа: Monk Сообщений: 1785 Регистрация: 2.4.2004 Пользователь №: 66 |
чё-то как-то слабо верится. пруфлинк?
|
|
|
15.1.2010, 14:21
Сообщение
#4
|
|
Группа: Teremki@LAN Сообщений: 1095 Регистрация: 2.3.2004 Из: Teremki@NET Пользователь №: 21 |
я думаю там приписали распространение контрафактного софта, музыки и видео
|
|
|
Текстовая версия | Сейчас: 28.3.2024, 12:52 |