Научная статья на тему 'Интернет безопасность бизнеса под угрозой. Прошлое и будущее вредоносного кода'

Интернет безопасность бизнеса под угрозой. Прошлое и будущее вредоносного кода Текст научной статьи по специальности «Экономика и бизнес»

CC BY
138
45
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Карценбаум Кирилл

В данном обзоре речь пойдет о текущей ситуации и тенденциях в области распространения и эволюции вредоносного кода: вирусов, шпионского по, руткитов, спама и фишинга, то есть всего того, что все больше и больше мешает нам эффективно пользоваться новыми возможностями информационных технологий, снижает эффективность нашей работы и угрожает безопасности нашего бизнеса. мы попытаемся детально рассмотреть данные вопросы на базе последнего xii тома отчета об угрозах интернет безопасности от компании Symantec.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Интернет безопасность бизнеса под угрозой. Прошлое и будущее вредоносного кода»

Интернет — безопасность бизнеса под угрозой.

Прошлое и будущее вредоносного кода

В ДАННОМ ОБЗОРЕ РЕЧЬ ПОЙДЕТ О ТЕКУЩЕЙ СИТУАЦИИ И ТЕНДЕНЦИЯХ В ОБЛАСТИ РАСПРОСТРАНЕНИЯ И ЭВОЛЮЦИИ ВРЕДОНОСНОГО КОДА: ВИРУСОВ, ШПИОНСКОГО ПО, РУТКИТОВ, СПАМА И ФИШИНГА, - ТО ЕСТЬ ВСЕГО ТОГО, ЧТО ВСЕ БОЛЬШЕ И БОЛЬШЕ МЕШАЕТ НАМ ЭФФЕКТИВНО ПОЛЬЗОВАТЬСЯ НОВЫМИ ВОЗМОЖНОСТЯМИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, СНИЖАЕТ ЭФФЕКТИВНОСТЬ НАШЕЙ РАБОТЫ И УГРОЖАЕТ БЕЗОПАСНОСТИ НАШЕГО БИЗНЕСА. МЫ ПОПЫТАЕМСЯ ДЕТАЛЬНО РАССМОТРЕТЬ ДАННЫЕ ВОПРОСЫ НА БАЗЕ ПОСЛЕДНЕГО XII ТОМА ОТЧЕТА ОБ УГРОЗАХ ИНТЕРНЕТ-БЕЗОПАСНОСТИ ОТ КОМПАНИИ ЭТМАЫТЕС

Кирилл Керценбаум,

Технический специалист Symantec в России и СНГ

Что такое отчет Symantec об угрозах интернет-безопасности

Отчет Symantec об угрозах интернет-безопасности выходит 2 раза в год и содержит информацию об активности интернет-угроз за прошедшие шесть месяцев. Он включает в себя анализ сетевых атак, обзор известных уязвимостей и основные факты о вредоносных программах. В нем обсуждаются также многочисленные проблемы, относящиеся к онлайновому мошенничеству, в том числе фишинг и спам. В дополнение к этому он содержит рекомендации специалистов по защите от этих опасностей и борьбе с ними.

Symantec пользуется одним из самых полных источников данных об интернет-угрозах в мире. Собственная глобальная сеть Symantec Global Intelligence Network, которая собирает сведения о безопасности по всему миру, поступающие от широкого спектра источников, включая свыше 40 тыс. датчиков, наблюдающих за сетевой деятельностью в 180 странах при помощи продуктов и услуг Symantec, таких как службы Symantec DeepSight Threat Management System и Symantec Managed Security Services, а также от сторонних источников. В число стран, которые находятся под пристальным вниманием данной системы, входят Россия, Украина и др. страны бывшего СССР;

Бутаг1ес собирает данные о вредоносных программах, поступающие более чем от 120 млн. клиентских, серверных и межсетевых систем, на которые установлено ее антивирусное ПО, а также ведет одну из самых полных в мире баз данных об уязвимостях, которая на сегодняшний день состоит более чем из 25 тыс. описаний зарегистрированных уязвимостей (охватывая более двух десятилетий), относящихся к 55 тыс. технологий от 8 тыс. поставщиков. БутаГес ведет также список почтовой рассылки Вид"Л^, один из самых популярных форумов, посвященных информированию об уязвимостях и их обсуждению в Интернете. У него приблизительно 50 тыс. прямых подписчиков, которые ежедневно сообщают, получают и обсуждают сведения об уязвимостях.

Эти ресурсы служат аналитикам БутаГес беспрецедентными источниками данных для повседневной работы, позволяя им определять, анализировать и давать обоснованные рекомендации по новым тенденциям в области атак, вредоносного кода, фишинга и спама.

Обзор

Производители продуктов безопасности и конечные пользователи принимают все

Symantec™ Global Intelligence Network

Рис. 1

новые меры для борьбы с угрозами, и злоумышленникам приходится придумывать все новые способы достижения своих целей. Уже на протяжении последних лет все четче прослеживается тенденция изменения направленности действий вредоносного ПО: шутки и повреждения систем уходят в историю и им на смену приходит четкая спланированная деятельность по поиску, сбору и передаче личной информации пользователей с целью ее продажи или использования.

В результате картина угроз постоянно меняется. В последние шесть месяцев 2007 г. наблюдались явные признаки надвигающихся перемен. Анализируя данные, собранные за этот период, Бутаггїес пришел к выводу, что современная картина угроз для безопасности характеризуется главным образом следующими тенденциями:

• вредоносная деятельность переместилась на веб ресурсы;

• злоумышленники нацеливаются не на компьютеры, а на конечных пользователей;

• мощная и сплоченная подпольная экономика;

• быстрая адаптируемость злоумышленников и атак.

В прошлом в традиционной деятельности злоумышленников применялись главным образом широкие атаки, нацеленные на компьютеры, разбросанные по сети. Однако администраторы и поставщики укрепили границы сети при помощи таких инструментов, как межсетевые экраны и системы обнаружения/ предотвращения вторжений (IDS/IPS), и злоумышленники отвечают на это новой тактикой. Вместо того чтобы пытаться проникнуть в сети при помощи массовой, широкой атаки, они применяют более скрытые, целенаправленные методы, нацеленные на отдельные компьютеры через World Wide Web. Это может быть вызвано, в частности, тем фактом, что попытки проникновения в корпоративные сетевые компьютеры все вернее обнаруживаются и пресекаются. С другой стороны, действия, предпринимаемые в компьютерах пользовате-

Рис. 2

лей и/или на веб-сайтах, обнаруживаются реже. В результате Бута^ес наблюдает, что большая часть эффективной вредоносной деятельности переместилась в веб: теперь это главный проводник вредоносной деятельности.

Пожалуй, наиболее наглядным признаком этой тенденции являются специфические уязвимости сайтов. Это уязвимости, которые относятся к специальному или фирменному коду, используемому определенным веб-сайтом. Эти уязвимости вызывают беспокойство, потому что позволяют злоумышленникам взламывать определенные вебсайты, которые затем могут использоваться для организации атак против пользователей. Такая стратегия многоступенчатых атак и использования уязвимостей со стороны клиента оказалась довольно эффективной.

Специалисты пришли также к выводу, что злоумышленников особенно привлекают сайты, которые пользуются доверием, такие как сайты социумных сетей. Это повышает вероятность успешных атак, так как пользователь скорее позволит коду с такого сайта выполняться на своем компьютере или откроет файл, загруженный с сайта, которому он доверяет. Злоумышленники, атакующие такие сайты, могут также похищать личные данные пользователей или организовывать массовые атаки, которые быстро распространятся через социумную сеть жертвы. Это одна из причин смещения в направлении уязвимостей, специфических для определенных сайтов.

