В 2008 году в целом сохранялись те же основные тенденции развития угроз, связанных с информационной безопасностью, что и в 2007 году. Вандалы и хулиганы оказались окончательно вытеснены на отдаленную периферию ИТ-андерграунда. Теперь правят бал персонажи, для которых такого рода деятельность служит способом заработка. Сложился самый настоящий киберкриминальный бизнес, направленный на оказание всяческого рода специфических услуг, связанных с кражей информации или прямым хищением денежных средств, атаками на сети конкурентов, рассылкой спама и тому подобного. При этом разрастание экономического кризиса существенно усилило многие из тенденций, проявившихся в последние два года. Это, как полагает большинство экспертов, связано с тем, что многие ИТ‑специалисты остались без работы и перенаправили свою деятельность в криминальную сферу.
Вредоносное ПО
Ушедший 2008 год, как, впрочем, и 2007, был весьма «урожайным» на появление новых образцов вредоносного кода. В результате антивирусными аналитиками Symantec было внесено в антивирусные базы столько же сигнатур, сколько за весь предшествующий период деятельности. Как и прежде, основным типов вирусов стали троянцы, направленные на кражу данных о банковских счетах и аккаунтах в онлайновых играх (см. таблицу).
Как и в 2007 году, авторы троянцев активно использовали, казалось бы, основательно забытые (в том числе и антивирусными компаниями) вирусные технологии. К примеру, для осложнения работы антивирусных аналитиков троянцы последнего времени очень часто делают полиморфными. Широкое внедрение средств защиты периметра сети, которое мешает традиционным способам распространения программных зловредов, привело к ренессансу кода, заражающего файлы. Так что все чаще источником заражения становятся внешние накопители. Именно таким способом происходило заражение нашумевшим Conflicker. Таким образом распространялись не только вирусы и троянцы, но и «черви».
Тем не менее основным способом заражения стали атаки через Web с использованием зараженных сайтов. Если в 2007 году число зараженных узлов измерялось десятками тысяч, то в 2008 году счет пошел уже на миллионы. Только в результате «большого китайского хака» было заражено до 1,2 миллиона сайтов по всему миру. По числу зараженных сайтов пятерку лидеров составили Китай, США, Германия, Нидерланды и Россия.
Как отмечают специалисты Symantec, для взлома сайтов был переориентирован ряд зомби‑сетей. При этом наборы эксплоитов, используемые для взлома, используют уязвимости среднего и даже низкого уровня. Это связано с тем, что исправление данного рода «дыр» менее приоритетно как для разработчиков, так и для администраторов. В свою очередь, зловреды, распространяемые подобным образом, эксплуатируют уязвимости в браузерах и дополнениях к ним, в частности Adobe Flash или Apple QuickTime.
Однако самыми опасными технологиями в итоговом отчете антивирусных аналитиков «Лаборатории Касперского» признаны руткиты: «В них (руткитах — ред.) были реализованы инновационные технологии, равных которым антивирусная индустрия еще не встречала, а созданные вокруг них мощные инфраструктуры по своей масштабности и сложности превосходили ранние образцы — для червей Zhelatin и Warezov». Например, модель Malware 2.0, в основе которой лежит принцип разделения различных вредоносных модулей по функционалу, использование универсальных средств взаимодействия между модулями и защищенные от внешнего воздействия каналы обмена данными и центры управления зомби‑сетями.
В 2009 году отмечены случаи массового заражения устройств на платформе Linux (клиентского сетевого оборудования, в частности, DSL-модемов и маршрутизаторов) и Mac. И в том, и в другом случае речь идет о создании зомби‑сетей. И если такого рода инцидент у Linux‑систем не первый, то для платформы Mac, которая долгое время считалась неуязвимой для вредоносов, это первый случай массового заражения с середины 1990‑х годов. Но надо отметить, что в обоих случаях речь идет не о недостатках той или иной платформы как таковой. В случае Mac имело место использование методов социальной инженерии, где троянец распространялся под видом средств обхода защиты от копирования коммерческого ПО. Для устройств на Linux имело место несоблюдение элементарных норм безопасности, прежде всего, использование пароля по умолчанию.
