В конце года разработчики ПО для защиты компьютера от внешних компьютерных угроз традиционно подводят его итоги. Широкой публике о них становится известно только в феврале, поэтому возьмем на себя смелость изложить в целом ясные и понятные, пусть и предварительные, результаты анализа состояния этой сферы.

Вредоносные программы

Само слово «вирус» в отчетах «антивирусных» компаний встречается все реже. Это вредоносные программы, которые могут саморазмножаться в компьютерных сетях, причем созданные копии обладают той же способностью. Различие между компьютерными вирусами и червями только в том, что последние используют сетевые сервисы. На классические вирусы (не применяющие сетевые службы), по данным антивирусных компаний, в 2009 году приходилось менее 5% инцидентов. Подавляющее же большинство вредоносных программ (более 75%) являются троянскими; как и вирусы, они часто могут размножать свои копии, но главное их отличие — способность к скрытому управлению зараженными компьютерами. Еще 15% — это программы класса Adware, создаваемые для незапрашиваемого показа рекламы, подмены результатов поиска и баннеров на сайтах.

Еще лет пять назад стало очевидно, что вирусописательство как способ самовыражения школьников и студентов изживает себя, вирусов-хулиганов и вирусов-вандалов становится все меньше. Правда, с распространением «конструкторов вирусов» стало возможным создавать компьютерную заразу совсем уж с минимальными знаниями, но и сами вирусы, производимые таким промышленным способом, становились легкой добычей для антивирусов. Можно констатировать, что в 2009 году продолжилась устойчивая на протяжении последних 4–5 лет тенденция коммерциализации индустрии вредоносных ПО.

Идейно новых программ и интернет-угроз в этом году появилось немного. Внимания заслуживает новый вирус Win32.Induc, который заражал среду разработки программ Delphi и встраивал себя в компилируемые программы. Изза высокой популярности Delphi среди разработчиков «индюк» довольно быстро распространился и по итогам, например, III квартала вошел в топ-10 вредоносных программ. Интересно, что вирус не имеет деструктивного функционала, из-за чего его не могли детектировать в течение года. Возможно, это просто «проба пера»: относительная безвредность часто встречается у концептуально новых вирусов.

Сравнительной новинкой в России стали троянские программы-скимеры» для банкоматов. Информация о них появилась в конце марта — правда, никто из российских банков за помощью антивирусных компаний официально не обратился. Возможно, дорога репутация, да и программа детектируется антивирусами «Лаборатории Касперского» и Dr.Web. Троянец заражал банкоматы фирмы Diebold (наиболее распространенные в нашей стране) — вероятнее всего, при их обслуживании. Программный скимер способен запоминать номера кредитных карт и ПИНкоды, а затем распечатывать их на чеке при вводе специальной последовательности на банкомате. Поскольку скимер создавался для работы с долларами, рублями и гривнами, можно однозначно говорить о местном характере разработки. О случаях извлечения прибыли с помощью этой программы неизвестно; возможно, это тоже пока только «проба пера».

По-прежнему популярны и эксплойты — вредоносные программы, использующие уязвимости в ПО, которые появляются вследствие неаккуратного программирования. Наиболее часто такие уязвимости встречаются в браузерах, так как позволяют по Интернету загрузить на компьютер жертвы вредоносный код. Не случайно, по данным «Лаборатории Касперского», все эксплойты, входящие в топ-10, используют уязвимости в обработке браузерами java-скриптов. Заметны в этом году были и эксплойты, использующие уязвимости в «офисных» программах (Microsoft Excel, Word, Powerpoint Outlook) и программы-плееры (Adobe Flash Player и Apple QuickTime). Некоторые эксплойты по-прежнему «налегают» на давно известные уязвимости, к которым выпущены соответствующие патчи, однако системные администраторы и пользователи не торопятся их закрывать.

Бот-сети

Заметен и продолжающийся рост бот- или зомби-сетей, то есть сетей зараженных компьютеров, которые по команде из «центра» через Интернет способны выполнять злонамеренные действия помимо воли их владельцев. Впоследствии они используются для рассылки спама и проведения компьютерных атак.

Крупные сети насчитывают уже миллионы пользователей и часто «сдаются в аренду». Наиболее крупной, по данным антивирусных компаний, стала в 2009 сеть, управляемая червем NetWorm.Win32.Kido (он же Win32.HLLW.Shadow). По оценкам «ЛК», в нее вошло около 5 млн зараженных компьютеров по всему миру. Секрет «успеха» Kido в использовании сразу нескольких способов распространения, в том числе через уязвимости и подбор паролей администратора сети, однако основным способом остаются съемные носители с функцией autorun, или, проще говоря, «флешки»*. Троянская программа Kido, сидящая на зараженном компьютере, периодически обновляет свою версию.

В начале апреля на зараженные Kido компьютеры были загружены спам‑бот семейства Net‑Worm.Win32.Iksmas и лжеантивирус FraudTool. Win32.SpywareProtect2009, которые, по всей видимости, «сдавались в аренду» по модной схеме BaaS. Так, компьютер, зараженный Iksmas, способен рассылать 80 тыс. писем в сутки, то есть вся Сеть ежесуточно способна к распространению 400 млрд писем! SpywareProtect2009, в свою очередь, выдавал предупреждение о компьютерном вирусе и предлагал оплатить его «лечение» (причем достаточно точно имитировался интерфейс именно той программы, что установлена на компьютере жертвы).

Тот, кто повелся на это предложение, выдал злоумышленнику номер своей кредитной карты. Интересно, что атака была непродолжительной, после чего сеть Kido затихла. Понятно, что сеть не рассосалась и, по всей видимости, в дальнейшем из соображений самосохранения будет работать в «импульсном режиме». К тому же бот‑сети часто используются для DDoS‑атак с последующим шантажом владельцев сайтов‑жертв; при таких атаках каждый «зомбированный» компьютер в отдельности проявляет минимальную и плохо обнаруживаемую активность.

Другой хит уходящего года — бот‑сеть из сайтов, зараженных скриптовым загрузчиком Gumblar, сделанным, очевидно, в Китае (более 30% зараженных сайтов — китайские, а на сайте Gumblar.cn находился подгружаемый скрипт). О нем стало известно в мае, после чего вышло еще несколько версий, и к осени Gumblar уже уверенно держался на первом месте среди веб‑вирусов. Используя уязвимости в программах Adobe Acrobat Reader/Adobe Flash Player, Microsoft Office, скрипт, загружаемый при посещении зараженного сайта, разыскивает на компьютере пароли для доступа к FTP‑ресурсам и заражает сайты, с которыми работает пользователь. По данным Dr.Web, сеть зараженных сайтов в период пика насчитывала более 60 тыс., а это, опять же, миллионы потенциальных жертв.

Наконец, все больше привлекает внимание платформа MacOS X: в начале года появился троянец Mac.Iservice, который включал заражен­ные компьютеры в бот­сеть. Dr.Web считает это первым случаем по­добного объединения компьютеров под управлением Mac OS X.

Социальные сети

Серьезным фактором роста масштаба интернет­угроз стала попу­лярность социальных сетей — таких как Twitter, Facebook, MySpace, рос­сийских «ВКонтакте» и «Одноклассники». В 2009 году еще чаще, чем в предшествующем, они становились медиатором действий фишеров и создателей троянских программ. Один из вариантов атаки прост до при­митивности: пользователь получает фальшивое сообщение от «друга» с предложением зайти на некий сайт (например с якобы важной антиви­русной программой), где его уже поджидает вредоносный код.

Причина большего успеха таких атак по сравнению с примитивной спам­рассылкой — в массовости сервиса и применении социального ин­жиниринга. Пользователь, получая письмо от «друга» (с привычной фо­тографией), мгновенно и без критического анализа выполняет его просьбу. Хотя если бы то же предложение пришло по обычной электронной почте и от незнакомого человека, он бы сто раз подумал. Возможно, интерес криминала к социальным сетям — закономерное следствие па­дения эффективности обычного спама (сказывается рост осведомленно­сти пользователей и его дискредитация в интернет­сообществе). Неуди­вительно, что, по оценкам «Лаборатории Касперского», эффективность рассылки в социальной сети вдесятеро превышает спамовую.

