Думка експерта
 |
В своєму квартальному звіті від 7 серпня 2007 року, Олександр Гостєв, що є провідним аналітиком лабораторії Касперського, звів до мінімуму розгляд різних сучасних шкідливих програм, віддавши перевагу детальному аналізу деяких проблем, що виникають раз у раз в Інтернеті, а також провів огляд нових технологій і можливих вразливих місць, схильних до найбільшого ризику. Таким чином, формується конкретна область завдань, які кожна сучасна компанія, що займається розробкою антивірусного ПЗ, повинна навчитися вирішувати.
Мабуть, що тема подій в кінці квітня - початку травня 2007 року в Естонії, залишається однією з найчастіше обговорюваних впродовж всього 2007 року. Так, ці події стали знамениті тим, що безпосередньо після того, як мітинг протесту проти рішення, напередодні прийнятого урядом Естонії про ліквідацію пам'ятника, спорудженого на одній з центральних площ Таллінна на честь радянських солдатів, загиблих під час Другої світової війни в операціях по звільненню Естонії, був грубо розігнаний поліцією міста, безліч серверів в зоні Інтернету, що відноситься до Естонії, опинилися під масованою DoS-атакою. І хоча більшою мірою атака була направлена саме на державні сайти - президента, естонського парламенту, міністерств і поліції - здійснювалося перевантаження масовими запитами комп'ютерів зі всіх куточків земної кулі в гігантській кількості, по відношенню до безлічі інших сайтів Естонії також був здійснений масовий злом.
Політичні сили Естонії негайно звинуватили в тому, що відбувається спецслужби РФ, і саме тоді на найвищому державному рівні вперше був використаний термін "кібервійна". Естонії звернулася за допомогою до НАТО, закликаючи прирівняти події кібератаки до військових акцій, і вимагаючи надання військового захисту від загрози, що надходить з боку Інтернету.
Но що ж насправді мало місце бути в сегменті Інтернету, що відноситься до Росії, в той самий період часу? З початком зіткнень естонської поліції і протестуючих демонстрантів, для багатьох російських користувачів практично єдиною можливістю для виразу свого протесту відносно дій уряду Естонії була можливість мережевого протесту, який і виразився у вигляді DoS-атак. Так, деякі веб-сайти і форуми удосталь містили різні програми, за допомогою яких можна було послати незліченну кількість запитів до будь-якого з естонських сайтів. Тому абсолютно будь-яка людина, що має доступ до Інтернету і бажання виразити свій протест могла викачати одну з подібних програм і привести її в дію зі свого комп'ютера. З технологічної точки зору це є звичайним ботнетом, але з тією різницею, що створений він був з обопільної згоди, і власники комп'ютерів чудово знали і усвідомлювали що саме вони роблять. Природно, частина атаки була проведена саме з "справжнісіньких" ботнетів, тобто машин вже раніше заражених, але потужність і можливості ручної атаки теж не можна недооцінювати. Але у будь-якому випадку, якщо тут все ж таки застосовувати термін "кібервійна", то по відношенню до даного конкретного випадку це буде швидшим за дію партизанського загону.
Естонські служби так і не змогли представити ніяких реальних свідоцтв, які доводили б причетність до події урядових структур Росії. Але, навіть не дивлячись на це, обговорення проблеми "кібервійни", а також такого явища як "кібертероризм" тепер ведеться по всьому світу, причому не тільки в товаристві експертів комп'ютерних технологій, але і серед політиків і військових, а з вуст фахівців звучать сценарії до справжнісіньких комп'ютерних воєн. Обговорення питань, кибртероризму, що стосуються, відбувається самим неадекватним чином по відношенню до реального стану речей - дуже часто і в дуже великих кількостях здійснюється публікація небезпечної інформації, яка фактично пропонує читачеві готові сценарії для здійснення кібертерроризму. При цьому "Лабораторія Касперського" спочатку рахує практику публікації і громадського обговорення конкретних чинів можливості виводу з ладу тих чиїх інших об'єктів життєдіяльності є неприпустимим, оскільки подібного роду інформація без сумніву може стати своеобразным до ладу для активізації діяльності різних екстремістських груп в спробі реалізації одного з подібних сценаріїв.
В другому кварталі 2007 року відбулася одна з найбільш помітних подій в плані розвитку світових мобільних технологій - на ринок вийшов мобільний телефон компанії Apple - iPhone. Прогнози аналітиків відносно даного мобільного пристрою вельми оптимісничні і передбачається, що за півтора роки продажу складуть 13,5 мільйонів екземплярів. Тепер, природно, виникає питання про те, чи зіграє чинник очевидної популярності iPhone вирішальну роль для припинення стагнації, яка спостерігається в світі вірусів мобільних технологій. По оцінках експертів, iPhone може зіткнутися з реальними вірусними проблемами вже в 2008 році: висока вірогідність виникнення нових файлових вірусів, в чиннику загрози також знаходяться і троянські програми. Але по-справжньому представляють загрозу для численних користувачів iPhone різноманітні вразливі місця, які можуть послужити шляхом для доступу зловмисників до інформації, що зберігається на телефоні.
