Новостной радар Anti-Malware.ru. Выпуск 1, август 2012

Здравствуйте! Вас приветствует Новостной радар Anti-Malware.ru. Сегодня мы поговорим о наиболее популярных и заметных событиях, произошедших за последнюю неделю. Разобраться в происходящем нам помогут постоянные эксперты Anti-Malware.ru, которые выскажут свое мнение о последних новостях информационной безопасности. Устраивайтесь поудобнее; мы начинаем.

 

 

Девятимиллионная утечка

На прошлой неделе мир узнал о том, что южнокорейская полиция арестовала двух злоумышленников, паразитировавших на недостаточно надежной системе безопасности мобильного оператора Korea Telecom. В течение нескольких месяцев взломщики постепенно извлекали из информационных хранилищ провайдера разнообразные данные о клиентах, после чего, по данным из разных источников, то ли продавали их телемаркетинговым компаниям, то ли использовали их в подобной деятельности самостоятельно. В общей сложности хакерам удалось извлечь прибыль на сумму примерно в 900 тысяч долларов США, т.е. сведения об одном пользователе продавались не за доллар даже, а за десять центов. Вдвойне обидно: скомпрометировали данные, так еще и оценили ниже некуда.

Впрочем, надо сказать, что и информация была не особенно ценной, как это часто бывает при подобных инцидентах. Злоумышленникам достались пользовательские PIN-коды, номера телефонов и их серийные идентификаторы, а также внутренние клиентские номера. Такую совокупность сведений сложно назвать даже персональными данными, хотя кое-какой коммерческий потенциал у нее есть (что, собственно, и доказали хакеры своей деятельностью). Помимо прочего, такую информацию можно использовать, чтобы соорудить целевую психологическую атаку на клиента, но и только.

Вполне естественно, что оператор пообещал провести расследование и принять все меры к тому, чтобы подобное не повторилось, а также начал информировать клиентов о происшествии. Эти протокольные процедуры фигурируют в каждом сообщении о крупной утечке, но отчего-то ничему не учат другие компании – сведения подобного рода возникают в новостных лентах с завидной регулярностью. Буквально месяц тому назад, например, в Сети появилось восемь миллионов паролей к учетным записям на немецком игровом сервисе Gamigo; в том случае, впрочем, клиентам сервиса повезло, поскольку предупреждение об утечке они получили на несколько месяцев раньше и имели возможность сменить свои кодовые слова.

Главный аналитик InfoWatch Николай Федотов, впрочем, считает, что «из данного инцидента не следует делать каких-то далеко идущих или принципиальных выводов. Данные имели ценность как для обладателя, так и для злоумышленников. Поэтому обоснованно применялись защитные меры. Не похоже, чтоб эти меры были слишком примитивными или слишком сложными. Всё указывает, что меры были адекватны стоимости данных. Защиту всё-таки преодолели. Это бывает. Сделал это не инсайдер, значит в компании хорошо была поставлена кадровая работа. Мне представляется, ситуация не выходила за рамки расчётного; реализовался тот остаточный риск, который был принят - в точном соответствии с теорией. По той же теории сработал самый последний рубеж защиты - юридический: злоумышленников поймали и доказали их правонарушение. Значит, все рубежи необходимы».

«Это не единственная крупная утечка данных», - комментирует инцидент аналитик Positive Technologies Олеся Шелестова. – «И Корея не является исключением. Напомню, что за прошлый год в Корее подобных громких инцидентов было четыре (ведущая компания Южной Кореи по выпуску кредитных карт Samsung Card Co., номера паспортов и идентификационные номера, а также все данные, которые необходимо было предоставить для получения паспорта из KOMSCO, учетные данные от онлайн-игры Maple Story). Это только те компании, которым пришлось заявить открыто. Уверена, что большее количество подобных инцидентов осталось в тени. Почему этот товар имел спрос на рынке? Потому что помимо контактных данных, была еще и информация об интересах в покупках клиентов, которую успешно можно использовать для перехвата клиентов.

Будет ли что-то за данный инцидент для КТ? Сомневаюсь, несмотря на то, что акции КТ размещены на Корейской фондовой бирже с 1998 года. Повлиял ли инцидент на акции? КТ переживает не самые лучшие времена. 30 апреля 2012 была зафиксирована вторая самая минимальная стоимость акций КТ за всю историю компании. Но данный инцидент пока не отразился на акциях и оттоке клиентов. Злоумышленников всегда будет привлекать товар, на котором можно быстро заработать. Данные по кредитным картам не приносят таких быстрых доходов. Поэтому, и персональные данные о клиентах, которые можно быстро продать конкурентам или использовать для рекламы уже совсем других товаров, и даже просто email адреса, которые можно использовать для рассылки спама - всегда будут вкусной добычей. Были ли подобные случаи в России? Были! Но о них мало кто любит распространяться».

Будем надеяться, что Korea Telecom сделает правильные выводы из этого происшествия, и второй по величине мобильный оператор Южной Кореи более не допустит столь масштабных утечек информации.

 

До свидания, KHS

В понедельник «Лаборатория Касперского» сообщила, что в ближайшее время будут прекращены продажи ее аутсорс-решения Kaspersky Hosted Security. Проект фактически существовал семь лет: первые упоминания о нем в прессе датированы 2005 годом. Изначально решение предназначалось для обороны корпоративной электронной почты от инфекций и нежелательных рассылок; соответствующий модуль под названием mailDefend тестировался нашими специалистами и заработал знак отличия «Одобрено Anti-Malware.ru». Впоследствии к защитнику почты присоединился модуль webDefend, который работал в качестве прокси-сервера – пропускал через себя сетевой трафик клиента и искал в нем вредоносные программы; кроме того, одно время в составе сервиса работал элемент imDefend (защита систем мгновенного обмена сообщениями). Решение реализовывало концепцию «ИБ как услуга»: все аппаратные и программные мощности находились не на стороне клиента, а на стороне «Лаборатории Касперского».

В информационном сообщении компании-производителя говорится, что сервис превосходно показал себя в повседневной работе, однако объем его продаж не совпал с ожиданиями; помимо этого, «Лаборатория Касперского» намерена в дальнейшем сосредоточиться на резидентной защите конечных точек, что расходится с идеологией аутсорсинга. Компания подготовила несколько льготных предложений для пользователей продукта, призванных облегчить переход на другие решения. Дополнительных комментариев «Лаборатория Касперского» давать не стала, пояснив, что в новостном сообщении уже содержится вся необходимая информация.

По мнению эксперта Anti-Malware.ru Андрея Никишина, «Лаборатория Касперского» хочет сфокусироваться на ключевом направлении и избавляется от не фокусных направлений, которые к тому же не приносят ощутимого дохода». Как себя покажет новая бизнес-стратегия ведущего отечественного производителя защитных решений, покажет время.

Что же касается идеологии «ИБ как услуга», то и она не забыта. В частности, на данный момент компания предлагает всем желающим воспользоваться решением для защиты от отказов в обслуживании Kaspersky DDoS Prevention.

 

Тур из Египта в Бахрейн

В прошлом году, когда в Египте пышным цветом цвела так называемая «арабская весна», демонтаж привычной системы правления сопровождался любопытными находками. Так, в районе Наср противники тогдашней власти захватили здание, где размещались органы государственной безопасности, и смогли внимательно изучить разнообразные внутренние документы, секретные и не очень. Помимо прочего, им попалась на глаза папка с надписью «FinFisher», содержимое которой было отсканировано, сведено в PDF-файл и впоследствии опубликовано в открытом доступе. Эти материалы тогда попали в распоряжение финских борцов с вирусами из F-Secure, которые активно способствовали их огласке.

Тогда из копий дела удалось узнать, что производитель FinFisher, компания Gamma International, выдвигала египетским властям детализированное предложение по приобретению ее программных решений и обучающих курсов на общую сумму в районе 400 тысяч евро. В связи с этим необходимо обозначить, что семейство FinFisher – это формально легальные продукты, позволяющие вторгаться в целевые компьютерные системы и заражать их вредоносным программным обеспечением. В предложении фигурировали программно-аппаратные комплексы FinSpy и FinFly.

Прошел почти год, и история как будто благополучно забылась; однако совершенно неожиданно, можно сказать – вдруг, откуда ни возьмись, вышеупомянутый «продукт» FinSpy обнаружился на сетевых информационных ресурсах, чьи владельцы тем или иным образом выступали против правящего режима Бахрейна. Выявила признаки заражения компания CitizenLab, она же и предала событие огласке.

Характерно, что Gamma International незамедлительно принялась отрицать любые формы участия в этом деле. Компания объявила, что не продавала FinFisher властям Бахрейна, и спецслужбы ближневосточного государства попросту украли демонстрационную версию их программного пакета. Несомненно, международное право предусматривает презумпцию невиновности, но, учитывая документы из архивов египетской госбезопасности, верится как-то с трудом.

Данное происшествие, впрочем, не особенно заинтересовало игроков антивирусного рынка. Эксперт Anti-Malware.ru, ведущий антивирусный эксперт «Лаборатории Касперского» Александр Гостев в ответ на просьбу о комментарии лишь загадочно улыбнулся и заверил нас, что событие не заслуживает особенного внимания, а представитель Symantec воздержался от комментирования ввиду чрезмерной политизированности проблемы. Тем не менее, Anti-Malware.ru будет наблюдать за развитием событий. В конце концов, когда формально легитимная фирма рассылает фальшивые обновления для iTunes c целью инфицировать пользователей своими «разработками», игнорировать ее «деятельность» просто невозможно.

P.S. Кстати, Александр Гостев, говоря об истории с FinFisher, посоветовал нам предпочесть дождаться нового информационного сообщения от «Лаборатории Касперского». Теперь мы знаем, что речь шла об обнаружении в том же ближневосточном регионе банковского троянского коня Gauss, который имеет явные признаки родства с вредоносным продуктом Flame и также претендует на звание кибероружия. Но об этом мы поговорим уже в следующий раз.

 

Новые технологии

Во вторник «Лаборатория Касперского» вновь была ключевым ньюсмейкером: читатели Anti-Malware.ru проявили значительный интерес к известиям о ее новых патентах в области борьбы с вредоносными программами и обеспечения информационной безопасности. Компания закрепила свое право на инновационные технологии в России (1 патент) и США (2 патента). Впоследствии, кстати, появилась информация о еще одном законном свидетельстве – на технологию блокировки данных, хранящихся в памяти мобильных устройств.

Итак, «Лаборатория Касперского» закрепила за собой право на новый метод антивирусной проверки объектов на стороне сервера, который позволяет существенно снизить нагрузку на вычислительные ресурсы (файл будет проверяться полностью только в том случае, если у системы возникнет подозрение о его неблагонадежности), технологию оценивания потенциальной опасности сотрудников предприятия (на основании их действий, связей с коллегами и т.п.), а также систему контроля доступа к сетевым ресурсам при помощи агента администрирования, установленного на определенном (самом мощном) компьютере. Компания приводит комментарий директора по исследованиям и разработке – Николая Гребенникова; по его мнению, «IT-специалисты большинства компаний признают, что самой важной задачей для них является предотвращение кибератак. Для того, чтобы предоставить бизнесу максимально эффективные решения в сфере безопасности, мы регулярно разрабатываем и внедряем новые технологии защиты. При этом мы развиваем не только защиту от вредоносных программ, но также принимаем во внимание требования компаний к масштабируемости наших решений, легкости их внедрения и адаптации к IT-инфраструктуре компании».

Независимый эксперт Anti-Malware.ru Валерий Ледовской уверен, что «перечисленные патенты имеют большое значение в развитии технологий информационной безопасности предприятий и описывают новые схемы оптимизации ресурсов информационной структуры предприятий, необходимых для реализации защиты, а также новые схемы организации мероприятий по защите информации. В частности, автоматизация проверки скачиваемой из Сети информации позволит серьёзно оптимизировать процесс проверки таких объектов на наличие вредоносной составляющей в защитных продуктах, выпускаемых "Лабораторией Касперского". Автоматизация разделения профилей защиты пользователей по их стандартному поведению - это очень важный и необходимый шаг для корпоративных защитных решений. В настоящее время администраторы локальных сетей предприятий оценивают поведение различных групп пользователей и создают под них различные профили защиты в ручном режиме, и эффективность этого процесса крайне низка. Патент, касающийся технологии автоматического учёта топологии корпоративной сети для более равномерного распределения нагрузки, которая ложится на аппаратное обеспечение объектов сети при использовании защитных технологий - это тоже важный и нужный шаг вперёд.

При этом не следует забывать, что защита информационных технологий софтверными компаниями может влиять как положительно на развитие отдельных сегментов софтверного рынка, так и отрицательно. С одной стороны, в данном случае "Лаборатория Касперского" защищает себя от судебного преследования со стороны конкурентов, которые также могут воспользоваться патентной защитой своих изобретений. Но с другой стороны, конкурирующие компании не могут, не нарушая патентное законодательство, использовать данные технологии и попытаться их доработать. Плюс к этому, наличие данных патентов у "Лаборатории Касперского" не означает, что данные изобретения уже применяются в продуктах компании или будут применены в ближайшее время. Патенты могут быть заделом на достаточно далёкое будущее, без возможности реализовать эти идеи другими компаниями. Это может явиться, в некотором роде, тормозом развития индустрии информационной безопасности в целом».

Как можно видеть, новые технологии «Лаборатории Касперского» направлены на оптимизацию вычислительных ресурсозатрат, снижение нагрузки на сеть и облегчение ноши администраторов безопасности. Что ж, пожелаем ей удачи на этом пути. Если расхожая фраза «Касперский тормозит» в секторе индивидуальных пользователей еще терпима, то допускать ее проникновения в корпоративную среду никак нельзя.

 

Великий иранский фаервол

Наконец, в среду мы написали о том, что Иран, по слухам, может отгородиться от внешнего мира в киберпространстве и учинить свою собственную внутреннюю вычислительную сеть. Идея, кстати, не нова: не первый год различные организации – то пираты, то, наоборот, защитники информации выдвигают разнообразные идеи относительно создания альтернативной сети, параллельной Интернету и лишенной его недостатков. Впрочем, на официальном уровне иранские власти опровергли эту информацию, но отметили, что их сектор Интернета нуждается в защите от злонамеренных внешних воздействий.

Речь здесь, очевидно, не только и не столько о вредоносных программах; скорее имеется в виду информационная безопасность в широком ее понимании. Не секрет, что Соединенные Штаты и Израиль в настоящее время не испытывают дружеских чувств к Ирану, а, следовательно, против последнего по всем канонам современной тактики и стратегии ведется информационная война. В таком контексте желание Ирана выставить заслон потенциальным агентам влияния вполне объяснимо и закономерно. Другой вопрос, однако, в том, что население обычно не любит, когда его защищают: большинство граждан уверено, что ими невозможно манипулировать, и борьба с пропагандой часто воспринимается ими как подавление свободы слова. Возможно, Ирану стоило бы взглянуть на печальный опыт соседей и измыслить нечто более изобретательное, нежели банальная блокировка.

А вот слова иранских госслужащих о том, что они планируют отключить от Интернета ключевые министерства и ведомства, вызывают некоторое удивление и вопросы в духе «а почему они раньше этого не сделали?». Такая практика, вообще говоря, традиционна для крупных государств, претендующих хотя бы на роль региональной державы. Именно поэтому, кстати, широкие улыбки у экспертов вызывают разного рода научно-фантастические фильмы, где гениальный хакер посредством Интернета проникает в сети министерства обороны и получает доступ к системам запуска баллистических ракет: подобные информационные сети и ресурсы обычно физически изолированы от сетей общего пользования. Впрочем, лучше поздно, чем никогда: даже если Иран только что достиг этих простых мыслей, это все равно пойдет ему на пользу.

"В данном конкретном случае я полагаю, что Иран, в связи с грядущими боевыми действиями, хотел бы превентивно защититься от вмешательства в свои внутренние сети извне, равно как и от злонамеренного манипулирования критически важными системами", - говорит эксперт Anti-Malware.ru, руководитель SoftSphere Technologies Илья Рабинович. - "Последствия подобного шага в мировых масштабах можно прзнать незначительным и не имеющим серьёзных последствий. В принципе, уже сейчас все все сколь-нибудь критически важные системы изолированы от Интернет либо двужутся в направлении максимальной удалённости от мировой Сети. Так что ничего из ряда вон выходящего я не вижу. Иран готовится к войне, в которой информационная компонента не менее важна, чем огневая и в которой страна на порядки слабее своих будущих противников без шанса на выправление ситуации".

"В Иране государственные учреждения пользуются привилегированными каналами связи. В силу ограниченности внешних каналов связи относительно коммерческих структур чиновники пользуются этим достаточно самоуверенно. Что касается политик информационной безопасности, то в стране, все еще преимущественно использующей Windows XP, зачастую не пользуются Windows Update, не говоря уже об антивирусном обеспечении, с точки зрения пользователей просто "бесполезно жрущим канал", и без того тонкий - до 256 кбс, получаемый по ADSL домохозяйствами и бизнесом. Польза же от ограничения госслужащим доступа во всемирную помойку, которой Интернет видится из Тегерана, и создания персидского госбюджетного Интранета, будет колоссальной", - считает независимый эксперт Anti-Malware.ru Виталий Янко.

Что ж; спасибо за внимание, на сегодня это все. Читайте новости и будьте в курсе событий, а если вдруг вы что-то пропустили – Новостной радар вам напомнит. До новых встреч!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru