Тенденции вредоносной активности (Symantec) |
Тенденции в сфере уязвимостей (Symantec) |
Тенденции в области создания вредоносных кодов (Symantec) |
Подпольные серверы и SPAM |
В 2004 году Дан Камински описал слабость криптографического хэш-алгоритма MD5, который используется при формировании электронных подписей, сертификатов и т.д. В 2008 году были созданы программы, которые используют выявленные слабости (смотри описание алгоритма формирования фальшивого сертификата). Это создает серьезные проблемы для некоторых криптографических приложений. Пока это не подрывает надежности протокола SSL. Возможно в некоторых приложениях придется перейти к использованию хэш-алгоритма SHA-1.
Базирующаяся в Калифорнии компания провайдер сетевых услуг (Atrivo) была отключена в сентябре от Интернет, так как выяснилось, что большая часть сети использовалась для засылки фальшивых антивирусных программ (scareware) и других вредоносных кодов.
Вскоре после этого возникли вопросы по компании регистрации имен доменов в Эстонии, основанной этнически русским Владимиром Чащиным (Vladimir Tsastsin), одновременно являющимся клиентом Atrivo. Эта компания была обвинена в предоставлении "тихой гавани" для преступников, регистрирующих домены в криминальных целях.
Другая сеть, где владельцем был русский, с названием McColo была известна как хостинг-команда, контролирующая пять центров управления botnet: Srizbi (Zlob), Mega-D, Rustock, Dedler и Storm. Когда McColo была отключена от Интернет в 13:23 11 ноября 2008 года, управление botnet'ами было утрачено и это существенно сказалось на сокращении потока SPAM (на 75%). Смотри рисунок 23. Это прекрасный пример того, как международное сообщество может существенно понизить поток SPAM. А если это будет сопровождаться арестами создателей botnet, то результат может стать долговременным. В данном конкретном случае на место данного центра управления встала сеть Waledac и другие, что вскоре привело к побитию прошлых рекордов по SPAM.
Рис. 23. Изменение потока SPAM со временем (при отключении нескольких botnet от Интернет.
На рис. 24 показано распределение потока SPAM по странам в 2008 году. Тот факт, что Россия занимает второе место, нас не может радовать. В прошлом году мы занимали третье место...
Рис. 24. Доли SPAM, вносимые разными странами.
Полезно мониторировать потоки почты с любой машины, что может помочь локализовать источники рассылки. Как правило, это взломанные ЭВМ. На рис. 25 представлено распределение SPAM по континентам.
Рис. 25. Распределение континентов по потокам SPAM.
SPAM рассылается не только по почте. Для этого может использоваться и блоги. Считается, что 85% комментариев в блогах составляет SPAM. Для SPAM широко используются и различные социальные сети, например, типа "однокласники".
В 2008 году проявились атаки против машин Apple, а также против систем iPhone и Google Android.
Одним из направлений хакерства остается кража информации. Почти 30% контрактных и финансовых данных, информация о клиентуре и счетах хранится на переносимых носителях. Это ведет к многочисленным инцидентам с потерей информации. В августе 2008 американские власти обвинили 11 человек в краже 40 миллионов номеров кредитных и дебитных карт. Еще один инцидент произошел в Великобритании. Там министерство внутренних дел подтвердило, что был потерян модуль флэш памяти, содержащий данные о 130000 преступниках.
Предлагается ввести специальные правила для работы с информационными носителями, исключающие утечку криптографически незащищенных данных.
В 2008 году зафиксировано несколько случаев сетевых атак, преследовавших политические цели. Эти случаи произошли в Германии, Индии, Бельгии (последние два примера относятся к атакам со стороны Китая), (см. грузинско-российские хакерские инциденты, а также случай с атакой северо-корейцев против Южной Кореи.)
Несколько хакеров осуждены на длительные сроки заключения (в США, Китае, Израиле, Румынии и др. странах). В феврале в США осужден подросток за создание botnet, состоящей из нескольких сот тысяч машин-зомби.
Исследователи компании Finjan (дайджест ИИТ) обнаружили ботнет из 1,9 миллиона зараженных ПК, многие из которых работают в сетях американских и английских правительственных учреждений, крупнейших корпораций и университетов.
Данные, найденные на управляющем сервере ботнета, который находится на территории Украины, свидетельствуют, что он функционирует с февраля 2009 года. Шестеро совладельцев ботнета, используя широкую сеть партнерских программ, сдавали его в аренду через подпольные онлайн-форумы, взимая в среднем 100 долларов за 1000 зомби-машин.
Программа удаленного администрирования, используемая злоумышленниками, автоматически загружается на компьютер жертвы троянцем-даунлоудером при посещении зараженных веб-сайтов. Она эксплуатирует уязвимости браузеров Internet Explorer и Firefox, а также формата pdf. По данным Finjan, в настоящее время ее детектируют только 4 из 39 современных антивирусных продуктов.
Как выяснилось, большая часть приобщенных к новому ботнету компьютеров оснащена ОС Windows XP. По оценке экспертов, 45 % зараженных машин находится на территории США, 6 % — в Великобритании, немногим меньше — в Канаде, Германии и Франции. Многие из них привязаны к 77 доменам в зоне .gov, а в Великобритании новоявленной инфекцией поражены более 500 корпоративных сетей.
В 2008 г. Symantec (PC-week)обнаружила более 2,7 млн. новых сигнатур вредоносных программ — примерно 60% когда либо выявленных ею. Аналитики Trend Micro тоже отметили рекордные темпы роста числа вредоносного кода в данный период. При этом свыше 90% своих угроз злоумышленники направили на похищение конфиденциальной информации, автоматизируя этот процесс и отыскивая общие признаки сразу для целого класса уязвимостей.
Около 63% выявленных Symantec в 2008 г. уязвимостей нацелены на веб-приложения, причем 95% атакованных уязвимостей относятся к уязвимостям клиентских систем и только 5% — к уязвимостям серверов. Большинство веб-атак направлено на известные уязвимости веб-браузеров и других популярных клиентских веб-приложений.
Самым распространенным видом веб-атак (30% от общего числа, по данным ISTR XIV) стали атаки с использованием уязвимостей MS Internet Explorer. На втором месте (11%) по числу атак уязвимость Acrobat PDF Suspicious File Download. В России заметно активизировался червь Win32/Taterf, который распространяется через подключаемые носители с целью кражи учетных записей и паролей для популярных онлайновых игр.
Cenzic. Web Application Security Trends Report Q3-Q4, 2008 (обзор компании Cenzic сетевых уязвимостей за второе полугодие 2008 года (смотри также www.cenzic.com)). За второе полугодие 2008 года зарегистрировано 2616 уязвимостей, что превосходит соответствующее число за первое полугодие.
Если в 1998 году было зарегистрировано 1738 видов вредоносных кодов, то за первые 8 месяцев 2008 их было уже около 6 миллионов. Количество троянских коней за 2008 год увеличилось на 400%.
Эксперты отмечают, что несмотря на кризис, многие компании инвестируют в безопасность, в частности, связанную с применением платежных карт. Это связано с тем, что 80-90% WEB-приложений уязвимо и до 75% атак предпринимается именно против WEB-сайтов.
Такие организации как OWASP, SANS и NIST выполняют большую работу по пропаганде сетевой безопасности среди компаний, использующих WEB-технологии.
Анализ данных за второе полугодие 2008 показал:
Среди 10 лидирующих уязвимостей за второе полугодие оказались:
На рисунке ниже показаны доли различных типов уязвимостей во втором полугодии 2008 г.
Доли различных типов уязвимостей во втором полугодии 2008 г.
79% всех уязвимостей дают программы, написанные для различных WEB-серверов и приложений. Эти уязвимости могут быть разделены на классы, как это показано ниже на следующем рисунке.
Распределение уязвимостей по их разновидностям во втором полугодии 2008 г.
Распределение атак по целям.
Распределение уязвимостей по WEB-браузерам 2008 г.
Распределение уязвимостей по их разновидностям в 4-ом квартале 2008 г.
За 2008 год было скомпрометировано больше записей, чем за четыре предыдущих года вместе взятых. Компания Symantec зарегистрировала в 2008 году 1,6 миллиона новых вредоносных кодов, это больше чем за предыдущие 17 лет вместе взятых.
В апреле 2009 компания Symantec подготовила обзор по сетевой безопасности за 2008 год (Symantec Internet Security Threat Report. Trends for 2008). Отмечен резкий рост числа атак типа"drive-by download". Сформировалась тенденция атак конкретных пользователей, а не машин. Определяющую долю вторжений составили атаки через WEB-серверы. Характер атак стал более изощренным, шире используются средства маскировки как самой атаки, так и успешного вторжения.
Рост числа атак типа drive-by download по кварталам 2008 (непреднамеренная загрузка вредоносного кода).
Распределение атак по целям.
Число новых вредоносных кодов.
Выше представленный рисунок говорит о том, что прогресс в области создания вредоносных кодов, несмотря на экономический кризис, на лицо.
Сформировались рыночные цены на многие криминальные сетевые услуги.
Ранг 2008 | Ранг 2007 | Объект | 2008 % | 2007 % | Диапазон цен |
1 | 1 | Информация кредитных карт | 32% | 21% | 0,06-30$ |
2 | 2 | Параметры доступа к банковскому счету | 19% | 17% | 10-1000$ |
3 | 9 | Почтовые акоунты | 5% | 4% | 0,10-100$ |
4 | 3 | Почтовые адреса | 5% | 6% | 0,33$/MB-100%/MB |
5 | 12 | Прокси | 4% | 3% | 0,16-20$ |
6 | 4 | Полные индивидуальные данные | 4% | 6% | 0,7-60$ |
7 | 6 | Почтовые серверы | 3% | 5% | 2-40$ |
8 | 5 | Сервисы выдачи денег | 3% | 5% | 200-2000$ за позицию |
9 | 17 | Скрипты оболочки | 3% | 2% | 2-20$ |
10 | 8 | Scam | 3% | 5% | 2-20$ дизайн; 3-40$/неделя, hosting |
В мае 2009 года появился интересный обзор компании Breach о событиях 2008 года: The WEB Hacking Incidents Database 2008
Рис. 28. Распределение сетевых инцидентов по месяцам 2009 года.
Рис. 29. Распределение атак по их целям.
Цель атаки | % |
Нанесение вреда | 24 |
Кража важной информации | 19 |
Распространение вредных кодов | 16 |
Получение денег | 13 |
DoS | 8 |
Phishing | 5 |
Обман | 2 |
Червь | 1 |
SPAM | 1 |
Информационное оружие | 1 |
Рис. 30. Доли различных видов уязвимостей.
Aтакa/уязвимость | % |
SQL Injection | 30 |
Неизвестна | 29 |
Cross-Site Scripting (XSS) | 8 |
Insufficient Anti-Automation | 13 |
Недостаточная аутентификация | 3 |
Cross-Site Request Forgery (CSRF) | 3 |
OS Commanding | 3 |
DoS | 3 |
Drive By Pharming | 3 |
Известная уязвимость | 2 |
Грубая сила | 2 |
Credential / Session | 2 |
Рис. 31. Мишени атак.
Мишень атаки | % |
Государственные учреждения, организации, обеспечения безопасности | 32 |
Информационные службы | 13 |
Торговля | 11 |
Интернет | 9 |
Образование | 8 |
Маркетинг | 6 |
Развлечения | 4 |
Технологии | 4 |
Спорт | 2 |
Здравоохранение | 2 |
По данным Symantec с 2002 по 2007 год было зарегистрировано 800000 сигнатур вредоносных кодов, а только за 2008 было создано 1.800.000 вредоносных кодов (по сравнению с 2007 - рост на 239%). |
Определенный интерес представляют данные института Ponemon по проблемам утраты конфиденциальных данных. Обзор появился в августе 2009, но относится к состоянию дел на конец 2008 года. Смотри 2008 Annual Study: Cost of Data Breach. Understanding Financial Impact, Customer Turnover and Preventive Solutions.
Рис. 31a. Усредненная стоимость утраты данных (из расчета на один рекорд).
Рис. 31b. Причины доступности конфиденциальных данных.
Из диаграммы видно, что наибольшая доля приходится на потери laptop'ов. И, так как не терять люди не научатся никогда, лучше все критические данные хранить в зашифрованном виде. В перспективе, когда laptop"ы будут снабжены спутниковыми локализаторами (GPS), можно будет узнать, где находится ваше украденное сокровище.
Рис. 31c. Доли потерь данных в различных областях.