Саммит вирусных аналитиков

Компания «Лаборатория Касперского» провела девятый саммит вирусных аналитиков. На нем были представлены четыре доклада и состоялся круглый стол.

Выступление Костина Раю (Costin Raiu), ведущего эксперта по безопасности «Лаборатории Касперского», ЕМЕА, было посвящено вирусным атакам и защите интернет-банкинга. В докладе автор рассмотрел эволюцию вредоносного ПО и высказал предположение, что в ближайшем будущем оно будет обладать искусственным интеллектом, а борьба с ним выльется в противостояние ему интеллекта человека. К. Раю в качестве первых наступательных шагов в борьбе рассматривает существующие антивирусные решения.

Дэвид Эмм (David Emm), ведущий региональный эксперт «Лаборатории Касперс-кого» в Великобритании, рассмотрел проблему «Кибер-
преступность как бизнес». Он отметил, что вирусописатели оставили в прошлом амбиции хулиганов от программирования и твердо встали на путь реализации своих «нечеловеческих способностей» в киберпреступлениях. Обычными в киберпространстве стали такие понятия реального мира, как, например, ценник услуг, кроме того, появилась организованная международная преступность со своими «паханами» вроде Dr. No.

Количественный рост преступных групп приводит к сокращению жизненного цикла вирусов, увеличению числа их сигнатур и нагрузки на AV-программы. Значительно расширяется состав malware-средств (вредоносного ПО) в виде бот-сетей и интернет-червей, а также становится больше областей, подвергающихся атакам киберпреступников: отдельные ПК, сети ПК, банки, сетевые ресурсы, социальные сети, игровые ресурсы и др. Характер угроз, таким образом, формируют либо троянцы, либо киберпреступления. При спаде глобальных эпидемий, вызванных вирусами, возросло количество киберпреступлений, в основе которых лежат мелкомасштабные атаки, преследующие разведывательные цели, а также вредоносные программы, выводящие из строя системы ИТ-защиты и борющиеся за владение «жертвами», т.е. попавшимися пользователями. Все это теперь определяет проблему безопасности как необходимость борьбы с киберпреступлениями.

Стала актуальной проблема «Экосистемы вредоносного ПО служат бизнесу киберпреступников». Более того, эти экосистемы отвечают самым передовым представлениям о структуре, составе и свойствах программных систем (в частности, Cybercrime aaS).

Разработчики для создания исполняемого файла используют современные компилирующие программы на Си++ и ассемблере, скрипты, макро- и другие программы, простые и сложные приложения, инструменты для автоматической генерации кода. Развиваются средства самозащиты вредоносного ПО вроде компрессии и шифрования программ, обфускации (obfuscation  — «запутывание»), различных технологий сокрытия образов или текстов и внедрения кода в процесс обработки информации. То же самое можно сказать о размещении и внедрении вредоносных программ, а также об управлении зараженными компьютерами. Интерес киберпреступников распространился на кражу данных и в его сферу попали как частные лица и представители бизнеса, так и государственные и военные организации. Между хакерами даже ведется междуусобная война. Киберпреступность уже реализуется в форме услуг. Появляются политически мотивированные атаки: Эстония, Астрахань и Краснодар, Маршалловы Острова и Грузия.

Реально киберпреступность остается, как, впрочем, и преступность вообще, но следует позаботиться об уменьшении рисков. Для этого нужно использовать технологические средства защиты, обеспечивать соблюдение законов и снизить роль человеческого фактора, развернув просветительскую деятельность.

Сергей Голованов, старший вирусный аналитик «Лаборатории Касперского», в своем выступлении рассмотрел атаки хакеров с помощью вредоносного ПО на социальные сети. По мнению докладчика, угрозы не зависят от типа сети. В качестве причин атак следует рассматривать интерес злоумышленников к создаваемому пользователями контенту. Виды угроз связаны с кражами паролей и персональной информации, а также с дезинформацией, исходящей от пользователя социальной сети. В докладе были показаны схемы различных атак и способов их сокрытия. С. Голованов показал в реальном времени расследование эпидемии заражения. Чтобы обеспечить самозащиту в социальной сети, докладчик рекомендует руководствоваться принципом «доверяй, но проверяй».

Киберпреступность базируется на переходе от вирусов к троянским программам, от компьютерного хулиганства к предумышленному преступлению, а также рассматривает в качестве цели вредоносного ПО получение финансовой прибыли. Киберпреступность становится высокодоходной индустрией.

Поскольку системы безопасности интернет-банкинга базируются в основном на простой и многофакторной аутентификации пользователя, то и атаки выстраиваются для кражи паролей пользователей с помощью программ-кейлоггеров  (втайне от пользователя осуществляющих перехват информации при нажатии клавишей или с экрана), либо троянских программ или методов социальной инженерии, например фишинга. Для преодоления многофакторной аутентификации обычно используются специальные троянские программы.

В качестве рекомендуемых решений по обеспечению безопасности систем интернет-банкинга К. Раю предложил частные AVP-средства, использование которых основано на организационных методах поддержки их работы. Так, программный комплекс Kaspersky Internet Security 2009 включает виртуальную клавиатуру для безопасного ввода логинов и паролей, а также модуль проактивной защиты компонентов подсистемы безопасности, в том числе реестра, с возможностью обнаружения уязвимостей. Кроме того, предлагается воспользоваться договором о сервисном обслуживании. Все это вместе с подтверждением транзакций по телефону или посредством SMS-сообщений, с использованием интернет-банкинга (через смартфон) и токенов в качестве устройств аутентификации пользователя обеспечивает приемлемый уровень безопасности.

Завершающее выступление на саммите Виталия Камлюка, ведущего антивирусного эксперта компании «Лаборатория Касперского», было посвящено взгляду изнутри на информационную войну, связанную с киберпреступлениями. Он, как и другие выступившие на саммите, подтвердил, что деньги стали существенной причиной борьбы добра со злом. В качестве стратегии в ней выступают традиционное поведение сторон и современные способы борьбы. Со стороны зла — это знакомое заражение простыми и полиморфными вирусами, а добра или защиты — противодействие с помощью дезинфекции и унификации (деморфизма полиморфного вируса). Кроме того, нападающая сторона может использовать сжатие и шифрование вредоносной программы, а защищающаяся противостоит с помощью ее распаковки или декодирования.

547