12 декабря «Лаборатория Касперского» провела очередное пресс-мероприятие, посвященное итогам 2012 года и прогнозам на год 2013-й. В этот раз креативные ребята из Лаборатории оформили конференцию в виде выпуска новостей, а сцена была оформлена под новостную студию.
Правда, со светом получилось не очень хорошо, поэтому заранее прошу прощения за качество фотографий.
Итак, начнем с итогов и трендов.
Кибероружие
Одной из основных тем, на которую не устают обращать внимание представители «Лаборатории Касперского» на каждом мероприятии, является вредоносное ПО, которое можно квалифицировать как кибероружие. Впервые о нем, как об отдельном виде вредоносного ПО, заговорили в 2010 году, после обнаружения компьютерного червя Stuxnet. Кстати, существует мнение, нашедшее отражение в одной из вышедших в этом году книг, о том, что ответственность за его создание лежит на США — об этом рассказал Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». Впрочем, это было оружие узкого применения: оно предназначалось для атаки на определенный инфраструктурный объект и вывода из строя его промышленного оборудования. В дальнейшем были выявлены и другие образцы кибероружия, причем часто ориентированные не на уничтожение информации или устройства, а на шпионскую деятельность. Как правило, они ищут и отсылают хозяину ценную информацию с важных систем, до которых им удается добраться.
В качестве примеров разрушительной деятельности стоит упомянуть троянец Wiper (название условное, а сам вирус так и не нашли), который полностью уничтожил информацию в компьютерных системах на ряде нефтяных платформ на Ближнем Востоке. Зато в ходе его поисков была обнаружена система для кибершпионажа Flame. Это, по словам Александра Гостева, многофункциональная платформа, имеющая много разных компонентов и способная выполнять самые разнообразные шпионские функции. Еще одной уникальной особенностью Flame стало то, что для распространения он использовал уязвимость в системе шифрования, которая позволила создать подлинный сертификат Microsoft и использовать его для распространения через службу Windows Update. Что интересно — по мнению сотрудников Лаборатории, этот вирус действовал в течение очень долгого времени, нескольких лет, поэтому объем украденной им информации даже сложно себе представить.
Сфера применения кибероружия и круг участников постоянно растет. Например, Иран тщательно изучил Stuxnet и по результатам этой работы может создать какой-то свой вариант вредоносной программы, направленной уже против США и Западного мира. Свои работы в этом направлении ведут многие государства. И здесь кроется новая опасность: чем больше участников выходит на уровень создания кибероружия, чем больше его образцов появляется — тем ниже будет падать его уровень, качество кода, больше станет ошибок, ибо с ростом количества неизбежно падает качество. И тем больше вероятность, что рано или поздно в одном из них что-то пойдет не так, и тогда последствия могут быть непредсказуемыми.
В качестве примера можно привести недавнюю очень крупную кибератаку на компанию Saudi Aramco, обеспечивающую, в том числе, экспорт нефти и газа из Саудовской Аравии. Вирус Shamoon распространился по внутренней сети предприятия и уничтожил всю информацию на компьютерах в ней. На восстановление работоспособности системы компании понадобилось около двух недель. В дальнейшем схожая атака была осуществлена в Катаре. Интересно, что антивирусный эксперт Александр Гостев, весьма высоко оценивающий Stuxnet и Duqu с точки зрения технической реализации, весьма нелестно охарактеризовал Shamoon. По его словам, вирус написан просто и без использования защитных механизмов, так что продукты Касперского способны ловить его на основе эвристического анализа. Качество кода также оставляет желать лучшего.
Так что с распространением кибероружия его качество действительно падает. Если Stuxnet представлял собой отточенное и элегантное решение со множеством предохранительных механизмов, то Shamoon имеет много ляпов в коде, да и общее качество невысоко. Это может привести к тому, что выпущенный автором в свободное обращение вирус начнет не просто жить своей жизнью — он может оказаться совсем не на том объекте, на котором планировалось, и действовать совсем не так, как планировалось. Результаты представить совсем несложно.
Более того, кибероружие опускается на коммерческий уровень и может задействоваться частными фирмами в конкурентных войнах.
Бизнес и целевые атаки
Вредоносное ПО и образцы кибероружия все больше используются и частными компаниями против конкурентов. Цели могут быть очень разные — от нарушения функционирования компании и уничтожения информации до похищения и анализа информации для дальнейшего использования.
Главным отличием от вредоносного ПО для домашних пользователей является целевой характер атаки. Создатели «потребительских» вирусов и троянов просто пытаются заражать все системы подряд. Если получается, то потом из них можно украсть информацию или объединить в ботнет. Кто конкретно попадет под удар — не так уж важно. В случае с бизнесом все наоборот: изначально задается цель, а потом уже под нее подбираются нужные средства.
