Что ждет рынок инфобезопасности? 13 тенденций 2013 года
01.02.13, Пт, 15:57, Мск
Что ждет сектор защиты информации в 2013 году? Проанализируем ключевые направления.
ехнологий, состоянии киберпреступности и ситуации на рынке ИБ в прошлом году. Конечно, мы не можем предсказать конкретных событий, но общее развитие рынков вполне укладывается в причинно-следственные связи, поэтому основные направления и способы хакерских атак вполне могут быть обозначены заранее. В статье мы постараемся проанализировать наиболее важные тенденции в трех направлениях: сами ИТ, рынок киберпреступности и средства защиты. Рассмотрим каждую из этих групп тенденций подробнее.
Развитие ИТ
Общее развитие информационных технологий приводит к появлению новых удобных в использовании и экономически эффективных продуктов. Однако их разработчики не всегда могут предугадать то, как их решениями смогут воспользоваться злоумышленники. Поэтому первая группа тенденций связана с общим развитием таких технологий, как мобильные устройства, облачные вычисления и сервисы, мобильные платежи и геопозиционирование. К этой группе можно отнести 4 нижеследующие тенденции.
1.Ошибки в новых технологиях. Широкое распространение планшетных компьютеров, "мобилизация" пользователей и исчерпание ресурсов протокола IPv4 делают популярными новые технологии, которые на поверку оказываются не очень защищенными. В частности, активное использование Java в мобильных телефонах и платформах оказалась важной проблемой безопасности в 2012 году. Скорее всего, и в 2013 будут выявляться ошибки в технологиях, которые применяются в планшетах и других мобильных устройствах, — их делали в спешке, без подробного анализа проблем безопасности.
2. Переход на мобильные платформы. Мобильные платформы стали уже достаточно мощными, и хакеры начали осваивать их для проведения тех же атак, что и для персональных компьютеров. В частности, уже в 2012 году были построены зомби-сети из мобильных устройств на Android и iOS. Эта тенденция продолжится и в следующем году. Поскольку компании постепенно внедряют BYOD и все чаще позволяют сотрудникам использовать собственные гаджеты для доступа к корпоративной информации, такие устройства представляют все больший интерес для хакеров.
3. Атаки на веб-сервисы. Веб-технологии становятся все более сложным и многофункциональными. Развитие концепции AJAX в создании веб-приложений расширяет использование сценариев на языке Javascript, в работу которых можно вмешаться со стороны. В то же время не всегда разработчики корпоративных приложений соблюдают правила безопасного создания подобных сложных систем, поэтому в большинстве из них есть достаточно серьезные проблемы с безопасностью. В 2012 году атак на эти новые приложения было достаточно много, и этот процесс не остановится и в следующем году.
4. Проблемы интеграции. Мобильные устройства и персональные компьютеры становятся все более сложными — в них начинают интегрировать модули для совершения оплаты по технологии NFC и определения местоположения по GPS. В результате и у злоумышленников появляется возможность получить доступ к функциональным возможностям этих технологий. Пока они практически не использовались "во зло", однако хакеры активно изучают их. Поэтому вполне возможно, что в 2013 году появятся новые типы атак с использованием этих модулей мобильных устройств.
Киберпреступность
Сегодня киберпреступники имеют достаточно финансовых ресурсов, которые могут быть вложены ими в совершенствование технологий нападения и обмана. Между злоумышленниками также существует конкуренция, которая порождает развитие технологий изготовления вредоносных программ, управления зараженными компьютерами и защитой от обнаружения. С этим связаны нижеследующие тенденции.
5. Развитие автоматизированных инструментов нападения. В отчете Sophos "Исследование угроз в сфере информационной безопасности – 2013" упомянуты проблемы, проявившиеся в 2012 году и связанные с платформами для нападения или пакетами эксплойтов, наиболее заметным из которых является Blackhole.
Суть этой технологии в том, что перед совершением нападения сервер получает как можно больше сведений о программном окружении жертвы, а потом атакует ее точно подобранным эксплойтом, защиты от которого у жертвы точно нет. В 2013 году, скорее всего, развитие этих платформ продолжится и, возможно, между ними даже начнется конкурентная борьба, что может привести к созданию новых более совершенных технологий нападения.
6. Тестирование вредоносного ПО. Разработчики вредоносных программ сейчас заинтересованы в том, чтобы как можно дольше скрывать от жертвы факт взлома. Для этого нужно сделать ПО максимально незаметным для антивирусов и безошибочным. Поэтому прежде чем запускать программу, разработчикам надо протестировать ее в различных окружениях. Похоже, что в 2013 году сервисы предварительного тестирования вредоносного ПО на незаметность внедрения и работы станут достаточно популярными у разработчиков таких продуктов.
7. Захват данных. В России захват данных с помощью шифрования практикуется достаточно давно, хотя в мире эта технология начала распространяться только сейчас. Суть ее в том, что вредоносная программа шифрует ценные данные пользователей и требует выкуп за их расшифровку. Если раньше применялись достаточно простые алгоритмы шифрования, которые позволяли декодировать данные без обращения к автору, то в 2013 году можно ожидать появления вредоносного ПО, расшифровать данные после атаки которого будет очень непросто. В частности, подобные программы стали использовать достаточно стойкие методы асимметричного шифрования и защиты своего кода от анализа.
8. Защита от антивирусов. Хакеры начали активно использовать методы запутывания исследователей антивирусных компаний, которые пытаются найти и проанализировать вредоносные коды. В частности, они постепенно применяют методы обмана репутационных фильтров и сигнатурных анализаторов. В результате вполне возможно увеличение числа ложных срабатываний этих механизмов или пропуска целенаправленных атак. Разработчики и антивирусные исследователи должны быть очень осторожны при анализе кодов вредоносных программ и поиске их в интернете. Это может привести к сокращению числа исследовательских лабораторий.
9. Хактивизм. Набирает популярность движение Анонимов за цифровую свободу, которые призывают к открытости деятельности государств и правительственных организаций. В частности, идет дискуссия о правомерности DDoS-атак как формы протеста против действий властей. Поэтому вполне возможно, что в 2013 году количество подобных атак на правительственные ресурсы только увеличится. Возможно, под удар попадут и крупные компании.
Кибербезопасность
Впрочем, компании, которые занимаются средствами защиты, также обладают определенными финансовыми и интеллектуальными ресурсами, поэтому разрабатывают и предлагают новые продукты, призванные помочь клиентам не потерять деньги и данные в результате атак вредоносных программ и действий хакеров. С совершенствованием защитных механизмов связаны 4 нижеследующие тенденции.
10. Модернизация операционных систем. В 2013 году ожидается замена операционных систем семейства Windows на более современную Windows 8. В ней предусмотрены новые механизмы защиты, такие как DEP, ASLR, развитие технологии песочниц и безопасной загрузки ОС. Они разработаны для блокирования уже существующих технологий нападения. Само это обстоятельство сделает новые технологии на некоторое время более безопасными — как раз в 2013 году. Дальнейшее зависит от того, насколько быстро эти механизмы защиты будут проанализированы и обойдены хакерами.
11. Многоуровневая безопасность. Как уже было сказано, разработчики вредоносных программ стремятся сделать свои продукты как можно более незаметными, поэтому создателям средств информационной безопасности не остается ничего другого, кроме как строить многоуровневые ИБ-системы, которые могли бы не только защитить от проникновения, но и обнаружить деятельность вредоносных кодов внутри предприятия. К сожалению, такие продукты более сложны в установке и эксплуатации, однако без них уже достаточно трудно говорить о полноценной защите корпоративной среды.
