previous up next index search
Previous: 10.28.2 2007 год. Обзор по материалам ведущих компаний мира, работающих в сфере безопасности.    UP: 10.28 События. Обзоры компаний Symantec, McAfee, Sophos, лаб Касперского, Cenzic, IBM, Sunbelt и др. об угрозах безопасности с 2006 до наших дней
    Next: 10.28.4 2009 год. Обзор по материалам ведущих компаний мира, работающих в сфере сетевой безопасности.

10.28.3 2008 год. Обзор по материалам ведущих компаний мира, работающих в сфере безопасности

Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)

Тенденции вредоносной активности (Symantec)
Тенденции в сфере уязвимостей (Symantec)
Тенденции в области создания вредоносных кодов (Symantec)
Подпольные серверы и SPAM
2008

Некоторые события 2008

В 2004 году Дан Камински описал слабость криптографического хэш-алгоритма MD5, который используется при формировании электронных подписей, сертификатов и т.д. В 2008 году были созданы программы, которые используют выявленные слабости (смотри описание алгоритма формирования фальшивого сертификата). Это создает серьезные проблемы для некоторых криптографических приложений. Пока это не подрывает надежности протокола SSL. Возможно в некоторых приложениях придется перейти к использованию хэш-алгоритма SHA-1.

Базирующаяся в Калифорнии компания провайдер сетевых услуг (Atrivo) была отключена в сентябре от Интернет, так как выяснилось, что большая часть сети использовалась для засылки фальшивых антивирусных программ (scareware) и других вредоносных кодов.

Вскоре после этого возникли вопросы по компании регистрации имен доменов в Эстонии, основанной этнически русским Владимиром Чащиным (Vladimir Tsastsin), одновременно являющимся клиентом Atrivo. Эта компания была обвинена в предоставлении "тихой гавани" для преступников, регистрирующих домены в криминальных целях.

Другая сеть, где владельцем был русский, с названием McColo была известна как хостинг-команда, контролирующая пять центров управления botnet: Srizbi (Zlob), Mega-D, Rustock, Dedler и Storm. Когда McColo была отключена от Интернет в 13:23 11 ноября 2008 года, управление botnet'ами было утрачено и это существенно сказалось на сокращении потока SPAM (на 75%). Смотри рисунок 23. Это прекрасный пример того, как международное сообщество может существенно понизить поток SPAM. А если это будет сопровождаться арестами создателей botnet, то результат может стать долговременным. В данном конкретном случае на место данного центра управления встала сеть Waledac и другие, что вскоре привело к побитию прошлых рекордов по SPAM.

Рис. 23. Изменение потока SPAM со временем (при отключении нескольких botnet от Интернет.


На рис. 24 показано распределение потока SPAM по странам в 2008 году. Тот факт, что Россия занимает второе место, нас не может радовать. В прошлом году мы занимали третье место...

Рис. 24. Доли SPAM, вносимые разными странами.


Полезно мониторировать потоки почты с любой машины, что может помочь локализовать источники рассылки. Как правило, это взломанные ЭВМ. На рис. 25 представлено распределение SPAM по континентам.

Рис. 25. Распределение континентов по потокам SPAM.


SPAM рассылается не только по почте. Для этого может использоваться и блоги. Считается, что 85% комментариев в блогах составляет SPAM. Для SPAM широко используются и различные социальные сети, например, типа "однокласники".

В 2008 году проявились атаки против машин Apple, а также против систем iPhone и Google Android.

Одним из направлений хакерства остается кража информации. Почти 30% контрактных и финансовых данных, информация о клиентуре и счетах хранится на переносимых носителях. Это ведет к многочисленным инцидентам с потерей информации. В августе 2008 американские власти обвинили 11 человек в краже 40 миллионов номеров кредитных и дебитных карт. Еще один инцидент произошел в Великобритании. Там министерство внутренних дел подтвердило, что был потерян модуль флэш памяти, содержащий данные о 130000 преступниках.