Mpack. Сучасні шкідливі програми в процесі їх створення все частіше стають орієнтовані на використання тих або інших вразливих місць з метою максимального ефективного проникнення в систему. Так, середина червня ознаменувалася для громадськості масовим розповсюдженням шкідливих програм, джерелами яких з'явилися тисячі італійських сайтів. Згодом, за декілька днів було виявлено близько шести тисяч серверів, що відносяться до італійського сегменту Інтернету, на сторінках яких виявився спеціальний html-код, доданий зловмисниками. Вид коду був приблизно таким:
<iframe src='адрес' width=5 height=5> </iframe>
Така конструкція коду знайома фахівцям і є цілком типовою, коли справа стосується використання эксплойтов вразливих місць різних браузеров. Технологія впровадження подібної коди не так вже і складна. Існує спеціальний набір експлоїтів, які налаштовані на використання вразливих місць популярних операційних системах і браузерах Інтернет. Насамперед зловмисник встановлює подібний набір на свій сайт, після чого, з метою привернути на свій ресурс якомога більше користувачів, він прагне отримати доступ до чужих сайтів, де для цих цілей часто використовує акаунти, раніше вкрадені за допомогою троянської програми. Згодом на всі сторінки цих сайтів додається тег iframe, який і приводить на спочатку заражений сайт, де розміщуються експлоїти, що у результаті часто приводить до установки в систему програми типу Trojan-Downloader, що дозволяє подальше завантаження різних шкідливих програм.
Неожиданностью стало те, що Mpack був використаний за межами Росії, оскільки створений він був в Росії і призначався спочатку для Росії з її численними хакерами. Автори Mpack колись активно брали участь як в роботі із створення, так і підтримці троянської програми під назвою LdPinch. Варто відзначити, що в даний час чорний ринок має в своєму розпорядженні декілька подібних наборів эксплойтов, які в рази перевершують Mpack по пробиваемости.
Головною проблемою є те, що коли справа стосується авторів подібних програм, практично виключається можливість залучення їх до кримінальної відповідальності, оскільки теоретично всі вони займаються лише тим, що збирають опубліковані на тисячах сайтів, пов'язаних із забезпеченням інформаційної безпеки, експлоїти і об'єднують їх в єдиний набір, але не несуть відповідальності за його подальше використання. І ось на таких етапах і відбувається чергове зіткнення з тією самою проблемою про публікацію інформації про різні вразливі місця того або іншого програмного продукту, чи є це корисним, або ж несе дуже велику шкоду.
Сучасних кіберзлочинців привертають також і мобільні технології. Так, в середині травня було зафіксована нова троянська програма для мобільних відразу в трьох виконань - TROJAN-SMS, SYMBOS і Viver, що займаються розсилкою платних sms на номери premium-акаунтів, після чого з рахунку власника постраждалого телефону знімається та чи інша сума грошей з подальшим перерахуванням на рахунок, визначений зловмисником. Існує вірогідність, що дана проблема, що набирає всі великі обороти в Росії, актуальна і для зарубіжних країн. Вслід за вірусами для мобільних пристроїв велику популярність отримав антивірус для смартфону, який перешкоджав би проникненню небезпечних програм в телефон. Основні події, які відбиті в даному звіті, мали місце в другому кварталі 2007 року, надають велику поживу для подальших роздумів, але не можуть повною мірою дати конкретну відповідь на питання про напрям руху вірусно-інформаційних погроз, що наповнюють сучасний мир. Старі, перевірені роками, способи нанесення інформаційної втрати є ефективними навіть для використання по відношенню до абсолютно нових розробок ОС, сервісам і типам мобільних пристроїв, і зловмисники продовжують вносити різноманітні удосконалення до своїх програм, повертаючись до "витоків" і вводячи нові витки розвитку в одних з найраніших способів. Так, другий квартал 2007 року відрізняється від аналогічного періоду 2004 року хіба що тим, що тепер в розповсюдженні вірусів активніше використовуються системи миттєвих повідомлень, тоді як електронна пошта в цьому відношенні поступово відходить на другий план, а також з розвитком онлайн-ігор різко збільшилося число троянських програм. При цьому, загрози беруть не якістю, а кількістю, не стаючи "розумнішим", але від цього не втрачаючи в силі. Розвиток йде в екстенсивному шляху і до цих пір незрозуміло, який чинник зумовить глобальну зміну вірусних і інформаційних загроз майбутнього.
Тим часом, порівняно з декількома роками раніше, антивірусні компанії добилися значного поліпшення технологій активного захисту, що зводить "життя" більшості новоспечених шкідливих програм до годинника і рідко - до декількох днів. Що ж до прогнозів в області діяльності кіберзлочинців на найближчий час, то вони по більшій вірогідності розроблятимуть вагу нові методи впровадження шкідливих програм в ті області технологій, де антивірусний захист ще не може бути здійснена на достатньо якісному рівні, або взагалі неможлива. В основному це стосується різних онлайнових ігор і блогів, а також може торкнутися систем миттєвого обміну повідомленнями і створити ряд проблем у всіх процесах, що стосуються файлообмінних мереж.