Новостной радар Anti-Malware.ru. Выпуск 2, сентябрь 2012

С пятницей вас, уважаемые читатели! На ваше внимание скромно претендует шестой выпуск Новостного радара Anti-Malware.ru. Время вспомнить о ключевых событиях недели – о новостях важных, заметных и необычных (порой настолько, что и компетентный эксперт не знает, как их прокомментировать). Оставайтесь с нами, и вы узнаете о карманных расходах корпорации Google, биометрических инициативах ФБР и разнокалиберных хакерских группировках.


Карта Новостного радара


Просмотреть Новостной радар - Выпуск 6 на карте большего размера

 

Зверь возвращается

Скоро в Аргентине откроется конференция Ekoparty. На ней с нетерпением ждут двух хакеров: Джулиано Риццо и Тая Дуонга, которые относительно недавно привели в ужас IT-сообщество своим универсальным эксплойтом BEAST (Browser Exploit Against SSL/TLS). Созданный ими инструмент оказался способен извлекать идентификационные файлы обозревателя из зашифрованного потока данных HTTPS, чего раньше сделать никому не удавалось. Довольно быстро о BEAST узнали если не все, то многие люди, причем не обязательно связанные с информационными технологиями: если какое-нибудь целочисленное переполнение в программном стеке – это что-то далекое и туманное, то защищенные соединения – часть жизни почти любого пользователя Сети.

Теперь хакерский дуэт обещает вновь ввергнуть защитников информации в шок и фрустрацию: Риццо и Дуонг анонсировали атакующий код под названием CRIME, своеобразную новую версию BEAST, которая вроде как тоже будет способна извлекать данные из зашифрованного потока. Но если раньше ими эксплуатировалась уязвимость в протоколе шифрования AES, коий можно было без особенного труда заменить другим, то на этот раз исследователи обещают одинаково успешную компрометацию любого криптоалгоритма.

Для пущего любопытства Риццо и Дуонг сообщили некоторые подробности о своей находке. Они, в частности, сказали, что ранее эта уязвимость считалась теоретически возможной (так было и с BEAST), атака действенна против Firefox и Chrome, в ней используется JavaScript, но применять последний не обязательно – вполне хватит даже статического HTML-кода. В общем, бойтесь, товарищи.

Экспертам, впрочем, пока не особенно страшно. Генеральный директор «Прикладной Логистики» Михаил Кондрашин в ответ на наш вопрос пожал плечами и сказал, что пока это лишь анонс «великой уязвимости» - судить о ее опасности рано, и разумнее дождаться подробностей. Что ж; ждать осталось немного.

 

Шоп-тур в Испанию

Поисковый гигант Google пополнил свою коллекцию новым приобретенным проектом. На этот раз стратегический менеджмент компании проявил интерес к известному онлайн-мультисканеру VirusTotal – сервису испанской компании Hispasec, который позволяет пользователям отправлять подозрительные файлы на проверку несколькими десятками антивирусных движков различных производителей. Можно сказать, что в свое время VT победил в гонке мультисканеров; прежние его конкуренты не смогли с ним состязаться и тихо канули в Лету.

Однако подобный сервис, как известно – это еще и большая финансовая нагрузка, нести которую независимому проекту довольно сложно. Поэтому представители VirusTotal, писавшие объявление о сделке с Google, похоже, особо и не скрывали, что их радует такое развитие событий. Вхождение в состав корпорации позволяет им сохранять относительную независимость (так как Google пока еще не является антивирусным вендором) и продолжать успешно вести дела.

В общем, выгода VirusTotal ясна. Несколько непонятно другое: чего хочет этим добиться Google, и как он намерен использовать мультисканер. Можно было бы, конечно, предположить, что поисковик просто пришел на помощь находящемуся в сложной ситуации проекту, но обычно крупным компаниям не свойственно делать покупки в расчете на одни лишь репутационные выгоды. Напрашивается вывод, что возможности VirusTotal будут использоваться в качестве поддержки других сервисов Google, но что это будут за службы – пока определенно не скажешь. Впрочем, можно не сомневаться: раз купили, значит, применение найдут.

«Несмотря на то, что подробности этой сделки не сообщается, сомнительно, что для Google эта покупка обошлась в значимую сумму, - ответил нам постоянный эксперт Anti-Malware.ru Валерий Ледовской. – «Похоже на то, что для Google эта покупка достаточно проходная, призвана продолжить укрепление бренда Google на мировой IT-арене. Общего резонанса вокруг этой новости не видно, о ней знают в основном лишь те, кто интересуется информационной безопасностью или работает в этой области. Мне кажется, что для пользователей VirusTotal не изменится ровным счётом ничего, кроме того, что придётся заходить в свой Google-аккаунт для того, чтобы воспользоваться сервисом и оставить комментарий к сэмплу. Также возможна интеграция с Google Translate. Сомнительно также, что покупка VirusTotal серьёзно поможет улучшить веб-безопасность, ведь сэмплы рассылаются производителям антивирусов и сейчас. Возможно, смысл будет только в сокращении задержек между поступлением сэмпла и его использованием в фильтрах и антивирусных продуктах Google. Т.е. это очередная достаточно проходная покупка, но она прибавит к пользователям Google тех специалистов в области информационной безопасности, которые пока стараются в меньшей мере использовать облачные технологии, как раз из соображений информационной безопасности».

