Новостной радар Anti-Malware.ru. Выпуск 3, март 2013

В области информационной безопасности март заканчивается новостями о вредоносных программах и о борьбе с ними, о новых защитных технологиях и об уязвимостях. Присоединяйтесь к нам и компетентным экспертам в заключительном новостном обзоре этого месяца.

 

 

Карта Новостного радара


Просмотреть Новостной радар - Выпуск 7 2012 на карте большего размера

 

Терминальная стадия заражения

McAfee опубликовала предупреждение о троянском коне, нацеленном на инфицирование POS-терминалов и воровство сведений о банковских картах пользователей. Когда клиент производит оплату через такое устройство, вредоносная программа перехватывает платежные данные и пытается передать их своему разработчику. Предназначен троян для терминалов, работающих под управлением операционной системы Windows.

«Продукт», активно продаваемый на теневых рынках, именуется vSkimmer; распространители утверждают, что по функциональным возможностям он превосходит прежние образцы наподобие Dexter. После проникновения конь собирает ряд сведений о программной конфигурации терминала, которые также передает контрольно-командному серверу, а затем принимается за поиск в оперативной памяти тех процессов, которые имеют непосредственное отношение к проведению платежей.

Небезынтересен также и тот факт, что разработчики троянского коня предусмотрели способ действий на случай отсутствия подключения к Интернету. Если программа не может передать сведения по сети, то она располагает умением сбрасывать данные на съемный носитель. Это особенно любопытно в связи с тем, что обычно из POS-терминалов не выглядывают во все стороны разнообразные разъемы для подключения внешних устройств: аппаратная начинка располагается внутри корпуса, который предварительно необходимо открыть. Либо злоумышленники сильны во взломе замков, либо они входят (или входили) в число технического персонала, обслуживающего такие устройства.

Последнее предположение, пожалуй, наиболее вероятно: разработка подобных вредоносных кодов предполагает знакомство со внутренним устройством терминала. Вряд ли можно написать такого троянского коня только лишь на базе общетеоретических представлений о проведении платежей в среде Windows. Хотя кто знает... отечественные взломщики, например, всегда отличались умом и сообразительностью.

 

Пробитая броня

«Лаборатория Касперского» опубликовала результаты исследования, проведенного на основании собранных утилитой Kaspersky Security Scan сведений о результатах проверки пользовательских компьютеров. Согласно отчету аналитиков, многие из просканированных систем действительно были инфицированы (то есть подозрения пользователей на заражение оказались обоснованными), и обнаруживались вирусы на самых разных компьютерах – в том числе защищенных и бесплатными, и платными антивирусами других производителей.

Компания при этом сразу оговаривается, что при анализе не учитывались данные от компьютеров, охраняемых устаревшими выпусками защитного ПО, а также информация об объектах, которые на момент проверки уже не представляли угрозы (например, были помещены в карантин). Суммарная выборка оказалась равна примерно 250 тысячам компьютеров; в среднем доля инфицированных составила около 5 процентов, хотя в разных странах этот показатель порой сильно варьировался. Минимумом могут похвастаться Германия, Австрия и Швейцария, в то время как максимум был замечен в странах бывшего СССР.

Отечественный производитель антивирусов не стал подробно разъяснять, какие именно продукты не смогли защитить своих клиентов, подчеркнув, что это не входило в цели исследования. Однако сами производители соответствующую статистику получили, со всеми подробностями. Хотелось бы надеяться, что данные не будут проигнорированы.

«Мы рассчитываем, что другие разработчики защитных решений не будут молчать о возможных недоработках в продуктах своих конкурентов», - сказал тогда руководитель лаборатории антивирусных исследований «Лаборатории Касперского» Олег Ишанов. – «Мы хотели бы, чтобы обмен подобными данными между антивирусными компаниями проводился бы в равных объёмах. Вирусописателей всегда будет больше, чем компаний, разрабатывающих защитное ПО, и, только организовав максимально оперативный обмен данными, мы сможем адекватно отвечать растущему количеству киберугроз».

 

Kleaning

В среду «Лаборатория Касперского» вновь была ключевым поставщиком новостей: появились сведения о том, что компания получила новый патент, на этот раз – описывающий методику выявления мусорных программных элементов. Под мусором в данном случае понимаются файлы, процессы, ключи реестра и прочие объекты, которые не приносят компьютеру и его владельцу никакой пользы, а просто расходуют вычислительные ресурсы. С помощью упомянутой технологии их можно будет обнаруживать и удалять.

Существующие решения подобного рода проводят уборку без учета воздействия мусора на систему. Так как «Лаборатория Касперского» - это не Apple, то не приходится сомневаться, что описанная в патенте технология будет ею реализована; интересно будет сравнить результаты.

«У меня смешанные чувства по поводу данной новости», - признается эксперт Anti-Malware.ru Валерий Ледовской. – «Лет 7-8 назад я, являясь администратором сети предприятия, активно использовал различные технологии оптимизации работы компьютера, начиная с дефрагментации и до различных утилит, которые чистят реестр. Делал я это до тех пор, пока не выяснилось, что дефрагментация при работающем антивирусе, который используется в организации, не проходит до конца из-за ограничения доступа к некоторым файлам, и объяснялось это производителем антивируса тем, что на современных компьютерах прирост производительности от дефрагментации несущественен. От чистильщиков реестра я отказался после того, как выяснил, что после них возникают достаточно периодически такие проблемы, которые очень сложно диагностировать. Опять же, с сомнительной перспективой в плане увеличения производительности. Технологии оптимизации использования памяти также давно уже забыты, после того, как установка 4-8 ГБ памяти на компьютеры перестала быть проблемой - память сейчас на рынке стоит достаточно дёшево. Больше проблем на предприятиях возникает в связи с обеспечением совместимости устаревшего парка программного обеспечения с 64-битными операционными системами, которые могут использовать полноценно более 4 ГБ ОЗУ. Т.е. со временем в своей практике я отказался от использования подобных оптимизационных технологий - помогают мало, иногда вредят, процедура оптимизации сама по себе занимает время на компьютере пользователя».

«Тем не менее, разрабатываемая "Лабораторией Касперского" технология может найти своего потребителя, т.к. обладает рядом неоспоримых преимуществ», - продолжает эксперт. – «Первое: ЛК - антивирусный вендор, а антивирусные компании при разработке своих продуктов всегда сталкиваются с проблемой получения оптимального баланса "качество защиты/нагрузка на операционную систему", и, стоит заметить, в последних версиях антивирусов от ЛК заметен существенный прогресс в достижении оптимума по данному параметру. Почему бы не применять созданные наработки в более широком смысле? Второе: технология ЛК ставит своей целью увеличение производительности компьютера, а не простое бездумное "обрубание хвостов" в реестре, которые потом, кстати, могут и потребоваться в некоторых случаях. Мне кажется, что в соответствующих продуктах (если эта технология будет воплощена в отдельных утилитах относительно комплексных антивирусных программ или в виде отдельных компонентов в защитном ПО, отделённых явно от остальной функциональности) эта технология будет воплощаться приблизительно тем же образом, как технология оптимизации времени запуска интернет-браузера Internet Explorer с версии 9, - браузер выводит пользователю информацию об установленных дополнениях и о реальном влиянии каждого из них на время запуска браузера. Возможно, и утилиты от ЛК будут предлагать пользователю информацию о том, какие именно программы и их модули наиболее значительно влияют на скорость работы операционной системы, в интерактивном режиме, и предлагает пользователю самостоятельно решить, от каких дополнений он может с лёгкостью отказаться (особенно если учесть, что большинство обновлений к браузерам устанавливается без ведома пользователя при установке в систему различного ПО). Если так, то это действительно будет большим шагом вперёд относительно других производителей, скажем, классических оптимизационных утилит. И в этом случае технология ЛК может стать вполне актуальной и для современных компьютеров. Например, для геймеров, которые склонны бороться за каждый лишний кадр в секунду в современных видеоиграх. Третье: не стоит также забывать, что ЛК - известный производитель программного обеспечения, пользователи доверяют продуктам этой компании. Таким образом, появление утилит оптимизации работы компьютеров от ЛК оградит многих пользователей от ущерба, наносимого мошенниками, которые в качестве средств оптимизации предлагают за деньги фактически пустышки - эта практика сейчас достаточно распространена. Я желаю "Лаборатории Касперского" удачи в разработке подобных технологий и думаю, что при правильном распоряжении её ждёт большой успех».

 

Антилидер

Аналитики компании Sourcefire посчитали уязвимости в мобильных операционных системах. Оказалось, что наибольшим числом обнаруженных изъянов характеризуется iOS – за один лишь 2012 год в ней было найдено 56 ошибок безопасности, а в исторической перспективе, на протяжении последних пяти лет, этот показатель постоянно возрастал. Результаты других платформ оказались гораздо более скромными: например, в семействе Windows в 2010 и 2011 году проблем с изъянами не было вовсе. Условное второе место принадлежит ОС Android, на графике которой взлеты перемежаются с падениями.

В целом итог ожидаемый, поскольку, как известно, интерес злоумышленников к той или иной операционной системе связан с ее популярностью – а устройства под управлением iOS и Android встречаются не в пример чаще, чем телефоны и планшеты с Windows или BlackBerry OS. Google, однако, борется с уязвимостями гораздо охотнее, чем с вредоносными программами, поэтому максимум для Android – 10 уязвимостей в 2011 году.

«Результаты исследования компании Sourcefire следует трактовать очень аккуратно», - подчеркивает эксперт Anti-Malware.ru Виктор Яблоков. – «Ни в коем случае не стоит делать вывода, что платформа iOS является самой небезопасной. Безопасность платформы определяет целый ряд факторов и количество известных CVE – только один из них, причем далеко не самый определяющий.

В тоже время, рано или поздно количество начинает перетекать в качество, пользователям iOS-устройств стоит быть начеку, как показал инцидент с Red October, далеко не все уязвимости обнаруживаются исследователями, определенная их часть находится злоумышленниками и начинает эксплуатироваться и приносить вред до того, как становится известна общественности. Нам стоит ждать увеличения числа атак с использованием zero-day уязвимостей».

 

Мошенникам – бой

Появились сведения о линейке продуктов, разработанной компанией ID Analytics специально для противодействия сетевому мошенничеству. Проблему можно назвать актуальной: в год онлайн-магазины теряют почти три с половиной миллиарда долларов из-за махинаций злоумышленников.

Новые программные решения выполняют несколько задач, в числе которых – средство приостановления мошеннических переводов, распознаватель обращений, способный, по заявлению производителя, отловить до 80% сообщений со стороны киберпреступников, анализатор рисков, следящий за поведением пользователей и ищущий в нем характерные признаки, а также механизм, с помощью которого можно определить факт захвата пользовательской учетной записи мошенником.

В конечном счете, несомненно, такое решение может оказаться полезным для магазина, если он регулярно сталкивается с подобными проблемами и теряет из-за этого доход. В то же время, если для той или иной сетевой торговой точки этот вопрос не столь актуален, то затраты на развертывание и поддержание такой системы могут и превысить потенциальный ущерб от деятельности злоумышленников.

«Проблема фродов или мошеннических операций в интернете становится все более серьезной. Например, в Украине наблюдается рост фродов в интернете, практически в 3 раза больший, чем в других карточных операциях. Это связано с тем, что мониторинг и реакция на такие операции намного сложнее. Поэтому появление серьезных решений по отслеживанию таких фродов - это просто реакция на вызовы времени. С моей точки зрения, желательно, чтобы подобные решения скорее появились на рынках СНГ», - отметил эксперт Anti-Malware.ru Алексей Гребенюк.

***

Спасибо за внимание!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru