Информбезопасность: ничего личного, только бизнес

Объем рынка компьютерных преступлений в России достигает $1 млрд в год, при этом он находится в стадии интенсивного роста. Такую оценку представил президент Leta Group Александр Чачава. По его словам, основной оборот рынка киберпреступлений приходится на бот-сети (спам, кража конфиденциальной информации – 40%), и DDos-атаки на интернет-ресурсы (20%). «Оборот рынка киберпреступлений в России соизмерим с рынком информационной безопасности или уже превосходит его», отметил Чачава.

По словам Ильи Сачкова, генерального директора российской компании Group-IB, специализирующейся на расследованиях киберпреступлений, заработок отдельной группировки, занимающейся компьютерными преступлениями, может составлять от 30 до 900 млн рублей в месяц.

Сачков привел некоторые данные по стоимости нелегальных услуг киберпреступников. Например, заражение вирусами 1000 ПК в России сейчас стоит $20, стоимость DDos-атаки мощной и грамотно сконструированной бот-сетью может составить от 200-500 евро. Разработка троянской программы – от $980 до $4900, аккаунты систем электронных платежей на хакерских форумах продаются за $6, минимальная стоимость взлома сайта – $50, номера кредитных карт с пин-кодами продаются от $490.
Основными проблемами в борьбе с киберпреступлениями в России Илья Сачков назвал отсутствие работающих центров по реагированию на компьютерные инциденты (Computer Emergency Response Team, CERT – в США таких структур более 53, в России – только 1), неработающие международные соглашения по борьбе с киберпреступниками, техническая безграмотность населения, использование нелицензионного ПО, а также малое количество успешно завершенных уголовных дел против киберпреступников. При этом ответственность за киберпреступления в России практически отсутствует. Например, в России только 5-7 хакеров в год несут уголовную ответственность за свои преступления, в США – сотни или тысячи. При этом в России хакеров больше, чем в США. По оценке эксперта, сейчас в России действует около 20 тысяч киберзлоумышленников.

Статистика: как теряются данные

По данным исследования, недавно проведенного компанией Imperva, лишь 62% потерь данных произошли из-за злого умысла; в 33% случаев – по вине инсайдеров, а в 29% – в результате хакерских атак. Остальные утери и утечки данных носили непредумышленный, случайный характер. В рамках исследования были опрошены 1100 специалистов по IT-безопасности из разных стран. Отчет исследователей показал: почти две трети (!) респондентов не знали о том, случались ли в компании, где они работают, утери или утечки данных – а ведь опрашивали специалистов по IT-безопасности, то есть тех, кто обязан быть в курсе подобных происшествий.

Из тех, кто отметил, что утери и/или утечки данных в их компаниях были, 46% заявили, что число подобных инцидентов в этом году меньше, чем в прошлом, а 26% сказали, что количество инцидентов в сравнении с прошлым годом не изменилось.

Атаки: социальная инженерия в чистом виде

В последнюю неделю русскоязычные пользователи Gmail начали получать письма, отправленные якобы от администрации этого почтового сервиса. На самом деле это классическая фишинговая атака с целью получения доступа к аккаунтам пользователей. И атака эта базируется на самых простых приемах социальной инженерии.

Пользователям сообщают об угрозе блокировки почтового аккаунта из-за «жалобы», ознакомиться с содержанием которой можно по указанной ссылке. Кликнув по ней, пользователь попадает на страницу, имитирующую форму авторизации Gmail, но находящуюся на стороннем сервере, не принадлежащем компании Google.
Само собой, получателю подобного письма ни в коем случае не следует кликать по ссылке и не вводить учетные данные – иначе ими завладеют злоумышленники. Вот текст письма – для ознакомления:

«Здравствуйте, username@gmail.com
Согласно пункту 13.3 пользовательского соглашения, Google оставляет за собой право временно приостановить либо прекратить предоставление услуг Google Mail, своевременно уведомив об этом пользователя.
Прочитать жалобу и оценить ее обоснованность, можно пройдя по ссылке:
http://suрроrt.gооglе.соm/cgi-bin/?start?unblocked=2008474861215660
Если заявка не будет отклонена в течении 5 дней, ваш почтовый аккуант будет заблокирован.
Ей присвоен номер 2008474861215660.
С уважением,
Google Team».

А вот другой тип «социальных» атак, быстро набирающий популярность. Спамеры предлагают за деньги скачать обновление для Skype, и в результате получают доступ к номеру кредитной карты. Приглашение скачать якобы обновление для Skype приходит по электронной почте. В этом приглашении сказано, что новая версия программы позволяет делать более дешевые звонки, имеет более высокую скорость работы и предлагает более высококачественную связь.

Внешне письмо и все его атрибуты напоминают вполне легальную рассылку письма от компании Skype. Однако мошенники действуют по фишинговой схеме. Если пользователь решит скачать программу, он будет перенаправлен на поддельный сайт, похожий на сайт Skype.

Для загрузки «обновленной версии» предлагается ввести адрес электронной почты, имя и данные кредитной карты. Причем подключение к сайту идет через защищенное соединение, что тоже вводит пользователей в заблуждение.

Уязвимости: опять Linux

В 2007 году была обнаружена уязвимость в 64-разрядных Linux-ядрах, которая позволяла непривилегированному локальному пользователю получить root- доступ к системе из-за небезопасной трансляции 32-битных вызовов. Ошибка на тот момент была исправлена и все про нее благополучно забыли. Но эксперт Бен Хоукс, который изначально нашел эту уязвимость, недавно обнаружил, что проблема снова возникла в ядре. По причине того, что в 2008 году из-за первоначального патча появилась регрессия и код был поправлен таким образом, что ядро снова стало уязвимо. Сделав небольшую правку изначального кода exploit'a, Бен Хоукс добился его работоспособности во всех свежих 64-битных Linux-ядрах.

Таким образом, все свежие 64-битные ядра являются уязвимыми к локальной атаке, и в случае использования Linux для организации работы системы совместного доступа, например, для обеспечения работы хостинга, следует незамедлительно обновить Linux-ядро или временно запретить shell-доступ. Компания RedHat заявила, что ядра, поставляемые в дистрибутивах RHEL и CentOS версий только 3 и 4 (но не 5.x), не являются уязвимыми, так как проблемный патч d4d67150 не был принят.

Кроме того, недавно в Linux-ядре обнаружены еще несколько менее серьезных уязвимостей:
* При вызове некоторыми функциями (например, "compat_mc_getsockopt()") процедуры "compat_alloc_user_space()" не осуществляется проверка корректности данных о возвращаемой области памяти, что может быть использовано для повреждения содержимого памяти ядра;
* Ошибка в коде проверки допустимости границ в функции "niu_get_ethtool_tcam_all()" из состава драйвера NIU может привести к краху ядра или потенциальному выполнению кода на уровне ядра при отправке специально оформленного ETHTOOL_GRXCLSRLALL IOCTL. Проблеме подвержены только системы, использующие драйвер для Ethernet-адаптеров Sun Neptune (NIU). Проблема исправлена в выпуске 2.6.36-rc4;
* В реализации файловой системы XFS зафиксирована проблема, связанная с отсутствием очистки памяти перед передачей некоторых структур данных на пользовательский уровень. Используя ошибку, злоумышленник может получить доступ к некоторым закрытым областям памяти ядра через отправку XFS_IOC_FSGETXATTR IOCTL. Проблема устранена в ядре 2.6.36-rc4;
* В функциях "de4x5_ioctl()", "cxgb_extension_ioctl()", "eql_g_master_cfg()" и "hso_get_count()" найдены ошибки, приводящие к копированию неинициализированных областей памяти ядра, в которых могут содержаться закрытые данные из области стека ядра. Проблема проявляется при отправке соответствующих IOCTL драйверам de4x5, cxgb, eql и hso.

Защита: Google перестраховывается

Компания Google планирует внедрить на своих сайтах систему двухступенчатой авторизации. Помимо пароля, пользователь должен будет ввести код подтверждения. Чтобы войти в систему Google в качестве зарегистрированного пользователя, потребуется ввести не только свой пароль, но и шестизначный код подтверждения. Код, в отличие от пароля, каждый раз будет разным. Чтобы получить его, пользователю потребуется мобильный телефон. Код может быть прислан в виде SMS, сообщен через голосовой звонок или получен с помощью программы – генератора кодов (будут выпущены версии для Android, BlackBerry и iPhone).

В первую очередь система двухступенчатой авторизации будет внедрена для пользователей службы Google Apps версий Premier, Education и Government. В ближайшие несколько месяцев она станет доступна для всех пользователей Google.

Систему можно включить или отключить в настройках аккаунта Google. Там же можно указать, в каких случаях следует спрашивать код: при каждой авторизации или только при авторизации с нового компьютера.

В Google считают, что новая система авторизации обеспечит аккаунтам пользователей более надежную защиту. Чтобы злоумышленник смог получить доступ к чужим данным, ему потребуются не только пароль, но и мобильный телефон пользователя.

Уязвимости: опасные чипы и дырявый Mail.ru

Защищенные микрочипы в кредитных картах, паспортах и некоторых других устройствах могут быть не настолько надежными, как предполагалось ранее. Профессор из университета Тель-Авива Авишаи Вул и студент аспирантуры Йосси Орен факультета электротехники разработали способ взлома защиты микрочипов, совместив современные методы криптологии с программированием в ограничениях.

Программирование в ограничениях (Constraint Programming) является видом декларативного подхода к созданию приложений. Особенностью данного подхода является то, что вы задаете условия, которым должно соответствовать решение проблемы, вместо того, чтобы определять набор шагов и алгоритмов, необходимых для нахождения этого решения.

Уязвимость была обнаружена в энергоснабжении чипов, которое меняется в зависимости от информации, содержащейся в чипе. Ученые обнаружили, что эти минутные колебания можно замерить осциллографом, и полученные в результате данные можно проанализировать для взлома информации, защищенной в кредитных картах и паспортах.
Вул признал, что этот метод взлома сложен, но он также показал, что они разработали способ блокирования «помех», которые прежде усложняли анализ данных. С блокированием помех извлечь конфиденциальную информацию из чипа намного легче, так как колебания становятся более последовательными и точными.

Исследование было представлено на XII семинаре по криптографическому оборудованию и встраиваемым системам в Санта-Барбаре (Калифорния), выступая на котором Вул сказал: «Мы должны думать, как взломщики, для того чтобы установить для них барьер». Он добавил, что компании должны знать, как можно взломать их чипы, чтобы наверняка знать, насколько они защищены, и какие угрозы могут возникнуть от хакеров.

Отчаявшись ждать, пока Mail.ru закроет критические уязвимости, специалист, обнаруживший проблемы, опубликовал их описания и скрипты. По его словам, если Mail.ru исправится, дальнейший список «дыр» опубликован не будет. А эксперты по безопасности говорят, что наплевательское отношение к web-безопасности – обычное явление в российских компаниях.

Mail.ru не может закрыть «дыры», описание которых передали в компанию месяц назад. Обнаруживший уязвимости сервисов Mail.ru Илья А., отчаявшись ждать, пока Mail.ru устранит уязвимости, выложил их описания в открытый доступ. Он рассказал, что выявил «дыры» в безопасности, когда готовился к собеседованию на руководящую позицию в Mail.ru.

Передав информацию об уязвимостях в аппарат технического директора Mail.ru и убедившись на собеседовании, что информация получена, спустя четыре недели он узнал, что «дыры» не закрыты. Тогда Илья опубликовал их описание в популярном IТ-блоге. Помимо собственно описания «дыр», он привел готовые скрипты для эксплуатации уязвимостей.