 

Аноним наступает

В понедельник у крупнейшего регистратора доменных имен – компании GoDaddy – возникли технические проблемы: ряд обслуживаемых ею ресурсов (включая собственный сайт) внезапно оказался недоступен. В нынешние неспокойные времена такие случаи сразу заставляют вспомнить о DDoS-атаках, тем более что регистратору в прежние времена доводилось конфликтовать с Интернет-активистами разного толка. И действительно, вскоре после этого один из участников группировки Anonymous, скрывшийся под псевдонимом Own3r, взял на себя ответственность за происшествие. В своем микроблоге аноним заявил, что атака была его личной инициативой, и он хотел проверить, устойчива ли инфраструктура GoDaddy к отказам в обслуживании.

Регистратор происшествие признал, но сказал в официальном сообщении только о неких «проблемах», возникших на его серверах; о хакерской атаке там не было ни слова. День или два компания разбиралась в случившемся, а затем заявила, что «отключение сервисов было вызвано серией внутренних сетевых событий, которые повредили таблицу данных маршрутизатора» (спасибо lenta.ru за цитату). Фактически компания тем самым опровергла предположения об атаке и свела все случившееся к внутренним неполадкам.

Поскольку западные компании обычно склонны признавать хакерские нападения (закон обязывает), то, по-видимому, заявлению GoDaddy можно верить. Если всему виной действительно были технические неполадки, то Интернет-аноним Own3r просто воспользовался ситуацией для самопиара. Удивляться этому не приходится: хактивисты часто напоминают одиозных террористов, готовых приписать себе любой взрыв известности ради. Да и, на самом деле, не подумали же вы, что один-единственный никому не известный взломщик мог нокаутировать крупнейшего в мире регистратора?

 

Ты лови его, лови...

Во вторник мы писали о том, что Федеральное бюро расследований США вложило миллиард долларов в разработку специальной системы слежения, позволяющей распознавать людей по множеству параметров – от изображения лица до ДНК-кода. Система сможет, к примеру, отловить преступника в толпе, опознав его лицо по фотографии-образцу. В нее внедрили последние достижения в области биометрии, вплоть до трехмерного моделирования, что и позволило системе показать эффективность в 92 процента. Для распознавателя лиц это показатель хороший, потому как традиционно подобные средства считаются не самыми надежными из биометрического арсенала.

Предполагается, что у системы будет единая база, в которую со всех штатов будут стекаться данные по преступникам, террористам и прочим нежелательным элементам. Некоторые регионы уже начали пополнять эту базу в тестовом порядке. Повсеместно систему собираются внедрить уже в 2014 году. Правоохранители, как водится, вполне довольны – им станет легче работать, - а вот защитники прав человека уже начинают понемногу нервничать. Такое вмешательство в частную жизнь, действительно, может стать беспрецедентным для США, да и для мира в целом: как невесело говорят некоторые аналитики, никакому Сталину не снился контрольно-шпионский арсенал нынешних поборников демократии. Впрочем, известно, что после событий 11 сентября американские спецслужбы давно ведут себя так, будто весь народ США – это подозреваемые.

«В самом факте создания подобной системы нет ничего плохого», - уверен эксперт Anti-Malware.ru Кирилл Керценбаум. – «Как мы знаем, основная задача систем данного класса - эффективное выявление в потоке преступников и потенциально опасных или разыскиваемых лиц. Что-то подобное уже давно работает в Лондоне, да и в других крупных городах мира, но данная система, как мы можем предполагать, станет самой эффективной за всю историю. Сложности возникают, когда встает вопрос, в каких целях и кто ей будет пользоваться в итоге, но здесь можно полагаться только на доверие, и никак иначе. Но, все же, как мы знаем, на территории США с 11 сентября 2001 года - ни одной успешной попытки совершения теракта, и это означает, что системы, в том числе подобные описываемой в новости, работают с высоким уровнем надежности и эффективности».

 

Первое дело о фишинге

В среду мы сообщали о том, что Чертановский районный суд Москвы вынес приговор участникам киберкриминальной группировки, которые до момента поимки успели наворовать 13 миллионов рублей у клиентов банка «ВТБ 24». Работала классическая фишинговая схема: троянский конь из семейства QHost проникал на компьютеры жертв и обеспечивал перенаправление браузера на фальшивую страницу входа в онлайн-систему «клиент-банк». Ничего не подозревающие пользователи вводили данные, необходимые для авторизации, и информация утекала к злоумышленникам. Те получали доступ к счетам, выводили с них деньги и набивали карманы. Всего следствию известны три фигуранта: братья Дмитрий и Евгений Попелыш, а также их соучастник Александр Сарбин, который и изготовил поддельный интерфейс для кражи данных.

Для отечественных правоохранительных органов это было первое уголовное дело о фишинге. Прецедент, впрочем, вышел не очень страшным: организаторы получили по шесть лет условно со штрафом 450 тысяч рублей, а соучастник – четыре года условно со штрафом 200 тысяч рублей. Однако сам по себе факт доведения такого дела до стадии приговора – событие уже значимое: у отечественного МВД пока не так много опыта в расследовании киберпреступлений, а специфика Интернета сильно затрудняет поиск злоумышленников.

Всего веселая компания обокрала почти двести человек из 46 регионов России. Теперь на имущество фишеров наложен арест, и похищенное, возможно, все же вернется теперь к своим владельцам. Ну а остальным злоумышленникам, действующим и перспективным, отправлен прозрачный намек: не воруй! Жаль только, что все равно не прислушаются.

***

Что ж, на этом пора прощаться: новость сия завершает наш сегодняшний обзор. Мы ждем вас ровно через неделю; будьте внимательны и следите за новостями. Удачи вам и хороших выходных!

До свидания!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru