|
|
Компьютерный андеграунд переходит в лигу «профессионалов»
Итак, свершилось — практически все производители средств ИТ безопасности сошлись в своем мнении о том, что криминальный бизнес в интернете окончательно сформировался и начал срастаться с обычным, реальным. Время одиночек-альтруистов прошло. Криминальная индустрия и индустрия безопасности оказались лицом друг к другу. Именно этот факт по-настоящему характеризует глубину проникновения и роль информационных технологий в жизни общества. Что движет кибер-преступниками? Чем же определяется поведение людей, занимающихся мошенничеством в сети? По мнению Евгения Касперского, генерального директора «Лаборатории Касперского», «основной движущей силой криминала в интернете стала жажда наживы. В связи с этим людей, занимающихся преступным «творчеством» и, соответственно, их творений - например, таких как черви Slammer, Sasser или Mydoom, становится всё меньше. Их нишей остаются, так называемые, «концептуальные» вирусы в пока еще не криминализованных зонах. Сейчас практически исчезли глобальные инциденты: многие виновники эпидемий прошлых лет обнаружены или изолированы от общества, а новые не стремятся составить им компанию». При этом, отмечает г-н Касперский, безопаснее интернет не становится: непрерывно растет количество и качество троянских программ и червей, созданных с откровенно преступными намерениями людьми, которые умеют считать деньги. В итоге написать троянца и осуществить его спам-рассылку экономически более выгодно, чем разрабатывать почтового червя с троянским функционалом. Как следствие, фокус усилий антивирусных компаний сместился, по мнению эксперта, на разбор завалов, созданных шквалом зловредного ПО, «штампуемого» ремесленниками из андеграунда. Единственным их «сомнительным достижением» за последние годы Евгений Касперский называет создание программ-шантажистов, чей функционал сводится к шифрованию данных с целью последующего вымогательства денег за восстановление исходного кода. Владимир Мамыкин, директор по ИБ «Майкрософт Рус», со своей стороны, отмечает, что за последние годы в связи с резким ростом платежей населения через интернет, а также приходом малых и средних компаний, обладающих недостаточным опытом обеспечения ИБ, на рынок финансовых и торговых операций через сеть, преступные группировки, связанные с кражей информации, получили широкие возможности для своей деятельности. Их атаки стали фокусными, нацеленными на конкретного клиента или отрасль экономики (например, фондовый рынок). Во-вторых, в Microsoft отмечают, что ранее от вирусных и DoS атак преступники фактически не получали выгоды. Сейчас же все атаки нацелены на извлечение прибыли. В связи с этим в такие группировки стали включаться не только хакеры, но и люди, обслуживающие противоправные сделки: например, реализующие товары, реально купленные в интернет-магазинах по украденным данным о кредитных картах. По мнению г-на Мамыкина, это пример конвергенции и взаимопроникновения преступности реальной и виртуальной. Характерной чертой 2006 - первой половины 2007 гг. стала активизация конкурентной борьбы внутри криминала за ресурсы всемирной паутины. Количество бот-сетей растет, но объемы спама растут гораздо быстрее. На фоне ужесточения соответствующего законодательства многих стран, повышения процента пользователей антивирусных пакетов и файерволов, а также усиления осведомленности пользователей об опасностях виртуального мира, создавать новые компьютеры-зомби всё сложнее и сложнее. А ведь и количество компьютеров тоже не безгранично. В результате отмечается повышение «КПД» от использования существующих зомби-сетей и начало криминальных войн между преступными группировками за право их обладания. Способы борьбы здесь те же, что и при атаках на обычных пользователей — вирусы, черви, троянцы и т.д., но с особым функционалом — выявлением и уничтожением зловредного ПО конкурентов, либо эксплуатацией его в собственных интересах. «Идеи создателей сетевого червя Doomjuice, распространявшегося через компьютеры, уже зараженные червем Mydoom, или зловреда NetSky, имеющего функционал удаления из системы всё того же Mydoom, из далекого 2003 года взяты на вооружение современными группировками», - считает Евгений Касперский. Что касается повышения эффективности бот-сетей, то, по данным Алексея Чередниченко, технического консультанта Symantec в России и СНГ, «в первом полугодии 2007 года корпорация регистрировала в среднем около 53 тысячи активных компьютеров в составе бот-сетей в день, что на 17% больше, чем во втором полугодии 2006. Однако на те же 17% сократилось число отдельных бот- инфицированных машин (примерно до 5 млн штук). Таким образом, средняя продолжительность жизни зомби-компьютера за первые шесть месяцев 2007 года составила 4 дня. Это на один день больше, чем в среднем за вторую часть 2006 года. Мало того, хакеры научились устанавливать обратную связь со своими творениями и, подобно заправским маркетологам, собирать интересующую их статистику и вносить коррективы, добиваясь выполнения своих «бизнес-планов». Это прекрасная иллюстрация того, как «криминальный менеджмент» добивается оптимизации ROI, т.е. повышения отдачи на вложенные инвестиции. За счет чего этого можно добиться? Одним из вариантов является более глубокое изучение объектов атаки и поиск уязвимостей: в операционных системах, прикладном ПО, а так же брешей в защите конкретных корпораций. Так, Григорий Васильев, технический директор представительства компании ESET в России отмечает, что в минувшем году изменился характер угроз, исходящих от вредоносного ПО всех видов. Широкое распространение получили, по мнению эксперта, так называемые, «неизвестные» или «не выявленные» вирусы, которые для проникновения в компьютерные системы используют уязвимости в системном и прикладном ПО - еще до того, как они станут известны его разработчикам. Кроме того, больше стало «шпионов» и других вредоносных программ, созданных для распространения только в информационной системе конкретной организации. «Массовое распространение получили полиморфные вирусы, в алгоритм которых заложено автоматическое создание вариантов в процессе распространения. В последнее время все большее распространение получают т.н. руткиты. Действие этого вида вредоносного ПО основано на перехвате вызовов и модификации низкоуровневых системных функций ОС (Windows API). Также руткиты способны маскировать присутствие в системе определенных процессов, ключей реестра, директорий и файлов на диске», - констатирует г-н Васильев. Другим вариантом действий «оптимизаторов ROI» являются усилия разработчиков зловредов, заботливо прививающих им «инстинкт самосохранения». Ведь и от умения ПО прятаться тоже зависит «КПД» подпольного бизнеса. Алиса Шевченко, вирусный аналитик «Лаборатории Касперского», рассказывает, что история вредоносных программ начинается в 70-х годах, а история их самозащиты — в конце 80-х. «Современные ее способы весьма многочисленны и разнообразны. Некоторые из защитных технологий нацелены на обход сигнатурных антивирусов, другие — на затруднение анализа кода специалистами; одна вредоносная программа старается как можно тщательнее спрятаться в системе, в то время как другая, не тратя на это свое драгоценное процессорное время, занимается непосредственно поиском и «отстрелом» конкретных средств антивирусной защиты…», - заявляет г-жа Шевченко. Способы маскировки зловредного ПО (на начало 2007 года)
Еще одним технологическим приемом хакеров стало объединение методов атак. По мнению Алексея Чередниченко, «отмечаемый спад средней ежедневной активности ботов может указывать на то, что традиционные атаки уже не столь эффективны, как раньше. Поэтому злоумышленники, во-первых, объединяют воедино целый комплекс методов — вредоносный код, фишинг, спам и онлайновые атаки. В результате хакеры взламывают пользующиеся популярностью и доверием сайты и через них получают доступ к целевым пользователям. В подобных многоступенчатых атаках сначала используется малое и незаметное вторжение для создания плацдарма, а в последствие организуются полноценные атаки. Что характерно, эти последующие этапы могут быть сконструированы и меняться в соответствии с требованиями криминальных заказчиков. Из новых семейств вредоносных программ самое большое число сообщений за текущий отчетный период относилось к многоступенчатому загрузчику Peacomm Trojan (иногда его еще называют Storm Worm)». Наиболее часто загружаемые компоненты многоступенчатых угроз
Как видно из таблицы, целями атак все чаще становятся добыча коммерчески привлекательных данных, дистанционное управление компьютерами и блокировка средств защиты. Злоумышленники понимают, что, нейтрализовав работу, например, антивируса, машина остается практически беззащитной. Поэтому данный вид атак становится все более популярным. А как обстоит дело устойчивостью средств защиты к самозащите? В таблице ниже приведен тест, проведенный специалистами независимого российского информационно-аналитического портала по информационной безопасности Anti-Malware.ru. Итоговые результаты теста самозащиты антивирусов
Данный тест проводился под операционной системой Windows XP SP2 по следующим группам атак: изменение разрешений на доступ к файлам и ключам реестра, модификация/удаление модулей, удаление антивирусных баз, модификация/удаление значимых ключей реестра, завершение процессов, модификация процессов/кода и выгрузка драйверов. Всего проводилась проверка по 33 параметрам, отсюда и максимальный балл — 33. Как видно из результатов теста, значительное количество антивирусных вендоров, сконцентрировавшись на защите других, забыли о себе, чем создали немало проблем все тем же людям - своим клиентам. Неисправленные уязвимости по поставщикам ПО
Видно, что главный мировой поставщик массового ПО — Microsoft — самым серьезным образом подходит к вопросу создания патчей. Если говорить о средней скорости устранения этой корпорацией уязвимостей в операционных системах, то, как видно из рисунка ниже, Microsoft значительно опережает по этому показателю всех конкурентов. Скорость разработки патчей для операционных систем
«Однако наибольшая угроза заражения зловредным ПО продолжает исходить из-за значительного количества уязвимостей в web-браузерах и плагинах, - говорит Алексей Чередниченко. — В первом полугодии 2007 года было зарегистрировано 237 уязвимостей в плагинах web-браузеров против 108 за весь 2006 год. 89% уязвимостей относятся к компонентам ActiveX для Microsoft IE против 58% за предыдущий период. Что касается непосредственно браузеров, то самое большое число зарегистрированных в 2007 году уязвимостей у Microsoft — 39. За ней следует Mozilla с 34 дырами. Оба поставщика показали также самое большое окно экспозиции — по 5 дней. Safari и Opera — два браузера, у которых произошло увеличение числа зарегистрированных уязвимостей за отчетный период. Для Safari это число составило 25 против 4-х в прошлом году. Однако у него оказалось самое короткое окно экспозиции — всего три дня». Распределение уязвимостей в браузерах
Что касается распределения по типам вредоносных программ, то эксперты Symantec отмечают, что число троянов продолжает расти, и многие из них представляют собой все большую угрозу, так как эксплуатируют уязвимости web -браузера и нераспознанные дыры. Доля троянов, вызвавших потенциальное заражение или попытки заражения, увеличились за первое полугодие выросло с 60% до 73%. Активность червей продолжила ослабевать: на их долю пришлось всего 22% всех потенциальных заражений. Это меньше, чем 37% - во втором полугодии 2006. Процент же вирусов увеличился с 5% до 10%». Распределение вредоносного ПО по количеству заражений компьютеров
Все эксперты говорят о взрывном росте количества новых вредоносных программ. Теневая экономика поставила процесс их производства на поток и сбавлять темпы роста, видимо, не собирается. Количество новых сигнатур, ежегодно добавляемых в антивирусную базу «Лаборатории Касперского»
Словом, в противостоянии вирусов и сигнатурных методов борьбы с ними, победа осталась за вирусами. Именно поэтому сегодня настолько актуально, чтобы антивирусная индустрия обязательно предлагала рынку технологии, связанные с противодействием вредоносному ПО еще до его внесения в сигнатурные базы. Стало очевидно, что по-настоящему способны защитить от неизвестных только технологии проактивной защиты. На сколько велик ущерб от атак киберкриминала? А так ли страшен враг, как его малюют? Возможно ущерб от хакеров и инсайдеров - это надуманные ИТ и ИБ специалистами «страшилки» для выбивания бюджетов? Приведенные ниже данные полностью опровергают данную точку зрения. : Потери бизнеса в США по типам атак в 2006 году
Владимир Мамыкин, комментируя совместный отчет Computer Security Institute и Federal Bureau on Investigation «CSI/FBI 2006 Computer Crime and Security Survey», сообщает, что 313 опрошенных компаний показали суммарный ущерб в 52 млн долларов США от нарушений информационной безопасности в этих компаниях в 2006 году. Это 166 тыс долларов ущерба на одну компанию за один год, и около 50 долларов убытка на одного сотрудника компании. «Это дает возможность аппроксимировать полученные результаты ущерба на всю индустрию США: около 140 млн работающих при среднем убытке в 50 долларов от нарушений ИБ приводят к цифре в 7 млрд убытков для страны. Но, надо не забывать, что ущерб компании от нарушений в системе обеспечения ИБ состоит не только из прямого финансового ущерба от атак хакеров, но и от потери репутации. А так как доверие клиентов является одним из основных активов компаний, приносящих доходы, особенно для финансовых и торговых компаний, то на обеспечение ИБ компании вынуждены тратить значительные средства», - отмечает эксперт. Но и это еще не все. Всю мощь хакеров почувствовали на себе и органы государственной власти во всем мире. О масштабах проблемы можно судить по небольшому, но весьма ёмкому комментарию г. Мамыкина «В начале 2006 года Департамент внутренней безопасности США (Department of Homeland Security) действительно проводил учения Cyber Storm по отработке модели координации взаимодействия государственных организаций и бизнеса по отражению масштабных кибер-атак на объекты энергетики, транспорта и телекоммуникаций. Среди приглашенных на учения были представители государственных организаций Великобритании, Канады и других стран, а также более 100 представителей частных компаний, в том числе Intel, McAfee, Microsoft, Symantec. По словам представителя Департамента внутренней безопасности эти учения дали беспрецедентную возможность продемонстрировать партнерство государства и бизнеса по предотвращению масштабных кибер-атак». В России масштаб проблем не меньше. Так, по словам, начальника управления специальных технических мероприятий МВД генерал-лейтенанта милиции Бориса Мирошникова, «С 2001 года количество компьютерных преступлений на территории страны удваивается ежегодно…» В 1998 году для координации борьбы с подобными правонарушениями в системе министерства внутренних дел были созданы специальные подразделения по пресечению действий киберпреступности. Есть и другие инициативы. С госструктурами в этом вопросе сотрудничают и коммерческие компании, работающие на рынке защиты информации. Мало того, иногда эти компании и самостоятельно занимаются «оперативными мероприятиями». По словам Алексея Чередниченко, «уже давно ни для кого не секрет, что в Symantec имеется специализированные подразделения, занимающееся, в том числе и антикриминальной разведкой… Они работают по всему миру со всеми правоохранительными органами. И при возникновении соответствующих инцидентов, корпорация, на основе специально разработанных процедур, успешно взаимодействует с ними. Однако, существует множество стран, где не существует абсолютно ни какого законодательства на эту тему. Вот это и является, существенным препятствием в полноценной борьбе с деструктивными ресурсами». К сожалению, в России пока еще не сложилась полноценная практика взаимодействия пострадавших от атак граждан и компаний с одной стороны, соответствующих органов - с другой стороны, и специализированных компаний - с третьей, что не позволяет приблизиться к хорошо зарекомендовавшей себя западной практике. Вадим Ференец / CNews Analytics |
Компьютерный андеграунд быстро взрослеет и переходит из разряда «любителей» в лигу «профессионалов». Как следствие, эксперты отмечают слияние криминала виртуального с его реальными коллегами. Под удар попадают все — и частные пользователи, и бизнес, и госструктуры по всему миру.