Использование самой безобидной из четырех «дыр» удаляет письма пользователя по мере их прочтения. Вторая позволяет организовать спам-рассылку средствами Mail.ru, третья предназначена для уничтожения всех записей в сервисе «Еженедельник» Mail.ru. С помощью четвертой злоумышленник может заблокировать чужой аккаунт в сервисе Деньги.Mail.ru. Илья говорит, что две из четырех уязвимостей сравнительно безобидны (он называет их «шалостями»), а критичны только уязвимости в ежедневнике, поскольку это может повлиять на имидж компании, и в «Деньгах.Mail.ru», «по причине того, что это сервис, управляющий деньгами».

По словам Ильи, единственный мотив, который он преследовал при публикации скриптов, – поторопить компанию с закрыванием «дыр», имеющихся в работающих сервисах. «Я хотел объяснить руководству Mail.ru, что надо больше думать о безопасности пользователя».

По словам Ильи А., он описал не все найденные им уязвимости Mail.ru. Однако, если компания оперативно закроет уже существующие «дыры», он не будет торопиться с обнародованием остальных. Он обещает, что будет и дальше заранее уведомлять руководство портала перед публикацией новых уязвимостей. По его словам, описание уязвимостей имеется у руководства портала, хотя ему «при встрече показалось, что им совсем не интересна эта тема».

Атаки: 4chan против MPAA

Анонимные пользователи хакерского форума 4chan 17 сентября скоординировали и провели DDoS-атаку на сервер Американской ассоциации кинокомпаний MPAA.org, а также на сайт компании Aiplex Software. Aiplex Software известна тем, что по заказу правообладателей проводила DDoS-атаки торрент- портала The Pirate Bay, который продолжил свою работу, несмотря на многочисленные судебные разбирательства и требования закрыть ресурс. Кроме того, Aiplex угрожала применить ту же тактику к торрент-ресурсам, не желающим сотрудничать с правообладателями. Позднее представители компании пытались опровергнуть собственные заявления.

Как сообщается, сайт Aiplex вывел из строя единственный хакер, таким образом, общего взлома не понадобилось. В то же время mpaa.org был коллективными усилиями за несколько минут выведен в офлайн на 18 часов. Позднее он восстановил свою работу, переехав на новый IP-адрес. Сайт Aiplex длительное время открывался с задержками.

Судя по сообщению TorrentFreak, в ходе рейда использовалась программа LOIC (Low Orbit Ion Cannon), предназначенная для тестирования нагрузки на серверы.

Технологии безопасности: Diaspora

Проект по созданию децентрализованной социальной сети Diaspora дорос до стадии открытия программных кодов. Отныне к созданию достойной альтернативы Facebook может приобщиться любой желающий.

Основная идея «Диаспоры» – пользователю дают персональный web-сервер, взаимодействующий с различными соцсетями и сервисами. Таким образом, пользователь получает полный контроль над своими данными и сам решает, чем делиться с окружающими, а что стоит держать в секрете. Этот козырь – несомненное преимущество перед тем же Facebook, где с пользовательскими данными в последнее время обращаются не очень бережно.

Diaspora – очень молодой, но многообещающий стартап. Сбор денег на этот проект начался в апреле этого года. За какие-то пару недель вместо необходимых $10 тысяч интернетчики собрали в 20 раз больше. Примечательно, что свою лепту внес даже главный фейсбуковец Марк Цукерберг, который назвал «Диаспору» «клевой идеей». Хотя неизвестно, какой именно суммой он поделился с разработчиками проекта.

Среди заявленных и частично уже реализованных возможностей будущей платформы: интеграция с популярными web-сервисами, надежная система аутентификации между отдельными серверами, обмен мгновенными сообщениями, защищенный обмен файлами, поддержка OpenID, резервное копирование данных и многое другое. Иначе говоря, планов много – вопрос только в том, как и когда они будут реализованы.

Источник: http://www.nestor.minsk.by/kg