Шпионское программное обеспечение как корпоративная проблема.
Программное обеспечение, которое занимается компьютерным шпионажем и похищает данные, вызывает возмущение не только у неосторожных частных пользователей. Оно превращается в источник проблем для предприятий любого масштаба.
В прошедшем году зафиксирован антирекорд по атакам из Internet: заметно выросло число агрессивных программ — троянцев, регистраторов нажатия клавиш и системных мониторов, посредством которых можно полностью контролировать работу персонального компьютера, причем все чаще они используются в криминальных целях. Создатели шпионского программного обеспечения теперь активно применяют средства системного уровня (Rootkit), из-за чего нахождение шпионских программ оказывается далеко не простым делом.
Такие программы могут замедлить или полностью остановить процессы ИТ, мешают эффективной работе сотрудников и увеличивают количество звонков о помощи в службу технической поддержки. Потеря времени и прямые издержки являются лишь вершиной айсберга: экономические последствия, которые могут возникнуть из-за хищения конфиденциальных данных о клиентах, сотрудниках или о предприятии, спрогнозировать невозможно.
Одна из самых больших трудностей для системных администраторов и сотрудников служб поддержки — распознавание шпионского программного обеспечения. Шпионы могут неделями выслеживать необходимую информацию, оставаясь при этом незамеченными. В отличие от большинства вирусов они маскируют свое присутствие, и часто пользователь жалуется в службу поддержки лишь на «странное поведение» своего компьютера. О том, что причиной этому могло стать шпионское программное обеспечение, вовремя не распознанное антивирусной программой, часто даже мысли не возникает. Возможно, пострадавший компьютер будет даже списан, если ошибка не обнаружится, а в новом через некоторое время начнут проявляться аналогичные симптомы.
ПОТЕНЦИАЛЬНЫЙ УЩЕРБ РАСТЕТ
От неприятностей не застрахована и корпоративная сеть в целом. «Когда десятки или сотни компьютеров регулярно и незаметно отсылают данные одному и тому же получателю, это ведет к дефициту доступной пропускной способности для задач, которые должна выполнять сеть, — объясняет Кевин Робертс, генеральный директор компании Webroot Software в регионе ЕМЕА. — В опросе, проведенном нами в прошлом месяце среди американских предприятий, более половины респондентов сообщили о случаях шпионажа, приведших к снижению оборота». Эта статистика нашла отражение и в исследовании ФБР. По его данным, компьютерные преступления обошлись американским компаниям в 62 млрд долларов.
Постоянному развитию и улучшению антишпионских инструментов противостоит растущая криминализация разработчиков вирусов и шпионов. Браузеры Internet превращаются в средство распространения вредоносных программ, а коды и новые методы маскировки затрудняют их обнаружение. Чаще всего в качестве средства распространения применяются программные пакеты. Пользователь оказывается вынужден загрузить весь пакет, даже если ему нужна всего одна программа. Обычно он остается в неведении, какие дополнительные программы попадают на его компьютер и по сути сам инсталлирует шпионские программы.
По данным ежегодного отчета о состоянии шпионского программного обеспечения, составляемого компанией Webroot, в прошлом году от такого ПО пострадало как никогда много пользователей. Слабые места в программах Sony и Microsoft привлекли всеобщее внимание к разрушительному потенциалу шпионских атак и послужили для многих предприятий лишним поводом проверить собственные системы защиты. После того как компания Sony решила интегрировать в программное обеспечение управления цифровыми правами (Digital Rights Management, DRM) для музыкальных дисков технологию Rootkit, активизировались не только критики, но и хакеры, а также распространители шпионского ПО, попытавшиеся использовать эту функцию в криминальных целях. Microsoft также была подвержена критике, когда стало известно о проблеме с безопасностью в Windows Media File (WMF), благодаря которой преступники могли получить контроль над персональными компьютерами. В Японии при помощи троянской программы злоумышленник получил доступ к нескольким банкам и похитил с разных счетов в общей сложности 1,4 млн иен. Целью хакерских атак стала и Google. Троянская программа попыталась посредством объявления с функцией загрузки установить на портал вирусную программу.