Неоднозначно расценивается специалистами такое событие, как утечка в конце июля базы данных пользователей «ВКонтакте». Кражи паролей в социальных сетях через фишинговые сайты случались и раньше, однако на этот раз база паролей из 130 тыс. аккаунтов была опубликована в Интернете. Это вроде бы не так много (менее 0,1% клиентской базы), однако опасность состоит в «волновом эффекте»: во­-первых, многие пользователи используют одни и те же пароли для до­ступа к разным службам, во­вторых, как мы сказали, размножение фальшивых писем в социальных сетях происходит намного быстрее. Кстати, анализ выложенной базы показал, что большинство пользова­телей применяют «слабые пароли».

СМС — российская специфика

Поскольку распространенность банковских карт и интернет­опера­ций с ними в нашей стране находится все еще в зачаточном состоянии, враждебные вихри с Запада до владельцев российских банковских карт практически не доходят. Однако ниша «окучивания» кошельков рос­сийских граждан в этом году была заполнена за счет такого простого и понятного (и преступникам, и жертвам) способа, как СМС­платежи.

«ЛК» в уходящем году выделила две группы «троянцев»: Blocker и Smser, которые при активации блокировали компьютер пользователя весьма аутентичным «виндосовским» экраном с призывом оплатить по СМС используемую пиратскую версию Windows. Вероятно, речь идет о некотором базовом «движке», который был использован несколькими группами: они отличаются выдаваемой картинкой (на сайте Dr.Web их около 20 вариантов) и короткими номерами операторов. Одни кор­ректно присылали «код разблокировки», другие — явно наглели, не да­вая кодов или предлагая недействительные. Расчет на то, что пользова­тель, понуждаемый чувством вины за незаконное использование ПО Microsoft (опять же налицо успехи в освоении социального инжини­ринга!), оплатит, — оправдались. Хотя нормального человека должны насторожить такие признаки, как отсутствие информации о стоимости сообщения, неправильный адрес офиса Microsoft и синтаксические ошибки, выдающие, что авторы имеют весьма среднее образование.

Отечественные операторы мобильной связи либо не подозревают о масштабах мошенничества с этим способом обналичивания денег, либо не способны взять ситуацию под контроль. Правда, в уходящем году бы­ло обнаружено немало некомпьютерных видов мошенничества с СМС­-платежами, и на эту сферу обратили более пристальное внимание и пра­воохранительные органы, и службы безопасности мобильных операто­ров, да и сами пользователи становятся все более бдительными.

И о спаме

Каких­-либо успехов в борьбе со спамом не достигнуто. Кварталь­ные отчеты «Лаборатории Касперского» за 2009 год дают устойчивый показатель: 85% (а то и более) почтового трафика — это спам. В миро­вом масштабе цифры еще более впечатляющие — 92% (по данным McAfee за III квартал). Источником спамерских рассылок, циркулирую­щих в России, остаются США и Бразилия, генерировавшие по пятой ча­сти всего трафика. На третьем месте — «отечественные производители». Причем у Бразилии наметилась специализация на фишинге банковских реквизитов, российские же спамеры реже используют его в мошенниче­ских целях, в основном напирая на рекламу образовательных, меди­цинских и юридических услуг, а также продвижение сомнительных сай­тов. Спамерские письма по­прежнему успешно преодолевают фильтры благодаря использованию графики и HTML­таблиц, и каких­то удач в чисто техническом противодействии не предвидится. Более того, анти­спамовые фильтры по­прежнему доставляют неудобство пользовате­лям, так как зачастую не пропускают обычную переписку.

Спам остается серьезной интернет­угрозой, ущерб от которой из­меряется далеко не только потраченным трафиком. И не столько им. При стремящейся к нулю стоимости трафика ущерб российских пользователей и провайдеров, по некоторым оценкам, составляет 50 млн долларов в год, но это лишь прямой ущерб. Гораздо больше — косвен­ный. Со спамом все чаще распространяются вредоносные вложения (0,5–1% всего трафика), фишинговые письма (около 1%). Заметна и доля собственной рекламы спамеров — своеобразные инвестиции в будущее. Сейчас самореклама — это около 10% спамерских рассылок, что в 3–4 раза больше, чем пару лет назад: сказывается влияние кризиса и снижение эффективности спам-услуг.

Итак, в мире отмечается рост числа рассылок с вредоносными программами (в первую очередь фишерами), основная цель — пользователи американских (Bank of America, JPMorgan Chase Bank, Community State Bank) и австралийских (St. George Bank) банков, а также платежной системы PayPal, интернет-аукциона eBay и магазина Amazon. Уровень распространения веб-банкинга и платежных систем в России пока оставляет нашу страну вне зоны интереса этого рода мошенников, но в любой момент может «рвануть». Есть и первые «звонки»: фишинговая рассылка якобы от системы «Яндекс.Деньги» (январь 2009-го): нажатие на кнопку в тексте письма приводило к переходу на фишинговый сайт.

Характерный признак — явные грамматические ошибки, что указывает на молодость «писателей». С ростом популярности российских электронных платежных систем ситуация может усугубиться. Осенью 2009 года, по данным «Яндекса», ежедневно с помощью «Яндекс.Денег» совершалось более 54 тысяч операций. Рост за год составил 70%; пользователи все чаще делают крупные оплаты: например, авиа- или железнодорожных билетов. В более распространенной системе WebMoney количество операций превышает 210 тыс., ежедневно выполняется более 8 тыс. новых регистраций.

Прогноз на будущее

Что же ждет нас в области внешних интернет-угроз в 2010 году? Сможет ли цивилизованная часть компьютерного мира что-то противопоставить все более профессиональной и изощренной компьютерной преступности? Ответы на эти вопросы лежат в изучении причин успешности угроз. Ни популярность Интернета, ни аппетиты криминальных групп, конечно, не снизятся, не стоит ожидать и резкого повышения эффективности чисто технических решений.

Огромным резервом остается еще невысокий уровень подкованности компьютерных пользователей. Мы уже отмечали, что «успех» эксплойтов, которые используют уже давно известные и «пропатченные» производителями уязвимости, говорит о том, что пользователи и системные администраторы все еще не признают безусловную необходимость установки пакетов обновлений используемого ПО.

По-прежнему вредоносные программы используют некомпетентность пользователя (побуждая его нажать на кнопку или посетить некий сайт). Правда, как мы видели, создателям таких программ приходится постоянно совершенствовать их правдоподобность. При возникновении нештатных ситуаций они все чаще ищут ответы именно на официальных сайтах антивирусных компаний. Нельзя не заметить и то, что сами разработчики систем компьютерной безопасности все больше вкладываются в развитие образовательной составляющей своих сайтов: обзоры угроз, подробное описание вредоносных программ, бесплатные утилиты и др.

Развитию распределенного характера угроз можно противопоставить и распределенный характер защиты. Идеи Web 2.0 проникают в антивирусы и фаерволы. Пользователи добровольно соглашаются на отсылку информации о подозрительных событиях на своих компьютерах. В этой мировой тенденции уже год работает сеть Kaspersky Security Network, которая позволяет в режиме онлайн собирать информацию об активности интернет-угроз с нескольких миллионов компьютеров по всему миру.

По-прежнему незначительны успехи законодательного и правоохранительного противодействия подобным угрозам в нашей стране. Попытки применить против спамеров нормы закона «О рекламе» и «О персональных данных» значимого результата не принесли. В одном из случаев суду так и не удалось доказать, что электронный адрес относится к персональным данным (ввиду его общедоступности). До сих пор не принят закон, который перевел бы спам в категорию преступления или хотя бы административного правонарушения. Пять лет назад российские законодатели были как никогда близки к принятию необходимых поправок в УК и КоАП, однако «воз и ныне там», что хорошо видно на характере спамерской рассылки, рекламирующей совершенно легальные бизнесы с телефонами, адресами и схемами проезда.

