Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Компьютерный андеграунд переходит в лигу «профессионалов»

Компьютерный андеграунд переходит в лигу 'профессионалов' Компьютерный андеграунд быстро взрослеет и переходит из разряда «любителей» в лигу «профессионалов». Как следствие, эксперты отмечают слияние криминала виртуального с его реальными коллегами. Под удар попадают все — и частные пользователи, и бизнес, и госструктуры по всему миру.

Итак, свершилось — практически все производители средств ИТ безопасности сошлись в своем мнении о том, что криминальный бизнес в интернете окончательно сформировался и начал срастаться с обычным, реальным. Время одиночек-альтруистов прошло. Криминальная индустрия и индустрия безопасности оказались лицом друг к другу. Именно этот факт по-настоящему характеризует глубину проникновения и роль информационных технологий в жизни общества.

Что движет кибер-преступниками?

Чем же определяется поведение людей, занимающихся мошенничеством в сети? По мнению Евгения Касперского, генерального директора «Лаборатории Касперского», «основной движущей силой криминала в интернете стала жажда наживы. В связи с этим людей, занимающихся преступным «творчеством» и, соответственно, их творений - например, таких как черви Slammer, Sasser или Mydoom, становится всё меньше. Их нишей остаются, так называемые, «концептуальные» вирусы в пока еще не криминализованных зонах. Сейчас практически исчезли глобальные инциденты: многие виновники эпидемий прошлых лет обнаружены или изолированы от общества, а новые не стремятся составить им компанию». При этом, отмечает г-н Касперский, безопаснее интернет не становится: непрерывно растет количество и качество троянских программ и червей, созданных с откровенно преступными намерениями людьми, которые умеют считать деньги. В итоге написать троянца и осуществить его спам-рассылку экономически более выгодно, чем разрабатывать почтового червя с троянским функционалом. Как следствие, фокус усилий антивирусных компаний сместился, по мнению эксперта, на разбор завалов, созданных шквалом зловредного ПО, «штампуемого» ремесленниками из андеграунда. Единственным их «сомнительным достижением» за последние годы Евгений Касперский называет создание программ-шантажистов, чей функционал сводится к шифрованию данных с целью последующего вымогательства денег за восстановление исходного кода.

Владимир Мамыкин, директор по ИБ «Майкрософт Рус», со своей стороны, отмечает, что за последние годы в связи с резким ростом платежей населения через интернет, а также приходом малых и средних компаний, обладающих недостаточным опытом обеспечения ИБ, на рынок финансовых и торговых операций через сеть, преступные группировки, связанные с кражей информации, получили широкие возможности для своей деятельности. Их атаки стали фокусными, нацеленными на конкретного клиента или отрасль экономики (например, фондовый рынок). Во-вторых, в Microsoft отмечают, что ранее от вирусных и DoS атак преступники фактически не получали выгоды. Сейчас же все атаки нацелены на извлечение прибыли. В связи с этим в такие группировки стали включаться не только хакеры, но и люди, обслуживающие противоправные сделки: например, реализующие товары, реально купленные в интернет-магазинах по украденным данным о кредитных картах. По мнению г-на Мамыкина, это пример конвергенции и взаимопроникновения преступности реальной и виртуальной.

Характерной чертой 2006 - первой половины 2007 гг. стала активизация конкурентной борьбы внутри криминала за ресурсы всемирной паутины. Количество бот-сетей растет, но объемы спама растут гораздо быстрее. На фоне ужесточения соответствующего законодательства многих стран, повышения процента пользователей антивирусных пакетов и файерволов, а также усиления осведомленности пользователей об опасностях виртуального мира, создавать новые компьютеры-зомби всё сложнее и сложнее. А ведь и количество компьютеров тоже не безгранично.

В результате отмечается повышение «КПД» от использования существующих зомби-сетей и начало криминальных войн между преступными группировками за право их обладания. Способы борьбы здесь те же, что и при атаках на обычных пользователей — вирусы, черви, троянцы и т.д., но с особым функционалом — выявлением и уничтожением зловредного ПО конкурентов, либо эксплуатацией его в собственных интересах. «Идеи создателей сетевого червя Doomjuice, распространявшегося через компьютеры, уже зараженные червем Mydoom, или зловреда NetSky, имеющего функционал удаления из системы всё того же Mydoom, из далекого 2003 года взяты на вооружение современными группировками», - считает Евгений Касперский.

Что касается повышения эффективности бот-сетей, то, по данным Алексея Чередниченко, технического консультанта Symantec в России и СНГ, «в первом полугодии 2007 года корпорация регистрировала в среднем около 53 тысячи активных компьютеров в составе бот-сетей в день, что на 17% больше, чем во втором полугодии 2006. Однако на те же 17% сократилось число отдельных бот- инфицированных машин (примерно до 5 млн штук). Таким образом, средняя продолжительность жизни зомби-компьютера за первые шесть месяцев 2007 года составила 4 дня. Это на один день больше, чем в среднем за вторую часть 2006 года. Мало того, хакеры научились устанавливать обратную связь со своими творениями и, подобно заправским маркетологам, собирать интересующую их статистику и вносить коррективы, добиваясь выполнения своих «бизнес-планов». Это прекрасная иллюстрация того, как «криминальный менеджмент» добивается оптимизации ROI, т.е. повышения отдачи на вложенные инвестиции.

За счет чего этого можно добиться? Одним из вариантов является более глубокое изучение объектов атаки и поиск уязвимостей: в операционных системах, прикладном ПО, а так же брешей в защите конкретных корпораций. Так, Григорий Васильев, технический директор представительства компании ESET в России отмечает, что в минувшем году изменился характер угроз, исходящих от вредоносного ПО всех видов. Широкое распространение получили, по мнению эксперта, так называемые, «неизвестные» или «не выявленные» вирусы, которые для проникновения в компьютерные системы используют уязвимости в системном и прикладном ПО - еще до того, как они станут известны его разработчикам. Кроме того, больше стало «шпионов» и других вредоносных программ, созданных для распространения только в информационной системе конкретной организации. «Массовое распространение получили полиморфные вирусы, в алгоритм которых заложено автоматическое создание вариантов в процессе распространения. В последнее время все большее распространение получают т.н. руткиты. Действие этого вида вредоносного ПО основано на перехвате вызовов и модификации низкоуровневых системных функций ОС (Windows API). Также руткиты способны маскировать присутствие в системе определенных процессов, ключей реестра, директорий и файлов на диске», - констатирует г-н Васильев.

Другим вариантом действий «оптимизаторов ROI» являются усилия разработчиков зловредов, заботливо прививающих им «инстинкт самосохранения». Ведь и от умения ПО прятаться тоже зависит «КПД» подпольного бизнеса. Алиса Шевченко, вирусный аналитик «Лаборатории Касперского», рассказывает, что история вредоносных программ начинается в 70-х годах, а история их самозащиты — в конце 80-х. «Современные ее способы весьма многочисленны и разнообразны. Некоторые из защитных технологий нацелены на обход сигнатурных антивирусов, другие — на затруднение анализа кода специалистами; одна вредоносная программа старается как можно тщательнее спрятаться в системе, в то время как другая, не тратя на это свое драгоценное процессорное время, занимается непосредственно поиском и «отстрелом» конкретных средств антивирусной защиты…», - заявляет г-жа Шевченко.

Способы маскировки зловредного ПО (на начало 2007 года)

Способы маскировки зловредного ПО (на начало 2007 года)

Источник: «Лаборатория Касперского», 2007

Еще одним технологическим приемом хакеров стало объединение методов атак. По мнению Алексея Чередниченко, «отмечаемый спад средней ежедневной активности ботов может указывать на то, что традиционные атаки уже не столь эффективны, как раньше. Поэтому злоумышленники, во-первых, объединяют воедино целый комплекс методов — вредоносный код, фишинг, спам и онлайновые атаки. В результате хакеры взламывают пользующиеся популярностью и доверием сайты и через них получают доступ к целевым пользователям. В подобных многоступенчатых атаках сначала используется малое и незаметное вторжение для создания плацдарма, а в последствие организуются полноценные атаки. Что характерно, эти последующие этапы могут быть сконструированы и меняться в соответствии с требованиями криминальных заказчиков. Из новых семейств вредоносных программ самое большое число сообщений за текущий отчетный период относилось к многоступенчатому загрузчику Peacomm Trojan (иногда его еще называют Storm Worm)».

Наиболее часто загружаемые компоненты многоступенчатых угроз
(по итогам первого полугодия 2007 г.)

Место Пример Тип Результат
1 Adclicker Троян Создает трафик к web-сайтам и баннерной рекламе
2 Gampass Троян Крадет данные учетных записей онлайновых игр
3 Zonebac Троян Понижает уровень настройки параметров безопасности IE
4 KillAV Троян Блокирует средства защиты
5 Lineage Троян Крадет данные учетных записей онлайновых игр
6 Peacomm Троян Создает пиринговую сеть и загружает другие угрозы
7 Rustock.B Бэкдор Обеспечивает дистанционный доступ и рассылает спам
8 Bzup Троян Крадет данные счетов в онлайновых банках
9 Graybird Бэкдор Обеспечивает дистанционный доступ, регистрирует нажатые клавиши и крадет пароли
10 Haxdoor Бэкдор Обеспечивает дистанционный доступ

Источник: Symantec, 2007

Как видно из таблицы, целями атак все чаще становятся добыча коммерчески привлекательных данных, дистанционное управление компьютерами и блокировка средств защиты. Злоумышленники понимают, что, нейтрализовав работу, например, антивируса, машина остается практически беззащитной. Поэтому данный вид атак становится все более популярным.

А как обстоит дело устойчивостью средств защиты к самозащите? В таблице ниже приведен тест, проведенный специалистами независимого российского информационно-аналитического портала по информационной безопасности Anti-Malware.ru.

Итоговые результаты теста самозащиты антивирусов

Тестируемый продукт Всего баллов
(максимум 33)
% от максимально возможного
Kaspersky Internet Security 7.0 32 97%
VBA32 Antivirus 3.11 23,5 71%
Symantec Internet Security 2007 23,5 71%
F-Secure Internet Security 2007 20 61%
ZoneAlarm Internet Security 7.0 19 58%
Panda Internet Security 2007 16 48%
McAfee Internet Security 2007 15,5 47%
Eset Smart Security 3.0 14,5 44%
Trend Micro PC-Cillin 2007 14 42%
Avast! Professional Edition 4.7 11 33%
Avira Premium Security Suite 7.0 11 33%
Sophos Anti-Virus 6.5 11 33%
DrWeb 4.44 Beta 10,5 32%
Microsoft Windows Live OneCare 1.6 10,5 32%
BitDefender Internet Security 10 10 30%

Источник: http://www.anti-malware.ru , 2007

Данный тест проводился под операционной системой Windows XP SP2 по следующим группам атак: изменение разрешений на доступ к файлам и ключам реестра, модификация/удаление модулей, удаление антивирусных баз, модификация/удаление значимых ключей реестра, завершение процессов, модификация процессов/кода и выгрузка драйверов. Всего проводилась проверка по 33 параметрам, отсюда и максимальный балл — 33.

Как видно из результатов теста, значительное количество антивирусных вендоров, сконцентрировавшись на защите других, забыли о себе, чем создали немало проблем все тем же людям - своим клиентам.

Неисправленные уязвимости по поставщикам ПО

Производитель ПО январь — июнь
2007
июль — декабрь
2006
Microsoft 64 75
Oracle 13 7
Computer Associates 4 0
HP 4 1
IBM 2 5
Symantec 2 1
Sun 1 3
McAfee 0 2

Источник: Symantec, 2007

Видно, что главный мировой поставщик массового ПО — Microsoft — самым серьезным образом подходит к вопросу создания патчей. Если говорить о средней скорости устранения этой корпорацией уязвимостей в операционных системах, то, как видно из рисунка ниже, Microsoft значительно опережает по этому показателю всех конкурентов.