Однако постоянный рост наблюдается не только в отношении количества случаев поражения вирусами — они становятся все более разнообразными. Обзор первой десятки наиболее распространенных типов шпионского ПО выявляет существенные различия в методе действий. По сравнению с IV кварталом 2005 г., согласно исследованию Webroot, за прошедшие месяцы появилось много нового, прежде всего в области троянских программ и системных мониторов.
В первой десятке наиболее распространенных троянских программ на первом месте находится загрузчик Zlob. Как и его собрат Matcash, он незаметно загружает на компьютер вредоносные программы. P2pnetwork обеспечивает хакерам неограниченный доступ к компьютеру в интерактивном режиме, а Trojan-Backdoor-Us15info работает в фоновом режиме, собирая и отсылая информацию о машине. Trojan-Downloader-Ruin способен загружать дополнительное шпионское программное обеспечение и изменять адрес сервера DNS и доступа к локальному хосту.
В области рекламного программного обеспечения первые места в списке наиболее часто встречающихся вариантов делят между собой 180search Assistant/Zango, GAIN — Common Components и WinAd. На третьем месте находится Hotbar — инструмент, который в бесплатной версии вызывает появление рекламных всплывающих окон. Security2k Hijacker переводит домашнюю страницу Web на поддельную.
КОНТРМЕРЫ ДЕЙСТВУЮТ МЕДЛЕННО
По данным опроса 400 администраторов ИТ, который провела прошлой осенью IDC, троянские программы и прочие варианты шпионского программного обеспечения рассматриваются как самые серьезные опасности в области ИТ. 11% предприятий заявили, что они оказали отрицательное влияние на оборот. Такие симптомы, как медленно работающие компьютеры, отказавшие системы и всплывающие окна, еще самые безвредные проявления — гораздо больших неприятностей следует ждать от негласного сбора конфиденциальной информации. Исследователи IDC пришли к выводу, что проблему способен решить лишь антишпионский продукт, разработанный с учетом потребностей предприятия. При его выборе администраторам ИТ следует обращать внимание на четыре критерия.
Безопасность. Антишпионское программное обеспечение должно быть применимо в разных сетевых и прикладных средах и предлагать абсолютную защиту независимо от нагрузки на систему. Немалая трудность заключается в различении опасных и безвредных приложений и снижении числа ложных срабатываний. Риск ослабить систему «огнем по своим» должен быть как можно ниже.
Учет затрат. Плата за лицензии, стоимость инсталляции и обслуживания антишпионского решения должны быть умеренными. Централизованно администрируемое программное обеспечение должно отвечать за безопасность множества компьютеров, чтобы администратору не приходилось неделями ходить от одного рабочего места к другому для развертывания обновлений и принятия мер безопасности.
Превентивная направленность. В отличие от реактивных антивирусных программ со стороны антишпионского решения ждут превентивных мер. Избежать довольно затратного поиска ошибок и последующего устранения шпионского программного обеспечения удастся лишь путем предотвращения первичного заражения. Кроме того, в будущем многим предприятиям придется доказывать, что благодаря применяемым системам безопасности опасность заражения невелика.
Многоуровневая архитектура для настольных компьютеров и шлюзов. Решение, которое будет противостоять шпионскому программному как на шлюзах, так и на настольных компьютерах, значительно снижает вероятность незамеченного шпионажа.
Итак, предприятиям очень нужна эффективная система защиты, которая преградит путь как шпионскому программному обеспечению, так и прочему нежелательному ПО к системам ИТ. Действенной мерой является проведение регулярных обновлений, установка заплат для систем безопасности и применение надежного брандмауэра. Кроме того, необходимо постоянно следить за появлением новых разработок: шпионское ПО довольно быстро изменяется, так что надеяться на уменьшение опасности не приходится. Нуждаются в контроле и время от времени подключаемые к корпоративной сети компьютеры. Поэтому полноценная защита в деловой области требует решений по выявлению шпионского ПО, которые будут регулярно обновляться и на ноутбуках.
ЗАКЛЮЧЕНИЕ
В самых безвредных случаях шпионское программное обеспечение является причиной замедления процессов ИТ, однако оно способно затормозить работу всей сети, а публикация конфиденциальных данных может испортить репутацию предприятия. С такими рисками, как простои, хищение данных или потеря доверия партнеров и клиентов, можно активно бороться при помощи антишпионских решений, разработанных в соответствии с потребностями предприятия. Насколько эффективно это решение, можно определить, подсчитав сумму возврата инвестиций.
Администраторы и ответственные за ИТ должны разбираться в вопросах шпионского программного обеспечения. Регулярные обновления антишпионского решения, ответственный подход сотрудников к системам ИТ и целенаправленная политика безопасности в состоянии перечеркнуть планы преступников. Как утверждает Кевин Робертс, сама по себе проблема не решится: «Распространители шпионского программного обеспечения пользуются самыми передовыми технологиями. И пока они получают прибыль, шпионское программное обеспечение будет существовать».
Дэниэл Мазерсдейл — директор по маркетингу Webroot.
? AWi Verlag
Интервью с Герхардом Эшельбеком, техническим директором Webroot
В настоящее время Герхард Эшельбек работает техническим директором и занимает пост вице-президента компании Webroot. По мнению сотрудников Infoworld, в 2003 и 2004 гг. он был одним из 25 наиболее влиятельных технических директоров. Эшельбек выступал с докладами об исследованиях по управлению заплатами на различных конференциях и перед Конгрессом США.
LАNline: Какие наиболее заметные разработки в области шпионского программного обеспечения появились в последние 12 месяцев?
Эшельбек: В прошлом году его создатели предпринимали усилия в основном в трех направлениях. Во-первых, шпионское ПО все активнее распространяется через Internet, электронную почту и прочими путями. Кроме того, оно становится все более агрессивным, задействуя троянские программы и регистраторы клавиш, применение которых позволяет иметь неограниченный доступ к конфиденциальной информации. И наконец, разработчики все чаще пользуются средствами системного уровня Rootkit, так что шпионы становятся практически неуловимыми для пользователя.
LANline: Почему так сложно освободить инфицированную систему от шпионской программы?
Эшельбек: Она прячется в системе сразу в нескольких местах, и простой чисткой зараженных файлов здесь не обойтись. Инфицированию такого рода можно успешно противостоять лишь тогда, когда все следы на внешних носителях данных, в системной памяти, в реестре и т. д. будут полностью удалены, а они, как видно из перечисления, рассеяны по всей системе.
LANline: Возможно ли выяснить, от кого получено шпионское ПО?
Эшельбек: Разработчик шпионской программы никогда не работает ради любви к искусству, а стремится получить деньги криминальным путем. Обычно речь идет о разветвленном сообществе злоумышленников, где отдельные группы сотрудничают друг с другом с целью разработки и распространения шпионских программ, а потом совместно используют полученные данные. Поэтому найти действительных виновников довольно сложно.
LANline: Насколько значимо постоянное сканирование Internet для развития антишпионской отрасли?
Эшельбек: В отличие от почти уже «традиционных» вирусов шпионское программное обеспечение представляет собой очень быстро изменяющуюся и растущую угрозу для Internet. Для того чтобы предложить решение, которое позволило бы пользователям не превратиться в жертв, необходимо очень многое: постоянно следить за развитием, наблюдать за распространением шпионского ПО в реальном времени и смотреть, как и когда угроза меняется.
LANline: Каких разработок следует ждать в ближайшее время и чего надо опасаться предприятиям?
Эшельбек: И небольшие компании, и крупные предприятия все чаще устанавливают новые приложения, к примеру системы мгновенного обмена сообщениями или передачи голоса по IP. Разработчики шпионского программного обеспечения не оставляют без внимания этот факт и стремятся использовать слабые места. Эффективными средствами для защиты от шпионских программ являются обновление заплат, регулярный поиск шпионского ПО при помощи специализированных решений и надежный брандмауэр.