В июне, например, из LinkedIn удалось выкрасть хеши паролей 6,4 млн пользователей. В дальнейшем специалистам, получившим доступ к этой базе, благодаря использованию для дешифровки ресурсов графических адаптеров, удалось расшифровать пароли около 84% пользователей. Топовый Radeon 7970 может в секунду проверять до 2 млрд комбинаций пароль/хэш. Хотя успех атаки стал возможным благодаря комбинации уязвимостей и дополнительных факторов, результат, тем не менее, впечатляет. Из других крупных взломов 2012 года стоит упомянуть ситуацию с Dropbox, Last.fm, Gamigo.
В этом году продолжились громкие, «имиджевые» взломы крупнейших мировых корпораций, которые скорее влияли на репутацию взломщиков и компаний, подвергшихся атаке, но в целом процесс кибератак все больше переходит на коммерческие рельсы. В 2011 году большинство атак было направлено на то, чтобы добраться до ценной информации либо банковских счетов предприятия, т. е. цели атак переходят во вполне коммерческую плоскость. Более того, от крупнейших мировых корпораций, имеющих, как правило, сильную многоуровневую защиту, они переходят к фирмам среднего уровня, где и защита попроще, и контроль не такой строгий — соответственно, легче добраться до внутренней информации или получить возможность доступа к финансам.
На этом уровне огромную роль начинает играть качество защиты. Многие фирмы не уделяют ей достаточного внимания либо и вовсе игнорируют. Например, по статистике «Лаборатории Касперского», порядка 43% российских компаний вообще не имеет средств антивирусной защиты, да еще и активно пользуется взломанным ПО без нужных обновлений. Сложно представить более благоприятную ситуацию для производителей вирусов. Сюда относятся и средства для похищения конфиденциальной информации, и возможный доступ к бухгалтерии и счетам предприятия, и многое другое. Особняком стоят шифровальщики, которые могут зашифровать и испортить важную информацию, после чего шантажировать владельца.
Частные пользователи
Чем активнее пользователи осваивают новые сервисы в сети, тем больше на них сваливается кибератак. По оценке Касперского, за год их количество превысило 1,5 млрд. Например, одним из очень перспективных направлений для вирусов и атак является онлайн-банкинг. Это простой и очень удобный способ работать со своим счетом, плюс он позволяет банку существенно экономить средства на обслуживании. Однако новыми средствами чаще пользуются молодые, более «продвинутые» пользователи, которые при этом очень доверчивы и малообразованны. Т. е. вполне могут открыть ссылку, пришедшую им в социальной сети, и т. д.
Все больше и больше становится в интернете вредоносных ссылок и поддельных вебсайтов. Первое место держит США, но и Россия почти не отстает, на ее долю приходится примерно 20% таких ресурсов. А вообще по риску заражения пользователей в Сети Россия уже второй год является лидером.
Сотрудники компании выделяют следующие основные угрозы для россиян за 2012 год:
- Зараженные сайты, зайдя на которые пользователь получает вредоносное ПО.
- SMS-разводки и SMS-монетизация. Это ситуации, когда вы, например, получаете сообщение «Необходима авторизация вашего аккаунта в соцсети, введите номер телефона, а потом — подтверждение». А на самом деле тебя подписывают на платную услугу.
- Блокеры. Блокируют возможность использования компьютера, требуют выкуп. Тоже очень распространены в России. Ежедневно деблокером Касперского пользуется около 6500 человек.
- Банковские троянцы. Молодой, но весьма перспективный и быстро развивающийся тип угрозы. Маскируются под банковские приложения либо пытаются действовать через них.
- Мобильные угрозы. За год рост количества почти в 6 раз.
Далее разговор пошел именно о современных мобильных угрозах и их росте. Про это говорил Денис Масленников.
Мобильные угрозы
По его словам, атакуют ту систему, которая больше распространена. Если взять данные по всему миру, то Android установлен на 66% смартфонов, iOS — на 23%. Так что Android выглядит гораздо более выгодной целью. Странно, но аргумент о том, что Android — открытая система, да еще и позволяет устанавливать приложения из любого источника, а не только из официального магазина (хотя и он не является гарантией — вредоносные приложения выявляются в нем постоянно) был упомянут в числе причин только на втором месте. По статистике, приведенной на пресс-конференции, 99% современных мобильных вирусов выходят под Android, 1% — под J2ME и 0,5% — под Symbian.
При этом количество угроз и вредоносного ПО под Android продолжает расти очень быстро. За июнь (самый урожайный месяц) было обнаружено 7000 вредоносных программ, а за год их количество составило 35 000 (в 6 раз больше, чем за 2011 год). В следующем году рост, скорее всего, продолжится примерно теми же темпами. Более того, по аналогии с платформой Windows стоит ждать и новых видов угроз — целевых атак, возникновения рынка уязвимостей нулевого дня и пр.
