Вводное замечание. В 2005 году ФБР (США) оценило ущерб от вирусов, сетевых вторжений, краж информации и других аналогичных инцидентов в сфере бизнеса на уровне 67,2 миллиарда долларов. В настоящее время ФБР США рассматривает киберпреступность среди наиболее приоритетных задач, сразу после терроризма и шпионажа.
Рассмотренный период характеризуется ростом воровства информации и утечками критических данных. Вместо использования серьезных уязвимостей для прямых атак хакеры предпочитали менее значительные уязвимости в приложениях, таких, например, как WEB-броузеры. Уязвимости используются не как средства немедленного вторжения, а как базу для последующих разрушительных атак.
Наиболее значительный рост наблюдается по фишингу, спаму, bot-атакам, троянским коням и угрозам “нулевого дня”. Наблюдается кооперация отдельных атакеров, постепенно формируется всемирная сеть скоординированной криминальной активности.
Например, целевой вредоносный код может использовать возможности WEB-технологии и особенности каких-то приложений, чтобы инсталлировать программу, обеспечивающую несанкционированный доступ к машине (“черный ход”), после чего в машину загружается bot-код. Далее такой компьютер может использоваться для рассылки SPAM, фишинга и других атак. Сети таких машин могут охватывать весь мир и поддерживать дальнейший свой рост и расширение.
Компания Symantec владеет широкой сетью для регистрации атак. Эта сеть поддерживает около 40000 датчиков системы мониторирования атак, разбросанных по 160 странам. Кроме того, Symantec собрала уведомления о вредоносных кодах spyware и adware, присланных от 120 миллионов клиентов, серверов и сетевых шлюзов, которые используют антивирусные программы Symantec. Компания владеет базой данных, где собрана информация о 20000 уязвимостях за последние более чем десять лет.
Компания имеет около двух миллионов аккоунтов, которые используются для регистрации активности в сфере SPAM и фишинга (область охвата составляет более чем 20 различных стран). Данный доклад основан на анализе экспертов всех перечисленных источников данных.
По данным Black Diamand с мая по декабрь 2006 абсолютный объем SPAM увеличился на 100% и составляет 85% всего объема почты.
Появился новый вид SPAM, который рассылается с помощью техники IM (сообщения реального времени), который даже получил свое имя - SPIM.
Компания Symantec проанализировала вредоносную сетевую активность в разных странах. Абсолютным лидером по большинству видов вредоносной активности лидирует США. США уступают первенство только по числу машин, зараженных bot-кодами. Следует иметь в виду, что 19% пользователей Интернет живут в США. Кроме того, число широко известных пользователей Интернет выросло за отчетный период на 14%. Symantec предсказывает, что США сохранит первенство по вредоносной сетевой активности до тех пор, пока другие страны не превзойдут США по числу пользователей и по широкополосности каналов. Китай занимает второе место, создавая 10% вредоносной активности в мире.
Таблица 1. Вредоносная сетевая активность в различных странах
| № | Страна | Доля % | Ранг вредо-носных кодов | Ранг SPAM-машин | Ранг серверов управ-ления | Ранг phishing машин | Ранг bot | Ранг атак |
| 1 | США | 31 | 1 | 1 | 1 | 1 | 2 | 1 |
| 2 | Китай | 10 | 3 | 2 | 4 | 8 | 1 | 2 |
| 3 | Германия | 7 | 7 | 3 | 3 | 2 | 4 | 3 |
| 4 | Франция | 4 | 9 | 4 | 14 | 4 | 3 | 4 |
| 5 | Англия | 4 | 4 | 13 | 9 | 3 | 6 | 6 |
| 6 | Юж. Корея | 4 | 12 | 9 | 2 | 9 | 11 | 9 |
| 7 | Канада | 3 | 5 | 23 | 5 | 7 | 10 | 5 |
| 8 | Испания | 3 | 13 | 5 | 15 | 16 | 5 | 7 |
| 9 | Тайвань | 3 | 8 | 11 | 6 | 6 | 8 | 11 |
| 10 | Италия | 3 | 2 | 8 | 10 | 14 | 12 | 10 |
Кражи индивидуальной информации становится наиболее массовым преступлением. Организации, которые накапливают такие данные и управляют ими, должны уделять внимание сохранению конфиденциальности и целостности доверенной им информации. Нарушение конфиденциальности приведет к дискредитации организации, или компании. Объектами кражи могут стать номера страховок, кредитных карт, PIN-коды, адреса, телефоны и другие персональные данные клиентов и пр.
Государственные структуры владеют наибольшим объемом таких данных, именно оттуда и происходит большее число краж – 25% (см. рис. 1). Про Россию я не говорю, здесь ворами являются структуры, отвечающие за сохранность информации (примечание переводчика). В этой ситуации наибольшую угрозу представляет то обстоятельство, что к критической персональной информации имеет доступ слишком большое число людей. Но это человеческий фактор и полностью перекрыть этот канал невозможно. Это же обстоятельство упрощает задачу и внешним хакерам. Правда, правительственные структуры с большей вероятностью сообщают о фактах утечки, чем частные компании, которые боятся дискредитации.
За отчетный период 54% всех уязвимостей, которые могли привести к краже данных, были связаны с кражей или утерей различных компьютерных устройств, например, USB-ключей памяти или резервных копий носителей. 28% таких уязвимостей сопряжено с неверной политикой безопасности, например, посылку персональной информации по почте в незашифрованном виде или размещение ее на WEB-сервере. Большинство таких уязвимостей может быть легко устранено. Например, вся персональная информация должна быть зашифрована на носителе, тогда потеря или кража носителя не приведет к утечке. Такие меры должны быть частью более широкой политики обеспечения безопасности, препятствующей несанкционированному доступу к критическим данным.
Рис.1. Уязвимости, которые могут приводить к кражам персональной информации
Подпольные серверы используются криминальными структурами для продажи украденной информации. Такая информация может содержать идентификационные номера, номера кредитных карт, PIN-коды, списки почтовых адресов и т.д.
За отчетный период 51% всех подпольных серверов, известных компании Symantec, размещалось в пределах США (см. рис.2). Второе место в этом списке с 15% занимает Швеция, за ней следует Канада (7%). Большинство номеров кредитных и дебитных карт, публикуемых на подпольных серверах, было выпущено банками США.
Рис.2. Распределение подпольных серверов по странам мира
Для того чтобы сделать кражи таких данных менее вероятными, важно, чтобы организации предприняли меры по обеспечению сохранности хранения информации и безопасности ее транспортировки.
Уязвимость нулевого дня – это такая уязвимость, для которой уже написан код, позволяющий ее использовать, а поставщик программы, взламываемой этим кодом либо еще не знает об этом либо еще не успел создать исправления, которые могут парировать эту уязвимость.
Такие уязвимости особенно опасны потому, что их сигнатуры не известны, и шансы детектировать атаку стандартными средствами близки к нулю. Существует черный рынок уязвимостей нулевого дня. За отчетный период Symantec зарегистрировала 12 уязвимостей нулевого дня, что указывает на заметный рост по сравнению с первым полугодием. Большинство этих уязвимостей относятся к клиентскому программному обеспечению (приложения Office, Internet Explorer, ActiveX).
Возможно, отмеченный рост числа уязвимостей нулевого дня связан частично с развитием технологии и увеличением вероятности детектирования таких уязвимостей, а также улучшение кооперации между потребителями и поставщиками программного обеспечения.
Для того чтобы защититься от уязвимостей нулевого дня, Symantec рекомендует администраторам регулярно обновлять антивирусные программы и использовать IDS/IPS (Intrusion detection/protection systems) с эвристическими модулями распознавания. Поставщики программ безопасности могут быстро разработать средства противодействия, обновить базу данных IDS/IPS и антивирусных средств, прежде чем производитель программы, на которую нацелена атака изготовит средство защиты.
Некоторые вредоносные программы специально разработаны для вскрытия конфиденциальной информации, которая хранится на инфицированной машине. Угрозы конфиденциальной информации особенно опасны, так как потеря или искажение таких данных может привести к серьезным убыткам, особенно в случае проблем с кредитными картами или технологическими секретами. За отчетные 6 месяцев угрозы в отношении конфиденциальной информации составляли 66% из 50 наиболее вредоносных кодов, против 48% для первого полугодья.
Атаки типа “черный ход” составляли 84% всех угроз удаленного доступа в отношении конфиденциальной информации. Анализ поступающих сообщениях об атаках показывает, что 79% из них сопряжено с программами записи ввода с клавиатуры (keylogger).
За отчетный период сетевые черви составляли 52% всех вредоносных кодов, активность которых зарегистрирована, против 75% - за предшествующее полугодие. Однако число принципиально новых червей среди 50 наиболее опасных кодов осталось неизменным (около 36%).
Доля троянских коней среди 50 основных вредоносных кодов, отобранных Symantec, заметно увеличилась. За отчетный период их доля составила 45%.
Хакеры начинают использовать каскадную загрузку с привлечением модульных кодов. Существуют компактные специализированные троянские кони, которые загружают и инсталлируют другие вредоносные программы, такие как “черные ходы” или черви. Атаки, использующие такую технологию, составляют 75% от общего числа наиболее вредоносных кодов.
Эксперты отмечают, что иногда некоторые угрозы вызывают большое число сообщений, но реального ущерба не производят, и наоборот.
Например, черви вызвали 52% сообщений об атаках, но привели лишь к 37% заражений (см. рис. 3).
Рис.3. Типы вредоносных кодов по числу сообщений и по числу заражений
Троянские кони напротив, давали лишь 45% сообщений об атаках из 50 наиболее опасных кодов, однако они приводят к 60% инфекций. Так как трояны не содержат в себе внутренних механизмов рассылки, их распространение не происходит столь же быстро. Зато сообщения о них чаще всего сопряжено с уже происшедшим заражением.
За последние 6 месяцев сетью Symantec детектировано 166248 оригинальных фишинг-сообщений, в среднем 904 в день, что означает 6% роста по сравнению с предшествующим полугодием.
Система Symantec заблокировала 1,5 миллиарда фишинг-сообщений, что соответствует 19% росту по сравнению с первым полугодием. Таким образом, блокировалось 8,48 миллиона фишинг e-mail-сообщений в день.
За отчетный период 46% всех известных фишинг WEB-узлов размещалось в США (абсолютно первое место в мире). Symantec объясняет это большим числом хостинговых компаний и пользователей Интернет.
Максимальная доля фишинга приходится на финансовый сектор.
Мониторинг и анализ Интернет трафика, проводимый Symantec, показал, что SPAM составляет 59% (против 54% за первое полугодие). До 39% SPAM приходится на финансовый сектор, 23% - на службы здравоохранения, 21% - сопряжено с попытками коммерческих операций.
Большая доля SPAM связана с операциями “Pump and dump”, когда криминальные группы пытаются искусственно привлечь интерес биржи к их продуктам. Они покупают пакет акций за пенни, когда цена их на минимуме, а за тем искусственно взвинчивают цены, рассылая SPAM от имени уважаемых биржевых игроков. Легковерные клиенты покупают акции, что приводит к росту спроса и увеличению стоимости акций. Когда цена акций достигает максимума организаторы этой аферы продают свой пакет акций.
SPAM-зомби называются машины, инфицированные с помощью какого-то вредоносного кода, и пригодные по этой причине для рассылки SPAM без ведома хозяина машины. За отчетный период 10% зомби находилось на территории США. В США за это время зарегистрировано наибольшее число сообщений об использовании Spybot и Mytob, применяемых для рассылки SPAM.
Китай и Германия по числу зомби занимают, соответственно, второе и третье место (8 и 9%).
Bot-коды представляют собой программы, скрытно установленные на машине-жертве для того, чтобы неавторизованный пользователь мог удаленно управлять этим компьютером, например, через канал IRC. Такой канал позволяет хакеру удаленно контролировать большое число инфицированных машин и запускать скоординированные атаки.
Bot-коды позволяют реализовать достаточно широкую функциональность, пригодны он, например, для организации DoS-атак против корпоративных Web-серверов. Bot-коды достаточно удобны для получения конфиденциальной информации из инфицированных машин, а также для рассылки SPAM и фишинга.
За отчетный период Symantec регистрировал bot-заражение 63912 машин в день, что соответствует приросту в 11% по отношению к первому полугодью. Кроме того зарегистрировано 6049594 bot-инфицированных компьютеров (прирост в 29%).
За последнее полугодье детектировано 4746 серверов, предназначенных для управления botnet (падение на 25% по сравнению с первым полугодием). Падение числа серверов в сочетании с ростом числа инфицированных машин означает, что размеры botnet растут. Это, кстати, может означать, что начали использоваться другие технологии управления botnet. Symantec выявила сети со структурой управления P2P, обнаружено также, что сети с централизованным сервером, стали использовать шифрование для передачи инструкций, что делает их менее заметными.
Китай занимает второе место по числу bot-инфицированных машин (25% от общего числа в мире, что составляет рост в 6% по сравнения с первым полугодием) (см. рис. 4). По числу bot-инфицированных машин США (14% от общего числа в мире) вышли на второе место поле Китая.
Рис. 4. Распределение bot-инфицированных компьютеров в мире
В США размещено 40% всех серверов, управляющих botnet. Организации должны постоянно мониторировать наличие bot-инфицированных машин в своей сети, это позволит своевременно ограничить развитие этого процесса. Для этой цели нужно своевременно обновлять антивирусные библиотеки.
Для предотвращения bot-инфицирования Symantec рекомендует сервис-провайдерам осуществлять фильтрация входного и выходного трафика. При этом целесообразно также выявлять потенциально опасные приложения почтовых сообщений.
Конечным пользователям рекомендуется использовать многослойную оборону, включающую в себя антивирусную защиту и firewall. При этом обновления сигнатур вредоносных кодов должно выполняться на регулярной основе. Важно также своевременно вносить обновления в операционную систему. Пользователям не рекомендуется открывать приложения, пришедшее вместе с письмом, если отправитель вам не знаком или если вы не ждете никакого приложения.
Далее рассматриваются ожидаемые перспективы на ближайшие 6-24 месяца. Целью данного прогноза является подготовка организация и пользователей к возможным угрозам. Далее обсуждаются безопасность следующих объектов.
Последняя версия Microsoft – Vista появилась в январе 2007 года. В декабре 2006 Symantec сообщила об обнаруженной уязвимости в предыдущей версии Windows, которая сохраняется и в новой версии. Согласно исследованиям Symantec некоторые вредоносные коды, которые разрабатывались не для Windows Vista, оказались опасными для этой новой ОС.
Дополнительную уязвимость может создать протокол (см. Teredo), который разработан Microsoft для облегчения перехода между версиями IP-протокола. Компьютеры, использующие Windows Vista, могут быть легко идентифицированы по протоколу Teredo.
Атаки через протокол Teredo обходят систему сетевой безопасности, так как в этом случае осуществляется туннелирование через систему NAT (Network Address Translation) с помощью UDP соединения (IPv4). Многие программы обеспечения безопасности не поддерживают протокол Teredo и по этой причине не контролируют его. Это может сделать Windows уязвимым для атак, предпринимаемых через Teredo.
Symantec рекомендует при переходе на Windows Vista делать это для ограниченной области так, чтобы было можно было произвести аудит безопасности. При этом нужно убедиться, что стороннее используемое программное обеспечение отвечает принятой политике безопасности.
При совместном использовании Windows Vista и Security Development Lifecycle вероятность вторжения станет существенно ниже. В результате атакеры могут сконцентрироваться на попытках взлома приложений, поставляемых другими разработчиками.
Приложения сторонних поставщиков могут содержать свои системы безопасности, например, антивирусы, WEB-браузеры, клиенты IM, почты офисные программы и другие модули.
Symantec уже выявила уязвимости нулевого дня, связанные с офисными программными модулями.
Благодаря улучшениям безопасности в Windows Vista драйверы постороннего программного обеспечения могут рассматриваться на взломанных машинах как модули ядра ОС. Это происходит потому, что эти приложения разрабатывались без применения Security Development Lifecycle или других средств обеспечения безопасности. Такое положение позволяет хакерам обойти средства улучшения безопасности Windows Vista, которые сконструированы с целью предотвращения полной компрометации ОС при выполнении приложений с пользовательскими привилегиями.
Только усовершенствовав средства разработки, поставщики программного обеспечения смогут гарантировать оптимальную безопасность.
Так как фишинг стал основным видом атак, антифишинговые технологии быстро совершенствуются и вынуждают в свою очередь мошенников развивать новые методы и находить новые мишени для атак.
По мнению Symantec в ближайшем будущем мошенники существенно расширят область своих атак за счет индустриального сектора. Например, они вероятно займутся MMOG (Massively Multiplayer Online Games), которые становятся крупным бизнесом и уже привлекли к себе внимание криминалитета. За отчетный период были арестованы 44 подозреваемых в краже 90000$ в рамках одной из игр.
Отмечаются попытки мошенников обойти антифишинговые меры, например, обход блокирующих ACL. Мошенники начинают использовать большое число URL. Используемый URL отбрасывается после однократного использования. Symantec обнаружила тысячи WEB-сайтов, направляющих пользователя на один мошеннический WWW-сервер. Разработаны мошенниками также модули программ, упрощающих составление фишинг-посланий и WEB-сайтов.
Отмечается тенденция интеллектуализации фишинга. Для этой цели мошенник сначала ищет и взламывает базу данных, содержащую персональные данные о будущем субъекте атаки, затем, используя эти данные, производит атаку. Такой подход может создать впечатление, что послание отправлено солидной хорошо информированной фирмой и по этой причине содержимое мошеннического послание может восприниматься, как достойное доверия.
Возможно появление атак более обобщенных (на привязанных, например, к какому-то конкретному банку), уведомляющих о возможности проведения операций с вашим счетом через другой банк (разумеется на крайне льготных условиях).
Компании должны занимать активные антифишинговые позиции, так такие мошенничества подрывают их авторитет и доверие клиентов.
Конечные пользователи также не должны расслабляться и использовать все известные меры защиты (антивирусные и антиспам программы, firewall и т.д.) ведь в случае вторжения атаки могут быть предприняты от вашего имени.
Особо бдительными должны быть компании, использующие Интернет для выполнения любых транзакций. Все фишинг инциденты должны тщательно расследоваться, чтобы по возможности исключить их в будущем. Клиенты компании должны информироваться о том, как можно распознать фишинг-сообщения и что следует предпринять при их получении.
Во втором полугодии 2006 SPAM и фишинг начали осваивать новый сектор – SMS и MMS мобильной телефонии. Так как технология безопасности в этой сфере разработана недостаточно, злоумышленники устремились в эту нишу. Клиенты мобильной связи воспринимают SMS и MMS как нечто более личное, чем e-mail, и больше им доверяют, чем и пользуются мошенники.
Эта техника привлекательна еще и тем, что она проще, чем попытка вторжения в специфическую мобильную ОС. Спектр жульнических операций может расшириться, когда платежи за мобильные услуги (за фоновые картинки, мелодии звонков, игры и пр.) осуществляются через кредитные карты.
Symantec предполагает, что устойчивый рост атак такого типа сохранится и в ближайшем будущем. Судя по всему, провайдеры мобильных услуг будут вынуждены инвестировать значительные средства в разработки технологий фильтрации SMS и MMS-сообщений. Так как стоимость SMS-услуг падает, можно ожидать расширения попыток использования этой техники для целей SPAM.
Виртуализация программ – это технология, позволяющая компьютерам выполнять функции более одной виртуальной машины. Такие виртуальные компьютеры работают независимо друг от друга и имеют свое виртуальное оборудование, позволяя пользователю иметь несколько разных операционных систем на cвоей машине. Создавая много удобств, виртуализация открывает и окна уязвимости, некоторые из которых являются принципиально новыми.
Гостевая виртуальная машина не может использовать то же программное обеспечение безопасности, что и основной компьютер. Сюда относятся антивирусные средства, персональные firewall, IPS и т.д. По этой причине виртуальные машины будут более подвержены различным сетевым угрозам по сравнению с вариантом работы на разных компьютерах. Такие машины более подвержены атакам типа фишинга или атакам, ориентированным на конкретные приложения.
Symantec полагает, что угрозы, специфические для виртуальных машин, могут быть разделены на два класса.
К первому классу относятся угрозы сопряженные с совместным использованием аппаратных ресурсов виртуальными компьютерами. Аппаратные драйверы, которые размещены на базовой машине, могут стать объектами атаки со стороны гостевой операционной системы. Примером такой уязвимости может быть NVIDIA Binary Graphics Diver для атаки переполнения буфера в Linux. Предполагается, что эта уязвимость может использоваться для атаки базовой машины.
Ко второму классу относятся угрозы, связанные с влиянием работы виртуального гостевого компьютера, на корректную работу генераторов случайных чисел в базовой машине.
