По сравнению с предыдущими годами, киберпреступники стали гораздо более искушенными, применяя новые и эффективно используя старые инструменты для организации атак. Целями таких атак становились как отдельные Интернет-пользователи так и организации. Основным источником угроз и атак в 2008 являлись Интернет и онлайновые сервисы. Большое количество и разнообразие типов онлайновых атак постоянно были в фокусе аналитиков и компаний, занимающихся информационной безопасностью. Можно с уверенностью говорить, что 2007-2008 годы стали закатом эры некоммерческих вирусов и вредосного кода. За прошедшие годы в Интернете появилась индустрия киберпреступности, которая строит бизнес, используя такие технологические элементы как: вредоносное ПО, ботнеты, спам, зараженные сайты. По разным оценкам прибыли киберпреступников составляют от сотен миллионов до нескольких миллиардов долларов, а потери от их деятельности достигают фантастического значения – до одного триллиона долларов в год.  

Вторым по счету фокусом индустрии являлись угрозы связанные с утечкой конфиденциальной информации и деятельностью инсайдеров. В Европе и США повышенное внимание к этой тематике вызвано прописанными в законодательстве требованиями публично сообщать об инцидентах, связанных с утечкой персональной информации о гражданах. В Украине интерес к теме утечек информации подогревался телевизионными сюжетами о торговле конфиденциальными базами данных и серией рейдов правоохранительных органов по торговым точкам для изъятия дисков с подобными базами.

Третьим пристальным объектом внимания стал социальный аспект информационной безопасности. Фишинг, другие методы социальной инженерии остаются технически простым способом наживы. Как показывает практика именно во время кризиса наблюдается рост разного типа мошенничества. Отличие текущего кризиса от предыдущих, что к наперсточникам и прочим “физическим” шулерам добавились мошенники “виртуальные”.

Данная статья основывается на информационных ресурсах портала Cisco Security Center www.cisco.com/security , в частности используются аналитические материалы отчета Cisco Annual Security Report за 2008 год.

Угрозы 2.0
Маркетологи любят добавлять к названию новых технологий числовые обозначения - 2.0, 3.0, – таким образом, наглядно демонстрируя отличия нового подхода от старого. Так в частности возникло название и Web 2.0 – социально-ориентированный, интерактивный Интернет. В 2008 году, чтобы описать новые подходы к созданию и распространению вредоносного ПО возник термин Malware 2.0. Попытаемся разобраться, что стоит за этим впечатляющим термином. 

Вирусы, черви , программные шпионы и троянцы существует уже достаточно давно. Такой класс вредоносного ПО получил название malicious software – сокращенно malware. Традиционные антивирусы достаточно успешно боролись с некоммерческим вредоносным кодом. Вирусы разрабатывались любителями, у которых не было ресурсов и большого желания, целенаправленно заниматься распространением своего детища. Мотивацией подобных вирусописателей была слава, известность, в некоторой степени самореализация. Соответственно при появлении нового вируса либо штамма возникала локальная либо глобальная эпидемия, которая достаточно быстро “гасилась” обновлением антивирусного ПО. 

За последние 5 лет в массовый Интернет пришли большие деньги – в виде онлайн систем торговли, онлайн банкинга, Интернет-рекламы и игр. Соответственно появилось много желающих получить кусок этого большого финансового пирога полукриминальными методами. Для киберкриминала нашлись и инструменты – это вредоносный код , ботнеты, спам, и зараженные сайты. Все эти инструменты образовали замкнутый цикл, который позволил злоумышленникам получать контроль над удаленными компьютерами. Вредосный код попадает на компьютеры двумя основными способами – после серфинга зараженных сайтов либо через рассылку спама. Во многих случаев для заражения используются уязвимости браузеров или почтовых клиентов и от пользователя не требуются АКТИВНЫЕ действия в виде открытия или запуска исполняемых файлов. Простое открытие зараженной страницы или письма приводит к заражению компьютера. Первоначальный вредоносный элемент обычно не несет никаких разрушительных действий, его основное назначение - поселится на компьютере и обратится к своему центру управления за обновлениями или командами. Таким образом зараженный компьютер (он еще называется зомби или бот ) полностью находится под властью центра управления . Сеть состоящая из множества ботов получила название ботнет. Современные ботнеты включают в себя сотни тысячи компьютеров, находящихся под общим управлением. 

Существует несколько способов использования ботнетов для получения прибыли – рассылка рекламного спама, организация платных атак на публичные ресурсы , воровство конфиденциальной информации (номера банковских карточек, пароли) с целью дальнейшей перепродажи. В конце концов боты могут распространять вредоносный код в Интернете, вербуя новых членов зомби-сети.

Можно добавить, что подобная вредоносная активность очень тщательно маскируется и достаточно плохо детектируется современными антивирусными сигнатурными и эвристическими алгоритмами. Примером такого кода может являться российский троян Gozi, который находился на десятках тысяч компьютеров в США и Европе и передавал конфиденциальные данные с компьютеров владельцев в течении нескольких месяцев. Этот троян не обнаруживался штатными антивирусами и antispyware программами. Троян был случайно обнаружен консалтинговой компанией SecureWorks в ходе изучения ПО на нескольких компьютерах.  

Новые подходы хакеров к разработке, распространению и использованию вредоносного кода и получили название Malware 2.0

Какие тенденции наблюдались в 2008 году в этом направлении. 

1. Акцент в способах распространения вредоносного кода сместился от почты к использованию веб-каналов . Причем злоумышленники используют не только уязвимости движка браузера (Internet Explorer-а, Firefox, Opera), но и все богатые возможности расширения, которые присутствуют в современных браузерах – флеш, плагины, медиаплееры, ActiveX. Более того експлойты способны автоматически определять тип и версии используемого клиентского ПО и подбирать индивидуальный набор уязвимостей. К примеру, если у пользователя стоит устаревшая версия IE, то проникновение будет делаться с использованием уязвимости браузера, а если используется Mozilla Firefox то атака будет проводится с помощью ролика , вызывающего переполнение буфера в плагине Macromedia Flash.
   
2. Распространение вредоносного кода все чаще делается через доверенные веб-сайты, имеющие уязвимости безопасности. Так весной и летом 2008 года более 2 миллионов легитимных сайтов были взломаны с помощью SQL-иньекций, которые перенаправляли пользователей на хакерские сайты. Так как активности исходили из доменов, находящихся в Китае, атака получила название «Большой Китайский Хак». Для атак на веб-сайты чаще всего используются три метода - SQL иньекция, Cross-site scripting (XSS) и Cross-site request forgery (CSRF or XSRF). По статистике организации White Hat Security - 7 из 10 Интернет-сайтов подвержены XSS, а каждый пятый сайт уязвим к SQL иньекции. Необходимо отметить, что подобные атаки проходят скрытно - с точки зрения пользователя он находится на легитимном сайте, на самом деле браузер загружает вредоносные элементы с хакерских сайтов. В 2008 году имели место случаи взлома страниц с защищенным доступом поверх SSL/HTTPS. Это вызывает особые опасения, так как шифрованные страницы обычно проходят мимо корпоративных систем фильтрации веб-контента.
   
3. Ботсети используются как движущая сила большинства атак. К примеру одной из самых эффективных ботсетей в 2008 году была Asprox, которая использовала модификацию хорошо известного троянского коня для заражения компьютеров. Зараженные компьютеры используя Google сканировали Интернет в поиске Active Server Pages (.asp), которые могут быть подвердены SQL-инжекциям. И масштабность и сложность бот-сетей увеличивается с каждым годом. “продвинутые” сети используют развитые механизмы маскировки – вместо одного командного центра, который может быть легко вычислен, используется целая сеть командных центров, с постоянно меняющимися IP-адресами и именами. Таким образом, ботсеть способна адаптироваться к блокированию на уровне оператора связи отдельных командных пунктов. В конце 2008 года совместными усилиями провайдеров и компаний, специализирующихся на безопасности, был заблокирован хостинг-провайдер McColo, который обслуживал множество ботсетей и рассылок спама. В результатет объем мирового спама и атак уменьшился в 2-3 раза. Но через несколько дней ботсети самостоятельно перестроилась на резервные центры управления.
   
4. Коммуникации между зомби и командными центрами могут налету шифроваться. В целом развитие ботсетей происходит по подобию P2P-сетей для файлового обмена – децентрализация архитектуры, защищенные маскируемые коммуникации, высокая отказоустойчивость.
   
5. В 2008 году активно развивались руткиты – вредоносное ПО, способное маскировать свое присутствие в системе. Руткиты способны менять системные библиотеки, загрузочные секторы для скрытия своего присутствия на диске и в памяти. Современные руткиты научились активно противодействовать работе антивирусов и программных систем защиты, к примеру, изменяя антивирусные файлы. Руткиты стали использовать персонализированный код, который меняется от компьютера к компьютеру. Таким образом только на уровне антивирусов становится тяжело выявить руткиты и предотвратить их функционирование.
   
6. По статистике Cisco около 90 процентов всех электронных почтовых коммуникаций в мире являются спамом. В абсолютных числа объем спама составляет 200 миллиардов писем в день. Среди интересных тенденций в 2008 можно отметить появление “заточенных” фишинговых сообщений и рассылка спама от почтовых сервисов с хорошей репутацией. В случае “заточенного” фишинга (на английском - spear-phishing) рассылаемые письма направлены на конкретных людей и организаций. К примеру, в письме могут указываться настоящие имя и фамилия получателя, его место работы. Для рассылки подобных писем спамеры используют похищенные списки адресов с указанием персональных данных. Также в 2008 году наблюдались случаи рассылки спама от легитимных сервисов Microsoft Hotmail, Google Mail и Yahoo. Злоумышленники научились обходить диалоги с распознаванием текста в картинке (т.н. CAPTCHA тест) и массово создавать почтовые ящики для рассылки спама с помощью ботсетей. Объем такого спама пока не велик (до одного процента), но в целом около 8 процентов писем рассылаемых Top10 почтовых сервисов являются спамом.

Тенденции развития уязвимостей
2008 год датировался рекордным количеством анонсов о найденных уязвимостях и проблемах безопасности в ПО. По данным Cisco количество опубликованных уязвимостей выросло на 11,5 процентов по сравнению с 2007 годом. С другой стороны большинство уязвимостей (до 80%) выявлялось либо сами же вендорами либо исследовательскими организациями . Таким образом публичному опубликованию отчета о найденной “дырке”, обычно предшествовал выход патча или обновления . В итоге при увеличении количества новых уязвимостей , число уязвимостей “нулевого дня” (для которых в момент анонса не существует патча) уменьшалось. 

Можно попытаться условно разделить найденные в 2008 году уязвимости на два основных типа: уязвимости конкретных продуктов и кросс-платформенные уязвимости технологий и протоколов. 

Основные усилия по выявлению новых уязвимостей продуктов направлялись на популярные операционные системы, офисные пакеты и браузеры. Причем необходимо отметить, что формальный анализ количества уязвимостей в продукте не отражает его безопасность, а говорит скорее о степени его распространенности. Так если в 2006-2007 основные анонсы об уязвимостях были посвящены браузеру Internet Explorer , то за 2008 год в IE 7.0 было найдено 43 уязвимости, а в альтернативном, набирающем популярность, Mozilla Firefox 3.0 - 50 уязвимостей. Аналогично в MacOS, которая долгое время считалась безопасной, в 2008 году найдено 276 “дырок” , а в Windows Vista - 123 . 

Это еще раз демонстрируем, что полностью безопасных программ не бывает, а бывают программы “недоисследованные”. Также необходимо отметить, что защищенность операционной системы или браузера во многом зависит от защищенности компонентов. Так если к безопасному браузеру добавить выкачанный из недоверенного сайта плагин или панель инструментов , безопасность системы в целом может оказаться под угрозой.

Сетевая инфраструктура, менее заметная для конечных пользователей, остается наиболее критическим элементом информационных систем. Действительно, если уязвимость в серверной операционной системы может вывести из строя один или несколько серверов, то уязвимость в коммутаторе или Интернет-маршрутизаторе способна остановить функционирование корпоративной сети или даже целого Интернет-сегмента . Это говорит о необходимости регулярного обновления операционных систем сетевого оборудования, особенно это касается устройств , которые находятся на Интернет-периметре, и могут подвергаться внешним атакам.

В 2008 году было найдено всего несколько кросс-платформенных уязвимостей, но все они были высокой степени критичности:

1. Специалисты по компьютерной безопасности из компании Outpost24 (Швеция) в ходе разработки нескольких утилит обнаружили фундаментальную проблему безопасности, дающую возможность атаки “отказа в обслуживании” для всех протестированных реализаций TCP/IP стека (Windows, BSD, Linux…) при минимальном объеме трафика. Представленная техника "reverse SYN cookies" атаки, позволяет вызвать переполнение таблиц, хранящих состояние TCP-соединений, через определенные манипуляции c SYN cookie.
   
2. Серьезную ошибку в системе DNS обнаружил в начале 2008 года специалист по безопасности Дэн Камински из компании IOActive. Фундаментальная уязвимость позволяла удаленно изменить записи в DNS-серверах, таким образом, становилось возможным перенаправить запросы пользователей на поддельные сайты. В силу критичности детальная информация об уязвимости держалась в тайне до июля 2008 года , когда все крупные вендоры операционных систем и сетевых устройств синхронно выпустили обновления для своих систем.
   

Прогнозы развития угроз ИБ на ближайшие несколько лет
Делать прогнозы является достаточно неблагодарным делом. Тем не менее в конце статьи хочется спрогнозировать тенденции развития угроз и направлений защиты в информационной безопасности:

1. Возрастет роль социальной инженерии в осуществлении кибермошеничества. Для организации фишинговых атак будут использоваться все более изощренные методы, адаптированные и нацеленные на отдельные категории интернет-пользователей
   
2. Дальнейшее развитие мобильных сотрудников и надомной работы увеличит риски связанные с утечкой конфиденциальной информации. Мобильные терминалы (смартфоны, коммуникаторы… ), которые пока несут теоретический интерес для хакеров, вскоре могут стать объектом пристального внимания со стороны злоумышленников 
   
3. В качестве источника атаки либо заражения все чаще будут выступать доверенные Интернет-ресурсы- популярные веб-сайты, социальные и профессиональные сети.
   
4. Ботсети, как непосредственный источник доходов для киберзлоумышленников, будут активно развиваться. Аналитики склоняются к тому, что ботсети ближайшего будущего будут перенимать технологии сетевых вычислений (cloud computing).