Давно входящая в УК РФ глава 28 (компьютерные преступления) применяется весьма странно. Достаточно посмотреть на статистику применения статьи 273 («Создание и распространение вредоносных программ») в 2009 году. Например, по ней реальные сроки постигли в Москве лишь двух человек, занимавшихся установкой нелицензионных программ; еще одного пирата привлекли за распространение «чипованных» приставок Xbox. Странным выглядит осуждение по 273-й статье студента СПбГУ (правда, дело тянется еще с 2006-го), сделавшего дефейс факультетского сайта. А вот группа из четырех преступников, укравших в Петербурге с помощью специальных устройств с кредитных карт 5 млн руб. (это лишь доказанный ущерб!), осуждены только на условные сроки. Более или менее значимым успехом сотрудников милицейского управления «К» (правда, по наводке полиции Гонконга) стала ликвидация в Петербурге «черного» хостинг-центра, организованного молодым человеком, известным как Саломон. В небольшом помещении на окраине города располагалось 30 серверов, использовавшихся для спамерских рассылок, размещения командных центров ботнетов, фишинговых сайтов. Масштаб, конечно, невелик; например, в июне по решению федеральной торговой комиссии США (FTC) был закрыт хостинг-провайдер 3FN, что привело к кратковременному снижению уровня спама на 15%. Впрочем, уровень мирового спама довольно быстро восстановился, доказывая, что даже такими решительными действиями проблему не устранить. В прошлом году закрыли провайдера McColo, который генерировал около 75% спам-рассылок, но и этот удар был быстро компенсирован.

Таким образом, в наступающем году вряд ли стоит ожидать снижения киберпреступности. Даже разговор о влиянии кризиса здесь более чем уместен: эксперты отмечают начало жесткой конкуренции между крупными группировками, что приводит как к росту масштабов атак, так и к поискам повышения их эффективности. Особый упор будет сделан на фишинге и других видах мошенничества, способных принести быструю и относительно безнаказанную прибыль. Кризис также может способствовать и вовлечению в криминальные группы высвобождающихся программистов, особенно в странах, занимавшихся «офшорным программированием»: Китае, Индии, Бразилии, России, Украине.

Нельзя отрицать и возможное появление принципиально новых угроз. В частности, из года в год ожидаются эпидемии вирусов и червей для мобильных телефонов (точнее, смартфонов), однако значимых пока не наблюдается — возможно, из-за «подкритического» уровня распространенности этих устройств. Эйфория вокруг «айподов» и их многочисленных клонов может в любой момент стать средой для атаки. Стремление к использованию более изощренных методов социальной инженерии, возможно, создаст человеко-машинные атаки, подобно тому как сейчас тысячи «дешевых» программистов в развивающихся странах используются для разгадывания CAPTCHA-кодов.

Одним словом, в новом году компаниям, борющимся с киберугрозами, можно только пожелать успеха, ну а простым пользователям — бдительности, ибо, как мы видим, ни одна из интернет-угроз не обходится без своеобразного соучастия самих пользователей и их слабостей: невнимательности, неосведомленности, доверчивости.

_____________________

* Как показывает статистика заражения, autorun-вирусы во втором полугодии снизили активность — возможно, благодаря появлению (хотя и запоздалому) патча KB971029 от компании Microsoft, который убирает функцию автозапуска из различных версий Windows. Свою роль сыграло и отключение автозапуска по умолчанию в «Висте».

_________________________________________________________________

Системы под прицелом

Валерий Ледовской, аналитик компании «Доктор Веб»

На сегодняшний день наиболее массовой угрозой являются вредоносные программы, с помощью которых организуются различные схемы мошенничества, то есть незаконного получения денежных средств от пользователей компьютеров посредством шантажа или обмана. На первом месте по распространенности идут лжеантивирусы (Trojan.Fakealert по классификации Dr.Web), затем — разнообразные похитители паролей аккаунтов пользователей (Trojan.PWS.Panda, Trojan.PWS. LDPinch и другие), блокировщики Windows (Trojan.Winlock), шифровальщики пользовательских файлов (Trojan.Encoder), порнобаннеры в браузерах (Trojan.Blackmail, Trojan.BrowseBan) и другие. Ущерб от данных вредоносных программ исчисляется миллионами евро в месяц.

