версия для печати
Интернет: хроники киберпреступлений

Интернет: хроники киберпреступлений

Когда развитие технологий идет быстрыми шагами и новые продукты и сервисы получают огромную популярность буквально за считанное время, безопасности никто не уделяет должного внимания. К сожалению, частенько об этом приходится очень быстро пожалеть.

Развитие технологий приводит к снижению конечной стоимости доступа к сети интернет. В связи с этим все большее количество людей пользуется сетью не раз от раза, а постоянно, решая все большее количество задач, связанных с получением новостной информации, работой, общением, развлечением, образованием.

«Так, в России пользователи интернета составляют уже 2/3 от всех городских жителей. Более половины используют мобильный интернет через сотовые телефоны и мобильные планшеты. Люди хотят носить интернет “с собой” – всегда быть в курсе происходящего, иметь доступ к своей информации, которую хранят и обрабатывают на различных ресурсах, в различных местах», - полагает Денис Гундорин, руководитель направления инфраструктурных решений департамента информационной безопасности компании Softline.

Как известно, чем выше безопасность, тем ниже комфорт использования подобной системы. Конкурентным же преимуществом для провайдеров услуг и сервисов является простота и удобство использования. Поэтому, когда развитие технологий идет быстрыми шагами и новые технологии получают огромную популярность за считанное время, безопасности не уделяют должного внимания. Только после того, как злоумышленники находят для себя широкое поле деятельности в новом ресурсе, и от их действий серьезно страдают пользователи, разработчики вспоминают про безопасность.

Вектор угроз смещается в социальные сети

Денис Гундорин продолжает: «За примером далеко ходить не надо, возьмем социальные сети. Когда в 2007г. одна из них набирала начальную аудиторию, не ограниченную рамками учащихся ВУЗов, и начала занимать 2-е место по популярности в Рунете, не было многих механизмов безопасности, которые существуют сейчас».

«После того, как пользователи стали «страдать» – участились кражи аккаунтов и активно рассылался через систему спам – в 2010г., только спустя 4 года после начала работы сервиса, стали вводиться эффективные механизмы защиты, - говорит он. - Была организована привязка аккаунтов к сотовым телефонам, активно заработали эффективная антиспам-защита, в 2011г. – инструменты по отслеживанию истории аутентификации, механизм усиленной аутентификации при изменении страны, из которой обычно заходит пользователь, стала возможной аутентификация с защитой от прослушивания канала (HTTPS)».

Это типичный пример. С учетом тотального проникновения электронных контроллеров в технику и объединения всех систем в единую глобальную систему угрозы для людей выходят за рамки траты времени и денег, а переходят на уровень физической безопасности. Так, последние исследования показали, что существует возможность проникнуть в электронные системы управления любым современным автомобилем, и никакой серьёзной защиты от этого не существует.

Исследователи на движущемся автомобиле после включения через диагностический порт собственного устройства смогли удаленно контролировать рулевое управление, повышать обороты двигателя, контролировать тормоза, внешнее освещение, информацию, выдаваемую датчиками, в том числе о скорости движения. Полета фантазии для создания аварийной ситуации на дороге предостаточно. В США General Motors (GM) OnStar предлагает сервисы по автоматическому оповещению спасательных служб об аварии (на основании данных телеметрии автомобиля), удаленной диагностике автомобиля, розыску угнанных автомобилей на основании датчиков глобальной системы навигации…

К сожалению, подобные решения доступны и киберкриминалу. Николай Федотов, главный аналитик InfoWatch, делится опытом: «Есть некоторые виды бизнеса, которые попали в серьёзную зависимость от телефонной связи. Неделя-другая голосовой недоступности вполне может драматически сказаться на их доходах. И предложения по оказанию такой услуги широко представлены на рынке, да и стоят недорого - дешевле, чем DoS-атака на средний веб-сайт».

Как выяснилось, телефонный DDoS проводится при помощи ворованных «скайпов». Трояны, как известно, попав на чужой компьютер, наловчились выгребать оттуда всё, что может быть полезно злоумышленнику, а также всё бесполезное – на всякий случай. В том числе, «сливается» и логин-пароль к Skype. У многих на аккаунте лежит некоторая сумма (необходимая для звонков со Skype на обычные телефоны). Вот этот ресурс и задействуют злоумышленники для телефонных атак.

«Насколько я понял, агенты ботнета скачивают себе модуль, содержащий код программы Skype (объектный код предоставляется производителем для многих ОС), а также один логин-пароль от непустого аккаунта. И несколько десятков агентов начинают дружно, хором делать вызовы на атакуемый номер. Эффективных способов защиты от «скайпоатак» на рынке пока не представлено. Начинайте уже общаться с клиентами нормально – через ICQ», - продолжает Николай Федотов.

DigiNotar потряс мир

На вопрос CNews Security, какое событие в области ИБ за последние полгода можно назвать знаковым, эксперты проявили редкое единодушие и назвали таковым взлом центра сертификации DigiNotar.

Олег Глебов, специалист департамента маркетинга компании «Информзащита», рассказывает: «Одним из самых нашумевших инцидентов информационной безопасности за последнее время стал взлом DigiNotar в сентябре 2011 г. Компания  выдавала цифровые сертификаты веб-ресурсам и сайтам. Такие сертификаты позволяют поисковым ресурсам (Google и т.д.) и браузерам отличать подлинные сайты от тех, с которых ведутся вредоносные действия. Взлом функционала DigiNotar предоставил хакерам возможность подписывать подлинными сертификатами сайты, содержащие вирусы и вредоносный код. Суммарно скомпрометированными оказались более 534 сертификатов». 

Предоставление сертификатов сомнительным сайтам само по себе кажется не слишком серьёзной угрозой, но такой подход может быть использован в более высокоуровневых атаках. Например, на ресурсы gmail, когда авторизованным в почте людям рассылались ссылки на сайты, занимающиеся воровством аккаунтов и паролей почты.

Антон Разумов, руководитель группы консультантов по безопасности компании Check Point, дал такую характеристику этому инциденту: «Каждый знает, что SSL повсеместно используется в интернете для шифрования и обеспечения конфиденциальности данных. И основана данная технология на асимметричном шифровании, архитектуре открытых ключей, или, говоря проще, сертификатах. Можно провести аналогию с паспортами, используемыми для идентификации личности. Такой документ выпускается уполномоченным органом, причем существуют определенные отношения доверия между ними. Например, российский полицейский доверяет американскому паспорту».

«Когда вы подключаетесь к gmail.com или своему банку, ваш браузер проверяет, что сертификат, который предъявляет этот сайт, был выпущен доверенным центром сертификации, и вы можете быть уверены, что это правильный ресурс, а не хакер, пытающийся притвориться сервером gmail или банком, - продолжает он. - Очевидно, что данная система работоспособна, пока можно быть уверенным, что сертификату, выпущенному доверенным удостоверяющим центром, действительно можно доверять».

И вот из голландского DigiNotar (принадлежавшего компании Vasco) «утекло» несколько сотен сертификатов известных ресурсов, что позволило злоумышленникам реализовать атаку man-in-the-middle на них. На самом деле, подобное происходило и раньше, но здесь особую опасность ситуации придала попытка компании DigiNotar скрыть данный факт.

«Конечно, можно было подумать, что достаточно отозвать скомпрометированный сертификат, и это было сделано. Но проблема в том, что DigiNotar несколько раз менял список отозванных сертификатов, что говорит о том, что они сами не знают точно масштаба бедствия. Поэтому единственным способом в данном случае оказалось прекращение доверия к удостоверяющему центру», - продолжает Антон Разумов.

Вместе они – сила!

Ни для кого уже не секрет, что киберкриминальное сообщество давно консолидировалось на основе подпольных бизнес-ценностей и даже состоит на довольствии у ряда спецслужб. Каковы итоги их «титанического коллективного труда»?

Специалисты выделяют два тренда. Во-первых, привлечение и использование недюжинного интеллекта специалистов из разных областей. Итог – успешные атаки, например, червей Stuxnet и Duqu. Их задача – не уничтожить, а открыть в нужный момент «черный ход» для внешнего управления системой.

Во-вторых, среди основных угроз 2011 выступает новый вид целенаправленных атак (APT), где основой угрозы безопасности становится социальная инженерия. При правильном подходе к манипуляции конкретным человеком, техническая сторона атаки реализуется почти мгновенно и в автоматическом режиме.

