Новостной радар Anti-Malware.ru. Выпуск 1, март 2013

Что ж, время весенних праздников истекло, и нам пора вновь суммировать то, что произошло в сфере информационной безопасности за последние семь дней. Сегодня мы обсуждаем вирусы и защиту от них, шпионаж, помощь жертвам взлома и потерю оборудования. Начнем, пожалуй?

 

 

Карта Новостного радара


Просмотреть Новостной радар - Выпуск 5 2013 на карте большего размера

 

Говорите, вас слушают

Исследователь из университета Нью-Мексико нашел в китайском дистрибутиве Skype шпионский функционал. По словам специалиста, в программе имеется кейлоггер, который реагирует на определенные ключевые слова, записывает пользовательские сообщения в протокол и отсылает неизвестно куда – предположительно спецслужбам. В Китае Skype распространяет особое подразделение поставщика Интернет-услуг TOM Online, поэтому техническая возможность для встраивания шпиона имеется.

Метод исследования был несложен: специалист вводил определенные слова и наблюдал за сетевой активностью. Кроме того, ему удалось отследить обновления базы данных с ключевыми словами. В итоге фактически подтвердились опасения, которые буквально несколько месяцев назад высказывались инициативными пользователями и организациями в письме Microsoft; там также говорилось, что специализированная версия Skype для Китая может содержать нежелательную начинку.

«Проблема возможности прослушивания каналов связи всегда была актуальной с позиции обеспечения государственной безопасности. И если в Китае, как видно из новости, это сделано, по крайней мере, в явном виде (пользователи знают о том, что используют специальный модифицированный клиент), то в других странах, как выяснилось на днях, прослушивание Skype ведётся и через вполне стандартный клиент», - говорит эксперт Anti-Malware.ru Валерий Ледовской. – «В частности, специалисты компании Group-IB 14 марта заявили о том, что в России спецслужбы уже несколько лет имеют возможность прослушивать Skype, и, как это всегда бывает по действующему законодательству, для этого не всегда необходимо получать решение суда. Что тут можно сказать. Государство должно себя защищать, и наличие средств связи, которые невозможно прослушать - это действительно серьёзная угроза в эпоху кибер-противостояний. И если пользователю нечего скрывать, если он законопослушный гражданин, то вроде бы и нечего беспокоиться. Единственное, что беспокоит - средства прослушки могут достаться в руки преступников, и от этого никто не застрахован. Поэтому некоторые компании уже сейчас отказываются от использования Skype для ведения деловой переписки. И некоторая неуютность всё же есть».

«Когда у меня в течение недели Skype не принимал с первого раза пароль или через в течение минуты после логина несколько раз подряд выкидавал обратно на страницу с логином, я первым делом подумал о том, что кто-то что-то хочет прослушать, что кто-то пытается внедриться в создаваемый канал связи», - продолжает эксперт. – «Кстати, специалисты Group-IB говорят о том, что прослушивание Skype основано на том, что ключ шифрования формируется не на компьютере пользователя, а на сервере. Через некоторое время описанный эффект пропал. Я к этому отнёсся с юмором, т.к. скрывать мне нечего, но чувствовал себя, если признаться, несколько неуютно. Российские спецслужбы хранят молчание в плане подтверждения или отрицания возможности прослушивания Skype их сотрудниками, но, как мы все прекрасно понимаем, это их работа, и они хотят делать её хорошо. Поэтому советую всем пользователям исходить из того, что вас слушают, и свыкнуться с мыслью о том, что в Интернете давно уже нет анонимности. Хотя хотелось бы, чтобы Конституция РФ в плане обеспечения тайны связи (ст. 23 и 24) всё же работала. Дилемма эта вряд ли когда-либо разрешится, но, мне кажется, в силах спецслужб повысить уровень доверия пользователей к своим действиям - не все ресурсы ещё для этого исчерпаны. Например, при прослушке "по запросу" в рамках какого-либо расследования можно было бы информировать интернет-пользователей о том, что прослушка велась в рамках такого-то дела. Хотя бы по завершению расследования по этому делу. Мне кажется, это было бы честно перед гражданами нашей страны и повысило бы уровень доверия к правоохранительным органам».

 

Стартовый пакет

Во вторник читатели уделили много внимания сообщению о том, что ESET придумала программный продукт для базовой защиты компьютера, разработанный на основе антивируса NOD32. Насколько можно судить по имеющимся данным, это решение представляет собой некое ядро, на которое можно по мере надобности навешивать дополнительные модули и продукты; в частности, в составе пакета имеется менеджер лицензий, позволяющий подстраивать защиту под нужды владельца.

Функционально данное решение обеспечивает антивирусную защиту и отчасти способно противодействовать сетевым угрозам (хотя полноценное противодействие последним по-прежнему возлагается на продукт Smart Security, на который владельцы стартового пакета смогут перейти путем апгрейда). В частности, Start Pack содержит модуль для борьбы с фишингом и сканер для социальных сетей.

Можно сказать, что ESET присоединилась к тем игрокам рынка, которые последовали актуальной ныне тенденции к мультилицензированию. Пользователи, владеющие Start Pack, будут иметь возможность установить на один ПК антивирусные решения для Linux и Mac OS, а также расширить пакет продуктом для защиты мобильных устройств.

Пока не вполне ясно, как будет проводиться граница между стартовым пакетом и собственно антивирусом NOD32, тем более что функциональные возможности у этих продуктов схожи. Возможно, что со временем компания сделает акцент именно на новом пакете базовой защиты, который фактически объединится с антивирусным решением ESET – или же, напротив, продукты будут существовать параллельно, обслуживая разные категории пользователей и выполняя разные маркетинговые задачи. Поживем – увидим.

