Эксплойты становятся все более технически совершенными

Эксплойты становятся все более технически совершенными

На основании данных от Hewlett-Packard's TippingPoint Digital Vaccine Labs, Qualys и The SANS Institute был подготовлен отчет об основных киберугрозах 2010 года. В этом отчете особо отмечено, что при разработке PDF-эксплойтов и вредоносных сценариев на JavaScript все чаще используются сложные обфускационные техники и приемы.



"В настоящее время мы наблюдаем никогда прежде не виданные нами приемы обфускации и комплексные атаки", - признался руководитель расширенных исследований в области безопасности DVLabs Майк Доусон. - "Для примера: PDF-файлы для эксплуатации уязвимостей составляются из своеобразного набора потоков. Обычно эксплойт-код содержится в одном потоке и представляет собой единый массив данных в теле файла; теперь же разбиение этого кода на 10 и более взаимосвязанных потоков - едва ли не повседневная практика. Нечто подобное мы наблюдали и в поле деятельности JavaScript - там обнаруживался набор либо из нескольких IFRAME, либо из некоторого количества javascript-тэгов, которые ссылались на 10 и более сценариев. Каждый из них отвечает за определенные фрагменты эксплойт-кода, которые затем - уже на целевой машине - собираются вместе и запускаются на исполнение".


Согласно отчету, использование такой схемы предоставляет злоумышленнику полноценный и эффективный контроль над теми или иными задействованными техниками и приемами, равно как и упрощает добавление новых эксплойтов либо внесение изменений в код. Каждый фрагмент дополняет все остальные, и если хотя бы один элемент отсутствует, эксплойт не запустится. "Использование подобных приемов существенно усложняет работу систем предотвращения и детектирования вторжений, поскольку в этом случае для формирования четкого представления о направлении действий и целях эксплойта каждый поток необходимо анализировать отдельно", - говорится в отчете.


В 2010 году основной целью злоумышленников были продукты Adobe Reader и Acrobat; недавние атаки на 0-day уязвимости в этом программном обеспечении лишь подтверждают общую тенденцию. В отчете рассчитано время, которое требуется для снижения количества уязвимых машин (т.е. тех, на которых не установлены необходимые обновления безопасности) на 50%, т.н. "half-life"; по этому показателю Adobe Reader далеко отстает от операционных систем Windows. За последний год среднее время "half-life" для Windows составило 14,5 дней, а для Reader - 65 дней. Однако есть и надежда на лучшее: последняя версия Adobe Reader, v9, показывает время "half-life" в 15 дней - почти такое же, как и у Windows.


Помимо проблем с исправлением уязвимостей, авторы отчета особо выделяют и тот факт, что нередко новые уязвимости обнаруживаются одновременно или почти одновременно сразу несколькими исследователями, причем совершенно независимо друг от друга. Это подтверждается и практикой работы проекта TippingPoint's Zero-Day Initiative; согласно отчету, в 2007 году было отмечено 4 таких случая, в 2009 году - 18, а только лишь за первые 6 месяцев 2010 года уже стало известно о 13 случаях.


"Либо такие вещи стало проще обнаруживать, либо возросло количество исследователей, работающих в этой сфере", - рассказал г-н Доусон изданию eWeek. - "Так или иначе, если две команды защитников информации выявляют уязвимости одновременно и независимо друг от друга, и подобное происходит регулярно, то не требуется богатого воображения, дабы предположить, что синхронно с ними тех же результатов достигают и их контрагенты из андеграунда".


В отчете упомянуты и некоторые другие, не столь свежие, но все еще распространенные угрозы - Conficker, SQL Slammer, Code Red. Появившийся в 2004 году Slammer до сих пор в 10 раз чаще, чем какая-либо иная угроза, заставляет срабатывать IPS-фильтры HP TippingPoint.


"Старые добрые пути заражения по-прежнему актуальны", - заметил по этому поводу г-н Доусон. - "Довольно древние эксплойты до сих пор задействуются в кибератаках. Новые тенденции - это, конечно, хорошо, но не стоит забывать, что взлом паролей методом прямого перебора или проникновение на скверно настроенные компьютеры в ЛВС предприятия способны не менее эффективно скомпрометировать вашу систему".

Переход школ на отечественный офис тормозят учебники и старые компьютеры

Российские школы постепенно переходят на отечественное офисное ПО, но тормозит процесс вовсе не качество программ. Главным препятствием неожиданно оказались учебники. Эту тему обсудили 29 июня на рабочем совещании в Госдуме, посвященном импортозамещению офисного ПО в образовании.

Во встрече приняли участие представители федеральных ведомств, регионов, АРПП «Отечественный софт» и российских разработчиков.

По данным ежегодного исследования АРПП, уже около 30% регионов используют российские офисные пакеты при проведении ОГЭ и ЕГЭ по информатике. Одновременно доля Microsoft Office в школах за год сократилась почти на 40%, его заменяют отечественные решения или LibreOffice.

Однако, как отметила глава комитета по цифровизации образования АРПП Анастасия Горелова, переход остается скорее техническим, чем методическим.

«Сегодня все учебники и пособия по информатике по-прежнему ориентированы на Microsoft Office. Чтобы переход стал реальным, необходимо обновить учебные программы и методические материалы», — подчеркнула она.

О своих разработках рассказали представители «МойОфис» и Р7, заявившие о высокой совместимости с форматами DOCX, XLSX и PPTX, а также о поддержке российских операционных систем и бесплатной помощи регионам.

Но на местах хватает и практических проблем. В Псковской области до 25% компьютеров не способны нормально работать с новым ПО, а также возникают сложности с электронной подписью в Linux. В Удмуртии к 1 сентября рассчитывают перевести на российский софт около 30% учебных классов, однако главным препятствием остается устаревшая техника. В Калининградской области российское ПО все чаще используют на экзаменах, но образовательные стандарты пока по-прежнему ориентированы на зарубежные продукты.

Еще одна неожиданная проблема — рынок труда. Участники встречи обратили внимание, что в вакансиях крупных госкомпаний до сих пор почти всегда требуют знание Microsoft Office, тогда как владение российскими аналогами зачастую вообще не учитывается.

По итогам совещания участники предложили Минпросвещения синхронизировать выпуск новых учебников с внедрением отечественного ПО, а Минцифры — создать рабочую группу по вопросам совместимости российских операционных систем и офисных пакетов, а также проработать облегченные версии программ для старых компьютеров.

RSS: Новости на портале Anti-Malware.ru