Угрозы в области информационной безопасности. Новые тенденции

В последние годы много говорят о том, что романтики-одиночки, писавшие вирусы или взламывавшие сети исключительно из любви к искусству либо из желания прославиться, давно ушли в прошлое. Сейчас правят бал те, для кого подобного рода средства — всего лишь один из способов обогатиться. Так что специалисты, отвечающие за информационную безопасность, теперь должны противостоять не любителям, пусть и самым что ни на есть высококвалифицированным, а матерым профессионалам.

Вредоносное ПО

Главной тенденцией в распространении вредоносного ПО по мнению участников конференции, которую издание Virus Bulletin провело в сентябре нынешнего года в Вене, стала криминализация Интернета. Однако это далеко не новость. Еще в 2004-м наблюдался всплеск атак на банки и букмекерские конторы, тогда же появился первый троянец-шифровальщик, автор которого пытался вымогать деньги у жертв заражения. Правда, сумма была на порядок выше, чем требуют сейчас. В том же году попытки кибер-рэкета, когда злоумышленники вымогали деньги за прекращение DDOS-атак, были зафиксированы и в России.

Причины такого положения дел, как считает старший вирусный аналитик из «Лаборатории Касперского» Виталий Камлюк, заключаются в следующем:

• прибыльность;
• простота исполнения (как с технической, так и с моральной точки зрения);
• низкий уровень риска, связанный прежде всего с экстерриториальностью сети;
• появление новых сервисов, которые выгодно атаковать.

Правда, третий пункт в этом списке можно и оспорить, что показывают далеко не единичные примеры заслуженных наказаний кибер-преступников за деятельность, которую они вели на территории совсем других стран. И к вирусописателям это относится в первую очередь, хотя в текущем году к ним добавились и спамеры. Так, длительные сроки получили автор червя «панда с благовонными свечами» и фишер, терроризировавший пользователей AOL. Было арестовано несколько международных групп фишеров, в отношении которых расследование пока продолжается. В одну из таких групп, обезвреженных в Германии, входили и граждане России.

В результате по оценке Виталия Камлюка 96% вредоносного кода является инструментом криминального бизнеса, направленного на кражу информации, рассылку спама, шантаж, атаки на ресурсы конкурентов. Сюда же относятся средства мошенничества и кражи виртуальных предметов в онлайновых играх, создание и продажа которых давно уже стали быстрорастущим и прибыльным бизнесом. Из оставшейся доли 3% приходится на концепты, где обкатываются и отрабатываются новые технологии, но особого вреда от них нет. Хотя такие вирусы обычно вызывают немалый шум в прессе. И только 1% вредоносного кода создаётся авторами для самоутверждения.

Но при этом глобальных эпидемий становится все меньше. Падает и ущерб от вредоносного ПО. Тем не менее, как заметил Владимир Мамыкин, директор по информационной безопасности Microsoft в России, это можно сравнить с тем, что преступники не взорвали весь дом, зато жильцов нескольких квартир по полной программе подвергают рэкету. А это означает, что в если среднем ущерб упал, то у пострадавших компаний он многократно вырос.

Новыми технологиями в вирусописательстве стали автоматическая генерация кода, виртуализация антивирусных средств, обфускация («замусоривание» кода, затрудняющее дезассемблирование) и использование упаковки. При этом в качестве упаковки иногда применяются незадокументированные API. Так, например, Trojan-PSW.Win32.Zbot использует функции сжатия NTFS- потоков, не отраженные в MSDN. Но при этом сама программа остаётся неизменной, меняются только используемые средства, затрудняющие обнаружение и обезвреживание троянца. Это происходит, по всей видимости, потому, что сами троянцы стали товаром, который продается и покупается. А покупать, естественно, предпочитает хорошо известный и проверенный товар, пусть даже и столь специфичный. Так что в скором времени можно ожидать, что количество вредоносных программ стабилизируется, а потом начнет уменьшаться. Тем не менее среднее «качество» продукции будет выше, а значит, возрастет и ущерб для жертв.

Тенденцию к уменьшению роста количества вредоносных программ подтверждает и тот факт, что для 42% всех фишинговых атак, по оценке Symantec, было задействовано всего три набора сценариев. При этом, все чаще приходится сталкиваться с «гибридами» спам-бота и троянца, где меняется только текст самого генерируемого письма.

Происходят заметные изменения и в том, что связано с деятельностью зомби-сетей, через которые рассылается спам и организуются DDOS-атаки. Прежде всего упрощаются средства управления. Раньше для этого использовались IRC-каналы, причем хакеры должны были сами писать специальные скрипты. Теперь же применяются средства с Web-интерфейсом, с которыми справится пользователь средней и даже не слишком высокой квалификации. При этом наблюдается тенденция к разукрупнению и децентрализации бот-сетей с целью затруднить борьбу с ними. При этом сама бот-сеть сохраняет централизованное управление, но разные ее сегменты решают различные задачи. Кроме того, все чаще стало применяться многократное заражение с тем, чтобы при детектировании одного из ботов сохранить данный компьютер в качестве узла зомби-сети.

Растет внимание вирусописателей и к Web, что показала недавняя эпидемия в Италии, где было заражено более 4500 сайтов, с которых, в свою очередь, вредоносное ПО класса «троянец-загрузчик» попадало на ПК посетителей этих ресурсов. На это указывают все ведущие антивирусные лаборатории мира. Электронная почта слишком долго была главным источником распространения вирусов и дискредитировала себя, в результате число «почтовых» червей и троянцев перестало расти. А вот количество уязвимостей в Web-браузерах и плагинах к ним меньше не стало. Так, по данным Symantec по сравнению с предыдущим годом оно утроилось. При этом появились бреши не только в ПО для Microsoft Windows, но и в Mac OS X, которая прежде считалась неуязвимой. А поскольку в троянцах, обнаруженных в «диком» виде, теперь используются методы социальной инженерии, можно ожидать, что число зараженных систем значительно увеличится. По мнению Михаила Кондрашина, руководителя центра компетенции TrendMicro в России, атаки через Web многовекторны и многокомпонентны, их труднее обнаружить (а значит, с ними сложнее бороться), они полиморфны и обладают многими функциями зомби-сети. Их вполне можно проводить в рамках мирового региона или отдельной страны, и эпидемия в Италии является тому очень хорошим примером. Web превратилась в главный проводник фарминговых и фишинговых атак, а также рекламного и шпионского ПО, которое, как видно из рисунка, имеет широчайшее распространение в России. Кроме того, как показал опрос, проведенный компаниями Softline и Symantec в октябре этого года именно Web склонны рассматривать в качестве источника заражения почти треть опрошенных.

По мнению Виталия Камлюка, получат развитие и троянцы, использующие Web 2.0. Тем более, что они будут способствовать заражению альтернативных платформ, популярность которых растет, что обуславливает рост интереса к ним вирусописателей.

Спам

В уходящем году в целом продолжились тенденции, характерные для предыдущего. Доля «мусорной» почты в рунете в первом полугодии колебалась на уровне 70—90%. При этом резкие провалы и значительные всплески, которые в 2006-м наблюдались в отдельные периоды, прекратились. Но в среднем доля «мусорной» почты несколько выросла. Как показал опрос Symantec и Softline, среди российских ИТ-специалистов доля тех, кто сталкивался со спамом, составляет 96%. В мировом масштабе тенденция к росту стала более явной: этот показатель вплотную приблизился к уровню 70% против 59% в прошлом году.

Основным способом обмана почтовых фильтров оставалось использование графики вместо текста. Однако появились и некоторые новшества. Так, например, начальник группы спам-аналитиков «Лаборатории Касперского» Анна Власова обращает внимание на следующие тенденции:

• отказ от пестрых фоновых изображений и редких шрифтов;
• исчезновение анимации (в 2006-м этот прием был весьма популярен для обхода OCR-плагинов);
• упаковка графики во вложенные файлы в формате Adobe Acrobat (привычный прием не только для формата .pdf, но и для fdf );
• использование некоторых приемов для маскировки отображения графики в сообщении (например, загрузка фона сообщения с заданного URL).

Рамиль Яфизов, старший технический консультант Symantec, обратил внимание на существенный рост спама, рассылаемого через сети мгновенного обмена сообщениями (Instant Messaging). Это связывается с активным продвижением данного средства в корпоративный сегмент и соответственно существенным ростом количества его пользователей.

Продолжалась тенденция к явной криминализации спама, в том числе и русскоязычного. Так, Анна Власова отмечает увеличение потока фишинговых сообщений. Имело место несколько таких рассылок в адрес вкладчиков Альфа-банк» и системы «Яндекс.Деньги». В мировом масштабе спам продолжали использовать для манипуляций с курсами акций (технология «накачка — сброс»). Причем действия контролирующих органов здесь не оказывали заметного влияния. Правда, еще в апреле нынешнего года была прекращена котировка на бирже акций 35 американских компаний, которые пользовались такого рода инструментами.

В уходящем году правоохранительные органы ряда стран провели несколько успешных операций против спамеров. Так, в сентябре было арестовано четыре спамера, которые занимались рассылками «накачка — сброс». Их доход превысил двадцать миллионов долларов. В Дании арестовали группу мошенников, рассылавших так называемые «нигерийские письма», — им удалось вытянуть из своих жертв более полутора миллионов евро. Суды были настроены к спамерам довольно жестко. Например, «король фармакологического спама», известный под псевдонимом Rizier, получил 30 лет. Хотя, надо сказать, и раньше наиболее зарвавшихся спамеров выявляли и наказывали, но индустрия «мусорных» рассылок от этого, к сожалению, развиваться не перестала. Анна Власова дает такой прогноз развития ситуации со спамом в ближайшем будущем:

• доля спама в почте (и не только) меньше не станет;
• пятерка основных спамерских тематик останется без изменений;
• вероятны новые эксперименты с графическими технологиями;
• скорость спам-рассылок еще вырастет;
• спамеры будут адаптировать свои рассылки к специфике различных категорий получателей.

При этом возможно появление новых законодательных инициатив в борьбе с непрошеной почтой. Еще одной тенденцией должна стать консолидация ИТ-компаний против спама.

Утечки информации

По-прежнему можно говорить, что проблема защиты от утечек данных является скорее организационной, чем чисто технологической. В подтверждение этого тезиса можно вспомнить самую громкую утечку информации в 2007 году, допущенную британским почтовым ведомством. И сводилась она к банальной халатности, из-за которой были утеряны два оптических диска с информацией о 25 млн. граждан — получателей социальных пособий, а это почти половина всего населения Великобритании. Утечка, затрагивающая такое количество людей, произошла впервые.

Как показало исследование IT Policy Compliance Group, результаты которого были обнародованы в конце июня, 87% компаний подвержены риску потери или кражи данных. При этом в подавляющем большинстве из них крупная утечка данных может происходить каждые три года. Старший менеджер по исследованиям Symantec и управляющий директор IT Policy Compliance Group Джеймс Херли полагает, что тому виной высокий уровень нарушений правил безопасности. При этом, по его оценке, соблюдение правил позволяет снизить вероятность крупной утечки данных более чем в десять раз.

Однако компании по-прежнему проявляют поразительную беспечность. Особенно это касается беспроводных сетей. Так, например, согласно исследованию, которое агентство AirDefence провело в 3000 магазинах по всему миру, в 85% случаев Wi-Fi-сети потенциально могут стать легкой добычей злоумышленника. Половина беспроводного оборудования или не защищена вообще, или использует устаревший протокол WEP, средства для взлома которого можно найти на «хакерских» сайтах. Очень многие даже не сменили пароли, установленные производителями по умолчанию, либо использовали в этом качестве название сети или что-то другое, что злоумышленник может узнать безо всякого труда. А поскольку магазины связаны с корпоративной сетью компании-ритейлера, эта последняя становится уязвимой для взлома. Вдобавок через такие Wi-Fi-сети очень удобно получать информацию о кредитных картах покупателей.

Мало того, на черном рынке появились устройства, позволяющие снимать информацию не только через медный, но и через оптический кабель. Случаи применения такого рода средств уже отмечались и в России. И это несмотря на то, что стоимость подобных «жучков» довольно высока (1500—2000 долл.), а их установка сопряжена с рядом трудновыполнимых условий. Цена утечки информации в США, по данным Attrition.org, составляет в среднем сто долларов в расчете на каждую запись о клиенте. При этом каждая утечка, ставшая достоянием гласности, ведет к снижению оборота и числа заказчиков на 8%. На ту же самую величину снижается и капитализация компании. Всего же в США происходит около 280 таких утечек в год.

Как показало исследование, проведенное в Германии, утечка данных по вине конкурентов или иностранных спецслужб в этой стране имела место в 20% компаний. Ущерб составил около 2,8 млрд. евро, хотя многие эксперты полагают, что эти данные сильно занижены. Тем более, что далеко не в каждом случае пострадавшие обращаются в правоохранительные органы или хотя бы в консалтинговые компании, которые оценивают ущерб. Видимо, их менеджеры полагают, что разглашение такого рода фактов будет иметь худшие последствия. Обычно жертвами промышленных шпионов становятся машиностроительные предприятия. При этом интерес вызывают не только данные НИОКР, но и сведения о поставщиках и заказчиках.

Наблюдается устойчивый рост потерь информации, который составляет в среднем 10% в год. При этом в 15% случаев сведения добывались хакерскими инструментами, в 20% — через сотрудников, в остальных применялись средства из арсенала спецслужб (подслушивающие устройства, скрытые камеры, возможности социальной инженерии и т. д.). Из внутренних источников виновниками утечки наиболее часто оказывались секретари и делопроизводители (31,3% случаев), производственный персонал (почти 23%) и менеджеры (17,1%). Секретари и делопроизводители по уровню информированности мало уступают менеджерам, но их «услуги» обходятся существенно дешевле. Хотя одна из самаыхгромких утечек информации все же произошла через производственный персонал, когда механик команды Ferrari на гонках «Формлы-1» передал компании McLaren-Mercedes техническую документацию, в результате чего та была оштрафована на 100 млн. евро. Как правило, основными мотивами являются корыстные интересы либо желание отомстить, например, за наложенное взыскание или обход в продвижении по службе.

Несколько приоткрытыми оказались цифры возможного ущерба и применительно к условиям России. Так, например, крупный банк оценил стоимость реестра шестидесяти надежных заемщиков в 900 млн. руб. Список из тысячи физических лиц, проверенных службой безопасности розничного банка, обошелся бы в 500 млн. руб. Требования закупочной комиссии нефтяной компании стоят около 7 млн. руб. Информация, которая привела бы к проигрышу тендера для системного интегратора, была оценена в 15 млн. руб. Впрочем, эти данные приводил один из вендоров, предлагающий весьма широкий спектр технологических средств защиты от утечек информации, так что они вполне могут быть и завышены.

Тема утечек в текущем году весьма часто поднималась применительно к сфере, связанной с передачей больших объемов информации на материальных носителях. При этом совсем не обязательно, что был какой-то формальный повод говорить о такой проблеме, скорее даже наоборот, закрывалась потенциальная брешь. Так, например, была утверждена спецификация LTO 4 для ленточных библиотек, где одним из нововведений стало шифрование данных на лету без существенных потерь для производительности. В результате получить к ним доступ потенциальному злоумышленнику будет сложнее, чем раньше. Вполне возможно, что это обстоятельство будет способствовать ускорению смены поколений ленточных накопителей.

Не раз поднималась тема беспечности при уничтожении информации, хранившейся на жестких дисках компьютеров, которые выходят из эксплуатации. В той же Британии, как показало исследование, проведенное летом — осенью этого года, на 37% жестких дисков ПК и ноутбуков, поступающих на вторичный рынок, удается практически полностью восстановить документы, архивы электронной почты и адресные книги, не говоря уже о паролях на доступ к различным корпоративным ресурсам, к данным кредитных карт и прочей конфиденциальной информации прежних владельцев. Впрочем, этот показатель все же оказался заметно ниже, чем три года назад, когда он составлял почти 50%.

Потенциально слабым звеном в ближайшем будущем может стать внедрение технологий SOA/SaaS и Web 2.0. Защите информации в используемых там протоколах разработчики до сих пор не уделяют должного внимания, несмотря на то что экспертное сообщество уже довольно давно указывает на огромное количество уязвимостей. А о них хорошо известно, в том числе и злоумышленникам, которые, естественно, начнут их использовать по мере того, как эти технологии найдут применение на сколько-нибудь значимых участках.