Тем не менее в ушедшем году появились основания для некоторого оптимизма. Прежде всего, стала устойчивой тенденция к снижению количества уязвимостей в ПО. По данным ассоциации CVSS, количество уязвимостей в ПО в 2008 году снизилось примерно на 25—30% по сравнению с уровнем 2006 года. Однако количество уязвимостей по‑прежнему примерно вдвое выше, чем в 2004 году.
Спам и фишинг
Ушедший год был первым, в котором отмечено снижение уровня спама. Этого удалось достичь в результате закрытия в ноябре хостинг-провайдера McColo, где располагался центр управления рядом ботнетов. В результате доля «мусорной» почты в России уменьшилась вдвое, а в США втрое. Однако этот успех не был развит, и постепенно спамерам удалось восполнить утерянные площадки. Но все‑таки создан прецедент, показавший, что с непрошеной почтой можно успешно бороться.
Как уже отмечалось выше, Россия является одним из основных источников спама в мире и по итогам 2008 года вышла на первое место в регионе Европа — Ближний Восток — Африка (EMEA). Это объясняется тем, что продолжается активное проникновение технологий высокоскоростного интернет-доступа, которые часто попадают к неподготовленным пользователям, чьи компьютеры быстро заражаются вредоносным ПО и становятся частью той или иной зомби‑сети, рассылающей спам.
Российские спамеры, по словам аналитиков «Лаборатории Касперского», активно использовали социальные сети, причем очень часто не только для рекламы, но и с целью заманить потенциальную жертву на зараженный сайт или фишинговую страничку. Социальные сети также применялись для организации SMS-мошенничества, связанного с отправкой платных сообщений на короткий номер. При этом злоумышленники часто действовали от имени реальных пользователей социальных сетей, у которых были украдены регистрационные данные. Для этого использовались методы социальной инженерии, а также специальные утилиты, якобы повышающие удобство использования социальных сетей, а на самом деле переправляющие пароли злоумышленникам.
Что касается фишинга, то его доля в российском почтовом трафике достигла максимума в первой половине 2008 года, когда она составила в среднем 1,32%, а в пике, имевшем место в мае, — 2,5%. Однако во второй половине года число фишинговых сообщений снизилось до уровня 0,7—0,8%, а в I квартале 2009 года упало до 0,54%. Основными мишенями фишеров в России, как и в мире в целом, были реквизиты счетов в банках и онлайновых платежных системах вроде PayPal или «Яндекс Деньги».
Утечки информации
Проблема утечек информации не просто сохраняла актуальность, но и продолжала усугубляться. Причем растет как абсолютное число утечек, так и их масштабы. Как правило, утечки затрагивали персональные данные — на них, по оценке InfoWatch, пришлось почти 98% всех инцидентов, а среди «утечек-миллионников» все связаны с разглашением персональных данных. На государственные и коммерческие секреты пришлось менее 1%, однако число инцидентов, связанных с разглашением государственной тайны, выросло по сравнению с прошлым годом в пять раз.
По оценке экспертов InfoWatch, в 2008 году имел место значительный рост доли умышленных утечек. Если в 2007 году на них приходилось 29% инцидентов, то в 2008 году — уже 46%. Столь существенный рост эксперты InfoWatch связывают с внедрением технических средств класса DLP, которые позволяют довольно успешно предотвращать случайные утечки данных. Напрямую влияет и экономический кризис, когда недобросовестные сотрудники решают поправить свое материальное положение за счет работодателя или клиентов. Особенно это касается персональных данных, стоимость которых из года в год растет. При этом беспечность персонала остается на прежнем уровне. Кроме того, кризис ведет к росту депрессий и прочих проблем с психикой, что, в свою очередь, способствует ошибкам персонала, приводящим к разного рода инцидентам. Отмечены случаи злоупотребления и со стороны аутсорсинговых компаний (см. врезку), которые похищали данные о своих клиентах с целью дальнейшей продажи.
Большая часть утечек так или иначе связана с физическим доступом к оборудованию. Только на кражи, утери и инциденты, связанные с нарушением норм по утилизации, приходится более половины всех инцидентов. При этом распределение инцидентов в разрезе носителей информации существенно отличается для умышленных и случайных утечек. Что касается географии, то наибольшее количество утечек отмечено в США, Британии и Канаде. Однако это связано лишь с тем, что в данных странах существенно более высок уровень гласности в данной сфере и сам факт инцидента сложнее скрыть.
Что же касается дальнейшего развития ситуации, то прогнозы неутешительны. Количество инцидентов и их размах будут только расти, особенно по мере появления новых финансовых услуг, делающих возможным и целесообразным все, что связано с кражей личности.
Предлагаем ознакомиться со статьей «Рекомендации СоДИТ ИТ-директорам России по защите персональных данных»
Безопасность остается на втором плане
Владислав Ершов
Ведущий системный аналитик отдела информационной безопасности, компания «Открытые технологии»Приведенная в статье статистика показывает важность обеспечения защиты Web-приложений. По разным оценкам, сегодня доля уязвимых к различным атакам сайтов достигает 80%. Современные компании активно используют доступность и удобство сети Интернет для развития бизнеса (дистанционное банковское обслуживание, интернет-магазины и т. п.). Основной акцент при разработке приложений делается, к сожалению, на функциональности, а безопасность остается на втором плане. Причем в России эта проблема видится наиболее острой, так как средства защиты Web-приложений, которые уже достаточно давно и эффективно защищают сайты зарубежных компаний от различных атак прикладного уровня (cross-site scripting, sql-injection), в нашей стране только начинают появляться.
Еще одна серьезная угроза — мошенничество пользователей корпоративных приложений. В результате возможна как утечка данных, так и их модификация или уничтожение. Средняя величина ущерба от одного такого инцидента (по оценке Association of Certified Fraud Examiners — Ассоциации специалистов по расследованию хищений мошенничества) может достигать 1 млн долл. И тут важно отметить ряд особенностей:
- источником около 70% обнаруженных инцидентов является топ-менеджмент и сотрудники бухгалтерии, то есть люди, имеющие доступ к наиболее важной информации;
- в большинстве случаев об инциденте узнавали случайно, в результате общественной огласки или из источников, близких к организатору мошенничества, а также в процессе проведения аудита;
- обнаружение инцидента за счет использования средств, контролирующих действия сотрудников, осуществлялось всего лишь в 23,3% случаев.
Таким образом, остается загадкой, сколько фактов так и не стали достоянием гласности.
Тема утечек излишне подогревается
Михаил Романов
Директор по развитию бизнеса компании Stonesoft в России, СНГ и странах БалтииВряд ли сегодня происходит реальный бум в области утечек. Но у начальников служб безопасности появилась тема, в рамках которой можно обоснованно тратить бюджет. Тема подогревается искусственно, однако данные зарубежных аналитических агентств, не занимающихся внедрениями, говорят, что в мире количество утечек даже снижается.
В России проследить тенденции сложнее. С одной стороны, информация становится более ценной, а утечки — более актуальными. С другой стороны — при нашей технологической отсталости во многих сферах, при другой культуре обеспечения безопасности и работы с конфиденциальной информацией вряд ли есть повод говорить, что утечек стало больше. Почти официально или полуофициально продаваемые базы данных (налоговой инспекции, ГИБДД и др.) создавались и будут создаваться и обрабатываться независимо от закона о персональных данных. А в них зачастую можно почерпнуть намного больше, чем в любом файлике, присланном сотрудником организации. Поэтому рост утечек информации обусловлен еще и тем, что на эту проблему стали смотреть более пристально и, таким образом, чаще фиксировать нарушения.
Мошенничества с различными платежными системами будут продолжаться
Владимир Бычек
Руководитель направления контент-безопасности (eSafe), компания AladdinУже не в первый раз приходится сталкиваться с мнением, что ИТ‑специалисты в связи с всеобщим экономическим кризисом пополнили ряды киберпреступников. Совершенно не согласен с этим. Спрос на программистов, способных написать вредоносную программу, не упал, и с чего бы им перепрофилироваться в преступников?
Зато наиболее опасной тенденцией 2008—2009 годов в области информационной безопасности в России оказались атаки на системы дистанционного банковского обслуживания. Этот вид кибермошенничества сегодня фактически поставлен на поток. Больше всего заражений было произведено с помощью троянов, причем наиболее опасная группа — «русские банковские трояны 2.0». Этот тип вредоносного кода постоянно мутирует, что затрудняет их обнаружение. Список целевых банков и организаций содержится в их конфигурационном файле и либо распространяется вместе с троянами, либо пересылается с сервера, контролируемого мошенниками. И есть основания полагать, что мошенничества с различными платежными системами будут продолжаться и, возможно, возглавят список угроз информационной безопасности в этом году.