Специалисты Бута^ес замечают, что вредоносная деятельность становится все меньше ориентированной на компьютеры и все больше нацеливается на самих конеч-

Іи1-|>«г006 Ілп-Іип ЮОТ ІиІ-0*с?007

Традиционные

уязвимости

Рис. 3

ных пользователей. В частности, злоумышленники охотятся за конфиденциальной информацией конечных пользователей, которую можно применять в аферах с целью обогащения. Это побочный результат перехода к финансово мотивированной вредоносной деятельности, на который Отчет об угрозах интернет-безопасности Бутаггїес указывал последние два года.

Многие угрозы для конфиденциальной информации специально нацелены на конечных пользователей. Например, регистратор нажатия клавиш перехватывает все верительные данные и всю важную информацию, набираемую пользователем на клавиатуре. Это охота непосредственно за конфиденциальной информацией пользователя, а не компьютерной системой, на которой хранится эта информация или из которой она передается.

В последние шесть месяцев 2007 г. Бутаггїес наблюдал, что данные, относящиеся к учетным записям, кредитным картам и банковским реквизитам, составляют 44% всех товаров, рекламируемых на серверах подпольной экономики за этот период. Чаще всего на известных Бутаггїес серверах черного рынка к продаже предлагались банковские счета — они составили 22% от всех товаров, что превышает показатель первой половины 2007 г., когда на их долю пришелся 21% всех товаров.

Одной из причин сохранения популярности реквизитов банковских счетов может быть рост числа нацеленных на их добычу "троянских коней" во втором полугодии 2007 г. Число "троянских коней", способных добывать реквизиты банковских счетов, увеличилось на 86% по сравнению с предыду-

Ілп Іип ?007 Іиі-Ок ?007

Р*гіо4

Уязвимости отдельных сайтов

щим отчетным периодом, что привело к росту числа украденных реквизитов банковских счетов и их предложения на серверах черного рынка за отчетный период.

Это привело к появлению того, что Бута^ес считает зрелой, устоявшейся подпольной экономикой. Эта экономика характеризуется рядом признаков, типичных для традиционной экономики. Среди них:

• специализация производства и предложения товаров и услуг;

• аутсорсинг производства;

• многовариантная система цен;

• адаптивные бизнес-модели.

Специализация производства товаров и

услуг является признаком зрелой, устоявшейся экономики. Специализированное производства товаров и услуг означает, что люди сконцентрированы на решении одной конкретной задачи или на одной работе, что, как правило, происходит по двум причинам: благодаря достаточно развитой экономике, позволяющей отдельным людям специализироваться на конкретной профессии; а также потому, что специализация на одной и той же деятельности дает экономическое преимущество.

Во втором полугодии 2007 г. Бута^ес зарегистрировал 499 811 новых вредоносных программ. Это на 136% больше, чем в предыдущий период, когда была зарегистрирована 212 101 новая угроза, и на 571% больше, чем во втором полугодии

2006 г. В общей сложности в 2007 г. Бута^ес выявил 711 912 новых угроз, против 125 243 новых угроз в 2006 г. — рост составил 468%. Это доводит общее число вредоносных программ, выявленных Бута^ес по состоянию на конец 2007 г., до 1 122 311. Таким образом, почти две трети всех вредоносных программ, обнаруженных на сегодняшний день, были созданы в

2007 г.

Значительный рост числа новых угроз за последний год вызван, вероятно, появлением авторов специализированного вредоносного кода и существованием организаций, которые нанимают программистов для создания таких угроз. Это отражает усиливающуюся профессионализацию вредоносной деятельности, что привело к созданию достаточного спроса для образования ниши профессиональных разработчиков вредоносного кода.

200? 2003 2003 2004 2004 2004 2004 2006 2006 2007 2007

Period

Динамика роста числа вредоносного кода

Группа профессиональных программистов может создать большее число угроз, чем отдельный автор вредоносного кода, что дает экономический эффект масштаба и, следовательно, ускоренную окупаемость инвестиций. Многие из этих угроз могут использоваться в целях финансового обогащения путем совершения таких действий, как кража конфиденциальной информации, которую можно продать в онлайне. Затем ее результаты могут использоваться для оплаты работы программистов и продолжения создания новых угроз. Сочетание этих факторов приводит к большому числу новых разновидностей вредоносных программ, угрожающих пользователям в онлайне.

Специализированное производство товаров и услуг часто становится возможным благодаря развитию модели аутсорсинга вредоносной деятельности. Аутсорсинг - это практика привлечения к решению определенных задач внешних исполнителей или организаций. Обычно это делается для повышения экономической эффективности или для приобретения организацией опыта, который иначе может быть недоступен.

Картина угроз явно становится все более динамичной. Это вызвано быстрой адаптацией злоумышленников и вредоносной деятельностью в ответ на меры безопасности, которые непрерывно совершенствуются для защиты компьютеров конечных пользователей и организаций.

Выводы

Итак, попробуем подвести некоторые краткие итоги, в том числе по цифрам, не вошедшим в наш краткий обзор. После чего постараемся спрогнозировать дальнейшее развитие событий.

Тенденции в области атак

• В течение данного отчетного периода 31% всей вредоносной деятельности осуществлялся в США, против 30% в первом полугодии 2007 г.

• Во втором полугодии 2007 г. главным источником атак были США, откуда исходили 24% всей мировой вредоносной деятельности, против 25% в первом полугодии 2007 г.

• Страной с самым высоким уровнем вредоносной деятельности на одного пользо-

Рис 4

вателя во втором полугодии 2007 г. была Перу, данный показатель которой составил 9%.

• Причиной большинства случаев утечки данных, способных привести к "краже личности", за этот отчетный период была кража или утеря компьютера или другого носителя данных, на долю которых пришлись 57% от общего числа таких случаев. То же стало причиной 61% случаев раскрытия персональной информации во втором полугодии 2007 г., что значительно превышает соответствующий показатель других секторов.

• Соединенные Штаты были страной с наибольшим числом серверов, задействованных в подпольной экономике — в США расположены 58% всех таких серверов, выявленных Бутаггїес. Это меньше, чем в первом полугодии 2007 г., когда в США были расположены 64% таких серверов.

• Товаром, наиболее часто предлагаемым к продаже на известных Бутаггїес серверах черного рынка, были реквизиты банковских счетов — на их долю пришлись 22% всех таких товаров. Это больше, чем в первом полугодии 2007 г., когда эта цифра составляла 21%.

• Во втором полугодии 2007 г. Бутаггїес регистрировал в среднем 61 940 активных бот-инфицированных компьютера в день - на 17% больше, чем за предыдущий период.

• Средняя продолжительность жизни бот-инфицированного компьютера за последние шесть месяцев 2007 г. составила четыре дня, как и в первом полугодии 2007 г.

• Больше всего бот-инфицированных компьютеров находилось в Соединенных Штатах — 14% от их общемирового числа, что несколько меньше, чем в первом полугодии 2007 г. (13%).

• Городом с самым большим числом бот-инфицированных компьютеров стал Мадрид, где расположены 3% от их общемирового числа.

• За последние шесть месяцев 2007 г. Бутаггїес выявил 4091 командно-управляю-щий сервер бот-сетей. Это на 11% меньше, чем за предыдущий отчетный период, когда были выявлены 4622 командно-управляющих сервера бот-сетей. 45% из них расположены в США — больше, чем в любой другой стране.

• Атаки, вызывающие отказ в обслуживании, были чаще всего — в 56% случаев — нацелены на США. Это меньше, чем 61% атак этого типа, нацеленных на США в первой половине 2007 г.

Тенденции в области уязвимостей

• Без учета специфических уязвимостей сайтов Бутаггїес зарегистрировал во втором полугодии 2007 г. 2134 уязвимости, на 13% меньше, чем в первом полугодии.

• 3% уязвимостей, зарегистрированных за этот период, классифицируются как опасные, 61% — как уязвимости средней степени опасности и 36% — низкой степени. В первом полугодии 2007 г. 9% зарегистрированных уязвимостей квалифицировались как опасные, 51% — как уязвимости средней степени опасности и 40% —

низкой степени.

• 58% уязвимостей, зарегистрированных во втором полугодии 2007 г., затрагивали веб-приложения, против 61% таких уязвимостей в первом полугодии 2007 г.

• 73% уязвимостей, зарегистрированных в этот период, классифицируются как легко эксплуатируемые, против 72% в первом полугодии 2007 г.

• Все поставщики операционных систем, за исключением Apple и Sun, продемонстрировали сокращение времени разработки исправлений. Microsoft показала самое короткое время разработки исправлений, равное 6 дням; самое большое время разработки исправлений у Sun — 157 дней.

• Свыше половины исправленных уязвимостей операционных систем средней и высокой степени опасности для Microsoft, НР и Sun во втором полугодии 2007 г. были уязвимостями браузера и клиентских программ. В первом полугодии 2007 г. уязвимости браузера и клиентских программ составляли большинство исправленных уязвимостей для всех поставщиков операционных систем, за исключением Apple.

• Во втором полугодии 2007 г. было зарегистрировано 88 уязвимостей в браузерах Mozilla, 22 в Safari, 18 в Internet Explorer и 12 в Opera. За предыдущий шестимесячный период в Internet Explorer было зарегистрировано 39 уязвимостей, в Mozilla — 34, в Safari — 25 и в Opera — 7.

• За последние шесть месяцев 2007 г. Symantec зарегистрировал 239 уязвимостей в плагинах для браузеров, против 237 за первые шесть месяцев. Во втором полугодии 2007 г. 79% из этих уязвимостей были связаны с компонентами ActiveX, против 89% в первом полугодии.

• Во втором полугодии 2007 г. 58% всех уязвимостей относились к веб-приложениям. Это меньше, чем в первом полугодии 2007 г. (61%).

• За последние шесть месяцев 2007 г. Symantec выявил 11 253 уязвимости типа межсайтового скриптинга, против 6961 в первом полугодии (правда, эти измерения начались только в феврале).

• 88% уязвимостей корпоративного программного обеспечения во втором полугодии 2007 г. остались неисправленными до конца отчетного периода. Это больше, чем 81% неисправленных уязвимостей

корпоративного программного обеспечения в первом полугодии 2007 г. За оба отчетных периода наибольшее число неисправленных уязвимостей было у Microsoft.

• Во втором полугодии 2007 г. Symantec зарегистрировал 92 уязвимости, связанные с продуктами безопасности. Это меньше, чем 113 уязвимостей в первом полугодии 2007 г. Из 92 уязвимостей 15 присвоена высокая степень опасности, 48 — средняя и 29 — низкая.

Тенденции в области вредоносных программ

• Во втором полугодии 2007 г. Symantec стало известно о 499 811 новых вредоносных программах, что на 136% больше, чем в первом полугодии 2007 г.

• Из 10 наиболее распространенных семейств вредоносных программ, обнаруженных за последние шесть месяцев 2007 г., пять относятся к категории "троянских коней", две — червей, две -червей с компонентом "лазейки" (back door) и одна — к категории червей с вирусным компонентом.

• Во втором полугодии 2007 г. "троянские кони" составили 71% от общего объема 50 наиболее распространенных разновидностей вредоносного кода — меньше, чем за первые шесть месяцев 2007 г. (73%).

• 43% червей исходили из региона Европа, Ближний Восток и Африка (EMEA).

• 46% "троянских коней" за этот период исходили из Северной Америки.

• Угрозы для конфиденциальной информации составили 68% от общего объема 50 наиболее распространенных разновидностей вредоносного кода, о которых стало известно Symantec.

• 76% всех угроз для конфиденциальной информации, выявленных за этот период, содержали компонент для регистрации нажимаемых клавиш, а 86% содержали средства дистанционного доступа — меньше, чем за предыдущий период (88%).

• 40% вредоносных программ распространялись путем обмена исполняемыми файлами — значительно больше, чем в первом полугодии 2007 г. (14%), что делает данный механизм распространения наиболее активно используемым за этот период.

• 7% из 50 наиболее распространенных разновидностей вредоносного кода, обнаруженных за этот период, модифици-

руют веб-страницы, против 3% за предыдущий период.

• Во втором полугодии 2007 г. 10% из 1032 зарегистрированных разновидностей вредоносного кода использовали уязвимости. Это меньше, чем 18% из 1509 зарегистрированных разновидностей вредоносного кода в первом полугодии 2007 г.

• Вредоносные программы, нацеленные на онлайновые игры, составили 8% из 50 наиболее распространенных разновидностей вредоносного кода, против 5% за предыдущий период.

Тенденции в области фишинга

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

• Было зафиксировано в общей сложности 207 547 фишинговых сообщений, на 5% больше, чем за первые шесть месяцев

2007 г. Это соответствует в среднем 1134 уникальным фишинговым сообщениям в день за второе полугодие 2007 г.

• 80% всех уникальных брендов, используемых при фишинговых атаках, относились к финансовому сектору, против 79% за предыдущий период.

• За этот период 66% всех фишинговых веб-сайтов имитировали бренды поставщиков финансовых услуг, против 72% в первом полугодии 2007 г.

• Во втором полугодии 2007 г. 66% фишинговых веб-сайтов, выявленных Бутаггїес, находились в Соединенных Штатах. 91% всех фишинговых атак на веб-сайты, хостируемые в США, был нацелен на два сайта социумных сетей.

• Бутаггїес зарегистрировал за этот период во всем мире 87 963 фишинговых хостов, что на 147% больше, чем в первом полугодии 2007 г. (32 939 хостов).

• 63% всех обнаруженных фишинговых хостов располагались в Соединенных Штатах, доля которых намного превысила долю любой другой страны.

• Три набора инструментов для фишинга применялись в 26% всех фишинговых атак, зарегистрированных Бутаггїес во втором полугодии 2007 г.

Тенденции в области спама

• С 1 июля по 31 декабря 2007 г спам составил 71% всего трафика электронной почты, контролируемого на уровне шлюза, что на 16% больше, чем за последние шесть месяцев 2006 года, когда 61% всей элек-

тронной почты квалифицировался как спам.

• 80% всего спама, выявленного за этот период, были составлены на английском языке — больше, чем за предыдущий отчетный период (60%).

• Во втором полугодии 2007 г. 0,16% всех спамерских сообщений e-mail содержали вредоносный код, против 0,43% в первом полугодии 2007 г.

• 27% всего спама за этот период составил спам, относящийся к коммерческим продуктам; это больше, чем к любой другой категории, и больше, чем за предыдущий период (22%).

• За последние шесть месяцев 2007 г. 42% всего спама, обнаруженного во всем мире, исходили из США, против 50% за предыдущий период.

• Во втором полугодии 2007 г. средний процент ежедневного графического спама составил 7%. Это меньше, чем средний процент ежедневного графического спама в 27%, зафиксированный за первые шесть месяцев 2007 г.

Итак, как можно увидеть в данных статистических выдержках, технологии разработки вредоносного ПО все больше переходят в область организованной деятельности, целью которой является лишь одно - увеличение прибыли от продажи либо данных технологий, либо информации, полученной с их помощью. В данном случае можно говорить об ужесточении противостояния производителей Антивирусного ПО и конечных пользователей с одной стороны, и индустрии вредоносного ПО с другой. При этом нужно отметить, что прибыльность данного нелегального бизнеса такова, что инвестиции в разработку новых механизмов атак порой выше инвестиций в разработку механизмов им противостоящим.

В данном случае выводов и рекомендаций для конечных пользователей и компаний может быть много, но главное можно выразить в следующем: добиться 100% защиты невозможно, но можно приблизиться к этому уровню. Для этого нужно как повышать уровень образованности пользователей в сфере информационных технологий, так и стремиться использовать передовые технологии комплексной защиты, не ограничиваясь лишь стандартными Антивирусными продуктами, эффективность которых продолжает стремительно снижаться.

i Надоели баннеры? Вы всегда можете отключить рекламу.