Другим явным трендом последних месяцев является стремление злоумышленников во что бы то ни стало «покрыть» как можно больший процент пользователей. Не секрет, что количество операционных систем, браузеров, медиа-плееров, внешних устройств в последнее время постоянно растет. Многообразие этих элементов достигло того, что вирусописателей уже не устраивает возможность распространить вредоносную программу только среди пользователей Windows, использующих браузер Internet Explorer. Вредоносные сайты, появляющиеся в последнее время, построены так, чтобы иметь возможность определить вид ОС, используемой на компьютере жертвы, а также браузер и другое установленное ПО (версия плагина Adobe Flash, к примеру). Эта информация позволяет передавать пользователю вирус, предназначенный для используемого программного окружения. Таким образом можно достичь практически стопроцентного результата. Все это приводит нас к следующему выводу: в настоящее время любая система может попасть на прицел. Уже есть сайты, которые устанавливают вредоносные программы в ОС Windows и Mac OS, есть интернет-ресурсы, распространяющие вредоносные плагины, которые работают в различных браузерах. Эту тенденцию можно назвать глобальным стремлением к мультиплатформенности. В таких условиях и производители антивирусов должны стремиться к охвату как можно большего числа платформ, создавать комплексные продукты, способные осуществлять защиту различных компьютеров и устройств в условиях локальных сетей предприятий.

Антивирус не может стать панацеей от вредоносных программ, но является эффективным инструментом для существенного снижения такой вероятности. Если пользователь, в дополнение к установленному и автоматически обновляющемуся антивирусу, будет следовать элементарным правилам информационной безопасности, то вероятность заражения системы сведется к минимуму. На сегодняшний день в число таких правил входят следующие: необходимо устанавливать все актуальные обновления на используемую операционную систему и другое ПО (в особенности браузеры), не открывать подозрительные ссылки и не запускать подозрительные файлы (особенно ссылки и файлы, присланные неизвестным адресатом), не участвовать в сомнительных схемах, организаторы которых предлагают легкий доход, и пр. Чаще всего заражение компьютеров сегодня происходит после запуска вредоносной программы на исполнение самим пользователем.

Плата за удобство

Иван Бадеха, инженер департамента информационной безопасности компании «Ай-Теко»

Постоянный рост вирусной активности напрямую связан с усложнением систем, обрабатывающих критически важную информацию, и является в некотором смысле платой за появление удобных сервисов для пользователей.

Согласен, что в основном вирусописательство развивается как бизнес, где, помимо программистов, наверняка должны задействоваться и юристы, способные предложить наиболее действенные схемы и способы по возможности уйти от судебных разбирательств. Развитие этого «бизнеса» в цивилизованном обществе сдерживает чуть ли не единственный, но все же достаточно сильный фактор — его незаконность.

Безусловно, в связи с организованным подходом к вирусописательству вирусная деятельность зачастую используются как один из элементов или этапов для реализации комплексных угроз, таких как, например, атаки DDоS и другие атаки на основе бот-сетей.

С распространением Mac OS появляются вирусы и для подобных операционных систем. Однако большинство из них все же эксплуатирует уязвимости в сторонних приложениях, а не в самой системе, и операционная система как таковая на данный момент остается относительно безопасной.

Активное развитие социальных сетей (а в нашей стране на данный момент его можно охарактеризовать как взрывное) также существенно способствует вирусной активности. Основная причина кроется в том, что, будучи ориентированными на очень широкий круг людей, большинство из которых не знакомо с вопросами информационной безопасности, социальные сети активно провоцируют своих пользователей на раскрепощенное и непринужденное общение, следствием которого становится невнимательное отношение к своим персональным и аутентификационным данным, а также к устанавливаемому и (или) запускаемому программному коду. Естественно, в подобной среде следует ожидать весьма бурного роста вирусной активности в социальных сетях, которая рискует однажды блокировать их работу — и тем самым «перекрыть себе кислород». Выход — в серьезном пересмотре идеологии социальных сетей и ужесточении их политик безопасности, каким бы невероятным это ни казалось нам сейчас.

Кроме социальных сетей, одним из наиболее важных путей распространения вирусов среди широкой аудитории являются спам-рассылки с приглашениями посетить определенные сайты и вредоносными программами, в том числе и связанные с фишингом. Опасность фишинг-атак за последние два месяца значительно возросла, и связано это в первую очередь с найденными уязвимостями в большинстве реализаций протокола TLS/SSL, позволяющими проводить атаки man-in-the-middle. Далеко не во всех системах эти уязвимости могут быть мгновенно устранены установкой соответствующих обновлений ПО. В связи с этим для борьбы используются прежде всего организационные меры, требующие дополнительных подтверждений при выполнении действий от лица владельца аккаунта.

Алексей Андрияшин, консультант по безопасности компании Check Point Software Technologies

Интернет-атаки, выполненные из хулиганских целей, уже давно не фиксируются. Напротив, большинство атак имеет конкретную цель: приостановить доступность какого-нибудь веб-ресурса — например интернет-магазина, интернет-банка или целой платежной системы. Простой таких сервисов может привести к колоссальным потерям не только для владельца, но и для его партнеров.

Лица, которые выполняют такие атаки, прекрасно мотивированы. В сети можно отыскать огромное количество предложений по проведению массовых DоS-атак. Стоимость атаки зависит от ее продолжительности и размера бот-сети. Продаются (сдаются в аренду) и сами бот-сети, а точнее, средства управления ими.

В 2009 году было зафиксировано множество DDоS-атак, однако не все инциденты стали достоянием общественности, так как компании, подвергшиеся нападению, не желают говорить об этом. Поэтому статистика совершенных атак является условной.

Эффективным средством борьбы с DDOS-атаками являются системы IPS и межсетевые экраны, функционал которых позволяет обнаруживать распределенные атаки. Например, компания Check Point предлагает решения класса IPS, позволяющие эффективно противостоять DoS/DDoS атакам, таким как SYN Flood, SYN Spoofing.

Другой серьезной угрозой остается фишинг. Например, при совершении покупки в интернет-магазине пользователю предлагается поддельная страничка, похожая на оригинал. В результате посетитель ресурса, сам этого не подозревая, оставляет свои данные злоумышленникам. Функционал WebCheck, входящий в Check Point Endpoint Security, позволяет обнаруживать фишинговые странички, не только сверяясь с черными списками, но также и с использованием эвристического анализа, оберегая пользователя от ошибки.

Методы социальной инженерии, которые уже успешно применяли хакеры, успешно работают до сих пор, и их эффект многократно усиливается с применением технических средств. Поэтому средства информационной безопасности могут быть эффективными не только, когда они противостоят угрозам, но и предупреждают ошибочные действия пользователей, что очень важно при реализации, например, DLP решений.

При построении системы безопасности потребуется комплексный подход. Одинаковое внимание нужно уделять как защите периметра рабочих станций, мобильных устройств, так и управлению. Системы безопасности будут строиться по принципу проактивной защиты и развиваться вместе с ростом компании.

Защита от угроз

Михаил Романов, директор по развитию бизнеса Stonesoft в России, СНГ и странах Балтии

Надо признать, что угрозы вирусных и хакерских атак для современных информационных систем были и остаются одними из самых серьезных; реализация этих угроз ежегодно наносит огромный ущерб как отечественным, так и различным международным компаниям, при этом цифра ущерба существенно растет год от года. И это несмотря на то, что во многих организациях по всей инфраструктуре внедрены дорогостоящие антивирусные комплексы, системы защиты от утечки, установлены средства сетевой защиты от ведущих производителей. Почему же так происходит?

Можно долго рассуждать на тему, что абсолютно исключить риск нельзя, внедрением тех или иных средств или организационных мер защиты мы только снижаем риски до приемлемого уровня, причем определяет его не специалист по безопасности, а владелец бизнеса. Кроме того, бурное развитие ИТ, широкое распространение Интернета, мобильных сервисов, беспроводных технологий в конечном итоге негативно влияет на уровень информационной безопасности современных систем. Все это верно, но никакой коммерческой организации не придет в голову полностью отказаться от использования Интернета, веб-технологий, удаленного доступа и т. п. Информация стала главным активом современного мира, поэтому более высокотехнологичная компания сегодня имеет серьезное конкурентное преимущество. Хотя никто не спорит, что работать только локально намного безопаснее.

На мой взгляд, основная причина все же в том, что эта сфера почти полностью коммерциализировалась. Теперь не новость и вирусная или DDoS-атака на заказ, причем стоимость такой «услуги» вполне подъемная. Например, DDoS-атака часто маскирует мошенничество со счетами.

Второй существенный момент — наличие в свободном доступе большого количества хакерских утилит, фрагментов вредоносного кода и «руководств» по их использованию, доступных пониманию не только узкого круга профессионалов.

Третий аспект — несовершенство законодательной базы, неосведомленность населения в этих вопросах, отсутствие опыта, материальной базы и нужного количества высококвалифицированных специалистов по расследованию и предотвращению компьютерных преступлений.

Еще одна немаловажная проблема — отсутствие структурированного и целостного подхода к построению системы защиты в российских организациях. Многие проблемы и угрозы существовали задолго до того, как ими воспользовались злоумышленники, и, к сожалению, надежда на «авось» многих подвела. В общем, кто предупрежден — тот вооружен…

Михаил Орешин, директор по развитию компании «Амрита Групп»

Угрозы по сравнению с 2008 годом практически не изменились. Все тренды, заложенные в 2008 году и ранее, сохранились: социальные сети, комплексные атаки, целевые атаки, громадные бот-сети, мобильные устройства, спам-атаки на блоги, а также уже ставшие банальными вирусы, классический спам и фишинг. В начале года большой общественный резонанс вызвало сообщение о вирусах в банкоматах — правда, это был скорее всплеск интереса, который быстро угас. Что надо отметить, так это консолидированную и успешную борьбу с бот-сетями, хотя пока победы выглядят разовыми. Спрогнозировать, где возникнут новые угрозы, несложно: там, где много людей. Все больше будет сообщений по атакам на банкоматы, терминалы электронных платежей, электронные билеты, онлайн-игры, системы электронных денег и кошельков.

Отдельно бы я остановился на возрастающем интересе к «облачным» вычислениям, а также сервисах типа SaaS или S+S. С одной стороны, подобные модели должны поднять уровень безопасности, так как ЦОД, в которых размещается «сердце» вычислений, хорошо защищены и обслуживаются профессионалами. С другой стороны, успешная атака, при меньшей своей вероятности, может привести к непредсказуемым последствиям — например к нарушению доступности конфиденциальных данных. Кроме того, если по данной модели предусматривается активное взаимодействие с конечным пользователем — мы столкнемся с привычными нам угрозами в виде фишинга, спама (возможно, в каком-то новом виде) и шпионского кода.

Мы видим, что сами антивирусные компании стали использовать «облачные» решения в своих продуктах для конечных пользователей. Пока это не носит повального характера, решения точечные и функционал ограничен. Но думаю, что в 2010 году практически все антивирусные компании начнут или продолжат использовать данные технологии более широко; если смотреть на перспективу, это одна из немногих технологий, позволяющих оперативно реагировать на новые угрозы.

В 2009 году возросла активность вендоров и компаний, работающих в сегменте ИБ (особенно в сегменте защиты персональных данных) в СМИ. Если не вступать в разговоры по поводу корректности некоторых публикаций, я бы отметил важный плюс — просвещение обычных пользователей.

Кроме того, 2009 год прошел под знаком повышенного интереса государства к рынку ИТ в целом и ИБ в частности. Все-таки средства защиты — это оперативная методика, но отсутствие ответственности за преступления (как де-юре, так и де-факто) вселяет в преступников чувство собственной безнаказанности. Например, если еще два года назад идея электронного паспорта (идентификация пользователя) казалась безумной, то сейчас она находит все больше поклонников и сторонников.