SPIRIT CORP

 
Совместный проектПри поддержке
Профиль  CNews.ruiRU

Рынок информационной безопасности 2002

Рынок информационной безопасности 2002 
Содержание:

Электронная слежка почти узаконена
Уязвимости: новые лица
Вирусы: каких только не было
Обзор вирусной активности за 2002 год
Статистика случаев мошенничества в интернете
Экономика сектора: рост вопреки
Россия: мало информации и мало денег

Мир не стал безопаснее за последний год, как бы нам этого ни хотелось, и это, прежде всего, касается Сети. Оценки «отрицательной» деятельности в Сети все еще варьируются, но конкретные выводы характерны больше всего для тех, кто занимает радикальную позицию и видит сплошные угрозы и опасности. Взломы, вирусы, троянские программы, утечка информации, глобальное электронное слежение, атаки на подсети изнутри, — все перемешалось и находится в запутанном состоянии. Остается только попытаться уловить общие тенденции и отделить зерна от плевел, ибо в сфере информационной безопасности все еще пребывает хаос и большинство вещей далеко не очевидно.

Так, например, хакеры. Никто не спорит, что хакерские взломы это в большинстве случаев зло, но Microsoft нанимает взломщиков, которые анализирует код Xbox, всем известный Кевин Митник пишет книгу «Искусство обмана» в назидание отвечающим за безопасность, а среди взломов все еще не исчезают hack to fun. И это несмотря на то, что хакер на Западе в этом году был де-юре приравнен к террористу, а приговоры судов хоть и не жестоки, как хотелось бы законодателю, но все же звучат все чаще и чаще.

Прошедший год запомнится тем, что информационную безопасность чаше всего использовали как разменную карту в оправдании действий, повышающих полномочия органов юрисдикции и ограничивающих права сетевых граждан, да и просто в политических целях. Можно вспомнить истерию, имевшую место осенью 2002 года, когда прозвучали обвинения в отношении происламски настроенных хакеров, которые якобы постоянно совершают вылазки на «веб-территории» развитых стран.

Элвис-Плюс

Сайт компании «Элвис Плюс»: www.elvis.ru

Как показали данные за октябрь, количество атак было рекордным; этот месяц запомнился пиком числа заражений компьютерными вирусами. Впрочем, нет ничего удивительного: каждый год можно говорить об увеличении количества дыр, вирусов и взломов. И пока у этого удручающего тренда не видно перелома, поэтому нет ничего необычного в упоминании «рекордности» 2002 года в различной аналитике, но рост взлом с трудом коррелирует с политикой. Действительно, количество политически мотивированных атак доходило до 11%, однако трудно связать появление нескольких исламских групп с увеличением атак вообще, хотя они, конечно, вносят свою лепту в этот процесс. Следует повторить, что такие сообщения чаще всего связаны с «политической» картой, которую разыгрывают правительства, например, та же администрация США в преддверие сенатских выборов не могла не припугнуть своих граждан, т.к. сетевая безопасность это одна из ключевых составляющих национальной безопасности вообще. Таким же образом, доводилась информация общественности о возможности атак и массовых заражений в связи с вероятной войной в Ираке.

Поэтому чтобы защитить себя, а именно развитые страны более беззащитны перед так называемыми кибер-угрозами, они действуют по наработанной схеме. Сначала большинство экспертов переводят хактивистов в разряд кибер-террористов, безапелляционно указав одновременность роста активности взломов и мощной осенней атаки на 13 «корневых» серверов Сети. Затем для защиты критической инфраструктуры, которая включает информационные сети ядерных фабрик и компьютеры военных ведомств, требуют деньги, а их не так легко найти. Мешают либо существующие позиции конкурентов, например, в США —  партии демократов, и нежелание сектора IT и телекоммуникаций участвовать в грандиозных проектах за свой счет, ведь частью плана является создание системы национальной идентификации, а для начала сетевого слежения (даже в «процветающих» США hi-tech настойчиво просят найти нужные средства, чтобы сделать Сеть безопаснее).

Статистика хакерской активности, полученная за один из периодов прошедшего года, наконец, развенчала миф об опасности Западу, якобы исходящей из стран третьего мира, т.е. Индии, России, Пакистана. Как показывают данные: 40% от всех атак возникают и развиваются в США, а 80% — локализуются в 10 странах, где опять же индустриально развитые государства откровенно доминируют. Вообще получается, что только 1% от всех атак исходит из тех стран, которые причислены к якобы государствам, прямо или косвенно поддерживающими терроризм. Вот вам и лицо кибертерроризма.

Страны локализации компьютеров, с которых осуществляются хакерские атаки, 2002

Страны локализации компьютеров, с которых осуществляются хакерские атаки 2002

Источник: Riptech

Пока за объединением усилий в области сетевой безопасности под железной пятой государственного сектора развитых стран по обе стороны Атлантики мало видно, кроме тени Большого Брата. В той же мере усиливающееся давление сверху не приводит к искомым результатам: видимо у Сети есть свои пределы регуляции, а точнее саморегуляции. Это показывают не громкие публичные инициативы или заявления корпораций-гигантов, что в будущем продукты будут максимально безопасными, а рост сотрудничества и пролиферация горизонтальных связей между сообществами производителей ПО, вендоров, экспертов, аналитиков и отвечающих за информационную безопасность, потребителей, что в итоге напрямую сказывается на безопасности конечных пользователей.

И конечно, история с Microsoft, ищущего хакера для инструментальной проверки своего продукта, не самый показательный пример. А вот решение сообществ о том, что у производителя есть 30 дней для того, чтобы закрыть дыру в ПО после того, как о ней стало известно, к которому присоединилась ISS, «отметившаяся» несколькими нашумевшими открытиями летом прошедшего года, равно как разработка различных стандартов без государственного участия, это показатели роста ответственности и взаимного принятия интересов рынком в целом.

Именно такие маленькие продвижения являются ведущими для эффективного достижения более высокого уровня безопасности, ибо в остальном мало что изменилось за прошедший год: корпоративные сети остаются фактически незащищенными, глобальное электронное слежение не делает мир безопаснее, пользователь не следит за безопасностью своего ПО, число новых успешных атак и изощренных вирусов растет, баланс между privacy и безопасностью так и не был найден, более того privacy медленно, но верно загоняется в угол.

Электронная слежка почти узаконена

 Де Факто
За прошедший год или точнее после событий 11 сентября 2001 года не сходила с уст тема privacy, в первую очередь, по причине тех изменений, которые ее коснулись. Вердикт исследовательских и правозащитных организаций суров: privacy находится под угрозой со стороны государств и крупных корпораций, а общество всеобщего слежения, например в США, уже стало повседневной реальностью.

Впрочем, как показало одно из исследований середины 2002 года (осуществленное правозащитной группой Privacy International), этот процесс был еще обратим и далеко не повсеместен. При этом неоспоримым лидером в давлении на privacy являются США и Великобритания, за ними как всегда поспешает Европейское сообщество. Необычным оказалось то, что, напротив, в развивающихся странах пока идет разработка законов по защите privacy, видимо, из-за того, что они запаздывают по технологическому развитию, распространению Сети и ее приложений, либо осознают нехватку средств для таких мероприятий, как и, возможно, неэффективность такого рода слежения.

Можно сказать, что проблему privacy раздирают противоречия: с одной стороны частная информация не может собираться кем угодно без каких-либо предписаний, с другой стороны, давно имея возможность действовать только по решению суда, исполнительные органы хотят следить повсеместно и безотчетно. Это усугубляется тем, что в то время как широкомасштабная электронная слежка почти узаконена, частным компаниям «бьют» по рукам за такие «проступки».

Прецеденты были созданы в минувшем году в секторе интерактивной рекламы: privacy, например, была защищена от посягательств рекламной компании, которая незаконно собирала информацию о серфинге пользователей. В июле 2002 года небезызвестная DoubleClick легко отделалась, в итоге дополнительно выплатив штраф в размере 450 тыс. долл. в качестве компенсации за произведенное расследование и получив требование обязательного изменения своего отношения к privacy. Перед этим компания выплатила 1,8 мил. долл. частным лицам и их представителям за причиненный ущерб.

Действительно, дорого ли стоит privacy?! Не очень, особенно если рассматривать этот вопрос с точки зрения возможной оценки ущерба при нарушении privacy. Компромисс был очевиден: судебное решение было не самым суровым (для акул развитого капитализма-то), а в первую очередь, поучительным. Тем временем отрасль весьма настороженно отнеслась к данному разбирательству, т.к. в болезненном воображении многих топ-менеджеров уже замаячили нули огромных выплат по аналогии с делами против табачных компаний. Те, как все помнят, столкнулись с групповыми исками, что привело к более масштабным выплатам. Конечно дело не в том, чтобы поставить корпорации на место, засудив их групповыми исками. Гораздо важнее сделать их более ответственными в отношении privacy.

Тем временем, только сейчас корпорации осознают, что затраты и особое внимание к privacy клиентов это не просто слова, но продуманные усилия и весомые затраты, которые оправдывают себя в силу тревоги потребителей за свои персональные данные. На фоне повседневного слежения, обрушившегося со всех сторон, для потребителя это важный момент. Нарушение privacy со стороны государства или работодателей это уже вполне привычно, поэтому обычный человек старается хотя бы ограничить вторжение в сферу своего потребления.

Уже с начала августа 2002 года интернет-провайды Великобритании по новому закону могли стать обязаны перехватывать любые данные и хранить их, при этом, как отмечают аналитики, каждый провайдер стал бы по-своему договариваться с государственными органами, а издержки по слежению будут нести сами провайдеры, хотя их возмещение якобы гарантировано правительством. Детали до сих пор неясны до конца ни по процедуре слежения, ни по процедуре компенсации.

Тем же путем идет Европарламент, что выразилось в принятии закона о сохранении данных, обязывающим интернет-провайдеров и операторов телекоммуникационных услуг хранить данные о клиентах и другую информацию. Обязательства по хранению будут иметь силу в течение срока, превышающего время, необходимое для осуществления биллинга в отношении клиентов, а также действий, связанных с исполнением требований законодательства.

Такое политическое обязательство для телекоммуникационного сектора имело под собой невыгодную экономическую подоплеку: компании будут нести на себе издержки хранения всей информации «обо всех» и речь уже иногда заходит о 4-летнем сроке. По их мнению, данных, которыми они обеспечивают юрисдикционные органы, уже предостаточно, при этом непременно гражданские права клиентов будут нарушаться, а издержки будут непомерно высоки. Это мнение было выражено Ассоциацией Европейских интернет-провайдеров еще весной 2002 года. Конечно, техническая составляющая вопроса это ресурсы, как их используют и за чей счет. Вопрос же privacy по существу не менее животрепещущий, чем чисто экономическое негодование телекоммуникационного сектора: ведь вкупе с законом о защите данных законодательство, непосредственно связанное с борьбой с терроризмом, позволит органам слежения отслеживать деятельность любого лица, имеющую хотя бы один цифровой след. В ответ группа европейских правозащитных организаций уже подала протест Европарламенту, сравнив такие огромные полномочия европейских властей с властью Штази времен ГДР.

В свою очередь в США группа сознательных граждан подала иск в суд с требованием раскрыть планы правительственных агентств по созданию общенациональной системы идентификационных карт. И это, следует заметить, поучительный пример борьбы за свои права. В противном случае гражданин, потребитель, пользователь всегда будет подмят, равно как будут подмяты его права под интересы избранных.

Многочисленные дискуссии также вызвала в 2002 году проблема прав производителей и частных лиц, экспертов, энтузиастов, которые проводят исследования по безопасности ПО третьей стороны, а также переделывают продукты крупных производителей. Почти в самом конце года в эпопее, длящейся с лета 2001-го, был пройден очередной этап: «невиновен», — так решило жюри по поводу обвинения российской компании Элкомсофт в нарушении статей DMCA. Медленно, но верно, наиболее одиозные и абсурдные нормы рушатся, т.к. многие эксперты отмечают, что слишком ограничительная трактовка для процессов создания ПО, контента и сетевых процессов вообще, может сдерживать развитие IT-сектора в ближайшем будущем.

