Новые угрозы 2008 г

Обзор

Алексей Чередниченко,
технический консультант Symantec в России и СНГ

Информационная безопасность продолжает оставаться одной из наиболее динамично развивающихся областей. Что же является основной движущей силой такого развития? Как показывают исследования, проводимые в течение 2008 г., это продолжающаяся коммерциализация злонамеренной активности с применением информационных технологий, в результате которой мы наблюдаем появление все новых видов угроз. Рассмотрим теперь схему, стимулирующую эту деятельность.

Схема появления новых видов угроз

Основой служит развивающийся и пользующийся большим спросом "черный рынок". На текущий момент существует два наиболее популярных способа, которые используют участники онлайнового черного рынка, - это каналы на серверах IRC и Web-форумы. Оба содержат дискуссионные группы, которые участники используют для купли-продажи незаконных товаров и услуг. В число предлагаемых товаров входят данные о кредитных картах, реквизиты банковских счетов, учетные записи электронной почты и почти любая другая информация, которую можно использовать в корыстных целях. Предлагаются услуги кассиров, которые переводят средства с краденых счетов в реальные деньги, а также услуги фишинга и размещения фальшивых страниц (в числе вакансий - разработчик афер или партнер по фишингу).

Типичное рекламное объявление на черном рынке содержит перечень предлагаемых продуктов, цены и другие детали, такие как способы платежа, контактные сведения и дополнительные условия. Мошенники не только получают прибыль от продажи такой информации, но и создают подпольные предприятия, так как прибыль от одного эксплойта можно реинвестировать и использовать для найма разработчиков новых афер, вредоносных программ или фишинговых инструментов, что создает виток роста киберпреступности и появления новых угроз информационной безопасности.

Теперь рассмотрим основные тенденции в области угроз ИБ, которые были отмечены в 2008 г.

Новые варианты вредоносных программ и новые семейства угроз

Злоумышленники перешли от массового распространения небольшого числа угроз к микрораспространению  обширных семейств угроз. Эти новые потоки вредоносных программ состоят из миллионов разных угроз, которые мутируют в процессе   быстрого   распространения. Одно из семейств с такими характеристиками представляет собой вирус Trojan. Farfli, впервые обнаруженный в июле 2007 г.

Фальшивые и вводящие в заблуждение приложения

Фальшивые программы для обеспечения безопасности и утилиты, которые еще называют scareware (от scare - пугать), обещают защитить или очистить компьютер пользователя. Эти программы устанавливаются вместе с троянским конем, выдают ложные или вводящие в заблуждение результаты и держат зараженный ПК в заложниках до тех пор, пока пользователь не заплатит за удаление надуманных угроз.

Web-атаки

Легитимные Web-сайты стали объектом активной вредоносной деятельности. По нашему мнению, в 2008 г. главным источником атак стал Интернет.

Вредоносные инструменты

Самым дорогостоящим инструментом атак за отчетный период были бот-сети, которые продавались в среднем по $225. Службы размещения фишинговых сайтов предлагались в среднем по $10 при диапазоне цен от $2 до $80. Средняя цена регистратора нажатия клавиш на черном рынке составила $23. Самыми дорогими эксплойтами за отчетный период были уязвимости на финансовых сайтах, которые предлагались по средней цене $740 при диапазоне цен от $100 до $2999.

Утечки данных

Продолжающийся поток сообщений об утечке данных подчеркивает важность технологий и стратегий предотвращения потери информации. В сегодняшнем экономическом климате, когда участились слияния, приобретения и сокращения, предотвращение утечки данных приобретает все большую важность, защищая конфиденциальную информацию компании, в том числе ее интеллектуальную собственность.

Спам

"Через два года проблема спама будет решена", - сказал Билл Гейтс в 2004 г. В 2008 г. мы наблюдали уровень спама в 76%. Хотя фильтры спама за прошедший год стали более совершенными, а угрозы спама появлялись и исчезали, ясно, что спамеры не намерены уступать своих позиций.

Уязвимость браузера или плагинов

Специфические для сайтов уязвимости часто используются в сочетании с уязвимостями браузера и плагинов, что позволяет предпринимать изощренные Web-атаки.

Комментарий эксперта Алексей Плешков, Начальник отдела защиты информационноых технологий ОАО "Газпромбанк" Возникновение новых угроз в сфере информационной безопасности естественным образом связано с развитием информационных технологий. Изменения, вносимые разработчиками в техническое решение с целью улучшения функциональности, зачастую сопряжены с появлением новых уязвимостей и ранее неизвестных ошибок, которые потенциально могут быть использованы злоумышленниками при проведении атак. Это характерно для всех направлений ИТ, будь то обновление операционной платформы или модификация пользовательского интерфейса прикладного программного обеспечения. Наличие "алгоритмических дыр" влечет за собой возникновение угроз, уровень критичности которых зависит от типа информации, обрабатываемой в уязвимой автоматизированной системе. Широкое распространение в 2008 г. получили беспроводные быстроразвертываемые сети на основе технологии Wi-Fi. Явные преимущества для эксплуатирующих подразделений с точки зрения простоты монтажа и сопровождения беспроводной инфраструктуры зачастую сопровождаются серьезными алгоритмическими и организационными просчетами и техническими недоработками в части защиты передаваемой информации. При рассмотрении интегральной стоимости указанного решения аспекты обеспечения информационной безопасности (выбор подсистемы криптографической защиты, параметры парольной политики, протоколирования вносимых в конфигурацию изменений, требования по обеспечению отказоустойчивости решения) уходят на второй план. При этом основными объектами внимания злоумышленников по-прежнему остаются технические слабости и уязвимости типовых систем и решений, используемых при организации беспроводных сетей.

Прогноз на 2009 г.

Основываясь на проведенных в 2008 г. исследованиях, прогноз на 2009 г. нельзя назвать утешительным. Что же нас может ожидать в недалеком будущем?

Глобальный экономический кризис приведет к появлению многих новых видов атак. В их числе будут фишинговые атаки (например, с ложными сообщениями о закрытии того или иного банка). Злоумышленники могут прибегать и к другим видам мошеннической деятельности, таким как игра на околоэкономических проблемах, включая сообщения с обещанием возможности легко получить или рефинансировать ипотечный кредит. Ожидается рост числа афер, нацеленных на людей, лишенных права выкупа закладной на свои дома из-за просрочки платежей, фальшивых предложений надомной работы и усиление спама, имитирующего сайты трудоустройства.

В число недавних атак входят новые семейства вредоносных программ, которые состоят из миллионов разных угроз, распространяющихся как одна центральная вредоносная программа. Это приводит к созданию неограниченного числа уникальных вредоносных копий. Данные, собранные с датчиков Symantec Global Intelligence Network, показывают также, что мы достигли переломной точки: сегодня
вредоносных программ создается больше, чем легитимных. Эти новые угрозы усилили потребность в дополнительных методах обнаружения.

В связи с ростом числа доступных Web-сервисов и продолжением стандартизации браузеров с единой интерпретацией языков сценариев мы ожидаем дальнейшего продолжения роста числа новых Web-угроз.

В 2008 г. также наблюдался рост активности в области угроз, связанных с сайтами социальных сетей. В число таких угроз входит фишинг в отношении учетных записей и/или использование социального контекста в качестве способа повышения эффективности онлайновых угроз. Эти угрозы будут приобретать все большее значение для корпоративных ИТ-подразделений, так как новые работники часто злоупотребляют подобными инструментами с использованием корпоративных ресурсов.

Ожидается появление новых угроз, направленных против виртуальных машин. В решения для обеспечения безопасности будет внедряться технология виртуализации, чтобы создать изолированную среду, защищенную от хаоса среды операционной системы общего назначения. Эта технология обеспечит безопасную среду для конфиденциальных операций, таких как банковское обслуживание, и защитит критически важную инфраструктуру, такую как компоненты безопасности, защищающие операционную систему общего назначения.