Эксплойты становятся все более технически совершенными

Эксплойты становятся все более технически совершенными

На основании данных от Hewlett-Packard's TippingPoint Digital Vaccine Labs, Qualys и The SANS Institute был подготовлен отчет об основных киберугрозах 2010 года. В этом отчете особо отмечено, что при разработке PDF-эксплойтов и вредоносных сценариев на JavaScript все чаще используются сложные обфускационные техники и приемы.



"В настоящее время мы наблюдаем никогда прежде не виданные нами приемы обфускации и комплексные атаки", - признался руководитель расширенных исследований в области безопасности DVLabs Майк Доусон. - "Для примера: PDF-файлы для эксплуатации уязвимостей составляются из своеобразного набора потоков. Обычно эксплойт-код содержится в одном потоке и представляет собой единый массив данных в теле файла; теперь же разбиение этого кода на 10 и более взаимосвязанных потоков - едва ли не повседневная практика. Нечто подобное мы наблюдали и в поле деятельности JavaScript - там обнаруживался набор либо из нескольких IFRAME, либо из некоторого количества javascript-тэгов, которые ссылались на 10 и более сценариев. Каждый из них отвечает за определенные фрагменты эксплойт-кода, которые затем - уже на целевой машине - собираются вместе и запускаются на исполнение".


Согласно отчету, использование такой схемы предоставляет злоумышленнику полноценный и эффективный контроль над теми или иными задействованными техниками и приемами, равно как и упрощает добавление новых эксплойтов либо внесение изменений в код. Каждый фрагмент дополняет все остальные, и если хотя бы один элемент отсутствует, эксплойт не запустится. "Использование подобных приемов существенно усложняет работу систем предотвращения и детектирования вторжений, поскольку в этом случае для формирования четкого представления о направлении действий и целях эксплойта каждый поток необходимо анализировать отдельно", - говорится в отчете.


В 2010 году основной целью злоумышленников были продукты Adobe Reader и Acrobat; недавние атаки на 0-day уязвимости в этом программном обеспечении лишь подтверждают общую тенденцию. В отчете рассчитано время, которое требуется для снижения количества уязвимых машин (т.е. тех, на которых не установлены необходимые обновления безопасности) на 50%, т.н. "half-life"; по этому показателю Adobe Reader далеко отстает от операционных систем Windows. За последний год среднее время "half-life" для Windows составило 14,5 дней, а для Reader - 65 дней. Однако есть и надежда на лучшее: последняя версия Adobe Reader, v9, показывает время "half-life" в 15 дней - почти такое же, как и у Windows.


Помимо проблем с исправлением уязвимостей, авторы отчета особо выделяют и тот факт, что нередко новые уязвимости обнаруживаются одновременно или почти одновременно сразу несколькими исследователями, причем совершенно независимо друг от друга. Это подтверждается и практикой работы проекта TippingPoint's Zero-Day Initiative; согласно отчету, в 2007 году было отмечено 4 таких случая, в 2009 году - 18, а только лишь за первые 6 месяцев 2010 года уже стало известно о 13 случаях.


"Либо такие вещи стало проще обнаруживать, либо возросло количество исследователей, работающих в этой сфере", - рассказал г-н Доусон изданию eWeek. - "Так или иначе, если две команды защитников информации выявляют уязвимости одновременно и независимо друг от друга, и подобное происходит регулярно, то не требуется богатого воображения, дабы предположить, что синхронно с ними тех же результатов достигают и их контрагенты из андеграунда".


В отчете упомянуты и некоторые другие, не столь свежие, но все еще распространенные угрозы - Conficker, SQL Slammer, Code Red. Появившийся в 2004 году Slammer до сих пор в 10 раз чаще, чем какая-либо иная угроза, заставляет срабатывать IPS-фильтры HP TippingPoint.


"Старые добрые пути заражения по-прежнему актуальны", - заметил по этому поводу г-н Доусон. - "Довольно древние эксплойты до сих пор задействуются в кибератаках. Новые тенденции - это, конечно, хорошо, но не стоит забывать, что взлом паролей методом прямого перебора или проникновение на скверно настроенные компьютеры в ЛВС предприятия способны не менее эффективно скомпрометировать вашу систему".

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В мессенджере MAX появился цифровой ID

Новая функция позволяет пользователям подтвердить свой возраст и социальный статус в цифровом формате. Подключить её могут все владельцы мессенджера старше 18 лет. Сервис ориентирован на ситуации, где требуется быстрая и удобная верификация без предъявления бумажных документов.

Для создания цифрового ID необходимо пройти подтверждение личности через Единую биометрическую систему. Это можно сделать уже на этапе регистрации, используя заграничный паспорт нового образца.

Цифровой ID пригодится для подтверждения возраста при совершении покупок, требующих соответствующей проверки, а также для подтверждения социального статуса, дающего право на льготы, например, статуса студента или многодетного родителя. Кроме того, сервис можно использовать как пропуск в учебное заведение.

Подтверждение возраста или статуса осуществляется с помощью QR-кода, сформированного на основе данных из Госуслуг. При этом доступ к другим персональным данным исключён. Использование сервиса посторонними невозможно: для подтверждения требуется биометрия, а сам QR-код регулярно обновляется. Цифровой ID также позволяет просматривать реквизиты любых документов, включая паспорт, СНИЛС и ИНН.

Пока сервис работает в тестовом режиме. Первой к нему подключилась розничная сеть «Магнит», в дальнейшем список участников будет расширяться.

Введение цифрового ID не отменяет бумажные документы. Они сохраняют юридическую силу и продолжат использоваться, а цифровой формат станет лишь дополнительным инструментом для подтверждения личности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru