Заметки о сетевой безопастности

Житель Нью-Йорка, подозреваемый в краже денежных средств с кредитных карточек, в ходе допроса проглотил собственный USB-накопитель Kingston. Теперь к списку обвинений будет добавлен еще один пункт — «препятствование отправлению правосудия».

21 января 2010 года Флорин Некула (Florin Necula) был арестован возле здания банка в районе Куинс, Нью-Йорк, США. Полиция подозревала, что Некула с сообщниками помещали в банкоматы устройство, считывающее информацию с магнитной полоски на карте.

В ходе допроса Некула достал флэш-накопитель, который имел при себе во время ареста, и проглотил его на глазах у следователей, сообщается в отчете агента Джозефа Боргера (Joseph Borger).

Источник издания The Smoking Gun сообщает, что флэшку из желудка Некулы удалили врачи из местного госпиталя — они опасались, что здоровью подсудимого будет нанесен урон, если предмет будет оставаться внутри. Естественным путем USB-накопитель вывести из организма не удалось.

Удалось ли спасти данные с флэшки, пока неизвестно. Журналисты The Smoking Gun связалась с компанией Kingston и спросили, оказывает ли желудочный сок воздействие на USB-накопители. Сотрудник Kingston Майк Сагер (Mike Sager) ответил, что не владеет информацией, так как компания не проводила соответствующих испытаний.

Один из ведущих руководителей Microsoft, Скотт Чарни предложил создать некий аналог системы здравоохранения для зараженных компьютеров и обозначил возможные источники финансирования для оплаты простоев на время карантина.

Что происходит с человеком, когда он заражается инфекционным заболеванием? За многие годы выработана четкая система мер – наблюдение, изоляция и лечение. Заболевшему человеку оплачивается отпуск по болезни. Похожим образом Скотт Чарни предлагает поступать с компьютерами. По его мнению, дешевле вывести зараженный ПК из эксплуатации на какое-то время, уничтожить все вредоносные программы и затем снова вернуть ПК к работе, чем оплачивать возможные издержки, если, например, ПК стал частью ботнета и владельцев этого ПК обвинили в рассылке спама, пусть и ненамеренной.

Безусловно, «больничные» и карантин для зараженных ПК могут стать интересной мерой по борьбе с вредоносным ПО – вирусами, червями, троянцами, ботнетами и др. Тем не менее, Чарни никак не касается еще одной стороны вопроса – что должны делать пользователи ПК, пока их компьютер находится в карантине? Изоляцию зараженных ПК от остальных компьютеров в локальной сети и в Интернете предлагается осуществлять силами провайдеров, но это стоит денег и немалых.

Чтобы найти средства для ограждения Интернета от заведомо зараженных компьютеров, Чарни предлагает ввести специальный налог на сетевую безопасность. По сути, пользователи всех ПК будут оплачивать борьбу с сетевой «заразой», как сейчас это происходит с тарифами на стационарные телефоны – высокая фиксированная плата за телефон в городах позволяет поддерживать сравнительно небольшую плату за телефон в малонаселенных районах, где прокладка и обслуживание линий связи обходятся гораздо дороже.

В Испании арестованы трое создателей одной из крупнейших компьютерных вирусных сетей Mariposa. В нее входили около 12,7 миллиона компьютеров по всему миру. У владельцев этих ПК хакеры воровали финансовые данные, а сами компьютеры использовались для рассылки спама и атак на сайты.

В полиции говорят, что решение о виновности задержанной троицы будет принимать суд, но у самих полицейских есть доказательство в пользу того, что именно задержанные стоят за созданием бот-сети Mariposa (по-испански «бабочка»). Предполагается, что в число зараженных троянами компьютеров входили машины около половины компаний из списка крупнейших компаний США Fortune 1000, а также более 40 крупных банков. В общей сложности сеть распространилась более чем по 190 странам мира.

В ИТ-компании Defence Intelligence, консультировавшей полицию по техническим вопросам в момент задержания, говорят, что совместными усилиями им удалось блокировать работу Mariposa и многие европейские пользователи уже ощутили падение объемов спама. Как отмечает представитель участвовавшей в расследовании испанской компании Panda Security Педро Бустаманте (Pedro Bustamante), компьютерная программа Mariposa, использовавшаяся для заражения компьютеров, создана профессионалами и «очень эффективна».

Вирус был запрограммирован на хищение всех параметров доступа (логины, пароли) пользователя, а также на фиксирование каждого нажатия клавиши инфицированного компьютера. Затем эта информация отсылалась в своеобразный «командный центр», где основные специалисты сети сохраняли и обрабатывали ее.

«Хакеры брались за любую деятельность, связанную с незаконным доступом к компьютерам. Все, что могло принести им прибыль», – говорят в Defence Intelligence.