На сегодняшний день самым распространенным типом атаки является отправка платных SMS. Во время пресс-конференции показали ролик с выступлением представителя Мегафона, Сергея Хренова. По его словам, подавляющее большинство случаев мошенничества, с которыми сталкивается компания, это как раз отправка платных SMS на короткие номера. Как правило, со смартфонов с ОС Android. Компания старается оперативно реагировать на жалобы пользователей и блокировать эти префиксы. Также он подчеркнул, что Мегафон всегда возвращает пользователям деньги. За год было рассмотрено более 68 000 инцидентов. Плюс к тому, Мегафон всегда предоставляет информацию о стоимости якобы бесплатных SMS, что позволяет пользователям не попасться на удочку.
Для иллюстрации Александр Гостев также рассказал, что утром в день проведения пресс-конференции ему позвонила служба безопасности одного из банков с сообщением, что в онлайн-магазине Google Play появилась программа, выдающая себя за клиент этого банка. Не знаю, связано ли это с полученной мною утром того же дня из Сбербанка SMS о том, что программа sbersafe является вредоносной и ставить ее нельзя, или это другой случай (по новостным лентам прошла информация об обнаружении еще одной вредоносной программы, маскирующейся под клиент Сбербанка). Однако в настоящий момент, по словам Гостева, программа уже удалена из магазина. Тем не менее, этот случай показывает, сколько возможностей есть у современных вирусописателей.
В апреле произошло знаменательное событие — была обнаружена первая вредоносная программа в Apple Appstore. Эта программа маскировалась под сервис интернет-телефонии, предлагая звонить людям из контакт-листа через интернет. Соответственно, она собирала контакты на телефоне и отправляла их на удаленный сервер, откуда потом по ним шла рассылка спама. Приложение было оперативно удалено из магазина.
Новая цель: компьютеры с Mac OS
Практически на каждом мероприятии представители «Лаборатории Касперского» отмечают, что пользователи MacOS уже не могут чувствовать себя в безопасности. По их словам, уже даже Apple перестала говорить о 100%-ной защищенности системы и рекомендует использовать антивирусное ПО. В общем, с распространением компьютеров Apple и увеличением их количества интерес к ним со стороны злоумышленников стал закономерно расти. Сейчас фиксируются и специфические атаки, ориентированные только на пользователей компьютеров Apple, и целевые атаки, так что ситуация точно будет ухудшаться.
Главным событием года стало обнаружение в апреле 2012 года огромного ботнета, состоящего исключительно из компьютеров и ноутбуков с Mac OS. Всего в него входило порядка 700 000 зараженных машин. Это где-то 2-3% от всех работающих сейчас в мире компьютеров с этой операционной системой. Если взять аналогичный процент для ПК с Windows, это будут десятки миллионов машин.
Правда, источником заражения послужила уязвимость не в самой Mac OS. Хотя вредоносное ПО Flashback уже довольно давно известно на рынке, но ранее темпы его распространения были крайне невысоки. В этот же раз вирусописатели для заражения воспользовались уязвимостью во вполне кросс-платформенной Java. Причем об уязвимости было известно уже довольно давно, однако для платформы Apple обновления, в т. ч. и Java, идут не напрямую от создателя ПО (Oracle в данном случае), а через производителя ОС. В связи с крайней нерасторопностью Apple и беспечностью пользователей в отношении безопасности дыра оставалась открытой в течение нескольких месяцев, хотя заплатка уже существовала. Сейчас, кстати говоря, Java на Mac OS отключена.
Java как универсальный путь в систему
Вообще, в последнее время Java стала просто хитом по количеству используемых для проникновения в систему уязвимостей. Она установлена везде, начиная от компьютеров и кончая бытовыми системами, типа умного дома. При этом у нее есть немало недостатков и уязвимостей, которые можно использовать для успешной атаки.
Тем более, что сложный механизм обновлений (нужно деинсталлировать старую версию и установить новую) приводит к тому, что пользователи часто предпочитают избегать сложностей и просто не обновляют Java. По оценкам »Лаборатории Касперского», более 30% всех компьютеров содержат устаревшие версии Java с незакрытыми уязвимостями. А уязвимости Java используется более чем в 50% всех атак. Поэтому эксперты «Лаборатории Касперского» советуют задуматься о полном ее отключении в системе.
Эксплойт-паки
В последнее время сильно растет роль эксплойт-паков. Это такие универсальные кросс-платформенные решения, которые заражают веб-сайты. Когда вы заходите на зараженную страницу, они пытаются определить, с какого устройства, с какой ОС и через какой браузер вы сюда попали, и формируют нужный пакет вредоносного ПО специально для вашей системы. Очень удобно и вполне автоматизированно. Важной особенностью этого вида является то, что вредоносный скрипт, как правило, размещается на взломанном сайте, которому пользователь полностью доверяет. Например, известен случай в этом году, когда такие скрипты были установлены на нескольких ведущих новостных сайтах, так что получить себе в компьютер трояна можно было, зайдя на старый знакомый сайт, которому полностью доверяешь.
Прогноз на 2013 год
Наконец, Александр Гостев традиционно дал свой прогноз развития рынка вредоносного ПО и борьбы с ним на следующий, 2013 год.
Во-первых, будет расти число целевых атак, их все активнее будут использовать и государства, и частные компании. Учитывая недостаточное внимание компаний к вопросам защиты информации и личных данных пользователей, инцидентов, связанных с их утечками, также должно становиться все больше.
Во-вторых, идет все большая диверсификация: вирусописатели активно ориентируются на альтернативные платформы. Все больший акцент будет делаться на продукцию компании Apple.
В-третьих, намечается очень интересная тенденция — легализация шпионского ПО. Уже сейчас некоторые компании пытаются легально разрабатывать и продавать (например, государственным органам) приложения, шпионящие за пользователем, собирающие его информацию и т. д.
В-четвертых, уже родился и продолжит быстро развиваться рынок торговли уязвимостями. Если раньше компании и частные лица связывались с вендором и сообщали о проблеме для ее устранения, то сейчас все большее их количество стремятся продать найденную уязвимость на рынке, не ставя вендора в известность (чтобы она просуществовала подольше).
В-пятых, продолжит расти хактивизм. Анонимусы все активнее атакуют государственные и частные ресурсы по всему миру. В этом году они обратили внимание и на Россию, призывали атаковать и некоторые частные компании, и государственные сайты, включая сайт правительства. В основном эта активность шла в период послевыборных беспорядков, сейчас ее уровень невысок. Интересно отметить, что помимо хактивистов на этом рынке будут действовать и вполне коммерческие группы, маскирующиеся под идейных борцов, чтобы замести следы и спихнуть на тех ответственность.
Вопросы и ответы
В конце традиционно была сессия вопросов и ответов. Мне показались интересными следующие.
Windows 8 имеет новый механизм работы приложений Widows Runtime (WinRT), который является развитием идеологии .NET и позволяет существенно ограничить взаимодействие приложения с системой. Тем не менее, уже найдены способы обойти защиту WinRT и выйти через нее на API Win32. Пока они существуют лишь в виде proof-of-concept (т. е. понятно, что уязвимость работает, но реального ПО, эксплуатирующего уязвимость, нет, и не факт, что оно появится). Так что появление вредоносного ПО даже под новую платформу — скорее всего, вопрос времени.
Второй интересный вопрос касался недоступности системы безопасных платежей для браузера Opera. По словам представителей «Лаборатории Касперского», все дело в недостатке ресурсов. При разработке системы основные сложности возникли с постоянно самообновляющимся Chrome, но это гораздо более популярный браузер, так что все ресурсы пока были брошены на него.
Наконец, вопросы, касающиеся облачной системы мониторинга и обновлений KSN (Kaspersky Security Network). По словам Гостева, эта система решает две основных задачи. Во-первых, это очень мощное средство доставки обновлений — например, через нее ссылки на вредоносное ПО или зараженные сайты попадают в антивирус гораздо быстрее, чем при традиционном механизме доставки обновлений. Во-вторых, это мощнейший инструмент для сбора и анализа статистики, который позволяет специалистам компании следить за развитием рынка и лучше определять, на чем концентрировать усилия.
Подписание документа о предоставлении «Лаборатории Касперского» статуса «Поставщика» Игр 2014 года в Сочи
Важным событием пресс-конференции стало подписание Евгением Касперским и президентом оргкомитета «Сочи 2014» Дмитрием Чернышенко договора, придающего компании соответствующий статус в категории «антивирусное программное обеспечение».
В рамках соглашения компания предоставит свои решения для защиты рабочих станций, мобильных устройств, серверов и облачных сервисов.
Соглашение по блокировке доменов верхнего уровня
Вторым объявленным событием стало заключение соглашения между «Лабораторией Касперского» и Координационным центром национального домена сети Интернет. Суть сотрудничества — совместная работа по блокировке доменов верхнего уровня .ru и .рф.
Если простыми словами, то Александр Гостев проиллюстрировал суть сотрудничества так. Например, перед и во время Олимпиады в Лондоне существовало достаточно много поддельных сайтов, активно «продающих» билеты на спортивные события. Что забавно, значительная их часть также находилась в России. Чтобы в будущем таких вещей было как можно меньше, необходимо иметь возможность быстро блокировать сайт или домен. Сотрудничество позволяет решать этот вопрос.
