Компьютерный андеграунд глазами Kaspersky Lab: Киберпрогнозы былого и грядущего.

Желание подстелить соломки там, где должен будешь упасть, издавна порождало интерес ко всяческим предсказаниям. Пророчества сперва имели характер мистический или оккультный, а затем, по мере того, как человечество училось анализировать события, перешли в область математики и логики.  Финансисты жаждут прогнозов, касающихся мировых рынков, спасатели желают знать, где произойдет следующая природная катастрофа, и все без исключения интересуются тем, какая будет завтра погода.

Так древние греки изображали процесс работы Дельфийского Оракула

Область информационной безопасности – сфера ничуть не менее сложная, чем финансовая и, вдобавок, очень тесно с ней связанная. Миллиарды, триллионы денежных единиц текут по проводам, и их хозяевам не хочется, чтобы они утекли в чужие руки. А рук этих хоть отбавляй. Все, что приносит доход, может быть украдено, сколь бы нематериальным оно ни было. 

Компании, стоящие на пути у компьютерных преступников, чаще всего отстают от них минимум на шаг. Найдена очередная лазейка, новый троянский вирус украл чужие данные, кто-то потерял деньги – и вот уже спешно ваяется очередная заплатка.

Гораздо лучше знать заранее, правда?  Знать и защитить не только сами потенциально слабые места, но и подступы к ним. И вот тут мы неожиданно вновь вступаем в область пророчеств.

Как будут развиваться технологии? Какие дыры объявятся в свежеанонсированных сервисах? Какая операционная система будет править бал в том или ином классе устройств? Однозначный и четко обоснованный ответ не дает даже всезнающая статистика. Остается лишь уповать на людей, которые выработали особенное чутье, дополняющее формальный анализ данных – профессионалов в области IT-безопасности.

Слева направо: Андрей Никишин, Евгений Касперский, Сергей Голованов, Сергей Новиков

26 января этого года эксперты «Лаборатории Касперского» собрались на импровизированной пресс-кухне, чтобы посудачить о том, какие прогнозы сбылись в минувшем 2010 году, и что год грядущий нам готовит.

Сбывшиеся прогнозы.

В 2009м году Александр Гостев , руководитель Центра глобальных исследований и анализа угроз, сделал несколько предположений о том, что будет происходить на фронтах борьбы с компьютерными злоумышленниками и их творениями.

Александр Гостев, руководитель Центра глобальных исследований и анализа угроз

В большинстве случаев, он оказался прав. Итак:

• Заметный рост количества атак через P2P сети – прогноз подтвердился. В наши дни только ленивый не использует файлообменные сети, нередко для добычи нелегального контента. В результате возможностей для внедрения зловредного ПО образуется масса, причем часто это  не требует особенных усилий со стороны злоумышленников; пользователь сам себя заражает.

• Усиление борьбы за трафик, т.е., по сути, за жертв – прогноз подтвердился. Более того, этот процесс все больше принимает заказной характер; хакеры получают контроль над чужими системами, а затем за плату предоставляют возможность для инъекции целевого ПО. Машины-зомби окончательно превратились в одну из валют теневого IT-сообщества.

• Волна вирусных эпидемий и увеличение сложности зловредных программ – прогноз подтвердился. Пусть ни одна из эпидемий не достигла рекордных результатов червя Kido, количество атак заметно возросло; общее их число превысило 1,9 миллиарда.   И, хотя количество новых вирусов не превысило показатель 2009 года, их функциональность увеличилась, а значит они стали более хитрыми и опасными. Немудрено, что количество ботнетов-«миллионников» в минувшем году возросло. Функционал червей вырос, более того, появились первые вирусы, использующие 64-битную архитектуру; так, например, одна из последний версий загрузчика TDSS, TDL4 использует сочетание бутвируса с x64-rootkit. В настоящий момент ряд экспертов считает руткит TDSS самым технически совершенным и малоуязвимым.

• Снижение числа поддельных антивирусов – прогноз подтвердился! Казалось бы: хорошо работающий «крючок», на который ловится немало пользователей; знай себе «подсекай».  Но то ли жертвы поумнели, то ли компетентные органы сработали эффективно… В общем и целом, количество вымогательских программ-«пустышек» действительно уменьшилось.

• Волна атак на Google Wave – прогноз НЕ подтвердился ;  амбициозный проект попросту приказал долго жить. Ну, что ж, Rest, как говорится, In Peace.

• Атаки на iOS и Android - прогноз подтвердился НАПОЛОВИНУ. Творения с яблочным лого счастливо избежали атак – а вот под ОС от Google появились первые трояны, рассылающие СМС на платные номера. Анализ, правда, показал, что на пользовательские устройства они попали в обход Android Market; похоже, жертвами стали любители «поколдовать» со своими гаджетами.

Согласитесь, процент попаданий впечатляет. Некоторые выводы сейчас кажутся очевидными, но кто сможет точно вспомнить, насколько правдоподобными они казались год назад?

Помимо подтверждения прогнозов, 2010й год запомнился еще несколькими событиями, среди которых есть и победы «бойцов невидимого фронта».

Основные истории года 2010го.

• Едва ли не главная новость – две целевые атаки, которые потрясли мир. Первая из них – Stuxnet – стала в определенном смысле революционной: впервые целью злоумышленников стали системы управления производством. При поражении использовалось сразу пять уязвимостей (!), четыре из которых были квалифицированы как 0-day, т.е., ранее не обнаруженные.  Немаловажным аспектом атаки стало использование хакерами цифровых сертификатов Realtek и JMicron; способ, который использовали преступники для их получения, остался невыясненным. Стоит заметить, что интерес преступников к цифровым подписям в 2010 году заметно возрос. Расследование показало, что абстрактный пользователь может вполне легально получить цифровой сертификат, прикинувшись разработчиком софта. Заявив, например, о создании «программы для удаленного управления компьютерами без графического интерфейса» (по сути, бэкдор), он легко получит от центра сертификации необходимый ключ.  Так что незыблемость концепции цифровых подписей на данный момент заметно пошатнулась. Не последнюю роль в этом сыграло и то, что ряд троянских программ (например, широко распространившийся Zbot/ZeuS) способен красть сертификаты с пользовательских машин.

Целью второй крупнейшей атаки, Operation Aurora, стал ряд крупнейший мировых корпораций, таких как Google, Adobe, IBM. В планах злоумышленников было не только получение конфиденциальных данных пользователей, но и кража исходных кодов ряда корпоративных проектов. Как и в случае со Stuxnet, были использованы 0-day уязвимости.

• Угроза безопасности: 2010 год стал «годом уязвимостей».  Использование лазеек, как в ОС, так и в сторонних программах, стало основным способом проникновения вредоносных программ на компьютеры пользователей. Стремительно усложняющиеся вирусные комплексы способны производить инъекцию своих компонентов десятком различных способов, причем все больше внимания уделяется уязвимостям в широко распространенных решениях от Apple (Safari, Quicktime, ITunes) и Adobe (Reader, Flash Player). Более того, по числу зафиксированных инцидентов с использованием уязвимостей, лидируют именно продукты Adobe Systems.

• Троянцы-блокеры в минувшем году были настолько популярны, что вызвали широкий общественный резонанс. Это привело к тому, что мобильные операторы, спохватившись, ужесточили правила регистрации и использования платных номеров, заблокировав при этом множество мошеннических  аккаунтов. В результате, помимо классического способа «оплати разблокирование экрана с помощью SMS» добавились и новые варианты, с использованием веб-кошельков и платежных терминалов. Чаще всего не очень сложные, блокеры берут количеством и использованием психологического приема «лучше быстро заплатить, чем долго копаться». Дорогие пользователи! Не платите жуликам денег!  Попросите друга зайти на сайт Лаборатории Касперского; там есть средство разблокировать вашу машину совершенно бесплатно!

• Социальные сети и блоги переживают настоящий бум; мало сейчас найдется пользователей Интернета, кто не являлся бы абонентом хотя бы одной из них. Вполне естественно, что интерес злоумышленников к этой среде стремительно растет. Предназначенные для социализации пользователей, в том числе и далеких от IT, они стали богатой почвой для хакерской социальной инженерии. Но не стоит думать, что это единственный инструмент мошенников. Так, например, в Twitter появилось сообщение-вирус, которое нужно было просто открыть для того, чтобы инфекция попала в компьютер. И это только первая ласточка. С учетом того, что эта среда становится все сложнее, обогащаясь многочисленными приложениями, появление внутри нее вирусного кода – лишь вопрос времени.

• Успех правоохранительных органов в борьбе с компьютерными преступниками.   Не все так плохо,  как может показаться на первый взгляд. В течение 2010 года было проведено несколько успешных операций, среди которых наиболее громкими стали:

• Закрытие 30-миллионного ботнета Bredolab ; его координатор Георгий Аванесов был арестован в аэропорту Еревана. Ботнет использовался, в том числе, для заказных инъекций вредоносного ПО. Как следствие, доля спама в почтовом трафике снизилась на 8-9%.

Г.Аванесов, координатор ботнета Bredolab

• Закрытие 277 доменов управляющей системы ботнета Waledac ; результат – снижение в первой половине марта количества спама на 3,1%.

• Закрытие в августе 20 командных центров ботнета Pushdo/Cutwail , ответственного, по некоторым оценкам, за 10% мирового спама. Эффект – снижение в сентябре, по сравнению с августом, количества рекламных рассылок на 1,5%.

• Массовые аресты участников группы, связанной с работой червя ZeuS(Zbot). Одним из результатов стало вскрытие механизма перевода и обналичивания денежных средств со взломанных счетов и банковских карт.

• Не стоит забывать про то, что востребованность ботнетов определяют заказчики. Не имея прямого отношения к хакерству, они используют спам-каналы для распространения контрафактных товаров. Так что интерес спецслужб к их деятельности более чем закономерен. В минувшем году прекратила свое существование одна из крупнейших партнерских программ по распространению фармпрепаратов – SpamIt. В России компетентные органы также не сидели сложа руки; в конце октября было заведено уголовное дело на руководителя компании «Деспмедиа», Игоря Гусева, который обвиняется в распространении контрафактных фармпрепаратов с помощью спама, рассылаемого через партнерскую программу GlavМed.сom.

Кстати, эффект от вышеперечисленных акций можно было наблюдать не только в виде уменьшения количества спама, но и в изменении его тематики: к концу 2010 года в почтовом мусоре резко увеличилось число писем, рекламирующих пиратские видеосборники и порнографию. Что характерно, значительная часть сообщений была на русском языке.  И это неспроста; резкое снижение объема спама из США компенсировалось взлетом активности восточноевропейских спамеров.

Взгляд в будущее

Обычно антивирусные компании не рискуют высказывать какие-либо прогнозы на срок больший, чем 3-5 лет. Но эксперты «Лаборатории Касперского», во главе с самим Евгением Валентиновичем подумали и решили, что если очень хочется, то почему бы и не попробовать? В конце концов, если нам суждено дожить до года 2020го, чрезвычайно интересно будет сравнить реальность с предсказаниями.  Так что же день грядущий нам готовит?

Евгений Валентинович Касперский

• Мобильность и миниатюризация. Количество устройств с доступом в Интернет стремительно растет, а их размеры становятся все меньше. Вход в сеть для таких устройств обеспечивают, чаще всего,  технологии беспроводной передачи данных.

• Дальнейшее разделение потребительского и корпоративного сегментов.   Вполне вероятно, что Microsoft Windows будет вытеснена из консьюмерских устройств; ее место займет ориентированная на пользователя мультиплатформенная ОС, такая как Google Android. При этом Windows сохранит свои позиции на корпоративном рынке.

• Битва мобильных платформ продолжится с непрекращающейся  силой.  Лидеры сменятся не раз; высокий уровень конкуренции будет поддерживаться растущим интересом к этому сегменту.

• Социальные сети и поисковые системы станут основными сервисами  современного интернета.  Модели электронного бизнеса изменятся, интегрируются в эти среды.

• Интернет торговля уже сейчас превышает по объемам годовые бюджеты некоторых стран. В грядущем десятилетии процент торговых операций, происходящих через Сеть, существенно увеличится.

• Тенденция разделения Интернета на массовый (информационно-развлекательный) и ограниченного доступа (деловой), сохранится. При этом основными субъектами сети станут мобильные устройства, а также устройства без пользователя, предназначенные для обмена информацией.

• Киберпреступность изменит свой облик. В связи с тем, что количество пользователей ОС отличных  от MS Windows возрастет, у мошенников возникнет проблема выбора, на чем фокусировать  усилия. С вероятностью их внимание будет обращено на корпоративный сектор, где сохранится господство Microsoft. Кроме того, широкое внедрение к 2020 году биометрических систем авторизации усложнит атаки на финансы  конечных пользователей.

Киберпреступность, скорее всего, разделится на две крупные группы. Одна будет заниматься атаками на бизнес, фокусируясь, в значительной степени, на коммерческом шпионаже и информационной войне. 

Вторая займется инструментами, контролирующими наше существование, передвижение и работу большинства служб. Их целью будет организация привилегированного доступа к этим системам и заметание следов чьей-то нелегальной деятельности.

Разумеется, обе группы будут работать, в том числе, и под заказ.

• Конфликт поколений киберпреступников. Современным авторитетам будет трудно приспособиться к новым средам, и они станут привлекать к работе молодые кадры.  Через некоторое время среди молодежи выделятся собственные авторитеты, и как следствие, возможна открытая борьба за сферы влияния.

• Ботнеты покинут обычные персональные компьютеры и начнут наступление на мобильные и бытовые устройства.

• Виртуальное общение станет утрачивать текстовый формат , по мере совершенствования технологий передачи и отображения данных. Вследствие этого, спамерам придется искать для своего бизнеса новые формы. При этом многократно возрастет количество мобильного спама – хотя радикальное удешевление мобильного трафика, возможно,  сделают его менее раздражающим. (Я бы назвал это утверждение спорным. В настоящий момент «стационарный» трафик тоже практически не учитывается, но любой, имевший неосторожность афишировать свой адрес, без антиспам-технологиий будет просто погребен под горами цифрового мусора. – Автор.)

Заключение.

Владеющий информацией – владеет миром. Эта фраза станет девизом грядущего десятилетия, и, возможно, многих грядущих десятилетий тоже. Сбор информации о всех и вся, ее защита и борьба за право на тайну займут свое место среди ключевых тем ближайшего будущего. Поэтому, дорогие читатели, не забывайте своевременно защитить свои устройства надежным программным обеспечением; кто предупрежден, тот вооружен. И помните: самая совершенная защитная программа не заменит вам главного антивируса – головы.