Кстати сама по себе коллизия с российской компанией и история с программистом Дмитрием Скляровым привела к тому, что положения DMCA могут быть пересмотрены, что расценивается многими в Сети как явная победа. После объявления вердикта две противоборствующие стороны, стоящие за конфликтом, сразу же обменялись комментариями: Electronic Frontier Foundation заявила, что теперь органам юрисдикции подан сигнал, что создание дополнительных программ не является преступлением, как бы это ни нравилось создателям основного программного кода. В ответ Business Software Alliance заявила, что будет бороться до конца со всеми правонарушителями. Хотя зачастую в таком случае разница между хакером и программистом стирается. Можно предположить, что только в этом году большинство акцентов будет расставлено окончательно. Да и борьбу за privacy не следует считать завершенной — все самое веселое ждет нас впереди.

Уязвимости: новые лица

Прошедший год легко охарактеризовать как борьбу крупных вендоров и ПО с открытым исходным кодом (Open source) в целом за пальму первенства по количеству дыр, открытых за год. Дебаты в течение 2002 года были жаркими: и какова должна быть общепризнанная политика производителей и исследователей в отношении дыр в ПО, устраивающая всех, и где больше проблем с безопасностью — в программном коде Linux или у продуктов от Microsoft. Анализ уязвимостей за последние несколько лет показывает, что ПО может быть уязвимо независимо от того, принадлежит ли оно кому-то или принадлежит всем. Действительно, количество дыр, найденных в этом году в open source продуктах, увеличилось значительно (как и предсказывалось в начале 2001 года) но при этом динамика самого Microsoft отнюдь не снизилась, и ожидать, что совсем скоро произойдет смена лидера трудно.

Этот год запомнился тем, что дыры находили почти везде: в среде BIND, версиях 4 и 8, при помощи которой управляются DNS сервера, а также в продуктах, редко замеченных в топ листах уязвимостей — среде Apache, OpenSSH, SSL и PGP и т.д. Независимо от того, были ли это open source разработки или принадлежащие той или иной компании продукты, большинство дыр серьезно угрожало пользователям. Поэтому не только общие меры по стимулированию безопасности своих продуктов нужны всем производителям, но тесные партнерские отношения, т.к. из-за того, что в разработке, продаже, исследовании ПО с открытым кодом переплелись интересы многих вендоров, групп исследователей и разработчиков, патчи выходили не ко всем версиям сразу, а иногда намного позже, чем был доступен эксплойт. В конце концов, было заключено негласное соглашение, которое дает 30 дней любому разработчику для решения проблемы.

Что касается других тенденций, то легко заметить, что кроме нахождения дыр в различных пользовательских средах, внимание злоумышленников приковано к моментальному использованию возможностей дыры, при этом налицо комбинация поиска и реализация уязвимостей и последующей атаки различными способами. Стала весьма частой практика вкладывания backdoor в продукты и их распространения с фальшивых сайтов от имени настоящего производителя, или взлом сайта для осуществления такой подмены. Кроме этого злоумышленники пытаются максимально маскировать свои ходы, действуя на микроуровне, так, например, была обнаружена троянская программа в Libpcap (библиотечный модуль), который широко распространен и зачастую используется в анализаторах пакетов и различных системах обнаружения атак (IDS).

Скрытая вставка backdoor в популярные, как платные, так и бесплатные приложения стала модным трюком среди хакеров. Далее такие программы смешиваются с «чистыми» вариантами и распространяются по Сети. Тот же пример с Sendmail и вышеупомянутый вариант атаки на гораздо менее массовое сообщество говорит о том, что любая информация ценна, а та, которая защищается, тем более ценна, а поэтому интересна для атакующих.

В наступившем 2003 году можно ждать не меньшего числа уязвимостей у open source, еще более повышенное внимание к немассовому ПО и продуктам по защите информации со стороны злоумышленников, более быструю реализацию эксплойтов, комбинации атак и активную модификацию вредоносного кода под не до конца закрытые дыры, и, конечно, старый добрый социальный инжиниринг.

Вирусы: каких только не было

Разные и на любой вкус, так можно охарактеризовать компьютерные вирусы 2002 года. Простые и иногда тем самым изощренные, использующие те же самые дыры и быстро регенерируемые злоумышленниками, именно такими запомнился в первую очередь вредоносный код в прошедшем году. Взять тот же Klez: в его первых версиях вирус мало кто воспринимал серьезно, а он стал бессрочным лидером за 2002, при этом его лидерство претендует на то, чтобы признать его самым массовым вирусом за всю историю. Его охват и долгий период распространения показали, насколько медленно излечиваются уязвимости в ПО особенно на фоне быстрой модификации кода вируса и насколько пользователи наплевательски относятся к безопасности. Но нельзя не отметить, что взрывной или затяжной характер заражения клещом и других массовыми вирусами зависит в первую очередь от характеристик дыры и популярности последней в ПО пользователя. Так до сих пор не уходит со сцены Nimda, прошумевший еще в сентябре 2001 года.

Klez лидировал в прошлом году почти у всех ведущих статистику заражений компаний: такие данные предоставили MessageLabs, Sophos, Panda Software. Оно и понятно, во-первых, он использовал популярную дыру для заражения, во-вторых, — популярную среду для распространения. В третьих, в своих лучших «улучшенных» версиях он запускался автоматически в некоторых почтовых клиентах и затем блокировал работу многих антивирусных программ.

Также внимание привлек к себе Bugbear — вирус, который ставил рекорды вслед за Klez'ом. Bugbear по «популярности» за первую неделю превзошел по некоторым данным первую версию Klez'а: в MessageLabs было заявлено, что ими перехвачено 320 тысяч зараженных вирусом Bugbear писем за первую неделю. Нанося удар через почту или локальные сети, он постоянно менял названия вредоносных файлов, ликвидирует антивирусы и межсетевые экраны, а после начинает считывать информацию нажатия клавиш для перехвата логина и пароля для того, чтобы сделать эти данные известными для злоумышленника.

Заражения происходили в среде IE 5.01 и 6.0, если к ним не установлены патчи, через открытие прикрепленного файла. Название писем и файлов менялись, но вирус отличал его неизменный вес в 50,688 байт. Интересным фактом являет также то, что вирус работает, используя ту же дыру, что и Klez, что продемонстрировало, что большое количество пользователей по сей день игнорируют проблему своей безопасной работы.

Вирус Slapper.А, заразивший около 6000 машин, работающих на платформах Linux, оказался не так прост, как показалось на первый взгляд. Способность к регенерации говорит не только о настойчивости злоумышленников, но и о серьезности уязвимого места в программном обеспечении и в равной степени об удачном коде вообще. Более того, разница между выходом Slapper.В и Slapper.С составила всего 24 часа, а это был достаточно короткий срок. Использующий возможности дыры в SSL 2.0 для Apache в своем третьем варианте вирус заразил 1500 серверов, а его первоначальный код быстро «разошёлся» по сообществам, которые реактивно, как будто соревнуясь, быстро выдали две новые модификации. Все это доказывает повышенный интерес злоумышленников к open source ПО, равное как способность менять код вируса. Даже при смене приоритетов злоумышленников в сторону троянских программ, MessageLabs отмечает, что все больше злоумышленников интересуют операционные системы, работающие под Linux, и сервера под Apache: в неделю компания вылавливает до 40 новых «троянцев» в неделю.

Динамика заражений компьютеров

Динамика заражений компьютеров

Источник: www.messagelabs.com

Сама по себе динамика заражений за год показательна, хотя трудно выделить сезонность заражений, скорее всего динамика зависит от качества дыры, вредоносного кода и, следовательно, охвата заражения или эпидемии. Хотя по всей видимости в октябре 2002 года Klez еще не сошел со сцены, а Bugbear на нее поднялся. Несмотря на то, что прошедший год запомнился массовыми почтовыми червями, эксперты на 2003 год предсказывают более резкую смену приоритетов злоумышленников: время макровирусов и массовых почтовиков уходит, в этом году они отличились в основном в среде небольших офисов и пользователей, работающих на компьютере из дома. В 2003 году наступит время троянских программ и backdoor для создания несанкционированного удаленного доступа, а также вариаций использования «серого» шпионского ПО, которое дает информацию о сетевом поведении пользователя. Вирусы будут нужны, чтобы не вывести машину из строя, а контролировать и красть информацию, получив максимум данных о пользователе.

Более подробная статистика эпидемии компьютерных вирусов в 2002 году приводится в отчете компании «Лаборатория Касперского», который мы приводим ниже.

Обзор вирусной активности за 2002 год

Логотип Лаборатории Касперского

В 2002 г. было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов («Sircam», «Hybris», «Magistr», «CIH», «BadtransII», «Thus» и др.).

В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус «LFM» и вирус «Donut», который впервые использовал для своего распространения технологию .NET. Однако развитие событий показало, что оба вируса оказались не более чем концептуальными: в дальнейшем не было зарегистрировано ни одного случая заражения ими. В середине мая были обнаружены сетевые черви «Spida», (заражающий SQL-серверы) и «Benjamin». Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Лучшим опровержением распространенного мнения, что эта операционная система защищена от любых вредоносных программ, стал червь «Slapper», который всегоза несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь «Scalper» также получил довольно широкое распространение.

Нельзя не отметить стремительный рост т.н. коммерческих вредоносных программ, которые преследуют конкретные коммерческие цели — похищение конфиденциальных данных, финансовых средств, паролей доступа в Интернет или другие действия, наносящие какой-либо материальный ущерб пользователям.

Самые распространенные вредоносные программы

Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет-червь «Klez». Данная вредоносная программа была впервые обнаружена 26 октября 2001 г. и с тех пор не выходила из списка наиболее распространенных угроз. В истории компьютерной вирусологии еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться на высших позициях «десятки». Однако в течение года свирепствовали лишь две из десяти существующих разновидностей этого червя — «Klez.H» (обнаружен 17.04.2002) и «Klez.E» (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны «Klez».

Десятка самых распространенных вирусов в 2002 г.

No. Название %* Индекс распространенности
1 I-Worm.Klez 61,22% 10,0
2 I-Worm.Lentin 20,52% 3,4
3 I-Worm.Tanatos 2,09% 0,3
4 I-Worm.BadtransII 1,31% 0,2
5 Macro.Word97.Thus 1,19% 0,2
6 I-Worm.Hybris 0,60% 0,1
7 I-Worm.Bridex 0,32% 0,1
8 I-Worm.Magistr 0,30% 0,1
9 Win95.CIH 0,27% 0,1
10 I-Worm.Sircam 0,24% 0,1

* доля от общего количества зарегистрированных инцидентов

По масштабам и продолжительности эпидемия «Klez» не имела себе равных. Ближайшим конкурентом «Klez» оказался интернет-червь «Lentin». Несмотря на трехкратное отставание он имеет все шансы в следующем году завоевать высшую ступень пьедестала. Данные последних трех месяцев свидетельствуют, что «Lentin» уже превосходит «Klez» по количеству вызванных инцидентов.

Показатели остальных конкурентов этого дуэта выглядят скромно. Недавний возмутитель спокойствия червь «Tanatos» (также известен как Bugbear) проявил свои вирулентные свойства только в октябре. После этого он благополучно слился с остальными лидерами вирусных «хит-парадов» практически у оси абсциссы.

Интересно отметить, что 4 верхних позиции в рейтинге заняли вредоносные программы, использующие для своего распространения IFRAME-брешь в системе безопасности Internet Explorer. В целом на них приходится более 85% всех инцидентов. Это обстоятельство доказывает важность своевременной установки «заплаток». Однажды установив «заплатку» пользователь не только автоматически защищает свой компьютер от большинства действующих вирусных угроз, но и гарантирует защиту от всех подобных угроз в будущем.

Динамика распространенности вредоносных программ в 2002 г.

Динамика распространенности вредоносных программ в 2002 г.

В конце года наметилась интересная тенденция в качественном составе самых распространенных вредоносных программ. Если раньше почти 100% всех инцидентов приходилось на один, два, максимум три вируса, то начиная с сентября ситуация коренным образом изменилась. С этого момента наблюдается т.н. диверсификация — все больше заражений приходится на вирусы, не вошедшие в «хит-парады»: в декабре этот показатель достиг 62%. Это свидетельствует о том, что пользователи наконец обратили внимание на главные угрозы и предприняли необходимые меры защиты. Грамотные действия пользователей повлекли за собой сокращение числа инцидентов с участием, например, «Klez», «Lentin» и «Tanatos». Однако снижения общего количества заражений не отмечено. Это позволяет заключить, что на арену вышло большое количество других вредоносных программ (например, Bridex). По отдельности доля каждой из них невелика, но в совокупности они составляют достаточно внушительный объем и представляют реальную угрозу для пользователей.

Типы вредоносных программ в 2002 г.

Не менее интересно выглядит картина распространенности различных типов вредоносных программ. Вплоть до сентября продолжалось традиционное доминирование сетевых червей. Однако события 4 квартала наглядно свидетельствуют о тенденции снижения доли сетевых червей и росте доли компьютерных вирусов и «троянцев». Уже в декабре вирусы прочно удерживали 2 позицию с 31,3%, за которыми следовали «троянцы» (16,6%). В целом за 2002 г. доля червей составила 89,1%, вирусов — 7,0%, «троянцев» — 3,9%.

С одной стороны это показывает, что пользователи стали обращать больше внимания защите электронной почты, как главного источника сетевых червей. С другой — абсолютный и относительный рост доли других типов вредоносных программ дает основание утверждать, что пользователи все меньше считают их источниками реальной угрозы и поэтому уделяют меньше внимания адекватной защите. В действительности деструктивные действия вирусов и «троянцев» могут иметь никак не меньшие негативные последствия для безопасности данных как на домашних компьютерах, так и в корпоративных сетях. Это обстоятельство делает необходимым дальнейшее укрепление систем защиты от вирусов (прежде всего макро-вирусов) и «троянцев». Для успешного решения этой задачи мы также рекомендуем пользоваться дополнительными технологиями ИТ-безопасности: поведенческими блокираторами, ревизорами изменений и межсетевыми экранами. В сочетании с традиционными антивирусными сканерами они позволят минимизировать риск заражения вредоносными программами. Кроме того, такой подход создаст достаточно стойкий иммунитет против заражения неизвестными вирусами и «троянцами».

Динамика распространенности типов вредоносных программ в 2002 г.

Динамика распространенности типов вредоносных программ в 2002 г

Сетевые черви

В структуре распространенности сетевых червей традиционно преобладают почтовые черви (прежде всего «Klez» и «Lentin»), использующие e-mail в качестве основного транспорта для доставки на целевые компьютеры. Появляется все больше почтовых червей, которые применяют метод прямого соединения с SMTP-сервером. Эта тенденция объясняется тем, что традиционный способ рассылки червей (например, через Outlook или другие почтовые клиенты) уже не имеет достаточных шансов на успех. Производители почтового ПО интегрировали в свои программы антивирусные модули или специальные функции для предотвращения несанкционированной рассылки каких-либо данных. Учитывая это, вирусописатели все чаще используют новые технологии распространения червей, которые обходят такой тип защиты.

Типы вредоносных программ в 2002 г.

Типы вредоносных программ в 2002 г

Другие типы червей присутствуют на графике эпизодически. Среди них выделяются:

  • LAN-черви (2,5%), распространяющиеся по ресурсам локальных сетей;
  • P2P-черви (1,7%), распространяющиеся по Peer-to-Peer сетям (например KaZaA);
  • IRC-черви (0.2%), распространяющиеся по каналам IRC (Internet Relay Chat).

Самые распространенные типы сетевых червей, 2002

Самые распространенные типы сетевых червей 2002

Вирусы

Среди замеченных в 2002 г. компьютерных вирусов, как ни странно, больше всего себя проявили макро-вирусы (56,1%). Прежде всего здесь стоит отметить «Thus», «TheSecond», «Marker» и «Flop». Эти макро-вирусы для текстового редактора Microsoft Word существуют не один год. Эпидемии с их участием были зафиксированы много лет назад, но сегодня они переживают второе рождение: пользователи, уверенные в том, что макро-вирусы полностью сошли со сцены реальных угроз, ослабили бдительность и соответствующие системы защиты. Немного отстают от лидеров Windows-вирусы (40,9%). Больше всего заражений вызвали «Elkern», «CIH», «FunLove» и «Spaces». Практически незаметными в течение 2002 г. оказались скрипт-вирусы (2,7%) и другие типы этого класса компьютерной фауны (0,3%).

Самые распространенные типы компьютерных вирусов, 2002

Самые распространенные типы компьютерных вирусов 2002

Троянские программы

На протяжении всего года присутствие «троянцев» в списке самых распространенных типов вредоносных программ было скорее номинальным. Однако в последнем квартале они попытались наверстать упущенное и в декабре вышли на уровень 16,6%. В категории «троянские программы» единолично лидируют утилиты несанкционированного администрирования (backdoor, 54%). которые позволяют злоумышленникам незаметно управлять зараженным компьютером на расстоянии. Более чем в 2 раза отстают PSW-троянцы (17,9%) — вредоносные программы, похищающие с зараженных компьютеров системную информацию и пароли доступа (например, в Интернет) для их последующего нелегального использования. Остальные 28,1% приходятся на другие типы «троянцев», которые засылаются на компьютеры-жертвы для выполнения специфических задач.

Самые распространенные типы троянских программ, 2002

Самые распространенные типы троянских программ 2002

Источники вирусной угрозы

Несмотря на произошедшие изменения в структуре наиболее распространенных типов вредоносных программ, абсолютное лидерство среди главных источников вирусной угрозы остается электронная почта (96,4% от всех зарегистрированных инцидентов). Следом за ней находятся Интернет (web-сайты, FTP-сайты, P2P-сети, IRC-каналы и пр.) — 2,3%, и мобильные накопители информации (дискеты, CD-ROM, магнитооптические диски и пр.) с 1,3%. Подобное распределение доказывает факт, что электронную почту в качестве основного канала распространения используют не только сетевые черви, но также вирусы и «троянцы». Отличие состоит лишь в том, что первые действуют активно (имеют функции самораспространения), а вторые и третьи — пассивно (рассылаются непосредственно вирусописателями или зараженными пользователями).

Основные источники вирусной угрозы в 2002 г.

Основные источники вирусной угрозы в 2002 г.

Компьютерные мистификации

Как известно, любая угроза вызывает умышленные и неумышленные спекуляции. Пословица «у страха глаза велики» а как нельзя лучше подходит и к компьютерным вирусам, которые породили весьма интересный феномен — компьютерные мистификации. Он основан на распространении ложных слухов о появлении новых чрезвычайно опасных компьютерных вирусов. По сути дела эти слухи и были своего рода вирусами: напуганные пользователи распространяли такие сообщения по всем своим знакомым с необычайной скоростью. Вряд ли стоит останавливаться на том, что мистификации не наносят компьютерам никакого ущерба. Однако, вместе с тем, они загружают каналы передачи данных, нервируют других пользователей и дискредитируют людей, поверивших в эти слухи.

2002 г. не стал исключением, пользователи регулярно засыпали друг друга как старыми, так и новыми мистификациями. Наибольший резонанс имели слухи о вирусах «JDBGMGR» и «Ace-?», а также «SULFNBK», «Virtual Card for You», «California IBM» и «Girl Thing».

Статистика случаев мошенничества в интернете

По данным Федеральной комиссии США по торговле (FTC), в 2001 году произошло 86178 случаев мошенничества в интернете, связанных с кражей реквизитов платежных карт. Aberdeen Group подсчитала, что в 2002 году кражи в онлайне нанесли ущерб в $8,75 млрд. Так, только одно самое крупное преступление, связанное с кражей данных о кредитных картах, привело к $2,7 млн. убытков и 30 тыс. потерпевших. В 2003 году, утверждает Aberdeen, кибермошенники активизируются как никогда, из-за чего индустрия недосчитается $24 млрд.

Провайдер электронных биллинговых решений Star Systems провел в ноябре опрос, который показал, что 5,5% респондентов были жертвами кражи данных о кредитках, а 19% знают хотя бы одного человека, с которым это случилось. Не все произошло «благодаря» интернету: 16% пострадавших заявили, что просто потеряли бумажник с карточкой или его у них украли. По данным исследований Института Пью (Pew Internet & American Life Project), выпущенного в августе 2000 года, 80% кредитных карт воруют в реальном, а не виртуальном мире. FTC сообщила, что чаще всего карты крадут у 30-39-летних людей, в Нью-Йорке, Чикаго, Лос-Анджелесе, Хьюстоне, Майами и Сан-Франциско в порядке убывания частоты случаев. Данные о краденых картах используются в 42% случаев для покупок, в 20% — на оплату телефонной связи и услуг, в 13% случаев их несут обналичивать в банк.

Кроме того, интернет оказался первым источником мошенничества в списке ежегодного отчета Федеральной комиссии США по торговле (FTC), получив первое место по 10 категориям преступлений. В 2002 году 47% всех мошенничеств, не связанных с кражей номеров кредитных карт и других реквизитов, произошли в интернете, что на 31% выше, чем в 2000 году. Что же касается кражи реквизитов («identity theft»), то здесь интернет был всегда впереди, однако по сравнению с 2001 годом количество случаев выросло с 220 тыс. до 380 тыс., а в денежном выражении — со $160 млн. до $343 млн.

Сайты наиболее привлекательные для интернет-мошенников в 2002 г. (число жалоб в США)

Сайты наиболее привлекательные для интернет-мошенников в 2002 г. (число жалоб в США)

Источник: FTC

Между тем, следует учитывать, что причиной роста количества жалоб на интернет-мошенников в 2002 г. могло стать и увеличение партнеров, поставляющих информацию в базу данных Бюро — Consumer Sentinel. 40% жалоб пришли из различных организаций, таких как Центр жалоб по поводу мошенничества в интернете (IFCC), генеральных инспекторов офисов администрации социального обеспечения, центра информации о мошенничестве при Национальной лиге потребителей и других.

Экономика сектора: рост вопреки

Сектор IT безопасности в меньшей степени подвергся влиянию упадка экономик развитых стран, уровень продаж достаточно высок, а сам рост продолжается. Вендоры сейчас стараются охватить не только индивидуальных пользователей и корпорации, теперь они обратили внимание на средние и небольшие фирмы. Несмотря на инерцию принятия решений по покупке специальных приложений, программ и аппаратных средств, успех информационного давления на общественность налицо. Например, одно из исследований показало, что 88% руководителей находят IT безопасность существенной для работы компании, а 56% из опрошенных указали, что предприняли конкретные действия в этом направлении, ведь финансовые потери от атак могут достигать десятков миллионов долларов.

Рост бюджетов и стимулирование покупок ПО и аппаратных средств, отвечающих за безопасность приложений и работы корпоративных подсетей, отмечается по Европе. Наиболее примечательным фактом является то, что 1/4 европейских компаний заявила в 2002 году, что отдача на инвестиции в сферу безопасности оказались высокими или даже выше, чем ожидалось. К тому же 20% «европейцев» признались, что в ближайшие три года создадут PKI системы, а 14% — что планируют подключение к такого рода услугам у известных поставщиков и центров сертификации.

Но многие исследователи отмечают, что, несмотря на то, что бюджеты увеличились в 2 раза за последние 5 лет (правда, забывая с какой скоростью растут уязвимости), IT-безопасность остается головной болью корпораций, судя по количеству болезненных уколов. Поэтому вопрос покупки решений требует разумного подхода, а не просто раздутых бюджетов. IT безопасность в основном это организационное явление, а не сугубо технологическое, поэтому оценка рисков, аудит и консалтинг «подтягиваются», выходя из тени роста продаж продуктов и предоставляя потребителям соответствующие услуг. Однако на уровне общемировой нестабильной рыночной конъюнктуры трудно делать какие-либо точные прогнозы.

Между тем, согласно опросу Technology Confidence Barometer, проведенному в ноябре и декабре 2002 года компанией RoperNOP Technology и изданием Silicon.com в Европе и Cahners и CMP в США среди свыше 1100 ИТ-директоров, информационная безопасность и VPN станут двумя наиболее быстрорастущими сегментами ИТ-сектора в 2003 году: вложения в эти области вырастут на 8,6% и 6,7% соответственно по сравнению с прошлым годом. Высокоскоростную передачу данных европейские ИТ-директора также ставят во главу угла, планируя потратить на эти технологии на 6,5% больше средств. Особое внимание уделяется и разработке веб-приложений, а также внедрению беспроводных локальных сетей и средств хранения данных.

Однако сектор ИТ-услуг, по всей видимости, ожидает еще один довольно безрадостный год. Расходы на аутсорсинг в Европе, согласно прогнозам, вырастут лишь на 0,9%, и на 1,9% — на ИТ-консалтинг. Однако, отмечают эксперты, каким бы малым ни был этот рост, это все же лучше, чем полное его отсутствие, как в 2002 году.

Ричард Джеймсон (Richard Jameson), управляющий директор RoperNOP Technology, счел необходимым отделить аутсорсинг бизнес-процессов — один из наиболее «модных» терминов в сегодняшней ИТ-индустрии — от ИТ-аутсорсинга. По его словам, аутсорсинг бизнес-процессов, по всей видимости, останется одним из наиболее растущих сегментов. В то же время, когда в проводимом опросе ИТ-директорам задавался вопрос о традиционном ИТ-аутсорсинге, оказалось, что многие из них намерены не передавать эти функции сторонним компаниям, стремясь максимально сократить расходы.

Сектор промежуточного программного обеспечения также не испытает значительного роста в 2003 году — в Европе он вырастет лишь на 1,9%.

Россия: мало информации и мало денег

Российский сектор IT безопасности имеет свою специфику, которая выражается в сравнительно небольшом технологическом отставании, нехватке средств на целевые федеральные программы и общей непрозрачности рынка. Каков общий объем рынка в 2002 г. — 60, 80 или около 120 млн. долларов — трудно ответить. Как и трудно оценить его потенциал. Более менее точно можно говорить только о рынке антивирусного ПО. По данным последнего исследования IDC общий объём доходов от продаж лицензий на российском рынке антивирусного программного обеспечения в 2001 г. составил. 6,4 млн. долл. и в 2002 г. вырастет на 75%. На рынке доминирует продукция местного производства — отчасти благодаря сложившимся в России традициям разработки такого ПО. (Подробнее вопрос объема рынка ИБ в России будет изучен нами в рамках Обзора «Рынок защиты информации 2003», публикация которого намечена на апрель 2003 года).

В экономики России есть высоко прибыльные сектора, есть также отрасли, которым безопасность в сфере IT крайне необходима — на их пересечении нужно искать клиента. Конечно, речь идет о корпоративном клиенте, на который ориентируются даже создатели антивирусного ПО (рост по России до 8 млн. долларов по данным IDC). Только вот не все до конца ясно, как в отношении рыночных предложений, так и стандартов и требований, предъявляемых государством. То, что лицензирование деятельности по защите информации стало легче, говорит о расширении предложений рынка. То, что законодательная база не отражает всех нужд отрасли и потенциальных клиентов, стало ясно даже после принятия пресловутого закона о ЭЦП.

Понятно, что такие программы как «Электронная Россия» нужны для популяризации IT в целом, а при нынешнем уровне финансирования можно говорить только о создании точек доступа и каналов связи, а не о крупных проектах и кластерах. Хотя защита могла и должна быть одним из таких кластеров. Однако в программе на безопасность, а точнее на мероприятия, связанные с разработкой систем защиты информации и данных, в 2002 г. было выделено около 2,5% от общего финансирования программы, а в 2003 г. будет выделено около 0,66%. По мнению представителей ФАПСИ, работающее в этой сфере, этих денег недостаточно как для анализа защищенности программы, так и для разработки средств защиты информации. Агентство считает, что финансирование этих работ должно составлять не менее 20%, как в аналогичных программах зарубежных стран. Хотя не следует забывать, на каком уровне развития находится Россия. С другой стороны на вызовы времени нельзя просто закрыть глаза.

По словам Владимира Хрупова, заместителя генерального директора ФАПСИ, в текущем 2002 г. на работы агентства по программе «Электронная Россия» было выделено 14,5 млн. рублей. Общее финансирование программы составило 600 млн. рублей. Однако, по оценке Владимира Хрупова, для проведения всех необходимых работ по анализу рисков, защищенности и создание средств информационной безопасности требовалось около 150 млн. рублей. С учетом этого агентство составило заявку на финансирование в следующем 2003 г. в объеме 331 млн. рублей.

Но, несмотря на запрос и прилагающееся обоснование, на 2003 год в программе «Электронная Россия» на комплекс работ по защите информации, реализуемых ФАПСИ, будет выделено только 9,5 млн. рублей. По словам Владимира Дышканта, начальника управления государственного заказчика ФАПСИ, «теперь мы будем выполнять работы на эту сумму». Причем это произошло в условиях увеличения общего финансирования программы более чем в 2,5 раза. А вот это уже не совсем адекватное решение. Впрочем, аппаратные интриги зачастую живут своей жизнью. Всего ФАПСИ участвует в более чем 30 программных мероприятиях «Электронной России», и на весь необходимый объем работ на 2003 год — 9,5 млн. рублей. Заместитель генерального директора ФАПСИ сравнил эту ситуацию с «размазыванием манной каши по тарелке». Трудно с этим не согласиться, ведь решив краткосрочные, мелкие задачи программа может вообще не оказать никакого влияния на развитие IT сферы в России.

Для сравнения напомним, что администрация президента США третий год подряд увеличивает размер бюджета на информационную безопасность. Так, на следующий год будет предложено выделить $4,9 млрд. против $4,7 млрд., отведенных на 2003-й, и $2,7 млрд., истраченных в 2002 г. ИТ-бюджет администрации на 2004 год также будет увеличен на 13%, до $59 млрд.

Похоже, действительно растущей отрасли защиты информации навряд ли могут помочь вливания бюджетных средств. Поэтому можно говорить о том, что нужно рынку от регулирующих органов в рамках того, что они способны дать. Речь идет о режиме благоприятствования сектору IT безопасности и появлении общих стандартов. ФАПСИ действительно становится либеральнее: ведь темпы развития рынка информационной безопасности в России за последние несколько лет легко иллюстрировать данными статистики. Так, за последнее десятилетие прошлого века (1991-2000 гг.) агентство выдало нескольким десяткам организаций всего 174 лицензии, а только за один лишь 2001 год уже 324 организации получили 750 лицензий. На защиту документооборота выдано 250 лицензий, сертифицировано 500 средств защиты информации.

ФАПСИ настроено в меру либерально, ибо, не разрешив рынку ничего, трудно говорить о безопасности российских предприятий. Изучив ситуацию без лишней спешки, агентство не настаивает на обязательном лицензировании даже средств криптографической защиты информации (СКЗИ) для коммерческих организаций. В проекте Закона «О лицензировании отдельных видов деятельности» ФАПСИ предлагает внести соответствующие изменения: «Если сам потребитель идет на это, то государство не может настаивать на лицензировании», — заявил представитель агентства на сочинской конференции, которая прошла в сентябре 2002 года.

Сочинская конференция стала одним из первых мероприятий, на которых в узком кругу было объявлено и о создании Общественной Ассоциации Производителей Средств Защиты Информации в России. Очевидно, что создание ассоциации на рынке защиты информации назрело давно. Первым доводом, приведенным ее руководителем, г-ном Емельяновым, стало указание на тенденцию стремительного роста отечественного рынка информационной безопасности. Важной задачей, которую ставит перед собой ассоциация, является создание атмосферы корректной конкуренции. Еще одной причиной, побудившей рынок к такой форме самоорганизации, стала необходимость создания налаженной системы контроля качества, т.к. «бывают случаи, когда портфель заказов компании слишком раздувается в ущерб качеству». Для предотвращения подобных ситуаций, по мнению создателей организации, и нужна авторитетная организация. Правда не совсем понятно, как будет налажен процесс контроля качества, и как ассоциация будет следить за корректностью конкуренции, ведь скрытость данного рынка — его специфика. По имеющимся данным, в ассоциацию вошли: ОКБ САПР, Оптима, Инфосистемы Джет, Гамма, Инфотекс и несколько других организаций.

Другим, более прозрачным и ясным по целям, партнерством отличились пять российских компаний — разработчиков решений в области информационной безопасности, которые объявили об объединении усилий в целях достижения взаимной совместимости продуктов. Соглашение о сотрудничестве, подписанное компаниями НТЦ «Атлас», «Крипто-Про», «Фактор-ТС», «МО ПНИЭИ» и «Инфотекс», направлено на разработку единого стандарта на формат представления параметров алгоритма ЭЦП. По мнению партнеров, отсутствие такого стандарта тормозит развитие системы электронной подписи на федеральном уровне. Сертификаты, выдаваемые удостоверяющими центрами, которые поддерживают средства криптографической защиты информации различных российских производителей, оказываются несовместимыми между собой. И именно это сдерживает сектор, равно как развитие отрасли в целом.

Согласно официальному пресс-релизу, в рамках соглашения будут объединены усилия для достижения взаимной совместимости продуктов компаний-партнеров, их комплексных решений в области построения защищенных информационных и телекоммуникационных систем, разработанных на основе технологии цифровых сертификатов открытых ключей и сертифицированных средств криптографической защиты. До появления стандартов Стороны будут использовать форматы сертификатов открытых ключей, форматы криптографических сообщений, представленные в документе, разработанном «Крипто-Про»: «Рекомендации к средствам криптографической защиты информации на взаимодействие удостоверяющих центров, реестров сертификатов, сертификаты ключей формата Х.509 и электронные документы формата CMS».

Для выполнения задач партнерства и решения возникающих вопросов создана рабочая группа из специалистов компаний-участников, руководителем которой назначен первый заместитель генерального директора НТЦ «Атлас». Соглашение открыто для подписания другими организациями-разработчиками, имеющими лицензии ФАПСИ на разработку средств криптографической защиты информации.

В качестве другого позитивного сдвига следует отметить появление стандарта информационной безопасности, разработанного Гостехкомиссией России. Это событие было признано важным шагом для всей отрасли в целом. Принятие «Специальных требований и рекомендаций по защите конфиденциальной информации от утечки по техническим каналам (СТР-К)», над разработкой которых специалисты работали долгое время, привело к тому, что у специалистов есть теперь первоначальный специальный документ, который можно применить при создании системы безопасности предприятия или анализе существующих процессов.

И хотя имели место споры о юридической силе документа, при этом его распространение сдерживалось межведомственными недоговоренностями, к нему благосклонно отнеслись многие эксперты. Принятие данного документа в совокупности с новым Административным Кодексом, фактически, дает возможность ГТК взыскивать штрафы с предприятий, уделяющих недостаточное внимание защите информации. Под действие санкций могут попасть как государственные предприятия и ведомства, так и организации всех иных форм собственности. Конечно, дело не в санкциях, а в том, что в России появился более менее точный стандарт по технической защите конфиденциальности информации.

Ефим Осипов / CNews.ru

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Toolbar | КПК-версия | Подписка на новости  | RSS