12. Отказ от старых технологий. Некоторые компании все еще используют сильно устаревшие вычислительные и сетевые технологии, которые уже не поддерживаются разработчиками и в них не исправляются ошибки. Поэтому защищать их становится все труднее. Бизнес стремится отказаться от них и перейти на решения, более совершенные как технологически, так и по уровню защищенности. В частности, одним из таких направлений модернизации является протокол IPv6, который имеет встроенные механизмы шифрования и контроля целостности. Некоторые компании стремятся перейти с устаревших уже мейнфреймов на более современные системы на базе Linux. Защиту современных систем можно сделать достаточно надежной и контролируемой.
13. Защита Больших данных. Одной из важных тем 2012 года было появление систем для обработки больших массивов данных. Их уже начали создавать, и возникла задача обеспечения безопасности. Принципиальных проблем для создания инструментов защиты Больших данных нет, поэтому в 2013 году они, скорее всего, появятся на рынке и будут активно предлагаться разработчиками.
Мы перечислили лишь основные тенденции 2013 года, которые характерны и для российского рынка. Есть и другие факторы развития, связанные исключительно с локальными особенностями: черным списком запрещенных сайтов, распространением технологии электронной подписи и выдачей универсальной электронной карты (УЭК). Они также дополняют перечисленные тенденции в части новых технологий и средств защиты.
CNews, Андре Шеффкнехт
Статья подготовлена по материалам "Исследования угроз в сфере информационной безопасности -2013" компании Sophos[/c]
Oracle объявила о выпуске февральского критического обновления (February 2013 Critical Patch Update) для Java SE.
Корпорация сообщила в своем блоге, что патч вышел на две с половиной недели раньше запланированного срока. В Oracle решили форсировать данное событие, так как в Java SE содержалось множество уязвимостей, которые требовалось устранить как можно скорее.
February 2013 Critical Patch Update устраняет в общей сложности 50 уязвимостей, включая 44 уязвимости в клиентской версии среды - то есть именно той, которую устанавливают на свои компьютеры пользователи. Кроме того, одна из уязвимостей содержится в инсталляторе среды.
Помимо устранения брешей, новый патч по умолчанию устанавливает уровень безопасности Java на высокий. После обновления пользователи каждый раз будут вручную разрешать запуск апплетов, которые не имеют сертификата.
В Google Play обнаружен опасный троян DroidCleaner
текст: Георгий Орлов /Infox.ru опубликовано 5 фев ‘13 09:52
Инженеры лаборатории Касперского обнаружили в официальном магазине Google Play мобильное приложение DroidCleaner с вредоносным троянским кодом, который подчиняет себе все основные функции смартфона или планшетного компьютера.
Специалисты антивирусной лаборатории отмечают, что сегодня на рынке есть много недорогих смартфонов, владельцы которых постоянно изыскивают способы ускорить свои мобильники. Для этого, в частности, используются сторонние утилиты для освобождения оперативной памяти. В Google Play, официальном магазине приложений для Android, есть апплет под названием Superclean, он, по отзывам, неплохо справляется со своей работой и имеет высокий рейтинг, 4,5 баллов из 5. Однако у этого приложения есть опасный двойник, который в описании обещает те же функции. Двойник выступает под похожим названием — DroidCleaner, — однако содержит в себе опасный вредоносный код.
Установив приложение на смартфон, пользователь заражает устройство, мобильник практически попадает под власть трояна. DroidCleaner получает привилегии отправлять SMS-сообщения, включать Wi-Fi, собирать информацию об устройстве, открывать в браузере произвольные ссылки, скачивать и выгружать весь контент SD-карты, скачивать и удалять все SMS-сообщения, а также передавать администратору трояна все контакты, фото, фотографии и данные о местоположении. Но заражением одного только мобильного устройства дело не ограничивается.
Запущенный троянец создает в корневом каталоге SD-карты три файла, и при подключении смартфона по USB на персональном компьютере открывается бэкдор-уязвимость. Впрочем, в среде Windows троянский код DroidCleaner далеко не столь всемогущ, он «всего лишь» подключается к микрофону компьютера и подслушивает владельца, транслируя аудиопоток администратору трояна. Инженеры лаборатории Касперского отмечают, что пользователи современных ОС часто отключают автозапуск при подключении внешних накопителей, однако под накопителями понимаются флешки и внешние винчестеры, но никак не смартфоны и планшеты, отсюда человек не ожидает атаки.
Злоумышленники маскируют ссылки на вредоносное ПО под видеоролики на страницах Facebook
06.02.13, Ср, 15:34, Мск
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщила о новой волне распространения вредоносных программ среди пользователей популярной социальной сети Facebook.
С целью распространения вредоносного ПО киберпреступники создали в социальной сети Facebook множество тематических групп с названием Videos Mega или Mega Videos. Так, на 5 февраля 2013 г. их общая численность достигала нескольких сотен, рассказали CNews в «Доктор Веб». В каждой из подобных групп злоумышленники разместили замаскированную под видеоролик ссылку на встроенное приложение социальной сети, позволяющее встраивать в веб-страницу произвольный HTML-код. Посетитель группы, желая просмотреть провокационное видео, щелкал мышью на миниатюре видеоролика, активируя тем самым заранее созданный киберпреступниками сценарий. В результате этого действия на экране отображалось диалоговое окно с предложением обновить встроенный в браузер видеопроигрыватель, причем оформление данного окна копирует дизайн страниц социальной сети Facebook.
Если пользователь соглашается установить обновление, на его компьютер загружается самораспаковывающийся архив, содержащий вредоносную программу Trojan.DownLoader8.5385. При этом троян (как и другие загружаемые им компоненты) имеет легитимную цифровую подпись, выданную на имя фирмы Updates LTD компанией Comodo, поэтому в процессе своей установки вредоносные приложения не вызывают подозрений у операционной системы.
По данным «Доктор Веб», Trojan.DownLoader8.5385 представляет собой традиционный троян-загрузчик, основная задача которого заключается в скачивании на инфицированный компьютер и запуске другого вредоносного ПО. В данном случае троян загружает плагины для браузеров Google Chrome и Mozilla Firefox, предназначенные для массовой рассылки приглашений в различные группы Facebook, а также для автоматической установки пометок Like в данной социальной сети.
Среди прочего, эти вредоносные надстройки имеют следующие функциональные возможности: получать данные о пользователях Facebook, занесенных в список друзей жертвы; устанавливать пометку Like на странице социальной сети или на внешней ссылке; открывать доступ к фотоальбому на заданной странице; вступать в группы; рассылать пользователям из списка друзей приглашения о вступлении в группу; публиковать ссылки на «стене» пользователей; изменять статус; открывать окна чата; присоединяться к страницам мероприятий; рассылать пользователям приглашения на мероприятия; публиковать комментарии к постам; получать и отправлять предложения.
Конфигурационный файл со всеми необходимыми для работы плагинов данными загружается на зараженный ПК с принадлежащего злоумышленникам сервера. Указанные плагины детектируются антивирусным ПО Dr.Web как Trojan.Facebook.310.
Помимо этого, Trojan.DownLoader8.5385 устанавливает на инфицированный компьютер вредоносную программу BackDoor.IRC.Bot.2344, способную объединять зараженные рабочие станции в ботнеты. Этот троян реализует функции бэкдора и способен выполнять различные команды, передаваемые ему с использованием протокола обмена текстовыми сообщениями IRC (Internet Relay Chat), для чего бот подключается к специально созданному злоумышленниками чат-каналу.
В частности, BackDoor.IRC.Bot.2344 способен: выполнять команды командного интерпретатора CMD; загружать файл с заданного URL и помещать его в указанную локальную папку; проверять, запущен ли указанный в команде процесс; передавать на удаленный сервер список запущенных процессов, полученный с использованием стандартной утилиты tasklist.exe; останавливать указанный процесс; запускать произвольное приложение; загружать с указанного URL и устанавливать плагин для браузера Google Chrome.
Таким образом, текущая политика безопасности встроенных приложений Facebook способствует распространению троянских программ, заключили эксперты «Доктор Веб». Все указанные вредоносные программы добавлены в вирусные базы и потому не представляют опасности для пользователей Dr.Web.
В выпущенном на этой неделе обновлении антивирусных продуктов «Касперского» содержалась ошибка, затруднявшая доступ в интернет. Проблема затронула пользователей ПК на базе ОС Windows XP.
Из-за ошибки, содержащейся в обновлении антивирусных продуктов «Лаборатории Касперского» от 4 февраля, тысячи домашних и корпоративных пользователей ПК на базе ОС Windows XP столкнулись со сложностями доступа в интернет.
Жалобы по этому поводу в тот же день появились на зарубежных и российских форумах, а также на форуме самого «Касперского». В частности, пользователи отмечали, что после обновления стал блокироваться 80-й порт. Страницы в интернет-браузерах загружались очень медленно или вообще перестали загружаться.
«У меня около 12 тысяч систем, использующих KES8, и час назад мы начали получать жалобы, связанные с проблемами доступа к интернет-сайтам», - написал на форуме «Касперского» один из зарубежных ИТ-администраторов.
На российских форумах также можно найти упоминание о появившейся проблеме с загрузкой процессора на 100% исполняемым файлом продуктов «Касперского» avp.exe.
Судя по сообщениям на форумах, проблемы с интернетом после обновления не затронули пользователей других платформ, кроме Windows XP. С проблемой столкнулись пользователи продуктов «Касперского» Anti-Virus for Windows Workstations 6.0.4 MP4 , Endpoint Security 8 для Windows, Endpoint Security 10 для Windows, Kaspersky Internet Security 2012 и 2013, а также Kaspersky Pure 2.0.
Помимо жалоб, касающихся непосредственно ошибки, пользователи также высказывали недовольство относительно медленной работы службы поддержки «Касперского».
Вечером в тот же день «Лаборатория» выпустила обновление, устраняющее ошибку, и загрузила его на публичные сервера.
В официальном заявлении компании по этому поводу, выпущенному на английском языке, говорится, что она хотела бы принести извинения за все неудобства, вызванные ошибкой в обновлении баз данных, а также предпринимает меры для того чтобы предотвратить подобные инциденты в будущем.
Неуловимый троян встраивается в браузер и показывает выплывающие окна
06.02.13, Ср, 18:27, Мск
Корпорация Symantec сообщила об обнаружении троянской программы, которая выводит пользователей на потенциально опасный контент и демонстрирует им рекламные сообщения в виде всплывающих в браузере окон.
Троян использует технологию SPF (Sender Policy Framework — среда политик отправителя), изначально созданную для подтверждения легитимности почтовых серверов с целью фильтрации спам-рассылок, для обеспечения устойчивой связи между зараженными компьютерами и серверами злоумышленников и обходит типовые средства защиты, сообщили CNews в компании.
Принцип SPF — это отправка запроса к DNS-серверу и анализ его ответа. Если DNS-сервер отправителя настроен на использование SPF, DNS-ответ содержит SPF в виде текстовой (.txt) строки. «Для передачи вредоносных доменов и IP-адресов автор вируса решил использовать SPF, скорее всего для того, чтобы спрятать взаимодействие с ними в легитимных DNS-запросах, — полагают в Symantec. — Если вредоносная программа пытается соединиться с сервером злоумышленника через порт с большим номером по стандартному протоколу, то она может быть заблокирована шлюзом, брандмауэром или системой предотвращения вторжений».
В некоторых случаях определённые домены блокируются локальным DNS-сервером, однако этот вирус создает запрос к домену, который чаще всего проходит через большинство фильтров. Более того, DNS-запросы, как правило, отправляются не напрямую — обычно в сети присутствует кэширующий DNS-сервер, что сильно снижает вероятность блокировки данного запроса брандмауэром. Таким образом, злоумышленник получает возможность поддерживать стабильную связь между вредоносной программой и управляющим сервером, считают специалисты компании.
Обнаруженный троян (идентифицируемый продуктами Symantec как Trojan.Spachanel) взламывает веб-браузер и встраивает вредоносный контент в каждую HTML-страницу.
Сценарий атаки вируса Trojan.Spachanel
Встроенный JavaScript-тэг загружает вредоносный контент, который создает всплывающее окно в нижнем левом углу окна браузера. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна. Таким образом, поскольку Java-скрипт встраивается в браузер, а не в сам веб-сервер, всплывающие окна не будут отображаться на незараженных компьютерах, отметили в Symantec.
Четыре типа всплывающих окон, инициируемых вредоносной программой Согласно тестам Symantec, если кликать на кнопки окон «PC Speed Test» и «PC Performer Test», пользователь перенаправляется на сайт, предлагающий для загрузки потенциально опасное содержимое. Всплывающее окно «how fast can you build your muscle mass?» (как быстро вы можете набрать мышечную массу?) похоже на рекламный баннер, а нажатие на ссылку на момент написания данного материала ни к чему не приводило. Всплывающее окно с captcha-изображением наблюдалось лишь в одной атаке, и пока не определено, какая атака за ним стоит.
Очевидно, что целью этих атак является зарабатывание денег за счёт предложения загрузки потенциально опасного контента и путем набора кликов по рекламным ссылкам, убеждены в Symantec. Для обеспечения безопасности эксперты компании рекомендуют использовать лишь актуальные версии антивирусного ПО и своевременно устанавливать обновления всех программных продуктов.
Большинство софтверных проектов используют устаревшее небезопасное открытое ПО
07.02.13, Чт, 11:59, Мск, Текст: Любовь Касьянова
Создатели системы управления лицензиями White Source собрали показательную статистику, демонстрирующую, что больше 2/3 софтверных проектов используют открытые программные компоненты. Однако, к сожалению, многие из них давно устарели и содержат уязвимости.
White Source - система управления лицензиями, рассчитанная в первую очередь на продукты Open Source. Разработчики системы, одноименная компания White Source Software, предлагает своим клиентам активное оповещение о выходе новых версий библиотек и фреймворков, чтобы помочь им поддерживать безопасность и вовремя исправлять уязвимости в своем ПО.
По данным, собранным компанией, около 85% проектов, использующих её систему, содержат в себе устаревшие Open Source-компоненты, для которых доказано наличие угроз безопасности. Причем 14% проектов не обновляют их даже после предупреждения, отмечает команда White Source.
С точки зрения безопасности, программное обеспечение с открытым кодом беспрепятственно доступно хакерам, которые могут анализировать его код и выявлять уязвимости. Затем эти уязвимости оперативно устраняются сообществом, однако выход обновлений безопасности оповещает других злоумышленников об их наличии, что создает риск для пользователей приложений, которые не получают своевременных «заплаток».
White Source - не первые, кто бьёт тревогу в связи с потенциальным риском от использования открытых компонентов. В марте 2012 г. аналогичным заявлением всколыхнули сообщество компании Sonatype и Aspect Security, подсчитавшие, что 80% приложений, применяющихся в крупном бизнесе, используют уязвимые технологии (сс. на CNews) с открытым кодом. Среди таковых оказались довольно популярные фреймворки, такие как Spring MVC или Struts.
Компании порекомендовали и возможное решение проблемы: модули автоматического оповещения об обновлениях в рамках самого открытого компонента (для пользователей), или какого-либо инструмента управления проектом (для самих разработчиков). В мире коммерческого ПО такое оповещение о новых версиях и исправлениях является обычным делом - любому пользователю Windows знакомы патчи, обновления сервис-паков и даже мероприятия вроде Microsoft Patch Tuesday, когда продукты редмондского гиганта по всему миру получают обновления безопасности.
