Основные угрозы в области информационной безопасности Итоги 2009 года

Тенденции в области угроз информационной безопасности в 2009г. были связаны с тем, что вектор атак стал перемещаться из развитых стран в развивающиеся, включая и Россию. Это относится как к источникам угроз, так и к тем, против кого они направлены. С одной стороны, здесь сказывается влияние кризиса. Невостребованных ИТ‑специалистов оказалось довольно много, а защите информации в «третьем мире» уделяется меньше внимания. При этом угрозы направлены по большей части против корпоративного сектора. Кроме того, использование ИТ‑средств для всяческой противозаконной активности стало намного более массовым, поскольку появились инструменты, использование которых под силу даже не слишком опытным пользователям ПК.

Вредоносное ПО

В 2009г. в целом сохранились тенденции, проявившиеся в 2008г. и ранее. Главная из них — коммерциализация действий злоумышленников. Вирусы и троянцы служат средством для извлечения прибыли, будь то кражи информации, рассылка спама, атаки на те или иные ресурсы, а также просто вымогательства денег. Обороты этой теневой индустрии и не думают снижаться. Вредоносных программ по‑прежнему становилось все больше, но, как считают в «Лаборатории Касперского», темпы прироста, многократно выросшие в 2008г., снизились. Тем не менее, по данным Symantec, количество вредоносных программ выросло на 71%. Столь значительные расхождения вызваны существенными различиями в методике учета вредоносов.

Но при этом вредоносный код существенно усложнился. Сейчас все чаще используются руткит-технологии. Это является продолжением тенденции 2008г., когда вирусописатели стали активно использовать, казалось бы, давно забытые технологии создания традиционных вирусов. Причем антивирусная индустрия оказалась к этому не готова.

«Вирусом года», по данным «Лаборатории Касперского», стал червь Conficker (он же Kido, он же Downadup). Он использовал несколько способов проникновения: подбор паролей к сетевым ресурсам, распространение через сменные носители, использование уязвимостей в системе. При этом каждый зараженный компьютер становился частью зомби‑сети. Борьба с созданным ботнетом осложнялась тем, что вредонос противодействует обновлению программ защиты, отключает службы безопасности, блокирует доступ к сайтам антивирусных компаний. В результате количество зараженных систем превысило 7 млн, эпидемия этого вируса длилась весь 2009г.

Эпидемия Conficker не была единственной. Волну заражений вызвали в разное время такие вредоносы, как TDSS, Clampi, Sinowal и целый ряд других. Новым словом в вирусописательстве стало появление поддельных антивирусов, которые вымогают деньги за удаление якобы обнаруженных вредоносных программ. Специфичным для России стало появление вредоносов, которые использовались для мошенничеств с платными SMS на короткие номера.

При этом обычными компьютерами дело не ограничилось. Были зафиксированы случаи заражения сетей банкоматов. Целью авторов вредоносов стала кража информации о карточных транзакциях, своего рода программный скиминг. Появились троянские программы для iPhone, хотя опасности заражения подвержены только аппараты со снятой блокировкой. Также, по мнению «Лаборатории Касперского», потенциально проблемными следует считать такие мобильные платформы, как Android и Symbian. Для них уже обнаружены вредоносные программы. Причина тому — ПО не контролируется сторонними разработчиками, причем Google и Symbian-консорциум не предпринимают действенных мер.

При этом, хотя сами вредоносные программы существенно усложнились, процедуры их использования, наоборот, упростились. Теперь часто создание вредоносов с заданными свойствами, заражение ими и управление зараженными системами происходит из единого комплекса. Причем использовать эти средства сможет и пользователь даже относительно невысокой квалификации. Предоставляются и услуги по технической поддержке, в том числе по обновлению вредоносного кода, с тем чтобы затруднить его детектирование. Примерами таких комплексов могут служить Zeus и Gumblar. Обратной стороной коммерциализации стало развитие конкуренции между создателями разных продуктов. К примеру, уже упомянутый Zeus удаляет модули вредоносов, которые созданы конкурирующими теневыми разработчиками.

Повлиял на вирусописателей и кризис — правда, несколько парадоксальным образом. Неурядицы в экономике привели к снижению популярности онлайновых игр, в результате чего соответствующие троянцы, направленные на кражу данных об игровых аккаунтах, стали существенно менее активны.

Основным каналом заражения остается Интернет. При этом вредоносы распространялись отнюдь не только через ресурсы с порнографией, нелицензионным ПО и медиаконтентом, но и через вполне уважаемые корпоративные и новостные сайты. Уже упомянутые Zeus, Gumblar и их аналоги массово заражали Web-узлы в разных странах.

При этом от эксплуатации уязвимостей в Web-браузерах авторы вредоносов перешли к использованию «дыр» в Java и Flash. Это также во многом связано с независимостью этих технологий от платформы и браузера. Кроме того, вирусописатели весьма активно осваивали технологии работы с PDF-файлами и приложениями, которые его поддерживают, в том числе и альтернативные продукции Adobe. По мнению «Лаборатории Касперского», в 2010г. вектор активности будет смещаться в сторону файлообменных сервисов.

В мировом масштабе происходит существенное перераспределение вирусной активности. Из развитых стран она перемещается в развивающиеся. Наибольший «прогресс» в этом отношении продемонстрировали Бразилия, Индия, Россия и Южная Корея. При этом Россия и Бразилия, по данным Symantec, вошли в первую десятку стран с наиболее высокой вирусной активностью. А по сведениям «Лаборатории Касперского», россий­ский сегмент Интернета оказался третьим по количеству зараженных сайтов.

Спам и фишинг

В 2009г. в мире, по данным Symantec, на долю спама приходилось 88% всех сообщений, полученных по электронной почте. В России, по данным «Лаборатории Касперского», эта доля была немного ниже: 85,2%. Но в целом, несмотря на кризис, меньше спама не стало.

Однако тематика писем менялась. Так, по наблюдениям «Лаборатории Касперского», до мая количество рассылок с рекламой товаров и услуг неуклонно снижалось, что компенсировалось саморекламой услуг спамеров. Однако уже к осени все вернулось на докризисный уровень. В мире же, по данным Symantec, наблюдается значительный рост рассылок так называемых «нигерийских писем».

Новым словом в спамерских технологиях стало использование в сообщениях ссылок на ролики, выложенные на Youtube. В России и Украине участились случаи использования спама в SMS-мошенничестве, когда жертв вынуждают отправлять платные сообщения на короткие номера. Как подчеркивают аналитики «Лаборатории Касперского», это связано с тем, что аренда таких номеров излишне упрощена.

Как и в 2008г., спамеры активно эксплуатировали популярность социальных сетей. Вот как об этом сказано в «Отчете по спаму за 2009г.», подготовленном «Лабораторией Касперского»: «Подделки под уведомления от социальных сетей, фишинговые атаки на их пользователей и рассылка вирусов в подложных письмах от имени популярных сервисов стали настоящим бедствием современного Интернета. В этом году основными мишенями злоумышленников стали порталы Facebook и Twitter». В России было заражено 0,85% электронных писем, что соответствует уровню 2008г. Наиболее «популярна» была троянская программа Zbot. На втором месте оказались поддельные антивирусы, вымогающие у жертв деньги за удаление якобы обнаруженных вредоносов.

Доля фишинговых писем в России, по данным «Лаборатории Касперского», снизилась до 0,86% против 1,32% в 2008г. Это связывается с ростом внимательности пользователей, а также с появлением антифишинговых инструментов в основных Web-бразуерах, что привело к снижению прибылей злоумышленников. Чаще всего атаковали пользователей платежной системы PayPal, интернет-аукциона eBay, а также игры World of Warcraft. Вместе с тем по мере роста популярности интернет-банкинга в России, а также роста интереса к онлайн-играм, который упал в кризис, количество таких атак будет расти, так что расслабляться не стоит.

Вместе с тем в мире, по данным Symantec, доля фишинговых сообщений была существенно выше. Выросло на 10% и количество фишинговых хостов, составив немногим менее 60 тыс. Основной целью фишинга были предприятия финансового сектора. При этом фишинговые атаки усложняются. Так, на пять наиболее распространенных сценариев приходится 23% атак, в то время как, например, в 2006г. для 64% атак использовалось лишь три сценария.

Утечки информации

Данный сегмент претерпел наиболее значительные изменения, связанные с появлением готовых инструментов, доступных для использования большими массами злоумышленников, к примеру, уже упомянутый выше Zeus. В результате, по оценкам Symantec, большая часть утечек — 60% — произошла в результате взлома извне. Раньше основным источником проблем были внутренние злоумышленники (инсайдеры), на которых в докризисное время приходилось до 80% случаев, связанных с утечкой данных. Играет свою роль и то, что в корпоративной среде также распространено использование слабых паролей, которые очень легко определить обычным перебором. Тем более что эти списки этих паролей хорошо известны.

Также, по оценке Infowatch, продолжает расти доля умышленных утечек. На них пришелся 51% от общего числа инцидентов, в то время как в 2008г. это число составляло 45,5%. Это авторы исследования связывают с эффектом от внедрения средств класса DLP, весьма эффективных против целого ряда типов случайных утечек. Это косвенно подтверждается тем фактом, что существенно увеличился удельный вес утечек, которые DLP‑система не может предотвратить в принципе. Это касается, к примеру, утечек, связанных с потерей или кражей бумажных носителей, а также архивных копий. А вот доля утечек по такому каналу, как электронная почта, упала до 5%, и есть тенденция к еще большему сокращению. Напомним, что еще несколько лет назад именно через электронную почту происходила большая часть утечек.

Также поражает беспечность в том, что касается защиты информации. Это лишний раз подтверждается тем фактом, что крупнейшей утечкой 2009г. стала допущенная Национальным архивным агентством США. Его сотрудники отправили в ремонт сервер, не удалив с него информацию. А на нем хранилась база данных, где были собраны сведения о 76 млн человек. И в целом авторы исследования Infowatch обращают внимания на возможность утечки информации через украденный ПК, особенно мобильный. Количество их потерь и краж измеряется миллионами по всему миру, и Россия не исключение. Таким образом может уйти весьма чувствительная информация, стоимость которой многократно превысит цену компьютера.

Особенным спросом пользовались персональные данные. Их легко украсть, и при этом столь же легко обратить в денежную форму. Тем более что наибольший успех, как показал том 15 отчета Symantec по Web-угрозам, имела финансовая информация: данные о кредитных картах, реквизиты банковских счетов, дампы кредитных карт, идентификационная информация к аккаунтам различных платежных систем, а также то, что на Западе подпадает под определение «кража личности». На них пришлось 52% всех утечек данных. Так что не случайно 60% от общего ущерба от утечек приходится на финансовый сектор.

При этом по количеству нарушений в области защиты информации в мире лидирует сфера образования. На нее, по данным Symantec, приходится 20% случаев. На втором месте здравоохранение — 15%. Ненамного от нее отстали с 13% государственные и муниципальные учреждения. Это связано с недостаточным финансированием мер по защите информации в этих секторах, что усугубляется низким уровнем квалификации и дисциплины пользователей.

Активность мошенников явно возросла

Дмитрий Бурлаков,
ведущий системный аналитик отдела ИБ, компания «Открытые технологии»

Безусловно, кризис в 2009г. оказал сильное влияние на формирование угроз информационной безопасности. В несколько раз увеличилось количество безработных, при этом зачастую увольнение происходило без соблюдения прав трудящихся. В результате таких действий значительно выросло количество недовольных сотрудников. Внедрение DLP-решений, конечно, в какой‑то мере скомпенсировало успешно реализованные попытки утечки информации, но все же не настолько, насколько это было необходимо. Стоит еще отметить, что компаниям невыгодно рассказывать о фактах кражи информации, поскольку это сильно портит деловую репутацию. Только в случае, если об утечке информации становится известно общественности, компании ничего не остается, как признать данный факт. Поэтому 2009г. будет еще долго всплывать в обзорах аналитических агентств как год, в котором произошло значительное количество утечек информации.

Действительно, в 2009г. значительно возросла активность спамеров и фишеров. Но если раньше значительную долю сообщений составляла реклама товаров, то в 2009г. (особенно в начале его) много писем в российской части сети Интернет было посвящено рекламе услуг по обучению антикризисному управлению, «правильному» увольнению сотрудников, сокращению издержек предприятия и т.п. Сильно выросла активность мошенников, использующих телефонные SMS‑сообщения. Наверняка каждый может вспомнить случаи, когда ему или родственникам приходило подобное сообщение: «Мама, у меня проблемы. Срочно положи 600руб. на номер ххх. Мне не звони. Потом перезвоню». Огромную популярность приобрела рассылка фишинговых писем от якобы социальных сетей. Например, в теле сообщения содержится предложение «стать другом», стилистически оформленное, как в подделываемой социальной сети. Но в качестве ссылки указывается vkonitakte.ru, odnoklassiniki.ru и другие адреса, похожие на настоящие, но с разницей в одну-две буквы. Развиваются и так называемые пассивные формы фишинга, когда, например, в сервисе обмена мгновенными сообщениями приходит сообщение или запрос на авторизацию от человека, при просмотре личной информации которого обнаруживается вышеупомянутая ссылка.

Что касается вирусной активности, для 2009г., наверное, характерна активизация вирусов, использующих технологии Flash и Java.

Инфраструктура ИБ должна быть интеллектуальной

Аркадий Прокудин,
ведущий эксперт центра компетенции информационной безопасности компании «АйТи»

В прошлом году вредоносное программное обеспечение в полной мере продемонстрировало возможность осуществлять свои действия, используя множественные варианты проникновения и заражения корпоративных систем. Применялись и подбор паролей к ресурсам, и спам-рассылки с использованием социальной инженерии, и ошибки в браузерах пользователей, и многое другое. Естественно, что «искусство» написания программных продуктов, способных распространяться паразитным образом, не стоит на месте и постоянно совершенствуется.

Инфраструктура информационной безопасности в организации должна работать интеллектуально, самостоятельно адаптироваться под новые ухищрения и выдумки мастеров «темной стороны» компьютерного искусства.

Говоря об усложнении алгоритмов работы современных «вредоносов», следует понимать, что основная проблема систем защиты информации заключается в отсутствии комплексного подхода при их построении. Именно хаотический и точечный подход к построению систем информационной безопасности — первый толчок к появлению в организации вредоносного программного обеспечения, утечек информации и прочих проблем, связанных с сохранностью и целостностью данных.

Эпидемию того же вируса Kido часть наших заказчиков смогла ликвидировать в течение нескольких дней с помощью внедренной ранее системы мониторинга сетевой активности. Система мониторинга зафиксировала появление нового типа трафика, не характерного для данного участка сети. Подозрительный трафик генерировался группой персональных компьютеров, на которых активно использовались внешние накопители. Эти станции были незамедлительно выведены из общей сети в карантин для проведения аналитической работы и поиска причин генерации подозрительного трафика. Далее, после выяснения причины, вредоносное программное обеспечение было удалено и тем самым устранена уязвимость в системе. Эпидемии удалось избежать, поскольку меры были предприняты своевременно.

Напомним, что большинство антивирусных систем не могли обнаружить эту угрозу еще долгое время. И если в организации все надежды возлагались на качественную антивирусную защиту, то тут она спасовала.

Вышесказанное еще раз подтверждает: комплексный подход к решению вопросов информационной безопасности в организации — необходимое на сегодня условие для успешного ведения бизнеса.