Новостной радар Anti-Malware.ru. Выпуск 4, август 2012

Добрый день, уважаемые дамы и господа... пятница! В эфире Новостной радар Anti-Malware.ru. Пора вспомнить об интересных и популярных событиях, случившихся в последнюю неделю. Сегодня мы расскажем о новых инициативах Microsoft в области порабощения жителей Земли, разрушительных нападениях, потрясающих основы государственного строя, и прочих актуальных угрозах. Обо всем этом – подробно и без рекламных пауз. Присоединяйтесь!

 

Карта Новостного радара


Просмотреть Новостной радар - Выпуск 4 на карте большего размера

 

Slowpoke news

Кто не успел, тот опоздал. К такому фундаментальному заключению пришла в конце прошлой недели компания Carbon Black, чья деятельность связана с системами обнаружения вирусов в режиме онлайн. Специалисты фирмы провели исследование и выяснили, что если свеженайденная инфекция в течение шести дней не попадает в вирусную лабораторию какого-либо производителя, то в большинстве случаев она так и не появляется в его антивирусных сигнатурных базах. Более быстрые конкуренты ехидно посматривают на отстающего и бравируют своим детектом, а клиенты нервно оглядываются в поисках более надежного решения.

Пожалуй, интереснее всего то, что Carbon Black провела тест на уровне неопытного пользователя. Подобно тому, как современные «чайники» выбирают себе антивирусную защиту путем сканирования поросшего мхом архива на сто вирусов, компания отобрала 84 образца инфекций из общедоступного архива VirusTotal и изучила динамику их добавления в базы участников мультисканера. За такой подход к исследованиям игроки рынка часто критикуют и более известные тесты – VB100, например. Реальность такова, что при современном потоке вредоносных программ сотня-другая образцов – это капля в море, и составить на ее основании представление о возможностях продукта... скажем так, сложновато.

Неудивительно, что производители антивирусов отнеслись к исследованию без лишнего энтузиазма. Ряд экспертов подверг тест критике, отметив его методологическую слабость и даже обвинив компанию в представлении ложных выводов. Вендоров можно понять: в конце концов, вирусные лаборатории лидеров рынка работают круглосуточно и ежедневно, и если какая-то зараза счастливо избегает внимания аналитиков, то уж точно не из-за лени последних. Возможно, производителям антивирусов нужно совершенствовать методы добычи вредоносных программ, но это уже другая история.

 

Эта уязвимая Java

Казалось бы, есть вещи, которыми в сфере безопасности уже никого не удивить: например, ошибки безопасности в продуктах Adobe или в программной среде Java. Оказывается, однако, что есть еще порох в пороховницах: известие о серьезной уязвимости в Java оказалось в фокусе читательского внимания во вторник. Первооткрывателем изъяна можно считать эксперта FireEye Атифа Муштака, который первым описал ее в корпоративном блоге.

Данные об эксплуатации уязвимости разнятся: одни исследователи говорят, что злоумышленники уже пользуются этой ошибкой, другие не видят признаков такой деятельности. Сходятся те и другие в одном: скорых обновлений от Oracle ждать вряд ли приходится, а, следовательно, все пользователи продукта вновь находятся под угрозой. Брайан Кребс, к примеру, предлагает вовсе отказаться от использования Java, и учитывая популярность последней у злоумышленников, совет кажется вполне резонным.

Как свидетельствует эксперт Anti-Malware.ru Илья Рабинович, очевидно, что «у всякого производителя в его программном обеспечении есть уязвимости. Это факт. Поэтому важно лишь то, с какой скоростью они исправляются для конечного пользователя. Насколько я читал, Oracle затягивает релиз версии чуть ли не на полтора месяца, что есть чрезвычайно плохо для пользователей Java 7 и не является хорошей бизнес-практикой для любой компании. Microsoft, например, при начале атаки Conficker выпустил внеочередное исправление, вне "patch Thursday"».

Впрочем, по некоторым данным, исправление уже подготовили. Похоже, на этот раз Oracle проявила оперативность.


Новый китайский буткит

Dr. Web выявил многокомпонентную вредоносную программу из класса буткитов – новое творение вирусописателей из Поднебесной. Для успешного выполнения своих главных задач – скрытного перенаправления пользователей на определенные страницы Интернета – вирус поражает загрузочный сектор жесткого диска. Авторы снабдили свою разработку всяческими защитными контурами вроде детектора отладчиков и виртуальных машин, а также позаботились о том, чтобы программа докладывала командному серверу о признаках работы на ПК общего пользования. 

Троянский конь оборудован собственным брандмауэром, скрывает свои файлы на диске и сохраняет их резервные копии для аварийного восстановления, борется с антивирусами, отсылает обстоятельные отчеты своим создателям. Поддерживается порядка десяти браузеров, известных и не очень, при веб-серфинге через которые вредоносная программа перенаправляет пользователя на нежелательные ресурсы. В общем, как заключил эксперт Anti-Malware.ru Вячеслав Русаков, «очередной буткит, коих множество».

 

Почта, вокзал, телеграф...

В недрах Совета Федерации возникла инициатива: приравнять кибератаки на государственные информационные ресурсы к попыткам захвата органов власти. По мнению сенатора Руслана Гаттарова, нынешнее законодательство нуждается в совершенствовании: максимальное наказание за хакерскую деятельность составляет пять лет лишения свободы, в то время как успешное нападение на государственный сайт может привести к не менее опасным последствиям, нежели физическая атака на властный орган. «Взлом сайтов - это по своей сути захват госоргана, так как доступ к нему закрыт, и такие условия квалифицируются как препятствия деятельности госорганов и должны жестко наказываться уголовно», - цитируют СМИ автора инициативы.

Здесь российские власти могут отправиться по стопам Соединенных Штатов, которые на вполне официальном уровне собрались приравнивать атаки в киберпространстве к вооруженным нападениям на свое государство. Наше руководство, конечно, пока не готово считать взлом сайта из-за рубежа объявлением войны, но стремление связать физические ресурсы с виртуальными в этой инициативе прослеживается четко. Высказывались предположения, что сенатора мотивировали на выступление сторонники «свободного искусства», которые взломали Интернет-представительство Хамовнического суда Москвы в знак несогласия с приговором панк-группировке «Pussy Riot».

Надо сказать, что такие решения – вещь обоюдоострая. Расследование компьютерных преступлений развивается активно, но совершенства еще не достигло; «доказательства взлома» могут быть неверно истолкованы власть имущими или вообще сфальсифицированы. Для принятия подобных законов нужно тщательно прорабатывать все технические детали, что отечественным госслужащим, увы, часто не свойственно.

«Основная проблема при наказании кибер-преступников, взламывают ли они государственные сайты или частные, заключается не в суровости мер, которые могут быть применены к ним по закону, а неотвратимость этого наказания», - говорит постоянный эксперт Anti-Malware.ru Валерий Ледовской. – «Как всем известно, количество взломов сайтов за время существования 273 ст. УК РФ исчисляется даже не сотнями, а куда более внушительными цифрами, но реальные сроки начали давать за эти преступления лишь недавно, и это единичные случаи. При этом, если отвечать на вопрос, нужно ли карать за взлом государственных сайтов больше, чем за взлом чьего-то частного блога, то я с этим согласен. Но наказания в рамках существующей ст. 273 УК РФ вполне достаточно. В ней, в частности, говорится о том, что подобные "деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок до семи лет.". Если относить взлом государственных сайтов к тяжким последствиям, и их взломщики будут реально проводить в заключении по 7 лет, этого будет и достаточно. А вот если говорить о том, стоит ли отождествлять взлом государственного сайта и захват органа власти "в реале", то, мне кажется, что это всё же преступления различной степени тяжести. При взломе веб-сайта не происходит захвата органа власти, ибо он продолжает функционировать, общение с его сотрудниками возможно с помощью более традиционных средств связи - телефона, факса и даже электронной почты в большинстве случаев. Наказание должно быть адекватным наносимому вреду, но быть неотвратимым».


Вы в Матрице

Исследователь Надим Кобейси сделал открытие: операционная система Windows 8 передает в Microsoft сведения обо всех приложениях, которые установил пользователь. Занимается этим модуль SmartScreen, призванный проверять степень благонадежности загружаемых из Сети установщиков. Идеология «цифрового концлагеря» укрепилась и получила новых адептов.

Кстати, почти синхронно с этим известием появились сведения о том, что Microsoft занялась патентованием своей версии приборов «дополненной реальности»: небольшой комплект носимой аппаратуры позволяет пользователю вести постоянную видеозапись всего, что находится в пространстве непосредственно перед ним, а также проводить оперативную навигацию по всему массиву видеоданных. Популярные блогеры откликнулись постами о зарождении системы глобальной слежки, позволяющей ежесекундно контролировать жизнедеятельность любого «заключенного».

В целом же, если изучить выводы исследователя, появляется чувство, что он просто открыл для себя факт проверки цифровой подписи тех установщиков, которые были получены из Интернета. Такой функционал, если уж на то пошло, имеется и в ранних выпусках Windows: при старте установочного файла операционная система проверяет, значится ли инсталлятор в списке доверенных. Однако сам г-н Кобейси усматривает в этом зловещую перспективу: в будущем ему видятся рейды против пиратов, карательные меры по отношению к пользователям нелицензионного ПО и так далее.

«Не знаю как вы, но я, прочтя эту новость, выкинул к чертям собачьим свой ноутбук, планшет и мобильные телефоны, звоню теперь только сам с телефонов-автоматов. Да и сий комментарий прислал в Anti-Malware по факсу, редакторы подтвердят», - улыбается эксперт Anti-Malware.ru Михаил Орешин. – «Если серьезно, то я не понял кипиша. Буквально на прошлой неделе обсуждали, что в Windows 8 встроен антивирус, любой уважающий себя антивирус обязан сейчас обладать сервисом «репутации приложений» и быть в «облаках», у кого-то есть мнение, что антивирус от Microsoft (я уже запутался, как он сейчас называется) себя не уважает? Расписывать, как работает сервис репутации, в рамках комментария не вижу смысла, возьмите любую вендорскую презентацию, и там все очень красиво будет описано: md5, летит в облако, облако ему дает ответ на основе «краудсорсинга»…

В чем проблема и «инновация», которую «нашел» господин Кобейси, я не понял. Да, пытаясь себе представить как можно использовать данную функцию для отлова пиратов в голове рисуется абсолютно монстрообразный сервис – «такие поезда не летают». Можно еще вступить в полемику по поводу Apple Store, Google Play и Marketplace (в сути схожие подходы но с разных сторон). Но не знаю, новость из пальца высосана. Зато соответствует всем правилам «хорошей» новости: 1) Плохо про Microsoft 2) «Большой брат смотрит за тобой» 3) Нарушение анонимности 4) Пиратство».

Что ж, такой была последняя информационная неделя в глазах редакторов, экспертов и читателей нашего информационно-аналитического центра. Следующая явка – 7 сентября, в это же время; не пропустите! Всего доброго, и следите за новостями; как говорится, кто владеет информацией...

Обсудить на форуме >>>

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru