Silicon Taiga: ИТ-безопасность ужесточат

Эффективность механизмов борьбы с ИТ-угрозами заметно повышается, однако, по мнению экспертов, число таких угроз и их сложность также растут. Для адекватного противостояния тотальной сетевой криминализации необходимо ужесточить требования к ИТ-безопасности.

По заявлению Евгения Касперского, руководителя антивирусных исследований "Лаборатории Касперского", в минувшем году общее количество троянских программ возросло в два раза. При этом в 2005 г. было зафиксировано 14 крупных вирусных эпидемий против 46 в 2004 г. Все большее число атак стало носить ярко выраженную криминальную мотивацию. По оценкам аналитиков компании, в настоящее время около 75% хакерских атак носят криминальный характер и направлены на взлом банковских счетов или получение не доступной иным путем информации.

По некоторым прогнозам, общее число подобных случаев будет увеличиваться в ближайшее десятилетие. Если 10 лет назад первые хакеры рассылали вирусы из чисто хулиганских соображений (вспомним знаменитый Trojan Love Letter, поразивший в 2000 г. в течение нескольких часов миллионы компьютеров), то сейчас ситуация существенно изменилась. Общий ежегодный ущерб мировой экономике от хакеров оценивается в $14 млрд. Были случаи, когда отдельным лицам в течение относительно непродолжительного времени удавалось взламывать банковские счета на сумму более $400 млн. По оценкам г-на Касперского, в мире действует множество преступных группировок, состоящих из более чем 1 тыс. человек.

Стоит отметить, что современные вирусописатели стали прибегать к более изощренным способам получения денег или интересующей их информации. Так, хакеры активно включились в создание Adware, используя для этого весь имеющийся опыт вирусной индустрии, тем самым стирая грань между рекламными программами и традиционными вредоносными программами. Интернет-террористы перешли к точечным атакам и способам вымогательства путем шифрования файлов. Также преступники стали применять rootkit-технологию, позволяющую скрывать свое присутствие в системе. Вместе с тем, появился ряд новых объектов хакерского внимания: с одной стороны, это MSN Messenger, AOL Messenger, ICQ, с другой стороны - в списке новых жертв хакеров появились мобильные средства связи.

На текущий момент времени Евгений Касперский выделяет три главных очага распространения вирусных программ в соответствии со спецификой атак и географической принадлежностью: азиатский регион (прежде всего, Китай), специализирующийся, главным образом, на воровстве из онлайновых игр, Пиренейский полуостров (Испания, Португалия) - воровство из банков, Россия и страны СНГ - многопрофильная специализация: атака прокси-серверов, кража персональных данных, воровство из банков, а также DoS-атаки, становящиеся все менее популярными.

Согласно исследованиям "Лаборатории Касперского", общий финансовый ущерб от вирусов - суммарные денежные средства, затраченные на возмещение нанесенного ущерба - в минувшем году снизился по сравнению с 2004 г., составив $14 млрд. Как считает вирусный аналитик "Лаборатории Касперского" Юрий Машевский, снижение хакерской активности можно объяснить тремя основными причинами: активизацией правоохранительных органов во всем мире, возросшей скоростью написания апдейтов антивирусов, а также изменением хакерской тактики.

В течение 2005 г. заметно увеличилась эффективность борьбы правоохранительных органов с вирусописателями. Многочисленные аресты преступников по всему миру служат тому ярким и наглядным подтверждением. В России пока что не приходится говорить об эффективности подобных методов борьбы. Тем не менее, как отмечает г-н Касперский, случаев успешной борьбы сотрудников милиции с хакерами стало несколько больше. "Можно говорить о том, что некоторые виды хакерских атак, например, так называемый интернет-рэкет, за последние полгода практически сошли на нет. Главной проблемой недостаточной эффективности борьбы милиции с хакерами является то, что в нашей стране подобные уголовные дела возбуждаются не по факту преступления, а по заявлению. К сожалению, далеко не все еще осознают масштабы потенциальных хакерских угроз, и такие заявления им нередко бывает просто лень писать", - заявил г-н Касперский.

Одним из существенных препятствий, ограничивающих оперативную борьбу с хакерским террором, является несвоевременность в обновлении антивирусных баз. Так, в декабре 2005 г. была найдена очередная критическая уязвимость в Windows - в обработке файлов WMF. В течение недели было обнаружено более 1 тыс. различных эксплойтов и троянских программ, основанных на данной уязвимости. Microsoft понадобилось 10 дней для выпуска патча, что, в общем, считается сравнительно оперативной реакцией на возникшую уязвимость. В минувшем году антивирусные компании стали оперативно реагировать на действия вирусописателей, и многие вредоносные программы не приводили к крупным эпидемиям, поскольку своевременно выпускались соответствующие апдейты. Как отмечают в "Лаборатории Касперского", в настоящее время скорость написания апдейта (в зависимости от степени сложности вредоносной программы) варьируется от 1,22 до 30-36 мин.

В прошедшем году четко обозначилась еще и другая тенденция. Хакеры осознали, что для достижения желаемой цели им вовсе не обязательно поражать вирусами миллионы компьютеров, а достаточно ограничиться несколькими тысячами. Для нынешних хакеров характерны многократные целевые локальные атаки. В соответствии со спецификой предприятий - потенциальных жертв - разрабатываются специальные системы вирусов.

По убеждению Евгения Касперского, существует ряд объективных причин, препятствующих успешной борьбе с хакерским террором. Они связаны с крайней уязвимостью интернета и существующих операционных систем. Переход же на иные стандарты ограничен возможными трудностями и неудобствами при работе с новой, пусть даже и безопасной, системой. "Я думаю, что в России - если говорить о недостаточной эффективности борьбы с хакерскими атаками - нужно внести серьезную поправку на человеческий фактор, - считает г-н Касперский. - Менталитет большинства сетевых администраторов в нашей стране препятствует полноценной борьбе с вирусописателями. Создается такое ощущение, что проблема хакеров их вовсе не волнует. Им просто лень, наверное, глубоко вникать в эту проблему".

Отдельно следует сказать о спам-индустрии, наносящей чаще психологический удар по пользователю, но от этого не перестающей быть насущной проблемой, ставящей под угрозу ИТ-безопасность. Технологии распространения спама были разработаны 2-3 года назад и с тех пор практически не менялись. При этом за прошедший год спама в мире стало больше, несмотря не то, что прирост доли спама в почтовом трафике замедлился. Согласно статистике "Лаборатории Касперского", в настоящее время на каждые 2-3 письма приходится 7-8 спамерских.

Отметим, что в "Лаборатории Касперского" под спамом подразумевают массовую анонимную рассылку нежелательной информации средствами электронной почты. Как видно, данное определение расплывчато и может иметь совершенно различные трактовки. В США на законодательном уровне существует достаточно однозначное определение спама, а за его распространение предполагается уголовная ответственность. В российском законодательстве отсутствует какая бы то ни было ответственность за подобный вид ИТ-атаки.

Спам-атаки имеют весьма разнообразную "тематику". Однако из всего многообразия "тематических" направленностей спама можно выделить две явно превалирующих: рекламную и криминальную. Спам, подобно телевизионной рекламе, становится одним из двигателей торговли. При этом на Западе существенную долю занимает реклама контрафактных товаров и дешевых товаров по завышенным ценам, в России к спаму часто прибегают предприятия малого бизнеса. Нередко в завуалированном виде (якобы от лица близкого знакомого или родственника) спамеры пытаются рекламировать продукцию или услуги своей компании. В России наиболее часто рекламируются подобным образом образовательные услуги, мелкая полиграфическая продукция, юридические услуги, медикаменты. Количество подобной рекламы в почтовых ящиках заметно варьируется по сезонам, снижаясь в период отпусков и праздников и закономерно возрастая в "обычные" дни.

В Рунете около 11% спама связано с компьютерным мошенничеством. Доля криминализированного спама в среднем по миру составляет 6-12% от всего общего спама. Нередко спам становится мощным оружием в руках экстремистских группировок.

"По сравнению с прошлым годом, спамерами не было предложено ни одной новой технологии, - отмечает руководитель группы спам-аналитиков Анна Власова. - Я думаю, что в текущем году спам-индуcтрию ожидает три закономерные тенденции: в спам-индустрии произойдет скачок в развитии спамерского ПО и увеличении объемов спама, производители спам-фильтров вытеснят спамеров в ICQ и мобильную связь, технологии рассылки спама и в 2006 г. вряд ли будут принципиально меняться".

Серьезным врагом ИТ-безопасности являются внутренние угрозы - утечка конфиденциальной информации. По оценкам USA Today, в прошлом году 130 крупных утечек информации нанесли общий ущерб пострадавшим компаниям на сумму, существенно превышающую ущерб от хакерских атак, - около $55 млрд. При этом ущерб, нанесенный подобными утечками отдельным компаниям, в некоторых случаях достигал $700 млн, а иногда (как это было, например, с компанией CardSystems Solutions) он приводил к банкротству.

Отдельную угрозу составляет так называемая "кража личности" - утечка личной конфиденциальной информации гражданина. По данным InfoWatch, средний ущерб от "кражи личности" в США, где практически каждый третий стал жертвой подобной атаки, составляет около $350 тыс. В России официальной статистики по "краже личности" нет. Однако для того чтобы увидеть масштабы распространения данной ИТ-угрозы, достаточно посетить "Горбушку" или Митино, где можно за относительно небольшие деньги приобрести любую информации практически о любой компании или человеке.

Как считают аналитики InfoWatch, внешние ИТ-угрозы переходят в разряд повседневного зла и воспринимаются как неизбежный информационный шум в то время как все больше компаний обеспокоены внутренней ИТ-безопасностью. Правда, это в большей степени относится к крупным и мелким предприятиям. Предприятия малого бизнеса по-прежнему больше обеспокоены внешними угрозами. Согласно исследованиям InfoWatch, главными каналами утечки конфиденциальных данных являются мобильные накопители, электронная почта и интернет-пейджеры.

"Российские организации с трудом могут оценить масштабы и последствия утечек, - отмечает Денис Зенкин, директор по маркетингу InfoWatch. - Одной из главных проблем является то, что руководители предприятий не желают говорить о произошедших утечках, решая эту проблему на внутреннем уровне. Это не вполне здоровая ситуация. Я считаю, что основные проблемы, мешающие борьбе с внутренней угрозой, - это отсутствие опыта и квалифицированного рабочего персонала, а также неготовность российских организаций "обналичить" свои идеи в конкретных шагах. Тем не менее, ситуация, хотя и медленно, становится лучше: несколько изменился разрыв между теоретическим и практическим взглядами на защиту конфиденциальной информации. Уже 83% компаний планируют в течение ближайших трех лет внедрить систему защиты от утечки данных, а 2% уже используют подобные средства. Это не так мало, учитывая то, что в прошлом году таких компаний было в два раза меньше".