Спама, вирусов и утечек информации будет больше

Вредоносное ПО

В данной сфере тенденция к коммерциализации проявиласьнаиболее ярко. Как отмечают все антивирусные лаборатории, не было ни однойвирусной атаки, за которой не стоял бы чей-то коммерческий интерес. А в 2006году «хулиганские» вредоносы еще встречались,например, «червь» Nyxem.E, который удалял данные назараженных компьютерах. А зловреды 2007 года былинаправлены на кражи информации или создание ботнетов.При этом сохранялась тенденция прошлых лет к переходу от глобальных эпидемий клокальным, которые охватывают отдельные страны или группы стран.

Новым явлением в 2007 году стало создание вредоносныхпрограмм на заказ с оказанием технической поддержки заказчикам. Специалисты«Лаборатории Касперского» приводят по крайней мере двапримера подобного рода вредоносов: Pinch и Fujack, авторы и наиболееактивные потребители которых были арестованы в 2007году соответственно российскими и китайскими спецслужбами.

При этом Fujack относился котносительно новому классу игровых троянцев, направленных на кражу данныхпользователей онлайновых игр. Этот класс активно рос количественно и обогнал раннее доминировавших троянцев-банкеров,направленных на кражу данных банковских счетов. Однако целевыеаудитории банкеров и игровых троянцев непересекаются, так что подобный перевес может быть временным явлением. Крометого, для кражи данных о банковских счетах все активнее используются фишинг и фарминг.

Характерным явлением для 2007 года стали массовые взломысайтов с последующим размещением на них вредоносных программ или ссылок на зараженные сайты. Так, в июне на около 10000 итальянских сайтов был размещен набор эксплойтовMpack. Самый массовый взлом был зафиксирован в конце2007 года, когда на более чем 70000 сайтах в разных странах мира был обнаружензагрузчик, устанавливающий «игрового» троянца.

Еще одной тенденцией 2007 стало массовое использование DDOSатак, причем не только для прямого вымогательства денег, но и как инструмента вконкурентной и политической борьбе. Специалисты «Лаборатории Касперского» такжеобнаружили новый тип ботнетов, ориентированный навысокопроизводительные вычисления, например, с целью подбора паролей или длярасшифровки перехваченного трафика. Также DDOS атакииспользовались и вирусописателями для борьбы сразработчиками антивирусного ПО при попытке анализа кода ряда вредоносов, в частности, некоторых штаммов Zhelatin.

Также в 2007 году отмечался значительный рост числа новых вредоносов, особенно троянцев (рис. 1). Врезультате специалисты «Лаборатории Касперского» внесли в обновления базстолько же зловредов, сколько за предшествующие 15лет.

На 2007 год пришлось возвращение классических вирусов -- файловых, загрузочных, файлово-загрузочных.Количество такого рода вредоносов выросла на 389,6%,в то время как в 2006 году их число снизилось почти на треть. Это вызываеттревогу у аналитиков. Например, Александр Гостев,ведущий антивирусный аналитик «Лаборатории Касперского» так прокомментировалданную тенденцию: «Возвращение вирусов весьма тревожно – их удаление изпораженных систем является более сложной задачей, чем удаление троянскихпрограмм. Кроме того, многие популярные антивирусы, хорошо себязарекомендовавшие в детектировании обычных вредоносных программ, зачастуюпоказывают весьма скромные результаты в обнаружении сложных полиморфныхвирусов. Это может привести к значительным проблемам в ближайшем будущем,поскольку вирусописатели уже обратили свое вниманиена эту особенность». Тем более, что вирусныетехнологии активно используют и авторы троянских программ, чтобы затруднитьдетектирование и использовать новые каналы распространения, в частности, черезсменные носители, мультимедийные плееры и т.д.Стабильные показатели демонстрируют и почтовые «черви». Их численностьподдерживают 3 основных семейства: Warezov, Zhelatin и Bagle. При этом Zhelatin, или Storm Worm, многие называют «вирусом года». Как заметил АлександрГостев, в нем оказались реализованы практически вседостижения вирусописательской мысли последних лет: руткит-технологии, обфускация(замусоривание кода), ботнеты, защищающие себя отанализа и исследования, взаимодействие между зараженными компьютерами через пиринговые сети, без единого управляющего центра. Дляраспространения червь использовал все существующие возможности: кактрадиционные (электронная почта, системы мгновенного обмена сообщениями), так исервисы Web 2.0 (блоги,форумы, RSS). Кроме того, злоумышленники распространяли вирус под видом видео-файлов.

Вместе с тем, не сбылся прогноз, согласно которому следовалоожидать увеличения числа троянцев-шифровальщиков и преступного бизнеса,связанного с вымогательством денежных средств у пострадавших частных лиц икомпаний. Зато для вымогательства активно использовались лже-антивирусы,которые якобы находили вредоносные программы, за избавление от которых авторытребовали выплаты денежных средств. При этом часто еще и нарушалась нормальнаяработа компьютера.

Также слабое распространение MicrosoftWindows Vista неспособствовало появлению специфичных для нее вредоносов. Не слишком быстро росло количество зловредов и для альтернативных систем. Вместе с тем, дляпреодоления барьеров между разными программно-аппаратными платформами будутиспользоваться средства Web 2.0, а также технологии фишинга и фарминга.Злоумышленники все активнее будут использовать социальные сети, в том числе сиспользованием методов социальной инженерии. Целью также будет получение и сборприватных данных, а также просто кража аккаунтов исоздание их баз для атак, проводимых традиционными способами. Естественно, этовозможно при условии, что социальные сети будут сохранять свою популярность.Еще одной потенциальной угрозой являются атаки на мобильные устройства. Так, наконференции IDC Security Roadshow2008 демонстрировалось использование троянских программ для смартфонови коммуникаторов на базе ОС Symbian, с помощьюкоторых можно перехватывать SMS сообщения и прослушивать телефонные переговорына зараженном устройстве, что, естественно, дает массу возможностейзлоумышленниками. Причем заражение не представляет никаких сложностей,необходимо всего лишь подойти к жертве на расстояние, достаточное для передачипрограммы по Bluetoth. Как и сама программа, которуюможно найти на специализированных сайтах. Как отмечаетАлександр Гостев, уже сейчас есть техническиепредпосылки для возникновения глобальной эпидемии, хотя ее возникновение этотаналитик пока считает маловероятным. Тем более, чтоконсолидацию рынка нарушило появление двух перспективных игроков – Apple iPhone и Google Android. Это отсрочивает массовое появление вредоносов, но не снимает проблемы, связанные суязвимостями.

Спам

К сожалению, спама в 2007 году нестало меньше. Скорее, даже наоборот, доля «мусорной» почты растет. Так, пооценке ведущего спам-аналитика «ЛабораторииКасперского» Дарьи Гудковой составила в среднем 79,2%. За первые месяцытекущего года этот показатель вырос до 88%. Наблюдается также заметноевыравнивание доли спама в общем объеме сообщений,хотя сезонные различия по-прежнему заметны.

В самом начале 2007 года вступил в действие «Закон оперсональных данных», который прямо требует прямого согласия потенциальногополучателя на прием рекламных и агитационных рассылок. Раннееаналогичная норма была установлена законом «О рекламе», но под него подпадалитолько коммерческие рассылки. На эти нормы возлагались большие надежды,однако обе эти нормы, по большому счету, не работают. Также не внесенысоответствующие изменения в уголовное законодательство. В результате, какотметил на конференции IDC Security Roadshow 2008 сотрудник Управления КМВД РФ Александр Иванов, очень трудно предъявлять обвинения злостнымнарушителям этого Закона, в частности, распространителям всевозможных базданных, если продажа происходит через интернет, в томчисле и по электронной почте. Много неясностей и в той части, которая относитсяк продвижении легальныхтоваров и услуг, а также к политической агитации. Слаба и информированностьпотенциальных пользователей такого рода «услуг». Они, как правило, даже неподозревают о том, что совершают что-то противозаконное. Наиболее показателенздесь случай с активистами по крайней мере трехпартий, которые накануне думских выборов массово рассылали свои агитматериалы.Плохо отработана и борьба с ботнетами. В принципе,как отметил Александр Иванов, их использование подпадает под статьи 272 и 273УК РФ, но собирать доказательную базу по ним чрезвычайно сложно, так кактребуется получить заявление от владельцев зараженных компьютеров, которыхмогут быть многие тысячи. На Западе же сам факт создания зомби-сети частоявляется составом тяжкого преступления.

Продолжались (и будут продолжаться) и всевозможные изыски,призванные обойти почтовые фильтры. Это выражалось, прежде всего, в том, чтоиспользовались нестандартные форматы. Сначала это был AdobeAcrobat, причем не только привычный PDF, но и неслишком часто используемый Acrobat Forms FDF. Доля такого рода писем достигала 10% в общемобъеме, но через 2 месяца сошла на нет, посколькуфильтры довольно оперативно «научились» их выявлять. Затем сообщение сталиупаковывать архиваторами Zip или RAR, но такимобразом часто рассылаются вирусы и такие сообщения пользователи просто удаляют,не читая. По той же причине оказались безуспешными попытки использованиявложений в формате приложений Microsoft Office. Осенью имели место рассылки использования даже аудиоформатов, в частности, MP3. Однако они также недостигли цели. Новым словом в текущем году стало использование служебных HTMLтегов.

При этом доля традиционного графического спаманеуклонно уменьшалась – с 32% в начале года до 14% в декабре. Вместо вложениякартинок в тело писем спамеры начали выкладыватьссылки на них в Web. Особенно активно использовалитакой подход распространители всевозможной фармацевтической продукции. Однако в2008 году она вновь стала расти, достигнув в марте 28%.

Новым словом спамерских технологийстали также так называемые «быстрые рассылки», когда письма достигали миллионаадресов за десятки минут, а на за несколько суток, какраньше. Как отмечают эксперты, этого удалось добиться как за счет расширениямасштаба ботнетов, так и вследствиеусовершенствования используемого ПО. При этом, помимо ускорения рассылок, с ними намного сложнеебороться. Тем не менее, основным поставщикам антиспам-фильтровудалось создать средства, противостоящие такого рода средствам. Еще однойтенденцией 2007 года стало широкое использование социальных сетей. Технологияпри этом используется та же, что и несколько лет назад, когда спамеры активно применяли в своих целях сообщения с Web форумов. И масштабы их использования будут расти,причем не только для рассылки спама, но и дляраспространения вредоносного ПО. И, как отмечаютэксперты, в частности, Дарья Гудкова, масштабы использования социальных сетейбудут расти. Естественно, при условии, что сохранится интерес к ним со стороныпользователей.

Отмечается значительная активизация фишинга,причем происходит это на фоне заметного снижения количества других формсетевого мошенничества («нигерийские письма», поддельные сообщения о выигрыше влотерею и т.д.). Ушедший 2007 год можно даже считать датой рождениярусскоязычного фишинга. Зафиксировано как минимум тримассовых атаки на пользователей почтовых служб и онлайновых платежных систем.Причем количество атак растет очень быстро, как и профессионализм фишеров. Отличить мошенническое сообщение или сайт от легитимного стало сложно даже профессионалам. Это объясняети заметный рост значимости данной проблемы. По результатам опроса,проводимого компанией InfoWatch мошенничествооказалось на втором месте после утечек информации с 50% голосовопрошенных против 30% в 2006 г. (рис. 2).

Однако этим криминальный спам не ограничивается. Он используется злоумышленниками дляраспространения вредоносных программ, а также для рекламы таких специфичныхуслуг как организация DDOS-атак, продажа ПО по рассылке спамаи баз с конфиденциальными данными. Новым словом стало использование спама в качестве средства «черного» PR. Такие случаиотмечались и в 2007 году, особенно в период предвыборнойкомпании. В текущем году были проведены атаки на газету «Коммерсант» истраховую компанию SB-GARANT. Существенно усиливается таргетинг:использование целевых рассылок, ориентированных на определеннуюаудиторию. Причем это относится не только к русскоязычномуспаму.

Одним из самых важных, хотя и не слишком приятных итогов2007 года стало и то, что Россия, наряду с США и Польшей, стала одним изосновных мировых центров рассылки спама. Это произошловследствие роста пользователей интернет, в том числеширокополосного, с одной стороны при слабом уровне соблюдения норминформационной безопасности – с другой. В результате количество компьютеров (втом числе корпоративных), входящих в ботнеты, росло ипродолжает расти.

Утечки информации

В ушедшем 2007 году проблема утечек информации продолжаласохранять актуальность. Достоянием гласности стало не менее 500 инцидентов. Приэтом, по данным Attrtion.org, утеряно 162 млн.записей. Стоимость каждой утеряной записи составила,по данным института Ponemon, 197 долл. Стоитотметить, что это значение почти удвоилось по сравнению с 2006 годом. Прямойущерб от утечек информации в мировом масштабе составил 58 млрд. долл., и это невключая потери от утрат данных НИОКР и ноу-хау. Средний ущерб пострадавшейкомпании, по оценке Ponemon, составил 6,3 млн. долл.Рост убытков компаний в результате утечек и краж данных составил 30%.

Крупнейшей утечкой стала кража данных о клиентахамериканской розничной сети TJX, которая затронула 94 млн. чел. в США и Канаде. О ней сталоизвестно в декабре 2007 г.Однако ущерб не подсчитан до сих пор, и только затраты на информирование всехпострадавших измеряются сотнями миллионов долларов. Тем более,что хакеры, укравшие эту информацию, активно продавали ее третьим лицам. Каковыже будут потери от оттока клиентов, а также выплаты по искам от пострадавшихчастных лиц и банков, которые будут неизбежно, остается только догадываться.Причиной ее стала халатность персонала, в результате чего беспроводное сетевоеоборудование не было защищено должным образом. Этим и воспользовалисьзлоумышленники, проникшие в корпоративную сеть через одну из точек доступа. Врезультате хакерской атаки были похищены также личные данные о 6 миллионахграждан Чили. В этом случае никаких явных корыстных мотивов не было. Раньшенаиболее масштабные утечки, касающиеся большого количества людей, обычно былиобусловлены кражей оборудования или утерей носителей информации, чаще всего повине третьих лиц или компаний.

Данные инциденты вновь ставят вопрос о должном исполнениисвоих обязанностей и квалификации персонала. Халатность и несоблюдениеэлементарных норм информационной безопасности, а не «дыры» в оборудовании и ПО являются основной причинойутечек, что еще раз доказывает то, что обеспечение защиты от утечек и кражинформации – задача в основном организационная, а не технологическая. Это вравной степени относится и к России, где, по данным опроса, проведенногокомпанией InfoWatch, лишь 29% утечек информациипроизошли по злому умыслу, в то время как оставшиеся 71% являются случайными.

Вместе с тем, по данным Института компьютерной безопасности(CSI), 40% компаний используют хакерские средства или нанимают такого родаспециалистов для сбора информации о конкурентах. Применяют подобного родасредства и спецслужбы, очередным примером чему стала операция налоговоговедомства ФРГ. Сведения о гражданах Германии, которые хранили свои средства вбанках Лихтенштейна с целью уклонения от уплаты налогов, были куплены у одногоиз служащих. Однако эта акция стала достоянием гласности, поскольку интересыдвух государств вошли в явное противоречие, но основная их часть, по понятнымпричинам, остается неизвестными.

В России столь подробной статистики по утечкам информации неведется, также крайне высока латентность. Если за рубежом любая информация обутечках должна быть обнародована, то у нас такого рода нормативы отсутствуют.Но данная проблема также крайне актуальна. Нарушение конфиденциальностиинформации, как показывают опросы, ежегодно проводимые компанией InfoWatch, уже не первый год является главной угрозой (рис.2). Также с 20% в 2006 году до 35% в 2007 выросли опасения, связанные с утерейинформации. В 93% случаев объектом утечек являлись персональные данные, в 6% --коммерческие секреты и ноу-хау.

Основным каналом утечки, согласно опросу, проводимому InfoWatch, являются мобильные накопители, Интернет (почта сWeb интерфейсом, форумы, блоги,социальные сети и др.) и интернет-пейджеры (рис. 3).На втором месте – электронная почта, хотя ее доля несколько упала. Активноиспользовались злоумышленниками также средства печати и копирования, а также фотопринадлежности, причем их доля росла. Особенно быстрымитемпами увеличивалось применение последних – вдвое посравнению с 2006 годом. Растет также доля прочих средств, в частности,факсимильной связи.

В отличие от остального мира, где утечкиинформации обычно допускают государственные органы и учреждения общественногосектора (образовательные, медицинские и т.д.), в России наибольшее количествоутечек приходится на коммерческий сектор – 58%. Во всем мире этот показательненамного превышает 20%. Вместе с тем, по мере компьютеризации муниципальныхорганов власти, учреждений образования и здравоохранения картина будетменяться. Тем более, что случаи утечекинформации в образовательной сфере, связанные с появлением в интернете результатов ЕГЭ до проведения экзамена, былизафиксированы в 2007 году сразу в нескольких российских регионах, что вызвалодовольно широкий резонанс. Также специалисты InfoWatchуказывают на такие проблемы образовательного сектора, как низкий уровеньквалификации и дисциплинированности сотрудников, а также отсутствие мотивации ксохранению персональных данных. Тем более, чтокоммерческие компании и госорганы активно внедряют системы защиты, и их доля вобщем объеме падает. Особенно большого прогресса удалось добиться в госсекторе,чья доля в общем объеме утечек снизилась с 34% до 22%.

В целом же прогнозы неутешительны: количество утечек, как инанесенный ими ущерб, будут только расти. И это в равной степени относится кситуации как в мире в целом, так и в России.

Источник Intelligent Enterprise http://www.iemag.ru/articles/detail.php?ID=6944