Что хорошего и плохого произошло в 2004 году в сфере защиты информационных технологий
Эксперты единодушно считают, что 2004 год был одним из самых удачных для информационной отрасли. Хотя с этим решительно не согласны те, кого волнует проблема защиты. В 2004 году прошли нашумевшие аресты авторов вирусов и стало известно о множестве преступлений, совершающихся в сети, от кибервымогательства до краж идентификационных данных. Провайдеры Internet получили миллионы долларов в порядке компенсации за ущерб, нанесенный спамерами, но при этом число сорных сообщений выросло на 40%.
Оглядываясь назад, нужно признать, что в 2004 году на смену хакерам-любителям, которые в погоне за славой создавали внешне вызывающие, но по сути безвредные вирусы, пришли организованные преступные группы с далеко не столь безобидными намерениями. Они имеют в своем распоряжении грозное оружие, и их действия, по мнению ведущих экспертов по защите, направлены на то, чтобы отобрать у пользователей Internet их деньги.
Признавая это, давайте вспомним наиболее заметные события, факты и тенденции 2004 года в области защиты.
Phishing как средство наживы
Число краж идентификационных данных путем тщательно организованных атак, называемых phishing, в 2004 году выросло экспоненциально.
При совершении таких преступлений используется спам, убеждающий пользователей Internet обратиться на Web-сайты, контролируемые преступниками, которые внешне выглядят как обычные, легитимные сайты электронной коммерции. На этих сайтах пользователей просят ввести конфиденциальную информацию, часто оправдывая это необходимостью обновить данные регистрационных записей. Таким образом идентификационная информация попадает в руки преступников.
Производитель систем защиты электронной почты — компания MessageLabs в сентябре 2003 года блокировала 279 таких попыток мошенничества. В сентябре 2004 года их число, по данным компании, превысило 2 млн. Всего в минувшем году MessageLabs блокировала 18 млн. сообщений электронной почты, использованных для phishing.
|
| Микко Хиппонен: «Объем атак категории phishing действительно растет фантастическими темпами, и эту проблему можно отнести к одной из самых серьезных» |
Рабочая группа Anti-Phishing Working Group подтвердила, что число сообщений о Web-сайтах, используемых для phishing, каждый месяц, с июля по ноябрь, увеличивалось в среднем на 28%. Как правило, по словам Питера Кассиди, генерального секретаря этой группы, каждый из подобных Web-сайтов работает не больше шести дней.
«Объем атак категории phishing действительно растет фантастическими темпами, и эту проблему можно отнести к одной из самых серьезных», — считает Микко Хиппонен из финской компании F-Secure, выпускающей антивирусные решения.
Ахиллес, где твой лук?
Никогда еще со времен Древней Греции о троянцах не говорили так часто, как в 2004 году, когда массовое появление «троянских коней» превратило многие подключенные к Internet компьютеры в инструменты хакеров и международных криминальных Internet-организаций.
Начиная с января «троянцы» с помощью электронной почты и Internet-червей практически беспрепятственно проникают в уязвимые компьютеры.
Один из типичных примеров — вездесущий RBot, который распространяется самыми разными способами. Эта программа может собирать системную информацию, загружать и исполнять файлы, инициировать атаки на отказ в обслуживании и даже удаленно управлять подключенной Web-камерой.
RBot-A, первая версия червеподобного «троянца», была обнаружена в марте 2004 года. Последняя, RBot RN, по данным английской антивирусной компании Sophos, появилась 13 декабря. Всего за девять месяцев было создано 480 различных вариантов этого вредоносного ПО.
«Троянцы» и программы, использующие уязвимые места систем, — вещь далеко не новая, но, как считает Джесс Вилла, менеджер компании Frontbridge Technologies по техническим продуктам, резкое увеличение их числа в 2004 году стало результатом сотрудничества авторов вирусов, сетевых преступников и спамеров.
«Троянцы» стали скрытой силой во многих преступлениях, в том числе и в известной краже исходных текстов видеоигры Half Life 2, совершенной в сентябре 2003 года.
«Троянец» под названием Banker-AJ проникал на компьютеры и ожидал, когда пользователи войдут на интерактивные банковские сайты. Эта программа записывала последовательность клавиш, нажимаемых пользователем, и таким образом получала информацию о счете.
Увеличение числа «троянцев» привело к увеличению количества botnet — распределенных сетей, состоящих из инфицированных машин, которые действуют как зомби в кампаниях по рассылке спама или при организации распределенных атак на отказ в обслуживании.
Политика и заплатки
Однако не все так безнадежно, как кажется. Несмотря на то что в 2004 году число компьютерных преступлений резко возросло, было задержано немало лиц, участвующих в таких противоправных действиях. В мае немецкие власти арестовали 18-летнего Свена Яшана, который признался в создании и распространении Internet-червей Netsky и Sasser. Кроме того, был задержан еще один 21-летний житель Германии, подтвердивший свое участие в создании «троянцев» Agobot и Phatbot.
Были и другие победы. В июне, например, были арестованы лица, подозреваемые в организации кражи исходных текстов HalfLife 2, а в сентябре взят под стражу еще один человек, причастный к краже кодов, принадлежащих корпорации Cisco Systems. В октябре Министерство юстиции США арестовало 19 человек, подозреваемых в участии в деятельности организации, занимавшейся торговлей идентификационными данными и информацией о кредитных картах.
В 2005 году, как считают эксперты, необходимо обеспечить более жесткое выполнение законов и усилить защиту, поскольку только в этом случае можно будет остановить лавину компьютерных преступлений.
По мнению Грега Мастораса, старшего аналитика по вопросам защиты компании Sophos, для того чтобы прекратить кражи идентификационных сведений, банкам, компаниям, специализирующимся на электронной коммерции, и их клиентам необходима более надежная технология аутентификации пользователей.
По его словам, необходимо всячески содействовать широкому распространению таких технологий, как Domain Keys компании Yahoo и Sender ID корпорации Microsoft, служащих для аутентификации отправителей электронной почты. Этот шаг, как считает Масторас, мог бы серьезно усложнить жизнь тем, кто занимается phishing и часто использует фальшивые адреса отправителей для обмана ничего не подозревающих получателей электронной почты.
Вилла считает, что провайдеры Internet также должны обмениваться информацией об Internet-атаках и инфицированных компьютерах в своих сетях.
Предотвращение угрозы
В нынешней обстановке, когда атаки развиваются стремительно и становятся все разнообразнее, архитектуры защиты, предполагающие реакцию на угрозы, а не предотвращение их, обречены на провал. Такова точка зрения генерального директора компании Internet Security Systems Тома Нунана.
Какие тенденции современного рынка систем защиты проявляются наиболее ярко?
Принцип «реагирования», положенный в основу систем защиты, совершенно утратил свою актуальность. Основополагающей концепцией развития систем становится идея превентивности. Традиционные модели защиты создавались как реакция на очередную угрозу. Раньше единственной угрозой были вирусы, распространявшиеся через дискеты, и решением были устанавливаемые на ПК антивирусные приложения. Когда угрозой стал нелегитимный доступ, были созданы сетевые экраны, появился спам — начали использовать фильтры, затем «шпионскому» программному обеспечению был противопоставлен инструментарий борьбы с ним, а для защиты от вредоносной информации были разработаны специальные средства. Вся отрасль развивается «реактивным» образом. Технологии, лежащие в основе таких решений, опираются на сигнатуру, а получить сигнатуру невозможно до тех пор, пока не возникла активная угроза. Тем не менее этот подход вполне себя оправдывал в мире, связь в котором не носила глобального характера.
Когда вы упоминаете о «технологии на основе сигнатуры», имеется в виду именно антивирусный инструментарий?
Я говорю о сигнатуре вообще, о способе однозначно идентифицировать угрозу. По существу, так работают большинство систем обнаружения вторжений, антивирусных продуктов, систем борьбы со спамом, шпионским программным обеспечением и средства защиты информации.
Так каким образом здесь поможет концепция превентивности?
Сейчас мы снова и снова сталкиваемся с опустошительными, высокоэффективными, самотиражирующимися вирусами и червями, поскольку подавляющее большинство компаний зависит от многочисленных уровней защиты, созданных в процессе использования реактивной технологии. Регулярно добавляются новые уровни безопасности и, несмотря на это, пользователи по-прежнему остаются незащищенными. Вредоносные программы высокоэффективны и обладают развитыми способностями к тиражированию, и из-за этого компаниям ничего не оставалось, как придерживаться реактивного подхода, который крайне неэффективен. Эта угроза касается и систем управления.
Когда вы говорите о необходимости принятия превентивного подхода, речь идет не только о технологии?
О технологии и об архитектуре. Мы уже стали свидетелями довольно значительных изменений в архитектуре защиты Internet. Также об управлении, которое кардинально меняется в мире, ориентированном на концепцию превентивности. О совершенно иной с точки зрения структуры затрат экономической модели и, безусловно, о других по своей внутренней природе процессах.
Какие изменения вы видите в архитектурах защиты?
Отход от продуктов для решения конкретных задач в сторону комплексных платформ. Реальность такова, что огромное количество приобретенных продуктов, имеющих одну и ту же торговую марку или то же количество продуктов с разными торговыми марками, никогда не были созданы как платформа для защиты — только как независимые точечные возможности для определения угрозы.
Вы также упомянули об изменениях в экономической модели защиты.
С 2001 года бюджеты компаний, выделяемые на обеспечение защиты, росли на 15-20% в год. Этого совершенно недостаточно. Генеральным и финансовым директорам приходилось требовать от директоров ИТ-служб повышения эффективности не за счет инвестиций в развитие технологий, а за счет одной только интенсификации труда.
Джайкумар Виджаян