Как оседлать ветер? Электронная безопасность в динамике


Борис Оболикшто
эксперт

Два события почти совпали во времени. PSM опубликовал новость, о том, что сайт Европейского центробанка взломали и похитили контактную информацию. А на компьютере, за которым готовился этот пост, взвыл антивирус, поймавший попытку загрузки вредоносного скрипта с еще вчера совершенно безобидного сайта весьма уважаемого владельца. Заметим: я не загружал ничего по ссылке — я «всего лишь» запустил браузер, который хотел восстановить закрытое вчера при выключении окно (так он у меня настроен). Но пока мой компьютер стоял выключенным, сервер, на котором хранилась страница, был заражен. Из анализа этих событий можно сделать весьма и весьма ошибочный вывод, что мой компьютер защищен антивирусом лучше, чем сервера Европейского Центробанка и других поставщиков сервисов и контента.

На первый взгляд этому выводу не противоречит (а в чем-то его даже как будто бы подтверждает) статистика вредоносных сайтов, которую дает Google  (рис. Вредоносные сайты). Как мы видим на рисунке количество специально созданных сайтов, содержащих вредоносное ПО, ничтожно мало по сравнению с добросовестными проектами, сервера которых заражены внешним злоумышленником. Уверен, что читатель достаточно критически настроен, чтобы не переоценивать антивирус на моем ноутбуке, а заняться поисками лучшего объяснения описанным событиям.

Вредоносные сайты

Вредоносные сайты: Количество сайтов с вредоносным ПО, выявленных за неделю

Прежде, чем искать объяснения, расширим множество обсуждаемых фактов. Как, например, случилось, что хакеры похитили 1,2 млрд имен и паролей, взломав 420 тыс. сайтов?   А вот слайд (рис. «Пострадавшие от несанкционированного вмешательства»), представленный Владимиром Илибманом (менеджером по продуктам безопасности Cisco), на круглом столе по информационной безопасности в рамках киевского форума Cisco Connect — 2014. «Гигантам индустрии, IT-индустрии, мировой индустрии, имеющим очень много ресурсов для защиты, оказалось тяжело бороться с таким сложными атаками и угрозами»,— сказал Владимир, комментируя этот слайд.

Слайд Владимира Илибмана

Пострадавшие от несанкционированного вмешательства

Не может быть, чтобы крупнейшие банки и онлайн-продавцы, и даже сам Google не озаботились антивирусной защитой в отличие от меня, такого предусмотрительного ;) Дело, конечно, вовсе не в жадности корпораций. «Антивирусный софт умер»,— заявил крупнейший производитель этого ПО — компания Symantec — на страницах The Wall Street Journal в начале мая этого года. То есть оказывается, это мой компьютер защищает «покойник», и вовсе не новость, что его ресурсов недостаточно, чтобы обеспечить защиту гигантов. Следствие такой неспособности — заявление старшего вице-президента компании Брайан Дайя (Brian Dye): «Антивирусы «мертвы». Мы не видим никакой возможности получения прибыли от развития антивирусов».

Ладно, у производителей антивирусов не будет прибыли. А с нами-то что будет? Что будет с нашей безопасностью? Для ответа на этот вопрос мы вернемся к уже упомянутому круглому столу на Cisco Connect, на котором рассматривалось развитие ситуации в области безопасности за последние десятилетия. Чтобы эволюция угроз и средств защиты от них была понятна и опиралась на знакомые нам факты, приведу еще пару известных не понаслышке, к тому же вполне распространенных сегодня примеров.

Предупреждение провайдера

Под угрозой роутеры

Последний раз, оплачивая интернет для тещи, я обнаружил на сайте поставщика услуг рекомендацию срочно проверить компьютер и перепрошить роутер. Похожее предупреждение есть и на сайтах некоторых производителей роутеров (рис. «Под угрозой роутеры»).

И это не первый вирус, который атакует роутеры. Если в случае с Trojan.Rbrute заражается все же компьютер, с которого происходит атака и перенастройка роутера, то самореплицирующийся червь The Moon, о котором заговорили в феврале, живет именно в роутерах.

Мы по привычке заботимся о защите своего компьютера, планшета или смартфона, не замечая, что к сети подключено множество устройств, которые выполняют свои программы на собственных процессорах и в собственной памяти. Они обмениваются данными по сети, а значит могут быть заражены и распространять вредоносное ПО. Вы думали о том, как защитить ваше сетевое хранилище (NAS)? А сетевой принтер? Сканер? Фотокамеру с Wi-Fi подключением? Если «Всеобъемлющий интернет», о котором много говорили на форуме Cisco Connect, станет реальностью, то в этот список войдут не только телевизоры, но и холодильники, микроволновки и прочая, прочая, прочая… Зараженная микроволновка — звучит, не правда ли!?

Другой пример — взлом аккаунтов известных журналистов, чиновников или просто знаменитостей. На баркемпе по кибер-безопасности CyberCamp, рассматривали примеры таких взломов и их последствия. В частности — историю взлома компьютера Оксаны Романюк, начавшуюся с письма из МВД с почтового ящика info@mvs.gov.ua. Можно, конечно, все списать на рассеянность великих, но Дмитрий Снопченко, технический эксперт «Объединения ЮГ», выступавший на баркемпе с докладом, считает иначе: «Если мы говорим о каком-то целевом взломе, заказе, то вам уже антивирусы не помогут. Потому что когда пишется какой-то троянец под заказ, то человек первым делом, перед тем, как подсадить его вам, проверяет по всем антивирусам. Если хотя бы один антивирус его детектирует, то человек садится и переписывает этот код». PSM, конечно, когда мы говорим о взломах, интереснее не журналисты, а банки. Как сообщают специалисты CERT-UA в заметке «[FRAUD] Шахрайство в системах клієнт-банк», в январе 2014 года массовая рассылка вредоносного ПО происходила с поддельных адресов «Міністерства доходів і зборів України», «Державної реєстраційної служби України», НАК «Нафтогаз України». По состоянию на апрель заражению подверглись свыше 46 тыс. компьютеров. Специалисты гордятся тем, что им удалось предотвратить хищение более пяти миллионов гривен. О том, сколько же было похищено в сообщении не говорится.

Материалы по теме