Топ 5 атак, за которыми стояли группы хакеров

Инцидент
1 Атака на Эстонию в мае 2007 г., которая привела к проблемам в телекоммуникациях и в банковской системе по всей стране.
2 Проблема с вирусом Stuxnet в 2010г. – в начале года появляется компьютерный червь, который обнаружен только в июне 2010г. Он нацелен на промышленное программное обеспечение и оборудование Siemens под управлением Microsoft Windows. Хотя это не первый случай, когда хакеры выбирают объектами своих атак промышленные системы, но это первый случай обнаружения вредоносного ПО, которое шпионит и может производить акты саботажа в промышленных системах; и первый случай, когда вирус содержит элемент руткита для технологических программируемых логических контроллеров (PLC).
3 Взлом системы компании RSA в 2011г., который включал похищение алгоритма шифрования RSA в крипто-токенах. В результате этой атаки могут пострадать более чем 700 очень крупных компаний.
4 Вредоносная программа Duqu, которую, возможно, сделали те же люди, что и Stuxnet. Вместо того, чтобы уничтожить зараженные системы, Duqu тайно проникает в них и создает «черный ход» для злоумышленников, который, вероятно, может быть использован для последующего уничтожения сети в любое время, когда его создатели этого захотят. Выбрать.
5 Известная Lurid Attack, которая имела большие последствия в таких странах, как Россия, Казахстан и Украина. Среди инфицированных были жертвы из дипломатических представительств, министерств, связанных с освоением космоса государственных учреждений и других известных компаний и исследовательских институтов, которые использовали информацию не для широкого распространения. Нападения были направлены на определенные географические регионы, а также отдельные компании, на список из 15 доменных имен и 10 активных IP-адресов, использовавшихся для завершения операции.

Источник: G Data Software, 2011г.

Что касается DDoS-атак, то за последние два года они стали общедоступным способом выражения несогласия как с действиями конкретного интернет-ресурса, так и с властями масштаба страны. В сети появились целые тематические сайты, где достаточно просто нажать кнопку, и атака пойдёт с вашего компьютера, подключая его в единую бот-сеть.

Роман Карась, управляющий продажами в ритейле G Data Software в России и СНГ, продолжает тему: «Тенденции этого года – многоплатформенность, комбинирование традиционных и «облачных» технологий, создание утилит-плагинов, встраиваемых в различные программы».

Первая связана с тем, что есть ряд языков программирования, коды на которых исполняются веб-браузерами при работе с кодом HTML для создания веб-страниц. Поэтому в различных операционных системах один и тот же код может производить одни и те же действия, а именно, вредоносные. А производители антивирусов следуют за кодом – создают приложения, которые могут бороться с вирусами, независимо от операционной системы, на которую он переместился.

Вторая, комбинирование серверных и клиентских технологий, - вещь известная давно, но в последние годы, в связи с развитием на Западе виртуальных корпоративных сервисов, весьма популярная.

Какие новшества мы увидим в скором будущем, можно сказать уже сейчас. Идут работы по совершенствованию облачных технологий, применению шифрования, оптимизации размеров баз вирусных сигнатур, повышению роли проактивных инструментов детектирования вирусов, использованию возможностей аппаратного обеспечения для борьбы с вредоносным кодом и т.д. Векторов много, но и угроз тоже.

Профилактика – залог безопасной работы

Роман Карась поднимает тему превентивной защиты: «Из современных превентивных мер следует отметить две технологии, в последнее время применяемые антивирусными производителями, в том числе и G Data. Это мощные корпоративные «облачные» инструменты, которые проводят профилактику попадания вредоносных программ из сети интернет, являющейся сейчас основным каналом для работы с электронной почтой, месенджерами, социальными сетями, загрузки мультимедийных и других файлов, посещения сайтов и форумов. Мы называем эту технологию CloudSecurity».

Она основана на «черных» списках вредоносных сайтов и страниц, и при веб-серфинге не пускает пользователя на зараженные страницы. Это связано с тем, что за последние полгода значительно выросло количество вредоносного кода (1,2 миллионов новых семей). Также в дополнение к бот-сетям зараженных компьютеров недавно появились сети из зараженных сайтов и страниц. При поступлении в корпоративное облако информации о наличии вредоносного кода на странице, она блокируется, и пользователь получает об этом информацию. Это препятствует распространению эпидемии.

Вторая технология - проверка контрольных сумм. Она обеспечивает целостность исполняемых файлов, файлов архивов, электронной почты, документов и прочих при загрузке из сети путем сравнения контрольных сумм по алгоритму MD5 на сервере и после загрузки на ПК пользователя.

Этот модуль контролирует репутацию программ, проверяет ссылки на файлы и сами файлы, загружаемые для этого в «облачную» песочницу, добавляет файлы по результатам проверки в «черный» список – скомпрометированные, и в «белый» список - доверенные. Таким образом, снижается вероятность загрузки файла, содержащего вредоносный код.

Резюмируя, необходимо отметить, что эксперты уже не один год советуют пользователям проявлять элементарную осторожность в сети и использовать только те продукты ИБ, к которым есть доверие.

Вадим Ференец

Toolbar | КПК-версия | Подписка на новости  | RSS