В мире Open Source, в свою очередь, управление обновлениями не вполне обеспечено чисто технически, заявляют White Source. Причина халатности в обновлениях достаточно банальна - у разработчиков не хватает ни мотивации, ни инструментов, чтобы постоянно отслеживать обновления компонентов своего ПО. Известно, что инструменты отслеживания обновлений компонентов в своём арсенале имеют только 32% Open Source-проектов.
White Source Software представила первый специализированный продукт для решения проблемы, поднятой Aspect Security и Sonatype. Компания интегрировала в свою систему управления лицензиями модуль автоматических оповещений об обновлении открытых компонентов. Модуль настраивается индивидуально для каждого проекта и каждого клиента, что избавляет разработчиков от необходимости фильтровать оповещения, не относящиеся к компонентам, которыми они не пользуются.
Услуга уже пользуется достаточной популярностью среди клиентов White Source и постепенно выходит за рамки клиентской базы одной фирмы. Генеральный директор White Source Software Реми Сасс (Remi Sass) рассказал, что система White Source уже интегрирована с целым рядом инструментов управления разработкой, пользователи которых заинтересованы в том, чтобы получать подобные оповещения. Среди них - Apache Maven и Ant, Jenkins, JetBrains TeamCity, Red Hat OpenShift и JFrog Artifactory.
Adobe устранила критические уязвимости во Flash Player
08.02.13, Пт, 09:48, Мск
Adobe Systems выпустила обновление для Flash Player, устраняющий две критические уязвимости - одну в плеере для платформы Windows, другую - для платформы Mac, сообщает Ars Technica.
Обновление также доступно для Linux и Android, хотя о наличие уязвимостей в них не сообщалось.
Обе уязвимости позволяли хакерам обманным путем запускать на компьютере жертвы Word-документ с вредоносным Flash-кодом. На платформе Mac опасности были подвергнуты пользователи веб-браузеров Safari и Mozilla.
Уязвимость в Windows-версии Flash Player была обнаружена «Лабораторией Касперского».
Последняя версия Flash Player для Windows и Mac (11.5.502.149), Linux (11.1.115.36), Android 4.x (11.1.115.36) и Android 3 и более ранних версий (11.1.115.37) доступна для загрузки на официальном сайте Adobe.
Уничтожен ботнет Bamital, подменявший результаты поиска миллионов пользователей
08.02.13, Пт, 16:16, Мск
Корпорация Symantec сообщила об успешном уничтожении ботнета под названием Bamital. Злоумышленники объединили в единую сеть более 1,8 млн уникальных IP-адресов. Программа использовала технологию «кликфрод» (Clickfraud), что позволяло злоумышленникам переходить по ссылкам в браузере без ведома пользователей. С помощью ботнета мошенники зарабатывали на интернет-рекламе, а также использовали его как вспомогательный инструмент при совершении других киберпреступлений, сообщили CNews в компании.
Специалисты Symantec следили за активностью этого ботнета с конца 2009 г., а недавно объединили силы со своими коллегами из компании Microsoft с целью определить и обезвредить все его ключевые компоненты.
По данным компании, Bamital представляет собой разновидность вредоносных программ, чьей основной целью является взлом результатов поисковых машин и перенаправление переходящих по этим ссылкам пользователей на сервер управления, который, в свою очередь, направляет их на любой выбранный злоумышленником веб-сайт. Bamital также способен сам кликать по рекламным ссылкам без каких-либо действий со стороны пользователя. Все это приводит к неудобствам для пользователя при работе с поисковыми машинами, а также повышает риск заражения другими вредоносными программами.