Предлагается ввести специальные правила для работы с информационными носителями, исключающие утечку криптографически незащищенных данных.

В 2008 году зафиксировано несколько случаев сетевых атак, преследовавших политические цели. Эти случаи произошли в Германии, Индии, Бельгии (последние два примера относятся к атакам со стороны Китая), (см. грузинско-российские хакерские инциденты, а также случай с атакой северо-корейцев против Южной Кореи.)

Несколько хакеров осуждены на длительные сроки заключения (в США, Китае, Израиле, Румынии и др. странах). В феврале в США осужден подросток за создание botnet, состоящей из нескольких сот тысяч машин-зомби.

Исследователи компании Finjan (дайджест ИИТ) обнаружили ботнет из 1,9 миллиона зараженных ПК, многие из которых работают в сетях американских и английских правительственных учреждений, крупнейших корпораций и университетов.

Данные, найденные на управляющем сервере ботнета, который находится на территории Украины, свидетельствуют, что он функционирует с февраля 2009 года. Шестеро совладельцев ботнета, используя широкую сеть партнерских программ, сдавали его в аренду через подпольные онлайн-форумы, взимая в среднем 100 долларов за 1000 зомби-машин.

Программа удаленного администрирования, используемая злоумышленниками, автоматически загружается на компьютер жертвы троянцем-даунлоудером при посещении зараженных веб-сайтов. Она эксплуатирует уязвимости браузеров Internet Explorer и Firefox, а также формата pdf. По данным Finjan, в настоящее время ее детектируют только 4 из 39 современных антивирусных продуктов.

Как выяснилось, большая часть приобщенных к новому ботнету компьютеров оснащена ОС Windows XP. По оценке экспертов, 45 % зараженных машин находится на территории США, 6 % — в Великобритании, немногим меньше — в Канаде, Германии и Франции. Многие из них привязаны к 77 доменам в зоне .gov, а в Великобритании новоявленной инфекцией поражены более 500 корпоративных сетей.

В 2008 г. Symantec (PC-week)обнаружила более 2,7 млн. новых сигнатур вредоносных программ — примерно 60% когда либо выявленных ею. Аналитики Trend Micro тоже отметили рекордные темпы роста числа вредоносного кода в данный период. При этом свыше 90% своих угроз злоумышленники направили на похищение конфиденциальной информации, автоматизируя этот процесс и отыскивая общие признаки сразу для целого класса уязвимостей.

Около 63% выявленных Symantec в 2008 г. уязвимостей нацелены на веб-приложения, причем 95% атакованных уязвимостей относятся к уязвимостям клиентских систем и только 5% — к уязвимостям серверов. Большинство веб-атак направлено на известные уязвимости веб-браузеров и других популярных клиентских веб-приложений.

Самым распространенным видом веб-атак (30% от общего числа, по данным ISTR XIV) стали атаки с использованием уязвимостей MS Internet Explorer. На втором месте (11%) по числу атак уязвимость Acrobat PDF Suspicious File Download. В России заметно активизировался червь Win32/Taterf, который распространяется через подключаемые носители с целью кражи учетных записей и паролей для популярных онлайновых игр.

Cenzic. Web Application Security Trends Report Q3-Q4, 2008 (обзор компании Cenzic сетевых уязвимостей за второе полугодие 2008 года (смотри также www.cenzic.com)). За второе полугодие 2008 года зарегистрировано 2616 уязвимостей, что превосходит соответствующее число за первое полугодие.

Если в 1998 году было зарегистрировано 1738 видов вредоносных кодов, то за первые 8 месяцев 2008 их было уже около 6 миллионов. Количество троянских коней за 2008 год увеличилось на 400%.

Эксперты отмечают, что несмотря на кризис, многие компании инвестируют в безопасность, в частности, связанную с применением платежных карт. Это связано с тем, что 80-90% WEB-приложений уязвимо и до 75% атак предпринимается именно против WEB-сайтов.

Такие организации как OWASP, SANS и NIST выполняют большую работу по пропаганде сетевой безопасности среди компаний, использующих WEB-технологии.

Анализ данных за второе полугодие 2008 показал:

Среди 10 лидирующих уязвимостей за второе полугодие оказались:

  1. Microsoft Internet Explorer data binding memory corruption. Позволяет удаленным атакерам запустить любую программу путем создания XML-документа, содержащего вложенные SPAN-элементы.
  2. Множественные уязвимости Adobe Flash Player. Удаленные атакеры могут прочитать критическую информацию из памяти процесса с помощью создания тэга DeclareFunction2 PDF-файла и исполнить произвольную программу на машине-жертве.
  3. Переполнение буфера в среде исполнения кода Java JRE (Java Runtime Environment) . Переполнение буфера в JRE для исполняемого модуля может позволить аплету или стартовому Web-приложению увеличить свой уровень привилегий.
  4. Уязвимость исполнения кода управления SAP SAPgui ActiveX. Путем вынуждения пользователя просмотреть специально подготовленный HTML-документ (напр. web-страницу или сообщение HTML-email, или приложение), атакер может выполнить произвольный код с привилегией пользователя. Атакер может вызвать также разрушение Internet Explorer (или программы, использующей управление WebBrowser) .
  5. Переполнение буфера в Adobe Reader и Acrobat Stack-Based Buffer. Позволяет удаленному атакеру исполнить произвольный код с помощью PDF-файла, который вызывает функцию util.printf JavaScript со специально подобранной строкой формата.
  6. Уязвимость Microsoft Office Snapshot Viewer ActiveX . Удаленный, неавторизованный атакер может выполнить произвольный код. Системы, имеющие эту уязвимость: Microsoft Access Microsoft Office Access 2000, Microsoft Office Access XP, Microsoft Office Access 2003 и Microsoft Office Snapshot Viewer.
  7. Переполнение буфера в Oracle Weblogic Apache connector. Переполнение буфера существует в Weblogic Server и Weblogic Express due to the way that the Apache connector plugin handles specially crafted POST requests. A remote, unauthenticated attacker may be able to execute arbitrary code.
  8. Уязвимость исполняемого кода Mozilla Firefox . Позволяет удаленному атакеру исполнить произвольный код или реализовать DoS-атаку с помощью картинки.
  9. Уязвимость UTF8 обхода каталога Apache Tomcat. Apache Tomcat содержит уязвимость для специально сформированных запросов. Удаленный атакер может получить доступ к любым файлам на сервере.
  10. Уязвимости в JRE могут позволить обойти политику безопасности. Аплет, загруженный удаленно, может обойти определенные ограничения и установить соединение с заданным видом сервиса.

На рисунке ниже показаны доли различных типов уязвимостей во втором полугодии 2008 г.

Доли различных типов уязвимостей во втором полугодии 2008 г.


79% всех уязвимостей дают программы, написанные для различных WEB-серверов и приложений. Эти уязвимости могут быть разделены на классы, как это показано ниже на следующем рисунке.

Распределение уязвимостей по их разновидностям во втором полугодии 2008 г.


Распределение атак по целям.


Распределение уязвимостей по WEB-браузерам 2008 г.


Распределение уязвимостей по их разновидностям в 4-ом квартале 2008 г.


За 2008 год было скомпрометировано больше записей, чем за четыре предыдущих года вместе взятых. Компания Symantec зарегистрировала в 2008 году 1,6 миллиона новых вредоносных кодов, это больше чем за предыдущие 17 лет вместе взятых.

В апреле 2009 компания Symantec подготовила обзор по сетевой безопасности за 2008 год (Symantec Internet Security Threat Report. Trends for 2008). Отмечен резкий рост числа атак типа"drive-by download". Сформировалась тенденция атак конкретных пользователей, а не машин. Определяющую долю вторжений составили атаки через WEB-серверы. Характер атак стал более изощренным, шире используются средства маскировки как самой атаки, так и успешного вторжения.

Рост числа атак типа drive-by download по кварталам 2008 (непреднамеренная загрузка вредоносного кода).


Распределение атак по целям.


Число новых вредоносных кодов.


Выше представленный рисунок говорит о том, что прогресс в области создания вредоносных кодов, несмотря на экономический кризис, на лицо.

Сформировались рыночные цены на многие криминальные сетевые услуги.

Ранг
2008
Ранг
2007
Объект2008
%
2007
%
Диапазон цен
11Информация кредитных карт32%21%0,06-30$
22Параметры доступа к банковскому счету19%17%10-1000$
39Почтовые акоунты5%4%0,10-100$
43Почтовые адреса5%6%0,33$/MB-100%/MB
512Прокси4%3%0,16-20$
64Полные индивидуальные данные4%6%0,7-60$
76Почтовые серверы3%5%2-40$
85Сервисы выдачи денег3%5%200-2000$ за позицию
917Скрипты оболочки3%2%2-20$
108Scam3%5%2-20$ дизайн; 3-40$/неделя, hosting

Тенденции вредоносной активности (Symantec)

Тенденции в сфере уязвимостей (Symantec)

Тенденции в области создания вредоносных кодов (Symantec)

Подпольные серверы и SPAM

В мае 2009 года появился интересный обзор компании Breach о событиях 2008 года: The WEB Hacking Incidents Database 2008

Рис. 28. Распределение сетевых инцидентов по месяцам 2009 года.


Рис. 29. Распределение атак по их целям.


Цель атаки%
Нанесение вреда24
Кража важной информации19
Распространение вредных кодов16
Получение денег13
DoS8
Phishing5
Обман2
Червь1
SPAM1
Информационное оружие1

Рис. 30. Доли различных видов уязвимостей.


Aтакa/уязвимость%
SQL Injection30
Неизвестна29
Cross-Site Scripting (XSS)8
Insufficient Anti-Automation13
Недостаточная аутентификация3
Cross-Site Request Forgery (CSRF)3
OS Commanding3
DoS3
Drive By Pharming3
Известная уязвимость2
Грубая сила2
Credential / Session2

Рис. 31. Мишени атак.


Мишень атаки%
Государственные учреждения, организации, обеспечения безопасности32
Информационные службы13
Торговля11
Интернет9
Образование8
Маркетинг6
Развлечения4
Технологии4
Спорт2
Здравоохранение2

По данным Symantec с 2002 по 2007 год было зарегистрировано 800000 сигнатур вредоносных кодов, а только за 2008 было создано 1.800.000 вредоносных кодов (по сравнению с 2007 - рост на 239%).

Определенный интерес представляют данные института Ponemon по проблемам утраты конфиденциальных данных. Обзор появился в августе 2009, но относится к состоянию дел на конец 2008 года. Смотри 2008 Annual Study: Cost of Data Breach. Understanding Financial Impact, Customer Turnover and Preventive Solutions.

Рис. 31a. Усредненная стоимость утраты данных (из расчета на один рекорд).


Рис. 31b. Причины доступности конфиденциальных данных.


Из диаграммы видно, что наибольшая доля приходится на потери laptop'ов. И, так как не терять люди не научатся никогда, лучше все критические данные хранить в зашифрованном виде. В перспективе, когда laptop"ы будут снабжены спутниковыми локализаторами (GPS), можно будет узнать, где находится ваше украденное сокровище.

Рис. 31c. Доли потерь данных в различных областях.


Previous: 10.28.2 2007 год. Обзор по материалам ведущих компаний мира, работающих в сфере безопасности.    UP: 10.28 События. Обзоры компаний Symantec, McAfee, Sophos, лаб Касперского, Cenzic, IBM, Sunbelt и др. об угрозах безопасности с 2006 до наших дней
    Next: 10.28.4 2009 год. Обзор по материалам ведущих компаний мира, работающих в сфере сетевой безопасности.