Неизменность названия может вводить в заблуждение, однако управляемые вредоносные программы, формирующие бот-сети, обновляются с той частотой и загружают ту функциональность, которые необходимы злоумышленникам.

Другая глобальная тенденция — возникновение новых направлений атаки для виртуализованных и облачных сред. Один из возможных сценариев атаки на облачные сервисы — перегрузка системы массовыми запросами, поступающими из бот-сетей. Злоумышленники могут выводить сервисы из строя или же вымогать деньги, угрожая такими атаками.

Один из основных рисков для виртуализованных сред — атака на гипервизор. Гипервизор контролирует все аспекты работы виртуальных машин, и его защита жизненно важна, подчеркивают в Trend Micro. Главной целью вредоносного кода здесь является программный интерфейс (API), с помощью которого виртуальные машины и гипервизор обмениваются управляющей информацией. Средства виртуализации компаний, опубликовавших свои API (как это сделано в отношении Amazon Web Services), будут более уязвимы, чем тех, которые не раскрывают детали этих интерфейсов.

Постоянной заботой провайдеров станет стабильность и защищенность глобальной инфраструктуры маршрутизации. В 2008 году уже имело место вмешательство в глобальные таблицы маршрутизации на государственном уровне, а в 2009 году по вине небольшого чешского интернет-провайдера была нарушена работа сопредельных маршрутизаторов, что привело к широкомасштабным перерывам в связи. Основным риском в этой области станут, однако, не диверсии, а ошибки в настройках и ПО маршрутизации. Как отмечают в Trend Micro, протоколы BGP и DNS разрабатывались в расчете на меньшие нагрузки, нежели те, которые имеют место сегодня, и рассчитаны на более скромные требования к безопасности.

Обыденностью, как предсказывается, станут такие атаки, когда для заражения будет достаточно одного посещения инфицированного сайта.

Станут более распространенными атаки на мобильные устройства по мере их унификации и увеличения количества обрабатываемой на них ценной информации. В 2009 году была зарегистрирована бот-сеть на платформе Symbian, компоненты которой распространялись по SMS; она была предназначена для копирования информации IMEI; другая сеть развертывалась на аппаратах iPhone со взломанной защитой от установки несертифицированных программ и была нацелена на клиентов банков в Нидерландах; собранная информация передавалась на управляющий сервер в Литве.

Среди прочих новых опасностей — возможность подмены доменных имен с использованием букв национальных алфавитов, имеющих сходное начертание, и появление скрытых каналов передачи данных при использовании IPv6.

Говоря о текущем разнообразии киберугроз, в TrendMicro отмечают, что вредоносные программы меняют свою форму каждые несколько часов, а новые образцы кода появляются с интервалом в полторы секунды. Стопроцентная защита от угроз в таких условиях невозможна, но сочетание различных способов -- например, контроль репутации источников данных и файлов, реализованных, в частности, в системе защиты Trend Micro Smart Protection Network,-- позволяет исключить подавляющее большинство рисков. По данным недавно опубликованного отчета NSS Labs, уровень защиты рабочих станций от угроз загрузки и исполнения вредоносных программ с применением методов социальной инженерии (на реальных примерах) обеспечивался продуктами компании на 96,4%. Этот показатель стал отраслевым рекордом.


Опасные провайдеры

По словам Раймунда Генеса, заставить провайдеров бороться со спамом может только правительство Через провайдеров проходят огромные объемы информации, поэтому такие компании подвержены двум рискам. Во-первых, они представляют значительный интерес для злоумышленников, которые могут подкупать сотрудников провайдерской фирмы, или угрожать им с целью получить доступ к информации, или же сами устраиваться туда на работу; во-вторых, нечестные сотрудники могут пожелать сами извлечь выгоду из ресурсов, к которым имеют доступ. Беседа с Раймундом Генесом, техническим директором Trend Micro, показала, что даже в такой передовой стране, как США, борьба с недобросовестными провайдерами может быть сопряжена с очень большими сложностями, а отсутствие у Интернета государственных границ делает ее почти безрезультатной. В прошлом году, вспоминает Генес, в США действовал провайдер McColo (см. "Главные сюжеты 2008 года: бизнес не как обычно", Computerworld Online, 12 января 2009), поддерживающий, в частности, серверы управления бот-сетями. Об этом было известно всем компаниям информационной безопасности, ФБР и другим компетентным органам, однако McColo продолжал работать.

"Это не Дикий Запад, вы не можете просто взять и перерезать кабели, — говорит Генес. — Нужен обвинительный акт". Если же у ответчика хорошие юристы, как у McColo, он может тянуть, тянуть и тянуть. В конце концов криминальный провайдер все же был закрыт, и некоторое время бот-сети простаивали. Спустя несколько дней, однако, McColo вынудил своего резервного вышестоящего провайдера открыть ему временный доступ и перенастроил сети на работу с новыми серверами управления, размещенными уже в Китае.

Многие провайдеры, по словам Генеса, не принимают мер к борьбе со спамом просто потому, что им это невыгодно. "Они не хотят даже видеть наших списков с IP-адресами [с которых рассылается спам]", — жалуется технический директор Trend Micro. Антивирусным компаниям доступны лишь IP-адреса, которые постоянно меняются, поэтому пользователей, с чьих компьютеров рассылается спам, самостоятельно они установить не могут. Провайдеры отказываются сотрудничать, поскольку им потребуется информировать пользователей, пользователи станут звонить в службу технической поддержки, в результате расходы возрастут. "До тех пор пока правительство не заставит провайдеров бороться со спамом, ситуация, к сожалению, не улучшится", — констатировал Генес.

Поделитесь материалом с коллегами и друзьями