Скорость разработки патчей для операционных систем

Скорость разработки патчей для операционных систем

Источник: Symantec, 2007

«Однако наибольшая угроза заражения зловредным ПО продолжает исходить из-за значительного количества уязвимостей в web-браузерах и плагинах, - говорит Алексей Чередниченко. — В первом полугодии 2007 года было зарегистрировано 237 уязвимостей в плагинах web-браузеров против 108 за весь 2006 год. 89% уязвимостей относятся к компонентам ActiveX для Microsoft IE против 58% за предыдущий период. Что касается непосредственно браузеров, то самое большое число зарегистрированных в 2007 году уязвимостей у Microsoft — 39. За ней следует Mozilla с 34 дырами. Оба поставщика показали также самое большое окно экспозиции — по 5 дней. Safari и Opera — два браузера, у которых произошло увеличение числа зарегистрированных уязвимостей за отчетный период. Для Safari это число составило 25 против 4-х в прошлом году. Однако у него оказалось самое короткое окно экспозиции — всего три дня».

Распределение уязвимостей в браузерах

Распределение уязвимостей в браузерах

Источник: Symantec, 2007

Что касается распределения по типам вредоносных программ, то эксперты Symantec отмечают, что число троянов продолжает расти, и многие из них представляют собой все большую угрозу, так как эксплуатируют уязвимости web -браузера и нераспознанные дыры. Доля троянов, вызвавших потенциальное заражение или попытки заражения, увеличились за первое полугодие выросло с 60% до 73%. Активность червей продолжила ослабевать: на их долю пришлось всего 22% всех потенциальных заражений. Это меньше, чем 37% - во втором полугодии 2006. Процент же вирусов увеличился с 5% до 10%».

Распределение вредоносного ПО по количеству заражений компьютеров

Распределение вредоносного ПО по количеству заражений компьютеров

Источник: Symantec, 2007

Все эксперты говорят о взрывном росте количества новых вредоносных программ. Теневая экономика поставила процесс их производства на поток и сбавлять темпы роста, видимо, не собирается.
«Наряду с универсальными вирусами, поражающими все подряд компьютеры, стали появляться замаскированные под вирусы вредоносные программы, написанные «под конкретную организацию». Они способны нанести предприятию очень серьезный ущерб, и при этом наверняка не попасть в сигнатурные базы, - говорит Григорий Васильев, технический директор представительства компании ESET в России. — Если раньше незыблемым казалось утверждение, что чем чаще антивирус обновляет сигнатурные базы, тем лучше он ловит вирусы, то сегодня уже мало кто в это верит. Это связано с вполне объективными причинами - резко сократились сроки, которые разделяют появление какой-либо уязвимости и использующей ее вредоносной программы. Так, если в 2003 году этот отрезок составлял около месяца, в 2004 уже меньше недели, то в 2005 он преодолел нулевую отметку, став отрицательным. Это значит, что создатели вирусов научились обнаруживать и практически использовать «бреши» еще до того, как они будут признаны программистским сообществом и разработчиками соответствующего программного продукта. Неудивительно, что традиционные сигнатурные, или реактивные методы защиты, оказались, по существу, бессильны в противодействии этому новому явлению».

Количество новых сигнатур, ежегодно добавляемых в антивирусную базу «Лаборатории Касперского»

Количество новых сигнатур, ежегодно добавляемых в антивирусную базу 'Лаборатории Касперского'

Источник: «Лаборатория Касперского», 2007

Словом, в противостоянии вирусов и сигнатурных методов борьбы с ними, победа осталась за вирусами. Именно поэтому сегодня настолько актуально, чтобы антивирусная индустрия обязательно предлагала рынку технологии, связанные с противодействием вредоносному ПО еще до его внесения в сигнатурные базы. Стало очевидно, что по-настоящему способны защитить от неизвестных только технологии проактивной защиты.

На сколько велик ущерб от атак киберкриминала?

А так ли страшен враг, как его малюют? Возможно ущерб от хакеров и инсайдеров - это надуманные ИТ и ИБ специалистами «страшилки» для выбивания бюджетов? Приведенные ниже данные полностью опровергают данную точку зрения. :

Потери бизнеса в США по типам атак в 2006 году

Тип атаки Потери, тыс. долларов
Заражение вирусами 15 691
Несанкционированный доступ к информации 10 517
Кража ноутбуков и других мобильных устройств 6 642
Кража интеллектуальной собственности 6 034
Отказы в обслуживании 2 922
Финансовое мошенничество 2 558
Злоупотребление 9нтернетом со стороны сотрудников 1 849
Телекоммуникационное моженничество 1 262
Роботы (зомби) внутри организации 0,923
Проникновение в систему извне 0,758
Фишинг, при котором команию выставляют отправителем 0,647
Злоупотребления беспроводными сетями 0,469
Злоупотребления интернте — пейджерами 0,291
Злоупотребления общедоступными web-приложениями 0,269
Злонамеренное уничтожение информации и сетей 0,260
Вандализм в отношении web — сайтов 0,162
«Вынюхивание паролей» 0,161
Использование DNS сервера организации 0,090
Другое 0,885

Источник: по материалам CSI/FBI Computer Crime and Security Survey, 2003-2006

Владимир Мамыкин, комментируя совместный отчет Computer Security Institute и Federal Bureau on Investigation «CSI/FBI 2006 Computer Crime and Security Survey», сообщает, что 313 опрошенных компаний показали суммарный ущерб в 52 млн долларов США от нарушений информационной безопасности в этих компаниях в 2006 году. Это 166 тыс долларов ущерба на одну компанию за один год, и около 50 долларов убытка на одного сотрудника компании. «Это дает возможность аппроксимировать полученные результаты ущерба на всю индустрию США: около 140 млн работающих при среднем убытке в 50 долларов от нарушений ИБ приводят к цифре в 7 млрд убытков для страны. Но, надо не забывать, что ущерб компании от нарушений в системе обеспечения ИБ состоит не только из прямого финансового ущерба от атак хакеров, но и от потери репутации. А так как доверие клиентов является одним из основных активов компаний, приносящих доходы, особенно для финансовых и торговых компаний, то на обеспечение ИБ компании вынуждены тратить значительные средства», - отмечает эксперт.

Но и это еще не все. Всю мощь хакеров почувствовали на себе и органы государственной власти во всем мире. О масштабах проблемы можно судить по небольшому, но весьма ёмкому комментарию г. Мамыкина «В начале 2006 года Департамент внутренней безопасности США (Department of Homeland Security) действительно проводил учения Cyber Storm по отработке модели координации взаимодействия государственных организаций и бизнеса по отражению масштабных кибер-атак на объекты энергетики, транспорта и телекоммуникаций. Среди приглашенных на учения были представители государственных организаций Великобритании, Канады и других стран, а также более 100 представителей частных компаний, в том числе Intel, McAfee, Microsoft, Symantec. По словам представителя Департамента внутренней безопасности эти учения дали беспрецедентную возможность продемонстрировать партнерство государства и бизнеса по предотвращению масштабных кибер-атак».

В России масштаб проблем не меньше. Так, по словам, начальника управления специальных технических мероприятий МВД генерал-лейтенанта милиции Бориса Мирошникова, «С 2001 года количество компьютерных преступлений на территории страны удваивается ежегодно…» В 1998 году для координации борьбы с подобными правонарушениями в системе министерства внутренних дел были созданы специальные подразделения по пресечению действий киберпреступности. Есть и другие инициативы.

С госструктурами в этом вопросе сотрудничают и коммерческие компании, работающие на рынке защиты информации. Мало того, иногда эти компании и самостоятельно занимаются «оперативными мероприятиями». По словам Алексея Чередниченко, «уже давно ни для кого не секрет, что в Symantec имеется специализированные подразделения, занимающееся, в том числе и антикриминальной разведкой… Они работают по всему миру со всеми правоохранительными органами. И при возникновении соответствующих инцидентов, корпорация, на основе специально разработанных процедур, успешно взаимодействует с ними. Однако, существует множество стран, где не существует абсолютно ни какого законодательства на эту тему. Вот это и является, существенным препятствием в полноценной борьбе с деструктивными ресурсами».

К сожалению, в России пока еще не сложилась полноценная практика взаимодействия пострадавших от атак граждан и компаний с одной стороны, соответствующих органов - с другой стороны, и специализированных компаний - с третьей, что не позволяет приблизиться к хорошо зарекомендовавшей себя западной практике.

Вадим Ференец / CNews Analytics

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Toolbar | КПК-версия | Подписка на новости  | RSS