Заметки о сетевой безопастности

Житель Нью-Йорка, подозреваемый в краже денежных средств с кредитных карточек, в ходе допроса проглотил собственный USB-накопитель Kingston. Теперь к списку обвинений будет добавлен еще один пункт — «препятствование отправлению правосудия».

21 января 2010 года Флорин Некула (Florin Necula) был арестован возле здания банка в районе Куинс, Нью-Йорк, США. Полиция подозревала, что Некула с сообщниками помещали в банкоматы устройство, считывающее информацию с магнитной полоски на карте.

В ходе допроса Некула достал флэш-накопитель, который имел при себе во время ареста, и проглотил его на глазах у следователей, сообщается в отчете агента Джозефа Боргера (Joseph Borger).

Источник издания The Smoking Gun сообщает, что флэшку из желудка Некулы удалили врачи из местного госпиталя — они опасались, что здоровью подсудимого будет нанесен урон, если предмет будет оставаться внутри. Естественным путем USB-накопитель вывести из организма не удалось.

Удалось ли спасти данные с флэшки, пока неизвестно. Журналисты The Smoking Gun связалась с компанией Kingston и спросили, оказывает ли желудочный сок воздействие на USB-накопители. Сотрудник Kingston Майк Сагер (Mike Sager) ответил, что не владеет информацией, так как компания не проводила соответствующих испытаний.

Один из ведущих руководителей Microsoft, Скотт Чарни предложил создать некий аналог системы здравоохранения для зараженных компьютеров и обозначил возможные источники финансирования для оплаты простоев на время карантина.

Что происходит с человеком, когда он заражается инфекционным заболеванием? За многие годы выработана четкая система мер – наблюдение, изоляция и лечение. Заболевшему человеку оплачивается отпуск по болезни. Похожим образом Скотт Чарни предлагает поступать с компьютерами. По его мнению, дешевле вывести зараженный ПК из эксплуатации на какое-то время, уничтожить все вредоносные программы и затем снова вернуть ПК к работе, чем оплачивать возможные издержки, если, например, ПК стал частью ботнета и владельцев этого ПК обвинили в рассылке спама, пусть и ненамеренной.

Безусловно, «больничные» и карантин для зараженных ПК могут стать интересной мерой по борьбе с вредоносным ПО – вирусами, червями, троянцами, ботнетами и др. Тем не менее, Чарни никак не касается еще одной стороны вопроса – что должны делать пользователи ПК, пока их компьютер находится в карантине? Изоляцию зараженных ПК от остальных компьютеров в локальной сети и в Интернете предлагается осуществлять силами провайдеров, но это стоит денег и немалых.

Чтобы найти средства для ограждения Интернета от заведомо зараженных компьютеров, Чарни предлагает ввести специальный налог на сетевую безопасность. По сути, пользователи всех ПК будут оплачивать борьбу с сетевой «заразой», как сейчас это происходит с тарифами на стационарные телефоны – высокая фиксированная плата за телефон в городах позволяет поддерживать сравнительно небольшую плату за телефон в малонаселенных районах, где прокладка и обслуживание линий связи обходятся гораздо дороже.

В Испании арестованы трое создателей одной из крупнейших компьютерных вирусных сетей Mariposa. В нее входили около 12,7 миллиона компьютеров по всему миру. У владельцев этих ПК хакеры воровали финансовые данные, а сами компьютеры использовались для рассылки спама и атак на сайты.

В полиции говорят, что решение о виновности задержанной троицы будет принимать суд, но у самих полицейских есть доказательство в пользу того, что именно задержанные стоят за созданием бот-сети Mariposa (по-испански «бабочка»). Предполагается, что в число зараженных троянами компьютеров входили машины около половины компаний из списка крупнейших компаний США Fortune 1000, а также более 40 крупных банков. В общей сложности сеть распространилась более чем по 190 странам мира.

В ИТ-компании Defence Intelligence, консультировавшей полицию по техническим вопросам в момент задержания, говорят, что совместными усилиями им удалось блокировать работу Mariposa и многие европейские пользователи уже ощутили падение объемов спама. Как отмечает представитель участвовавшей в расследовании испанской компании Panda Security Педро Бустаманте (Pedro Bustamante), компьютерная программа Mariposa, использовавшаяся для заражения компьютеров, создана профессионалами и «очень эффективна».

Вирус был запрограммирован на хищение всех параметров доступа (логины, пароли) пользователя, а также на фиксирование каждого нажатия клавиши инфицированного компьютера. Затем эта информация отсылалась в своеобразный «командный центр», где основные специалисты сети сохраняли и обрабатывали ее.

«Хакеры брались за любую деятельность, связанную с незаконным доступом к компьютерам. Все, что могло принести им прибыль», – говорят в Defence Intelligence.

Изначально Mariposa распространяла свои троянцы через уязвимости в браузере Microsoft Internet Explorer, а также через рассылку вредоносных данных посредством сети Microsoft MSN. В Panda Security сообщают, что двое из организаторов были задержаны в феврале, еще двое подозреваемых – вчера.

По данным полиции, расследование и борьба с Mariposa проводились при посредничестве частных компаний, специализирующихся на информационной безопасности. Всего за время расследования были арестованы три лидера преступной группировки.

Окончательные результаты расследования, как ожидается, будут оглашены в ходе намеченного на сегодня совещания в Мадриде. Однако, по словам полицейских, властям еще предстоит совершить ряд арестов по делу Mariposa.