Bamital впервые появился в конце 2009 г. и за последние пару лет прошел через несколько этапов развития. Первоначально Bamital распространялся методом попутной загрузки (drive-by-downloads), а также при помощи вредоносных файлов в P2P-сетях. В результате 6-недельного анализа деятельности одного из серверов управления Bamital в 2011 г. эксперты установили, что за это время сервером были совершены соединения с более чем 1,8 млн уникальных IP-адресов, а среднее число ежедневно взламываемых кликов составило 3 млн. Согласно последней информации, ежедневно число запросов к этому серверу превышает 1 млн.
Как пояснили в Symantec, «Кликфрод» — это процесс ручного или автоматизированного имитирования пользовательского присутствия и нажатия на рекламные ссылки с целью получения финансовой выгоды. Bamital перенаправлял пользователей на рекламные объявления и сайты, которые они не собирались посещать. Генерировал бот-трафик на онлайн-рекламу и сайты с целью получения вознаграждения от рекламных сетей. В довершение всего, он направлял пользователей на сайты, распространяющие вредоносные программы под видом легитимного ПО.
«Bamital — лишь один из множества ботнетов, использующих “кликфрод” с целью получения финансовой выгоды, а также в качестве вспомогательного инструмента при совершении киберпреступлений, — сообщили в компании. — Многие злоумышленники, стоящие за такого рода схемами, чувствуют себя в безопасности, так как многие пользователи даже не подозревают о том, что их компьютеры кем-то используются. Уничтожение ботнета Bamital должно дать преступникам понять, что за такого рода схемами ведется наблюдение и что они могут быть отключены».
На одного пользователя приходится в среднем 12 уязвимостей в ПО
08.02.13, Пт, 16:44, Мск
Эксперты «Лаборатории Касперского» проанализировали программы, содержащие уязвимости, которые наиболее часто используют злоумышленники для совершения атак на компьютеры. Согласно данным опубликованного отчета, в среднем на одного пользователя приходится 12 уязвимостей в ПО. Всего же было обнаружено свыше 132 млн уязвимых приложений. Эти и другие цифры и тенденции удалось выявить в ходе исследования данных, полученных с 11 млн компьютеров, входящих в состав облачной сети Kaspersky Security Network, в период с января по декабрь 2012 г., сообщили CNews в компании.
Всего за год было обнаружено 806 уникальных уязвимостей. Только 37 из них найдены по меньшей мере на 10% компьютеров в течение как минимум одной недели в период анализа, отметили в «Лаборатории Касперского». В свою очередь, данные 37 уязвимостей были обнаружены в 11 различных группах программ. Наиболее уязвимыми продуктами, по результатам исследования компании, являются Adobe Shockwave/Flash Player, Apple iTunes/QuickTime и Oracle Java.
«В ходе исследования стало понятно, что даже когда производитель ПО прикладывает все усилия для обнаружения брешей в защите и своевременно выпускает обновления, известная эксплуатируемая злоумышленниками уязвимость на миллионах компьютеров может оставаться незакрытой в течение нескольких месяцев после того, как была обнаружена и исправлена, — отметили эксперты «Лаборатории Касперского». — Существуют уязвимые программы, продолжающие оставаться на компьютерах и через несколько лет после обнаружения и исправления».
[highslide]http://filearchive.cnews.ru/img/cnews/2013/02/08/lk_pic.jpg[/highslide] Распределение уязвимостей по группам ПО (для каждой группы ПО приведено количество преобладающих уязвимостей, а также тот период, когда они были обнаружены)
«Самый тревожный вывод из этого исследования таков: пользователи трех наиболее уязвимых программ (Java, Flash Player и Adobe Reader) крайне неохотно переходят на новые, безопасные версии, — прокомментировал результаты исследования эксперт «Лаборатории Касперского», руководитель группы исследования уязвимостей Вячеслав Закоржевский. — При дальнейшем изучении использования Oracle Java становится видно, насколько серьезна ситуация: через семь недель после выпуска новой версии обновление выполнили менее 30% пользователей, несмотря на реальную угрозу кражи данных. Для достижения таких же показателей по установке пользователями свежих обновлений наиболее популярных веб-браузеров требуется всего 5-7 дней».
