Угрозы в области информационной безопасности. Тенденции и попытка прогноза

Ушедший 2007 год явил целый ряд новых тенденций, связанных, прежде всего, с коммерциализацией ИТ андерграунда. Более того, ушедший год некоторые аналитики называют временем окончательной смерти «некоммерческого» хакерства и вирусописательства. Поводом для этого утверждения стало то, что за каждым сколько-нибудь значимым инцидентом или эпидемией стоял явный финансовый интерес, а не любопытство, желание попробовать свои силы, просто прославиться или то, что на языке милицейских протоколов называется хулиганскими побуждениями. Также явно проявляется тенденция к усилению попыток работы с некой целевой аудиторией, а не со всеми сразу.

Вредоносное ПО

В данной сфере тенденция к коммерциализации проявилась наиболее ярко. Как отмечают все антивирусные лаборатории, не было ни одной вирусной атаки, за которой не стоял бы чей-то коммерческий интерес. А в 2006 году «хулиганские» вредоносы еще встречались, например, «червь» Nyxem.E, который удалял данные на зараженных компьютерах. А зловреды 2007 года были направлены на кражи информации или создание ботнетов. При этом сохранялась тенденция прошлых лет к переходу от глобальных эпидемий к локальным, которые охватывают отдельные страны или группы стран.

Новым явлением в 2007 году стало создание вредоносных программ на заказ с оказанием технической поддержки заказчикам. Специалисты «Лаборатории Касперского» приводят по крайней мере два примера подобного рода вредоносов: Pinch и Fujack, авторы и наиболее активные потребители которых были арестованы в 2007 году соответственно российскими и китайскими спецслужбами.

При этом Fujack относился к относительно новому классу игровых троянцев, направленных на кражу данных пользователей онлайновых игр. Этот класс активно рос количественно и обогнал раннее доминировавших троянцев-банкеров, направленных на кражу данных банковских счетов. Однако целевые аудитории банкеров и игровых троянцев не пересекаются, так что подобный перевес может быть временным явлением. Кроме того, для кражи данных о банковских счетах все активнее используются фишинг и фарминг.

Характерным явлением для 2007 года стали массовые взломы сайтов с последующим размещением на них вредоносных программ или ссылок на зараженные сайты. Так, в июне на около 10000 итальянских сайтов был размещен набор эксплойтов Mpack. Самый массовый взлом был зафиксирован в конце 2007 года, когда на более чем 70000 сайтах в разных странах мира был обнаружен загрузчик, устанавливающий «игрового» троянца.

Еще одной тенденцией 2007 стало массовое использование DDOS атак, причем не только для прямого вымогательства денег, но и как инструмента в конкурентной и политической борьбе. Специалисты «Лаборатории Касперского» также обнаружили новый тип ботнетов, ориентированный на высокопроизводительные вычисления, например, с целью подбора паролей или для расшифровки перехваченного трафика. Также DDOS атаки использовались и вирусописателями для борьбы с разработчиками антивирусного ПО при попытке анализа кода ряда вредоносов, в частности, некоторых штаммов Zhelatin.

Также в 2007 году отмечался значительный рост числа новых вредоносов, особенно троянцев (рис. 1). В результате специалисты «Лаборатории Касперского» внесли в обновления баз столько же зловредов, сколько за предшествующие 15 лет.

На 2007 год пришлось возвращение классических вирусов -- файловых, загрузочных, файлово-загрузочных. Количество такого рода вредоносов выросла на 389,6%, в то время как в 2006 году их число снизилось почти на треть. Это вызывает тревогу у аналитиков. Например, Александр Гостев, ведущий антивирусный аналитик «Лаборатории Касперского» так прокомментировал данную тенденцию: «Возвращение вирусов весьма тревожно – их удаление из пораженных систем является более сложной задачей, чем удаление троянских программ. Кроме того, многие популярные антивирусы, хорошо себя зарекомендовавшие в детектировании обычных вредоносных программ, зачастую показывают весьма скромные результаты в обнаружении сложных полиморфных вирусов. Это может привести к значительным проблемам в ближайшем будущем, поскольку вирусописатели уже обратили свое внимание на эту особенность». Тем более, что вирусные технологии активно используют и авторы троянских программ, чтобы затруднить детектирование и использовать новые каналы распространения, в частности, через сменные носители, мультимедийные плееры и т.д. Стабильные показатели демонстрируют и почтовые «черви». Их численность поддерживают 3 основных семейства: Warezov, Zhelatin и Bagle. При этом Zhelatin, или Storm Worm, многие называют «вирусом года». Как заметил Александр Гостев, в нем оказались реализованы практически все достижения вирусописательской мысли последних лет: руткит-технологии, обфускация (замусоривание кода), ботнеты, защищающие себя от анализа и исследования, взаимодействие между зараженными компьютерами через пиринговые сети, без единого управляющего центра. Для распространения червь использовал все существующие возможности: как традиционные (электронная почта, системы мгновенного обмена сообщениями), так и сервисы Web 2.0 (блоги, форумы, RSS). Кроме того, злоумышленники распространяли вирус под видом видео-файлов.

Вместе с тем, не сбылся прогноз Александром Гостевым, согласно которому следовало ожидать увеличения числа троянцев-шифровальщиков и преступного бизнеса, связанного с вымогательством денежных средств у пострадавших частных лиц и компаний. Зато для вымогательства активно использовались лже-антивирусы, которые якобы находили вредоносные программы, за избавление от которых авторы требовали выплаты денежных средств. При этом часто еще и нарушалась нормальная работа компьютера.

Также слабое распространение Microsoft Windows Vista не способствовало появлению специфичных для нее вредоносов. Не слишком быстро росло количество зловредов и для альтернативных систем. Вместе с тем, для преодоления барьеров между разными программно-аппаратными платформами будут использоваться средства Web 2.0, а также технологии фишинга и фарминга. Злоумышленники все активнее будут использовать социальные сети, в том числе с использованием методов социальной инженерии. Целью также будет получение и сбор приватных данных, а также просто кража аккаунтов и создание их баз для атак, проводимых традиционными способами. Естественно, это возможно при условии, что социальные сети будут сохранять свою популярность. Еще одной потенциальной угрозой являются атаки на мобильные устройства. Так, на конференции IDC Security Roadshow 2008 демонстрировалось использование троянских программ для смартфонов и коммуникаторов на базе ОС Symbian, с помощью которых можно перехватывать SMS сообщения и прослушивать телефонные переговоры на зараженном устройстве, что, естественно, дает массу возможностей злоумышленниками. Причем заражение не представляет никаких сложностей, необходимо всего лишь подойти к жертве на расстояние, достаточное для передачи программы по Bluetoth. Как и сама программа, которую можно найти на специализированных сайтах. Как отмечает Александр Гостев, уже сейчас есть технические предпосылки для возникновения глобальной эпидемии, хотя ее возникновение этот аналитик пока считает маловероятным. Тем более, что консолидацию рынка нарушило появление двух перспективных игроков – Apple iPhone и Google Android. Это отсрочивает массовое появление вредоносов, но не снимает проблемы, связанные с уязвимостями.

Спам

К сожалению, спама в 2007 году не стало меньше. Скорее, даже наоборот, доля «мусорной» почты растет. Так, по оценке ведущего спам-аналитика «Лаборатории Касперского» Дарьи Гудковой составила в среднем 79,2%. За первые месяцы текущего года этот показатель вырос до 88%. Наблюдается также заметное выравнивание доли спама в общем объеме сообщений, хотя сезонные различия по-прежнему заметны.

В самом начале 2007 года вступил в действие «Закон о персональных данных», который прямо требует прямого согласия потенциального получателя на прием рекламных и агитационных рассылок. Раннее аналогичная норма была установлена законом «О рекламе», но под него подпадали только коммерческие рассылки. На эти нормы возлагались большие надежды, однако обе эти нормы, по большому счету, не работают. Также не внесены соответствующие изменения в уголовное законодательство. В результате, как отметил на конференции IDC Security Roadshow 2008 сотрудник Управления К МВД РФ Александр Иванов, очень трудно предъявлять обвинения злостным нарушителям этого Закона, в частности, распространителям всевозможных баз данных, если продажа происходит через интернет, в том числе и по электронной почте. Много неясностей и в той части, которая относится к продвижении легальных товаров и услуг, а также к политической агитации. Слаба и информированность потенциальных пользователей такого рода «услуг». Они, как правило, даже не подозревают о том, что совершают что-то противозаконное. Наиболее показателен здесь случай с активистами по крайней мере трех партий, которые накануне думских выборов массово рассылали свои агитматериалы. Плохо отработана и борьба с ботнетами. В принципе, как отметил Александр Иванов, их использование подпадает под статьи 272 и 273 УК РФ, но собирать доказательную базу по ним чрезвычайно сложно, так как требуется получить заявление от владельцев зараженных компьютеров, которых могут быть многие тысячи. На Западе же сам факт создания зомби-сети часто является составом тяжкого преступления.

Продолжались (и будут продолжаться) и всевозможные изыски, призванные обойти почтовые фильтры. Это выражалось, прежде всего, в том, что использовались нестандартные форматы. Сначала это был Adobe Acrobat, причем не только привычный PDF, но и не слишком часто используемый Acrobat Forms FDF. Доля такого рода писем достигала 10% в общем объеме, но через 2 месяца сошла на нет, поскольку фильтры довольно оперативно «научились» их выявлять. Затем сообщение стали упаковывать архиваторами Zip или RAR, но таким образом часто рассылаются вирусы и такие сообщения пользователи просто удаляют, не читая. По той же причине оказались безуспешными попытки использования вложений в формате приложений Microsoft Office. Осенью имели место рассылки использования даже аудиоформатов, в частности, MP3. Однако они также не достигли цели. Новым словом в текущем году стало использование служебных HTML тегов.

При этом доля традиционного графического спама неуклонно уменьшалась – с 32% в начале года до 14% в декабре. Вместо вложения картинок в тело писем спамеры начали выкладывать ссылки на них в Web. Особенно активно использовали такой подход распространители всевозможной фармацевтической продукции. Однако в 2008 году она вновь стала расти, достигнув в марте 28%.

Новым словом спамерских технологий стали также так называемые «быстрые рассылки», когда письма достигали миллиона адресов за десятки минут, а на за несколько суток, как раньше. Как отмечают эксперты, этого удалось добиться как за счет расширения масштаба ботнетов, так и вследствие усовершенствования используемого ПО. При этом, помимо ускорения рассылок, с ними намного сложнее бороться. Тем не менее, основным поставщикам антиспам-фильтров удалось создать средства, противостоящие такого рода средствам. Еще одной тенденцией 2007 года стало широкое использование социальных сетей. Технология при этом используется та же, что и несколько лет назад, когда спамеры активно применяли в своих целях сообщения с Web форумов. И масштабы их использования будут расти, причем не только для рассылки спама, но и для распространения вредоносного ПО. И, как отмечают эксперты, в частности, Дарья Гудкова, масштабы использования социальных сетей будут расти. Естественно, при условии, что сохранится интерес к ним со стороны пользователей.

Отмечается значительная активизация фишинга, причем происходит это на фоне заметного снижения количества других форм сетевого мошенничества («нигерийские письма», поддельные сообщения о выигрыше в лотерею и т.д.). Ушедший 2007 год можно даже считать датой рождения русскоязычного фишинга. Зафиксировано как минимум три массовых атаки на пользователей почтовых служб и онлайновых платежных систем. Причем количество атак растет очень быстро, как и профессионализм фишеров. Отличить мошенническое сообщение или сайт от легитимного стало сложно даже профессионалам. Это объясняет и заметный рост значимости данной проблемы. По результатам опроса, проводимого компанией InfoWatch мошенничество оказалось на втором месте после утечек информации с 50% голосов опрошенных против 30% в 2006 г. (рис. 2).

Однако этим криминальный спам не ограничивается. Он используется злоумышленниками для распространения вредоносных программ, а также для рекламы таких специфичных услуг как организация DDOS-атак, продажа ПО по рассылке спама и баз с конфиденциальными данными. Новым словом стало использование спама в качестве средства «черного» PR. Такие случаи отмечались и в 2007 году, особенно в период предвыборной компании. В текущем году были проведены атаки на газету «Коммерсант» и страховую компанию SB-GARANT. Существенно усиливается таргетинг: использование целевых рассылок, ориентированных на определенную аудиторию. Причем это относится не только к русскоязычному спаму.

Одним из самых важных, хотя и не слишком приятных итогов 2007 года стало и то, что Россия, наряду с США и Польшей, стала одним из основных мировых центров рассылки спама. Это произошло вследствие роста пользователей интернет, в том числе широкополосного, с одной стороны при слабом уровне соблюдения норм информационной безопасности – с другой. В результате количество компьютеров (в том числе корпоративных), входящих в ботнеты, росло и продолжает расти.

Утечки информации

В ушедшем 2007 году проблема утечек информации продолжала сохранять актуальность. Достоянием гласности стало не менее 500 инцидентов. При этом, по данным Attrtion.org, утеряно 162 млн. записей. Стоимость каждой утеряной записи составила, по данным института Ponemon, 197 долл. Стоит отметить, что это значение почти удвоилось по сравнению с 2006 годом. Прямой ущерб от утечек информации в мировом масштабе составил 58 млрд. долл., и это не включая потери от утрат данных НИОКР и ноу-хау. Средний ущерб пострадавшей компании, по оценке Ponemon, составил 6,3 млн. долл. Рост убытков компаний в результате утечек и краж данных составил 30%.

Крупнейшей утечкой стала кража данных о клиентах американской розничной сети TJX, которая затронула 94 млн. чел. в США и Канаде. О ней стало известно в декабре 2007 г. Однако ущерб не подсчитан до сих пор, и только затраты на информирование всех пострадавших измеряются сотнями миллионов долларов. Тем более, что хакеры, укравшие эту информацию, активно продавали ее третьим лицам. Каковы же будут потери от оттока клиентов, а также выплаты по искам от пострадавших частных лиц и банков, которые будут неизбежно, остается только догадываться. Причиной ее стала халатность персонала, в результате чего беспроводное сетевое оборудование не было защищено должным образом. Этим и воспользовались злоумышленники, проникшие в корпоративную сеть через одну из точек доступа. В результате хакерской атаки были похищены также личные данные о 6 миллионах граждан Чили. В этом случае никаких явных корыстных мотивов не было. Раньше наиболее масштабные утечки, касающиеся большого количества людей, обычно были обусловлены кражей оборудования или утерей носителей информации, чаще всего по вине третьих лиц или компаний.

Данные инциденты вновь ставят вопрос о должном исполнении своих обязанностей и квалификации персонала. Халатность и несоблюдение элементарных норм информационной безопасности, а не «дыры» в оборудовании и ПО являются основной причиной утечек, что еще раз доказывает то, что обеспечение защиты от утечек и краж информации – задача в основном организационная, а не технологическая. Это в равной степени относится и к России, где, по данным опроса, проведенного компанией InfoWatch, лишь 29% утечек информации произошли по злому умыслу, в то время как оставшиеся 71% являются случайными.

Вместе с тем, по данным Института компьютерной безопасности (CSI), 40% компаний используют хакерские средства или нанимают такого рода специалистов для сбора информации о конкурентах. Применяют подобного рода средства и спецслужбы, очередным примером чему стала операция налогового ведомства ФРГ. Сведения о гражданах Германии, которые хранили свои средства в банках Лихтенштейна с целью уклонения от уплаты налогов, были куплены у одного из служащих. Однако эта акция стала достоянием гласности, поскольку интересы двух государств вошли в явное противоречие, но основная их часть, по понятным причинам, остается неизвестными.

В России столь подробной статистики по утечкам информации не ведется, также крайне высока латентность. Если за рубежом любая информация об утечках должна быть обнародована, то у нас такого рода нормативы отсутствуют. Но данная проблема также крайне актуальна. Нарушение конфиденциальности информации, как показывают опросы, ежегодно проводимые компанией InfoWatch, уже не первый год является главной угрозой (рис. 2). Также с 20% в 2006 году до 35% в 2007 выросли опасения, связанные с утерей информации. В 93% случаев объектом утечек являлись персональные данные, в 6% -- коммерческие секреты и ноу-хау.

Основным каналом утечки, согласно опросу, проводимому InfoWatch, являются мобильные накопители, Интернет (почта с Web интерфейсом, форумы, блоги, социальные сети и др.) и интернет-пейджеры (рис. 3). На втором месте – электронная почта, хотя ее доля несколько упала. Активно использовались злоумышленниками также средства печати и копирования, а также фотопринадлежности, причем их доля росла. Особенно быстрыми темпами увеличивалось применение последних – вдвое по сравнению с 2006 годом. Растет также доля прочих средств, в частности, факсимильной связи.

В отличие от остального мира, где утечки информации обычно допускают государственные органы и учреждения общественного сектора (образовательные, медицинские и т.д.), в России наибольшее количество утечек приходится на коммерческий сектор – 58%. Во всем мире этот показатель ненамного превышает 20%. Вместе с тем, по мере компьютеризации муниципальных органов власти, учреждений образования и здравоохранения картина будет меняться. Тем более, что случаи утечек информации в образовательной сфере, связанные с появлением в интернете результатов ЕГЭ до проведения экзамена, были зафиксированы в 2007 году сразу в нескольких российских регионах, что вызвало довольно широкий резонанс. Также специалисты InfoWatch указывают на такие проблемы образовательного сектора, как низкий уровень квалификации и дисциплинированности сотрудников, а также отсутствие мотивации к сохранению персональных данных. Тем более, что коммерческие компании и госорганы активно внедряют системы защиты, и их доля в общем объеме падает. Особенно большого прогресса удалось добиться в госсекторе, чья доля в общем объеме утечек снизилась с 34% до 22%.

В целом же прогнозы неутешительны: количество утечек, как и нанесенный ими ущерб, будут только расти. И это в равной степени относится к ситуации как в мире в целом, так и в России.

Боевое тестирование в течение полугода

От вирусных атак не застрахован никто, поэтому надежное антивирусное программное обеспечение становится необходимым фактором бесперебойного функционирования практически любой организации. Аппарат управления компании «Ямбурггазодобыча», недавно переименованной в «Газпром добыча Ямбург», находится в городе Новый Уренгой. В корпоративную сеть включены также основная производственная база в Ямбурге и вахтовый поселок Новозаполярный, построенный рядом с месторождением.

Ранее для защиты корпоративной сети на «Газпром добыче Ямбург» использовалась программа eTrust antivirus 7.0 — продукт компании Computer Associaties (CA). «Несмотря на регулярные обновления антивирусных баз качество детектирования вирусов было неудовлетворительным, — рассказывает Андрей Муся, начальник отдела системного администрирования управления ИТ “Газпром добычи Ямбург”. — Дело в том, что данный продукт обнаруживал вирусы с большой задержкой, через один-два месяца после их появления в сети, а то и позднее». Такая ситуация делала ИТ-инфраструктуру предприятия уязвимой, и руководство приняло решение сменить антивирусный пакет.

Выбор антивирусного ПО

В течение года проводился анализ антивирусного ПО, предлагаемого на отечественном рынке. Рассматривали, в частности, продукты Panda, NOD32, Dr.Web, антивирус компании Symantec и другие. Выбор проводился по пятнадцати критериям, среди которых — удаленное администрирование, возможность создания отчетов для мониторинга вирусной активности, а также требование по конфигурированию клиентского приложения, ограничивающего права конечных пользователей по изменению настроек на рабочих станциях. «Последний критерий был выдвинут при выборе новой системы в связи с тем, что ранее пользователи имели возможность самостоятельно отключать антивирусный монитор, мотивируя это тем, что он тормозит работу, — пояснил Андрей Муся. — Этот факт обнаружился после ряда вирусных атак на корпоративную сеть и проверки компьютеров». В результате проведенного анализа выбор был сделан в пользу продукта Kaspersky Total Space Security. Он способен контролировать все входящие и исходящие потоки данных — электронную почту, интернет-трафик и все сетевые взаимодействия. Кроме защиты от вирусов он обеспечивает защиту от шпионских программ, хакерских атак и спама на всех уровнях корпоративной сети — от рабочих станций до интернет-шлюзов. Система имеет модуль проактивной защиты, позволяющий бороться с прежде неизвестными угрозами безопасности. Что касается других удобств работы, то в Kaspersky Total Space Security предусмотрена централизованная установка и управление, формирование централизованных отчетов о состоянии защиты.

Боевое тестирование

Определившись с выбором продукта, представители предприятия «Газпром добыча Ямбург» подписали контракт на его использование, но пока лишь на полгода, чтобы сначала опробовать полнофункциональную версию Kaspersky Total Space Security в реальной корпоративной сети.

Процесс боевого тестирования системы длился с начала лета до конца декабря 2007-го. Столь продолжительный срок потребовался потому, что на предприятии эксплуатируется порядка пяти тысяч рабочих станций, много различного программного обеспечения, которое обладает разной степенью совместимости с ПО других фирм.

«Продукт нужно было детально изучить, убедиться, что он нам подойдет по всем параметрам», — отметил Андрей Муся.

Получив положительные результаты тестирования — в корпоративную сеть не было пропущено ни одной вредоносной программы, — руководство предприятия приняло окончательное решение о смене корпоративного антивирусного ПО. С «Лабораторией Касперского» был подписан контракт на приобретение 4500 лицензий продукта Kaspersky Total Space Security. «Этого пока достаточно, а что будет дальше, посмотрим, мы же растем, и компьютерный парк год от года увеличивается», — подытожил Андрей Муся.

Елена Шашенкова