Изначально Mariposa распространяла свои троянцы через уязвимости в браузере Microsoft Internet Explorer, а также через рассылку вредоносных данных посредством сети Microsoft MSN. В Panda Security сообщают, что двое из организаторов были задержаны в феврале, еще двое подозреваемых – вчера.

По данным полиции, расследование и борьба с Mariposa проводились при посредничестве частных компаний, специализирующихся на информационной безопасности. Всего за время расследования были арестованы три лидера преступной группировки.

Окончательные результаты расследования, как ожидается, будут оглашены в ходе намеченного на сегодня совещания в Мадриде. Однако, по словам полицейских, властям еще предстоит совершить ряд арестов по делу Mariposa.

По оценкам независимых экспертов, ежегодно тайпсквоттеры зарабатывают на компании Google в сумме около 500 млн долларов. Эксперты отмечают, что тайп-домены регистрируются как частными пользователями, так и компаниями.

Тайпсквоттинг представляет собой регистрацию доменных имён, близких по написанию с адресами популярных сайтов в расчёте на ошибку части пользователей.

При близости к очень популярным доменам тайпсквоттер может собрать на своём сайте достаточно большой процент «промахнувшихся» посетителей и заработать за счёт показа рекламы. Или, если пользователь собрался ввести логин и пароль на оригинальном сайте, а ввел их на подложном, то тайпсквоттер-злоумышленник может получить эти данные для дальнейшего несанкционированного доступа к чужой информации. В большинстве развитых стран тайпсквоттинг торговых марок, как и их киберсквоттинг, является незаконной деятельностью и защищается различными постановлениями и законами о продажах.

По сообщению компании McAfee, в 2009 году феномен тайпсквоттинга был особенно распространён на сайтах Камеруна, так как домен этой страны (СМ) отличается лишь одной буквой от популярного международного домена СОМ. Каждый третий сайт, зарегистрированный в домене СМ, создан тайпсквоттерами, то есть является фальшивой копией какого-либо сайта в домене СОМ и существует лишь для того, чтобы обманным путём выманить секретную информацию о пользователе или показать ему рекламу. Наименее подверженными тайпсквоттингу доменами являются GOV, JP (Япония) и EDU.

В случае с Google тайп-домены окружают компанию со всех стороны. Гарвардские специалисты попытались подсчитать, сколько именно владельцы тайп-доменов могут получить от эксплуатации google-подобных доменов. Пользуясь статистическим данным системы Alexa.com исследователи на базе 3264 наиболее популярных в сети доменов установили, что в среднем каждый настоящий популярный домен окружен примерно 280 тайп-доменами.

Далее программное обеспечение для индексирования проверило 285 000 сайтов из полученных 900 000 тайп-доменов, и авторы исследования попытались подсчитать сколько мошенники смогут заработать на рекламе.

По данным расчетов, только на первой 100 000 тайп-доменов пользователи совершали около 68 млн заходов в день. 60% из этих визитов представляли собой заходы пользователей, которые пытались попасть на сайты Google. Если тайпсквоттер устанавливает рекламу, реагирующую на хиты, то в год на такой рекламе мошенники могут заработать около 487 млн долларов.

В компании Google согласились с представленными расчетами, дополнив, что компания всегда боролась с мошенниками. Напомним, что в 2009 году выручка Google составила 29 млрд долларов, причем 97% от этой суммы компания получила также за счет рекламы.
via http://securitylab.ru

Хакерские атаки 2009 года, направленные на программное обеспечение, чаще всего затрагивали уязвимости в пакете Acrobat и приложении Acrobat Reader компании Adobe Systems, утверждают специалисты ScanSafe. По оценкам компании, в четвертом квартале зараженные документы в формате Adobe PDF применялись в 80 процентах хакерских атак.

На протяжении всего 2009 года аналитики американской фирмы по компьютерной безопасности отмечали рост доли PDF-файлов в общем числе хакерских атак. В первом квартале она составила 56 процентов от всех эксплойтов, обнаруженных ScanSafe. Во втором и третьем кварталах доля превысила 60 и 70 процентов соответственно.

По мнению специалистов, хакерские нападения на пользовательские компьютерные системы посредством уязвимостей в Acrobat обусловлены в первую очередь огромной популярностью PDF-файлов как универсального формата документов.

Результатом повышенного внимания хакеров к программам Adobe стал рост числа обнаруженных уязвимостей. Так, по данным публичной базы данных уязвимостей и незащищенностей Common Vulnerabilities and Exposures (CVE), в 2006 году количество обнаруженных Acrobat-дефектов составляло 35, через два года их уже было выявлено 58, а в 2009-м — 107.

Adobe продолжает активно исправлять найденные ошибки. Также компания рекомендует клиентам проявлять бдительность: отключать JavaScrip в Reader и Acrobat и не использовать плагин для чтения файлов Reader в браузере.
via ScanSafe