Решение Ваших задач в области
информационной безопасности

Пресса о нас



05 Февраля 2013, вторник

Обзор рынка ИТ безопасности

"Лаборатория Касперского" определила TOP 5 основных угроз, с которыми сталкивались российские пользователи в 2012 году.

Согласно данным, полученным с помощью облачной системы мониторинга угроз Kaspersky Security Network, 59% пользователей в России подвергались угрозе заражения при посещении веб-сайтов. Мошенники активно используют всевозможные уловки для заманивания доверчивых пользователей. Так, в Интернет можно встретить предложения, воспользоваться бесплатным антивирусом, скачать клиентские базы компаний, узнать, кто просматривал персональную анкету во "Вконтакте". Для этого требуется лишь отправить SMS-сообщение на короткий номер. На деле же все оказывается обманом, и с мобильного счета жертвы списываются денежные средства. За последний год более 11 млн пользователей подверглись подобного рода атакам.

Много неприятностей доставляют россиянам и так называемые программы-блокеры, которые получили наибольшее распространение именно в Рунет. Такие зловреды парализуют работу компьютера и выводят на экран монитора сообщение с требованием отправить за разблокировку платное SMS-сообщение на указанный номер или положить на него определенную сумму денег. Но даже в этом случае вероятность того, что злоумышленники пришлют код разблокировки, крайне мала. Ежедневно более 6,5 тыс. уникальных пользователей пользовались услугами сайта sms.kaspersky.ru, чтобы восстановить работоспособность своего компьютера. Всего же за год было зафиксировано свыше 13 млн посещений этого бесплатного ресурса "Лаборатории Касперского".

С развитием в России онлайн-банкинга эксперты компании наблюдают повышенный интерес к этим сервисам со стороны киберпреступников. Ежедневно на компьютерах российских пользователей защитные решения "Лаборатории Касперского" блокируют около 4 тыс. банковских троянцев, нацеленных на кражу финансовых данных.

Наиболее бурный рост в 2012 году показали мобильные угрозы, увеличившись почти в 6 раз по сравнению с количеством, которое было обнаружено за 7 предыдущих лет. Подавляющее большинство из них (99%) создаются под ОС Android, что объясняется большой популярностью устройств, работающих под управлением данной платформы. В России наибольшее распространение в последние годы получили SMS-троянцы: сегодня это 8 из 10 мобильных зловредов.

Большинство кибергуроз, характерных для Рунет, отличает использование злоумышленниками методов социальной инженерии. В силу слабой осведомленности большинства российских пользователей об опасностях, которые могут подстерегать их в Сети, многие с легкостью верят заманчивым предложениям, которые получают в Интернет. Это хорошо видно на примере самых различных схем с применением платных SMS-сообщений.

В то же время, пробелы в действующем в России законодательстве делают киберпреступников практически неуязвимыми перед правосудием.

Обучение технологиям взлома компьютерных систем - основная функция хакерских форумов, где опытные киберпреступники успешно "воспроизводят" себе подобных.

Как показало исследование "Monitoring Hacker Forums", проведенное компанией Imperva, обсуждения, в ходе которых происходит обучение хакерским технологиям, составляют 28% содержания хакерских форумов, это основной контент таких Интернет-ресурсов. Главные темы, связанные с обучением, касаются передачи опыта и знаний начинающим хакерам, методик взлома веб-сайтов и веб-форумов, хакерских программных продуктов и другого инструментария взломщиков.

Основные темы, не связанные с обучением, это, главным образом, узкотехнические вопросы и киберкриминальный бизнес (заказы, предложения услуг и украденной информации и т.п.).

Эксперты eScan отмечают, что в плане обмена информацией сообщество киберпреступников в принципе мало чем отличается от законопослушного профессионального ИТ-сообщества, размещающего на специализированных сайтах, форумах и других подобных ресурсах инструкции по настройке практически любого ПО.

Облачные браузеры, - например, Opera Mini, Amazon Silk Could или Puffin Browser - могут предоставлять хакерам бесплатные вычислительные ресурсы.

Такой вывод сделали американские исследователи, показавшие возможность анонимно использовать вычислительную мощность облачных браузеров.

Облачные браузеры обеспечивают пользователей интерфейсом, а значительную часть вычислительных задач, связанных с обработкой содержимого веб-страниц, они передают на выполнение дистанционным серверам. Поэтому данный вид браузеров наиболее актуален для мобильных устройств, имеющих меньшие по сравнению с настольными компьютерами вычислительные ресурсы. С расширением использования смартфонов и планшетов облачные браузеры становятся все более популярными и все чаще привлекают внимание киберпреступников и специалистов по информационной безопасности.

Используя модель распределенных вычислений Google MapReduce, американская исследовательская группа под руководством Уильяма Энка смогла успешно выполнить ряд стандартных функций вычисления в облачных инфраструктурах нескольких браузеров. По сути, исследователи показали возможность бесплатной эксплуатации вычислительного облака браузеров с целью выполнения посторонних задач.

Для борьбы с данной угрозой эксперты eScan в России и СНГ рекомендуют исключить возможность анонимного и бесконтрольного использования облачных ресурсов, то есть ввести обязательные учетные записи для каждого пользователя браузера и разграничить их права.

Аналитики "Лаборатории Касперского" спустя чуть более полугода зафиксировали новое массовое целенаправленное заражение крупных информационных ресурсов Рунет.

Сайты сразу нескольких популярных российских СМИ содержали вредоносный код, перенаправлявший пользователей на домен с эксплойтами с целью последующей кражи их конфиденциальных данных. По информации "Лаборатории Касперского", за каждые сутки таких атак риску заражения подвергались около 1500 пользователей.

Взломанные информационные ресурсы были обнаружены в конце октября 2012 года. Злоумышленники планомерно заражали одни и те же сайты на непродолжительное время - от 30 до 90 минут в середине дня - с целью как можно дольше оставаться незамеченными для администраторов веб-порталов. В процессе этих атак на компьютер пользователя устанавливался давно знакомый в мире киберугроз бот Lurk, который на этот раз был запрограммирован на кражу паролей от FTP-серверов. Зловред воровал пароли, сохраненные пользователями в программах, работающих с FTP-серверами.

Детали этой волны целенаправленных атак на сайты СМИ можно прочитать в блогпосте, подготовленном экспертами "Лаборатории Касперского", на сайте
http://www.securelist.com/ru/blog/207767088/Targetirovannye_veb_zarazheniya_2.

После выхода ПП № 1119 операторам персональных данных жить легче не стало.

Комментарий компании "Микротест" в связи с выходом Постановления Правительства РФ № 1119 от 01.11.2012 г. Текст см. на сайте правительства РФ:http://government.ru/gov/results/21355/. Постановлением № 1119 устанавливаются 4 уровня защищенности персональных данных (ПДн) при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищенности производится в зависимости от вида ПДн, который обрабатывает информационная система, типа актуальных угроз, количества обрабатываемых информационной системой субъектов ПДн и от того, обрабатываются ли ПДн о сотрудниках оператора.

Тему комментирует Сергей Борисов, ведущий инженер по ИБ департамента системной интеграции компании "Микротест":

- Год все ждали новых постановлений правительства по защите ПДн. Одни надеялись на либерализацию требований, другим нужен был простой и понятный "мостик" между новой версией 152-ФЗ и подзаконными актами регуляторов. ПП № 1119 вышло, теперь вопрос в том, облегчило ли оно жизнь операторов ПНд? На мой взгляд, - нет. Объясню, почему.

По сравнению с ПП № 781 обязательных требований в документе стало меньше - 14 вместо 34. Они разделены по уровням защищенности. Но самое обременяющее требование - необходимость сертификации СЗИ - осталось обязательным для всех ИСПДн.

Следующий пункт - классификация ИСПДн. Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно - придется обращаться в вышестоящую организацию или к консультанту.

Еще одна проблема: из-за отмены ПП № 781 юридическую значимость потеряла большая часть документов ФСТЭК Р и ФСБ Р, разработанных во исполнение отмененного постановления. Без новых документов нельзя будет даже провести установление уровней защищенности. А значит, ПП № 1119 пока бесполезно.

Что можно посоветовать операторам ПДн в связи с временнЫм провалом в регулировании защиты ПДн? Разумеется, не следует откладывать долгосрочные работы по обеспечению безопасности персональных данных. А при их выполнении необходимо руководствоваться прежними регламентирующими документами. Стоит запланировать выполнение дополнительных работ после выхода новых документов ФСТЭК России и ФСБ России потребуется обновить модели угроз, утвердить уровни защищенности и провести предусмотренные ПП №1119 мероприятия, соответствующие утвержденному уровню защищенности.

В связи с выходом ПП №1119 хотелось бы рассмотреть еще одну проблему с классификацией ИСПДн. Посмотрим на распространенные в любой компании процессы - просмотр справочника сотрудников, отправка писем коллегам, личные кабинеты пользователей на сайте, онлайн-формы для обращений пользователей. Какие ПДн обрабатываются в этих процессах? Имя, е-мейл, телефон - это общедоступные или обезличенные данные, полученные от самих субъектов ПДн.

В соответствии со старым тройственным приказом эти данные относились к четвертой категории, а содержащие их информационные системы - к 4 классу. Нарушение безопасности ПДн в этих ИС не приводит к негативными последствиям. Меры по защите таких систем оператор мог выбирать самостоятельно (например - использовались не сертифицированные СЗИ). Проводя классификацию по ПП №1119, мы вынуждены приравнивать эти ИСПДн к системам, содержащим паспортные или финансовые данные. Для защиты таких малоценных данных операторам придется применять такие же сертифицированные средства защиты информации, что и для полноценных ИСПДн. Это приведет к увеличению количества систем, технических средств, пользователей которые надо защищать. А это значит, что увеличится бюджет на защиту ПДн.

"Ахиллесова пята" системы GPS

GPS-приемники все чаще становятся элементами сложных систем, включающих многофункциональное ПО, различные каналы связи и форматы данных. Системный фактор позволяет улучшить характеристики GPS-аппаратуры, однако несет и риски появления новых уязвимостей.

Исследователи из Университета Карнеги-Меллон и компании Coherent Navigation классифицировали новые типы уязвимостей GPS и оценили масштаб связанных с ними угроз. В своей статье "GPS Software Attacks" они обратили внимание, что GPS-приемники, зачастую воспринимаемые как аппаратные устройства, представляют собой комплексные компьютерные системы, в которых, помимо аппаратного, есть и ПО. И доля их программной компоненты растет.

Современный GPS-приемник встроен в сложные компьютерные комплексы, и циркулирующая в них информация способна, при наличии злого умысла, нарушить его работу. Авторы рассмотрели и классифицировали возможные типы целевых деструктивных воздействий на компьютерные GPS-системы, выделив три основных вида атак:

  • атаки на уровне данных;
  • атаки на программное обеспечение GPS-приемника;
  • атаки на GPS-зависимые системы.

Используя относительно простую аппаратно-программную систему, собранную из доступных на рынке и недорого стоящих элементов, специалисты провели несколько концептуальных атак на GPS-устройства. При этом, в частности, использовались следующие приемы:

  • фальсификация эфемерид - регулярно обновляемых наборов данных о текущих орбитальных параметрах GPS-спутников;
  • передача некорректной информации о текущей дате;
  • намеренная рассинхронизация шкал времени;
  • атака на системное программное обеспечение устройства (вторжение, повышение привилегий в системе);
  • дезориентирующее искажение сигнала - псевдослучайного кода (спуфинг).

Новые методы атак прошли практическую апробацию на серийно выпускаемой пользовательской GPS-аппаратуре различных классов (на приемниках и их модулях, а также на источниках сигнала). Атаки производились, главным образом, через принимающую антенну с использованием уязвимостей в программах анализа сигнала GPS, а также в ОС. Каждое из семи исследованных устройств было уязвимо как минимум к двум видам атак.

До сегодняшнего дня широко известны были лишь такие виды атак на GPS, как заглушка сигнала и спуфинг, то есть атаки непосредственно на сигнал, а не на сами принимающие устройства. Конечно, были изучены и атаки через уязвимости геоинформационных систем, использующих данные GPS, однако этот вид нападений нельзя назвать атаками непосредственно на GPS. Не стоит забывать и об использовании функционала GPS во вредоносных программах для осуществления "геонаправленных" атак. В ходе таких атак вредоносное ПО действует нацеленно - лишь в определенном регионе или районе.

Эксперты eScan в России и странах СНГ попросили высказать свою точку зрения специалистов в области ГИС из группы "Неогеография". "В ходе данного исследования, во-первых, практически показана возможность не только временного, но и окончательного выведения из строя существующих моделей приемников посредством только лишь манипуляций с передаваемой информацией. Это достаточно интересный вывод, требующий глубокого осмысления и немедленных практических действий. Во-вторых, продемонстрирована особая опасность новых видов атак на инфраструктуры оперативного управления, построенные на базе GPS-систем - например, на аэродромные. Можно представить, какими последствиями обернется, к примеру, увод злоумышленником самолета, производящего посадку в сложных метеоусловиях, всего лишь на считанные метры от верного курса. Компьютеризированность современных спутниковых навигационных систем - это их "Ахиллесова пята", и достойный ответ новым угрозам нам еще только предстоит найти".

Компания Sophos опубликовала "Исследование угроз в сфере информационной безопасности 2013", в котором проанализированы события в области ИТ-безопасности за 2012 год и дан прогноз на 2013 год.

2012-й был годом новых платформ и новых хакерских угроз. Если совсем недавно основной ОС в мире была Windows, то теперь на смену ей пришло разнообразие программных платформ. Разработчики вредоносного ПО активно пользуются этой ситуацией, придумывая новые неприятные сюрпризы для специалистов в области ИТ-безопасности. Еще одной тенденцией года стало возрождение традиционных хакерских атак - например, распространение через Интернет вредоносного ПО.

Более 80% атак было реализовано посредством переадресации со взломанных сайтов. Как правило, вредоносное ПО представляет собой скрипт, встроенный в сообщение электронной почты или страницу благонадежного сайта, который перенаправляет пользователя на вредоносный ресурс. И хотя встречаются сайты, созданные специально с целью заражения компьютеров, у киберпреступников по-прежнему более популярны атаки, когда взлом обычного сайта используется для заражения устройств ничего не подозревающих пользователей. С пакетом эксплойтов Blackhole, созданных российскими хакерами, связано 27% инцидентов в области информационной безопасности. 30,81% доменов с зараженными страницами находились в США, 17,88% - в России и 10,77% - в Чили.

Лидером среди стран-поставщиков спама стала Индия (12,19%), за ней следуют США (7,06%) и Италия (6,95%). Россия находится на 7 месте с 3,34% от общего количества таких писем.

В Sophos считают, что если до настоящего момента множество хакерских атак не наносили существенного ущерба, то в 2013 году, с развитием платформ для тестирования так называемых наборов эксплойтов - вредоносного ПО, ситуация может кардинально измениться и традиционные системы корпоративной безопасности уже перестанут защищать от новых угроз. Некоторые из подобных платформ даже гарантируют мошенникам возврат средств в случае неудачи их продуктов. В результате можно ожидать увеличения количества инцидентов, когда мошенники получают доступ к корпоративным сетям и активно пользуются им.

Также для 2013 года будет характерно увеличение количества критичных для безопасности ошибок в настройках веб-серверов. В связи с ростом количества утечек информации, основанных на получении прав доступа, для администраторов одинаково важной становится защита как собственных компьютеров, так и рабочей среды веб-сервера. Большее количество атак потребует активного развития поведенческих механизмов защиты, а также устранения сбоев в работе систем и организации резервного копирования.


Источник: Компьютер-Информ

За любой информацией обращайтесь к нашим специалистам:
Тел: +7(495) 787-20-58; электронная почта: security@microtest.ru.
Обратная связь

Обратная связь

Напишите ваш вопрос специалисту и вы получите ответ в течение 2-х часов.

* — Просим вас заполнить отмеченные поля, чтобы мы могли с вами связаться.

Отправить заявку