Ушедший год ознаменовал целый ряд новых тенденций. И они, увы, не оставляют надежд на спокойную жизнь тем, кто связан с защитой информации. У злоумышленников приобретают популярность так называемые смешанные угрозы (blended threats) — кумулятивные атаки, при реализации которых используется сразу несколько вредоносных программ и несколько каналов распространения. Если подобную атаку считать за один «вирус», то суммарное число вирусов будет меньше, чем несколько лет назад. Но если учитывать все угрозы, статистика оказывается неутешительной.
Вредоносное ПО
Итоги 2006 года для данного сектора угроз были несколько неоднозначными. С одной стороны, число «классических» вирусов и «червей» продолжало снижаться. Меньше стало и глобальных эпидемий. Так, по данным «Лаборатории Касперского», в ушедшем году их было зафиксировано всего семь против четырнадцати годом ранее.
Вместе с тем явно растет профессионализм вирусописателей. Одна из явных тенденций состоит в том, что вредоносное ПО все чаще применяется в качестве инструмента для вымогательства денег. Типичным примером, по мнению ведущего аналитика по вирусам из «Лаборатории Касперского» Александра Гостева, стали два троянцашифровальщика — Gpcode, который распространялся в Европе, в том числе и в России, и Viking, вызвавший эпидемию в Азии. Авторы этих троянцев вымогали деньги у пострадавших за расшифровку их файлов. Появление такого рода вирусов, считает Александр Гостев, стало одной из главных технологических тенденций прошлого года. По мнению старшего технического консультанта Symantec в России и СНГ Рамиля Яфизова, участились случаи кражи данных и создания вредоносных программ, внедряемых в определенные организации с целью добычи информации, которую можно использовать для финансового обогащения.
Вторая тенденция такова: действия вирусописателей, спамеров и хакеров становятся все более скоординированными. Например, троянцышифровальщики распространялись с помощью спамрассылок, что наглядно иллюстрирует консолидацию разных классов ИТандеграунда. Михаил Кондрашин, руководитель центра компетенции TrendMicro в России и СНГ, прокомментировал тенденции в данной области следующим образом: «Раньше вирусописатели были хакерамиодиночками и если объединялись в хакерские группы, то это были скорее коллективы по интересам, нежели организованная преступность. В настоящий момент уместно говорить о специализации злоумышленников, и существующие угрозы — это результат рыночных отношений между ними. На рынке киберпреступности продается и покупается информация об уязвимостях, нанимаются программисты для написания вредоносных программ, арендуются сети зараженных компьютеров (так называемые ботнеты) для запуска эпидемий».
Еще одной тенденцией стало переключение внимания вирусописателей к альтернативным платформам. Так, например, «Лаборатория Касперского» и Symantec объявили о появлении в «диком» виде вирусов для Mac OS X. TrendMicro сообщила об обнаружении вредоносных программ для Windows CE/Windows Mobile, несколько позже данный факт был подтвержден и «Лабораторией Касперского». А к концу года число мобильных вирусов, по оценке всё той же «Лаборатории Касперского», достигло 186. Вновь были выявлены вирусы и троянцы для платформы Java, причем среди них появились понастоящему опасные, в частности, спамботы для рассылки «мусорных» SMSсообщений, в том числе и на платные номера, а также средства для прямой кражи денег со счетов. Более того, для таких программ потенциально уязвимыми оказались все мобильные устройства с поддержкой J2ME, включая мобильные телефоны. Некоторые из таких «зловредов» даже маскировались под полезные программы, например WAPбраузеры.
Практически все лаборатории заявляют о росте угроз для UNIXсистем, как коммерческих, так и с открытым кодом, в том числе и Linux. В частности, в 2006 году имели место массовые случаи заражения «червем» Lupperl. Было обнаружено также несколько троянцев. Всего же число вредоносных программ для Linux достигло сотни. В апреле появился и кроссплатформенный вирус, способный заражать как Windows, так и Linux и xBSDсистемы. Впрочем, этот вирус был скорее концептом и не имел деструктивных функций. Тем более, что его автор не скрывался и отправил свое «творение» и в Microsoft, и разработчикам ядра Linux, в том числе Линусу Торвальдсу. Серьезным фактором риска, причем как для Linux, так и для Mac OS X на новых системах, использующих процессоры Intel, являются Windowsприложения, запускаемые из среды WINE или его усовершенствованных вариантов вроде CrossOver.
Уже в текущем году Symantec объявила об обнаружении вирусов, способных преодолевать границы между виртуальными машинами и хостсистемой. И таким программам аналитики из этой компании предрекают большое будущее, если, конечно, разработчики не закроют уязвимости не только в операционных системах, но и в самих средах виртуализации.
Основным классом вредоносного ПО в 2006м были троянские программы. По данным «Лаборатории Касперского», их доля за год превысила 90% в общем объеме всех вредоносных программ. Именно за счет значительного роста в данном классе имело место значительное (более чем на 40%) увеличение общего числа всех зловредов, несмотря на снижение числа вирусов, червей и ПО, относящихся к классу MalWare (рис. 1). Как уже было сказано выше, интерес к данному классу ПО связан с удобством прямого вымогательства денег у жертв заражения. Кроме того, по данным Symantec, такого рода ПО использовалось более чем в половине всех случаев краж персональной информации. Однако оценки уровня роста, выведенные Symantec, несколько ниже, чем у «Лаборатории Касперского», что вызвано существенными различиями в классификации вредоносного ПО.
Рис. 1.
Среднемесячное количество новых вредоносных программ
основных классов
по итогам 2005—2006 годов
Что касается способов распространения, то основными оставались электронная почта и уязвимости в Webбраузерах. Особо подчеркивается рост внимания вирусописателей к Webтрафику. Как отмечает Рамиль Яфизов, вместо того чтобы эксплуатировать серьезные уязвимости с помощью прямых атак, злоумышленники теперь находят в Webприложениях и Webбраузерах уязвимости средней степени опасности и используют их. Такие уязвимости часто применяются для «промежуточных» атак, первоначальная цель которых — не немедленное раскрытие данных, а создание плацдарма, с которого впоследствии можно будет осуществлять более вредоносные атаки. В целом согласен с этим и Михаил Кондрашин. Он также полагает, что в качестве транспорта атак наиболее активно растет популярность протокола HTTP. Это связано с тем, что HTTPтрафик проверяется антивирусным ПО существенно реже, чем почта. Таким образом, злоумышленник, выбирающий Web как среду для атаки, может рассчитывать на бульшую финансовую отдачу, чем его «коллега», использующий только электронную почту. Усилия последнего окажутся тщетными, так как антивирусная индустрия предотвратит эту вспышку, выпустив обновления максимум в течение суток. Михаил Кондрашин подчеркивает то обстоятельство, что число почтовых «червей» в последнее время перестало расти.
Однако в этом году появлялись и новые каналы распространения вредоносного ПО. Так, «Лаборатория Касперского» и TrendMicro обращают внимание на то, что вирусописатели все интенсивнее эксплуатируют многопользовательские онлайновые игры. Сохраняет актуальность и такой канал, как пиринговые сети, особенно Winny, популярная в Японии. Хотя в остальном мире, по оценке «Лаборатории Касперского», актуальность этого канала будет падать. Другие антивирусные лаборатории в качестве перспективного канала для распространения вирусов рассматривают также приложения IPтелефонии (Skype, Gizmo и др.) и социальные сети (блоги).
Все остальные каналы распространения вредоносного ПО имеют явную тенденцию к снижению активности. Так, число вирусов и «червей», распространяемых через IRC, уменьшилось на 63%, через системы мгновенного обмена сообщениями — на 45%, червей класса NetWorm, аналогов печально знаменитых Lovesan, Sasser и Mytob, вызвавших в свое время глобальные эпидемии, — на 55%. Аналитики связывают это с закрытием критических уязвимостей в операционных системах, распространением межсетевых экранов, в том числе аппаратных, а также внедрением систем фильтрации трафика для интернетпейджеров. Однако появляются новые потенциально опасные классы «червей», способные заражать файлы. Среди таких «Лаборатория Касперского» особо выделяет Viking. Нельзя сбрасывать со счетов и вредоносное ПО, использующее интернетпейджеры. По оценке большинства антивирусных лабораторий, оно находится на самой начальной стадии развития и способно преподнести немало неприятных сюрпризов.
Рис. 2.
Основные угрозы информационной безопасности
на предприятиях и в госструктурах Российской Федерации в 2004—2006 годах
Несколько противоречивы результаты в классе вредоносного ПО, относимого «Лабораторией Касперского» к MalWare. Надо отметить, что другие антивирусные лаборатории часто относят такого рода ПО к другим классам. Например, Symantec все средства для создания ботнетов считает троянцами. В целом за 2006й «Лаборатория Касперского» отметила небольшое снижение количества программ, относящихся к данному типу. Вместе с тем в прогнозах аналитики очень осторожны, тем более что MalWare в прошлые годы развивался весьма бурно. К тому же значительную роль сыграл фактор ожидания нового поколения ОС от Microsoft. Кстати, Windows Vista, по данным всех без исключения экспертов, станет пристальным объектом изучения для вирусописателей с целью выявления уязвимостей.
Однако эта тенденция не относится к таким подтипам, как средства для проведения DDoSатак, спамботы и флудеры IMсетей, которые прямо или косвенно используются злоумышленниками для извлечения прибыли. Это лишний раз доказывает верность тезиса о существенном росте коммерциализации всего, что связано с вредоносным ПО. Оценки Symantec несколько отличаются. По данным этой компании, число программ для создания спамерских ботнетов снижается, однако количество зараженных систем растет, пусть и с определенными сезонными колебаниями. А число активных ботинфицированных компьютеров колебалось на уровне 70—80 тысяч в день, доходя в отдельные периоды до 90 тысяч. Эти процессы аналитики из Symantec связывают с укрупнением ботнетов.
Среди технологий, призванных затруднить работу антивирусных компаний, подавляющее число новых вредоносных программ используют разнообразные методы упаковки своего кода. Все чаще применяются и другие способы шифрования вирусного кода. Одной из наиболее серьезных проблем стало использование вирусописателями технологии «замусоривания кода».
Спам
Всего доля «мусорной» почты в Рунете, по данным «Лаборатории Касперского», составляет порядка 70—80%. По оценкам Symantec, названным Рамилем Яфизовым, в общемировом масштабе эта доля несколько ниже: она составляет 59%, что на четыре процентных пункта больше, чем годом ранее. Как отмечает начальник группы спаманалитиков компании «Лаборатория Касперского» Анна Власова, в 2006 году доля «мусорной» почты имела сезонные колебания: в начале января наблюдается довольно заметный спад (до 44% от всей почты), зато ближе к концу года — сильный подъем (до 91%). В 2006м бульшая часть русскоязычного спама приходила из России (22%), США (20%) и Китая (11%). По числу зомбимашин, рассылающих спам, наша страна существенно уступает США и Китаю — мировым лидерам по рассылке «мусорной» почты: на неё приходится лишь 2% мирового объема спама.
Что касается технологий, позволяющих спамерам обходить фильтры, то главной
находкой стало использование графических изображений вместо текста. Когда же
антиспамфильтры начали использовать технологии оптического распознавания, спамеры
для обхода этих средств стали применять различные ухищрения. Так, например,
использовались анимированные изображения с пустыми кадрами. Причем показывались
эти кадры десятые доли секунды. Очень эффективным оказалось также применение
цветного текста на цветном фоне или «пляшущих» букв. Любопытно, что текст при
этом был вполне читаемым для человека. Как полагают эксперты, данные технологии
продолжат развитие и в нынешнем году. Аналитики из «Лаборатории Касперского»
отмечают и то обстоятельство, что спамеры все чаще маскируют свои сообщения
под личные письма. По их мнению, в составлении текстов для такого рода писем
активное участие принимают высококвалифицированные психологи.
О росте криминализации спама прежде всего свидетельствует тот факт, что мошеннические
рассылки («нигерийские письма», фишинг, сообщения о мнимых выигрышах в лотерею
и т. д.) занимают второе место по распространенности в России — 14% (данные
«Лаборатории Касперского»). Причем среди них в 2006 году появлялось все больше
русскоязычных, в том числе эксплуатирующих отечественную специфику. Это, в частности,
реклама так называемых «волшебных кошельков» или «магических SMS».
Рис. 3.
Основные каналы утечек информации
на российских предприятиях в 2004—2006 годах
Другие антивирусные лаборатории также констатируют, что криминализация спама нарастает. По оценке Рамиля Яфизова, это вызвано главным образом увеличением количества афер типа «накачка — сброс» (pump and dump). В результате 30% «мусора», выявленного за прошлое полугодие, было связано с финансовыми продуктами и услугами, что делает данную категорию главной категорией спама. Symantec зафиксировала также рост количества уникальных фишинговых сообщений, которое составило 166 248 за год, или в среднем 904 сообщения в день. На долю финансовых услуг пришлось 84% уникальных брендов, используемых в фишинговых атаках, причем подложные Webсайты этих брендов составили 64% от общего числа фишинговых Webсайтов.
Все более популярным это явление становится и в России. Уже доведено до суда дело о «двойнике» сайта одной из благотворительных организаций, собиравшей деньги на лечение детей за границей. Вместе с тем, как сообщает Управление К МВД РФ, такие сайты легко выявить. Прежде всего — по отсутствию целого ряда реквизитов указанных на них банковских счетов. Такие способы манипуляции курса акциями встретили противодействие и у контролирующих органов США: приостановлена котировка акций 35 компаний, которые наиболее активно прибегали к подобного рода практике.
Существенных технологических прорывов в сегменте средств борьбы с «мусорной» почтой в ушедшем году сделано не было. Вступила в силу новая редакция российского Закона о рекламе, где впервые упоминается спам. На этот документ возлагались большие надежды, но вследствие несовершенства и массы лазеек, прежде всего связанных с отсутствием границ в Интернете, они не оправдались.
Кроме того, Михаил Кондрашин особо отметил проблему так называемых ошибок второго рода, когда антиспамсистема блокирует легитимные письма. Отсюда и вывод, что хуже спама может быть только антиспам. Ни одна из существующих технологий не позволяет исключить ошибки второго рода, обеспечивая высокий уровень блокировки спама. Следовательно, то, что нужно потребителю, — это разумная обработка той части электронной корреспонденции, которую антиспампродукт определяет как спам. И поиск этого компромисса остается серьезной проблемой.
Утечки информации
По оценкам компании InfoWatch, суммарный ущерб от инцидентов, связанных с кражами
информации, достиг в мировом масштабе 700 млрд. долл. Из этой величины бульшая
часть — 500 млрд. долл. — приходится на ущерб от краж личности. Еще 145 млрд.
составили убытки от утечек коммерческих секретов. Причем особо отмечается, что
данная сумма за год растет в среднем на 20—25%. Однако не исключено, что в 2007м
ущерб достигнет величины в триллион долларов.
В России, по данным InfoWatch, в прошлом году в среднем имели место шесть утечек
за рабочую неделю. О наиболее громких утечках в России и Белоруссии мы писали
в статье «Внутренние угрозы» (см. IE/Спецвыпуск, №11/2006). В качестве основных
результатов утечек респонденты чаще всего называли прямые убытки (46%), потерю
репутации (42,3%), а также потерю клиентов (36,9%). Плюс ко всему результаты
действий инсайдеров могут использовать другие злоумышленники. Так, например,
не исключено, что заражение троянской программой нескольких десятков сайтов,
которые располагались на площадке Valuehost, произошло вследствие того, что
распространители зловреда воспользовались информацией, украденной именно инсайдерами.
Дата | Организация | Потенциальный ущерб |
Апрель | Lockheed Martin, США | 1 млрд. долл. |
Май | Министерство США по делам ветеранов | 30 млрд. долл. |
Июнь | KDDI, Япония | 800 млн. долл. |
Июль | HSBC, Британия -- Индия | 500 тыс. долл. |
Октябрь | Citibank, Сингапур | Около 50 млн. долл. |
Октябрь | Acme Tele Power, Индия | 166 млн. долл. |
Утечки данных, нанесшие в 2006 году наибольший ущерб в мире. Источник -- InfoWatch |
Рис. 4.
Популярность различных средств безопасности
на российских предприятиях в 2004—2006 годах
Всего же внутренние угрозы заняли основное место среди рисков, связанных с информационной безопасностью (рис. 2). Как показал последний опрос InfoWatch, лидировали, причем с солидным отрывом, такие угрозы, как кража информации и халатность персонала, отмеченные более чем половиной опрошенных. Угрозы, связанные с вирусами и иным вредоносным ПО, оказались оттеснены на третье место, что стало неожиданностью для организаторов опроса. Как и то, что совсем немного уступил деятельности вирусов такой риск, как прямой саботаж. Всего же на внутренние риски отводилось 53,5%, на внешние — 46,5%. Интересно отметить, что Symantec даёт иное распределение угроз в мире: по её данным, 55% приходится на внешние и 45% — на внутренние. Причем среди угроз особо отмечают действие вредоносного ПО, прежде всего троянцев, хакерские атаки, а также кражи оборудования и носителей информации.
Основными каналами информационных утечек являются мобильные накопители, электронная почта и исходящий интернеттрафик (рис. 3). На них указали более 80% участников опроса. Эксперты из InfoWatch указывают и на заметный рост использования таких каналов, как средства печати и копирования, а также фотопринадлежности. Данное обстоятельство связывают с внедрением технических средств защиты от инсайдеров, которые обычно не затрагивают данные. Как видно из рис. 4, средства контроля доступа наряду с системами защиты от спама значительно прибавили в популярности в 2006 году.
Тем не менее уровень использования таких средств пока остается недостаточным. Так, например, исследование, проведенное совместно InfoWatch и «Национальным банковским журналом», показало, что 50% российских банков вообще не управляет операционными рисками. Ни один банк на момент проведения данного обследования не соответствовал нормативам стандарта Basel II.
Кроме того, технические средства бесполезны без проведения целого ряда организационных мер. Наличие самых совершенных средств контроля не поможет, если пароли доступа написаны на листочке, приклеенном к монитору, где их может подсмотреть злоумышленник, пришедший в офис как клиент. Конечно, сдвиги в этом направлении есть, и это показывают результаты опроса InfoWatch, равно как и прохождение сертификации по стандарту ISO 27001:2005. Но все же организационным мерам уделяется меньше внимания, чем техническим.
К тому же, по оценке Михаила Кондрашина, социальная инженерия сегодня популярна в среде киберпреступников как никогда. Человек с его слабостями всегда будет уязвимым звеном, что показал еще опыт небезызвестного Кевина Митника, который самые громкие акции провел без использования хакерских средств. Такая ситуация не означает бесполезности технических инструментов защиты, а только предъявляет к ним новые требования. Например, такие, как поддержка технологий принудительного применения политик, позволяющая техническими средствами воплотить то, что традиционно реализуется только административными мерами.