 

Архив с паролем

Отечественный производитель антивирусов Dr. Web заметил активное распространение вымогателя-шифровальщика ArchiveLock на территории Франции и Испании. Первые его образцы компания обнаружила почти год назад, однако, очевидно, вредоносный продукт за это время еще не успел утратить актуальности.

Для выполнения своих неблаговидных задач шифровальщик использует популярный архиватор WinRar, или, точнее, его способность создавать самораспаковывающиеся архивы, защищенные кодовым словом. Проникнув в систему, инфекция составляет список целевых файлов, собирает их в архивы, устанавливает особо длинный пароль на них (более 50 символов) и тщательно вытирает оригиналы. При этом в вирусе учтены ошибки предшественников: файлы удаляются не просто так, а с помощью особой утилиты, чтобы пользователь не смог восстановить их специализированными программами.

Отправляя инфекцию в Европу, создатели заодно снабдили ее европейскими аппетитами: за восстановление доступа к файлам злоумышленники требуют ни много ни мало пять тысяч долларов. Родные отечественные вымогатели «по пятьсот рублей» после таких известий вспоминаются с ностальгией.

В обращении к пользователю киберпреступники с традиционным для них максимализмом обещают, что без выплаты выкупа восстановить файлы никаким образом невозможно. Специалисты Dr. Web, однако, указывают, что в ряде случаев криптозащиту можно успешно атаковать и расшифровать заархивированные объекты. Впрочем, в любом случае, главный способ обороны от подобных инцидентов – это хорошая, объемная резервная копия на носителе, защищенном от записи, или же где-нибудь в облаке, куда вымогатели пока еще не научились добираться.

 

Хакеры? Поможем!

Компания Google подготовила информационно-обучающие материалы разного рода для владельцев ресурсов, которые столкнулись с нападениями взломщиков. Из текстовых и мультимедийных материалов пользователи смогут узнать первоосновы противовирусной обороны, а также получат минимально необходимые сведения о том, как преодолеть последствия хакерской атаки – к примеру, возвратить себе контроль над захваченным киберпреступниками сайтом.

Ликбез по информационной безопасности – вещь, несомненно, необходимая: далеко не каждый владелец сетевого ресурса имеет обширные познания в этой области, а даже если имеет – то не всегда знает, каким образом необходимо действовать в проблемной ситуации. В пояснениях, опубликованных Google, подчеркивается масштаб угрозы – каждый день взлому и заражению подвергается множество сайтов – и частая асимптоматичность инфекций: обнаружить наличие заразы вебмастеру порой бывает довольно сложно, ввиду отсутствия явных признаков «заболевания».

Стоит, впрочем, заметить, что, помимо обучения, владельцам ресурсов пригодились бы и некоторые практические инструменты, которые Google мог бы им предоставить с учетом своего довольно богатого опыта борьбы с сетевыми угрозами.

«Не масштаб для Google», – считает эксперт Anti-Malware.ru Олеся Шелестова. – «Аналогично Yandex и располагая большим объемом закэшированной информации, они могли бы сделать куда большее. К примеру, осуществлять автоматический поиск залитых шеллов, неправильные настройки админок, те же зараженные сайты, уязвимости ... Это вполне реально сделать. То что хочет Google сделать – можно и так найти на просторах интернета».

 

Утрата

Sony посчитала, сколько портативных компьютеров с ценной корпоративной информацией успели потерять за 2012 год сотрудники разнообразных организаций Великобритании. Итог вышел не слишком обнадеживающим: количество превысило миллион штук. С этой проблемой сталкиваются, конечно, не все компании подряд, но, тем не менее, показатель вполне можно назвать высоким.

Традиционно и внимательное отношение к защите ноутбуков – вернее, отсутствие такового: в наличии надлежащих средств борьбы с угрозами призналось лишь 28% участников исследования. Вообще по результатам аналитических обзоров подобного рода всегда наблюдается четкое расхождение слов с делом: респонденты дружно и уверенно отвечают, что безопасность данных является их первейшим приоритетом (в данном случае таковых оказалось 75%), но при этом не принимают никаких мер по ее обеспечению (90% участников заявило, что сотрудники могут получить доступ к корпоративной информации в обход политики безопасности). Некоторым успехом, впрочем, можно назвать тот факт, что почти половина обследованных (42%, если быть точным) использовала криптографические средства защиты данных.

«Число утерь и краж мобильных носителей информации действительно очень высоко. Наша статистика утечек показывает, что за последний год (1.3.12-1.3.13) инцидентов с мобильными носителями информации было 15,8% от общего количества, из которых подавляющее большинство – ненамеренные», - отметил главный аналитик InfoWatch Николай Федотов. – «Мобильные персональные компьютеры начали активно заменять стационарные примерно в 2005 году. Ныне их уже количественно больше (считая смартфоны), а лет через 7-8 они, похоже, будут тотально доминировать. Безопасники как-то пропустили начало этой "мобилизации" данных. Они не додумались вовремя ввести требование, чтобы любой носитель информации, покидающий офис, был зашифрован. Ныне люди уже привыкли к отсутствию такого требования, поэтому "пробивать" его перед начальством будет непросто. Однако нет сомнений, что со временем требование это станет
если и не обязательным, то стандартным. Тем более, что системы шифрования недороги в обслуживании и почти не отнимают мощности процессора».

***

Тут и обзору конец. Спасибо за внимание! Наша следующая встреча – как обычно, через неделю.

До свидания!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru