Киберпреступники взялись за «шприц»
Автор: Федор Смирнов
Количество вредоносного кода ежегодно возрастает в разы, — такая устойчивая
тенденция наблюдается на протяжении нескольких лет. Производители антивирусов регулярно выпускают «сводки с фронта», в которых фигурируют трехзначные показатели роста. В свежем отчете компании ScanSafe утверждается, что количество веб-угроз в первом полугодии 2008 выросло на 278% по сравнению с предыдущим периодом.
Впечатляющие цифры сопровождаются рассказом о качественных изменениях в структуре интернет-напастей. Если еще совсем недавно бал правили фишеры и adware, то теперь настало время SQL-инъекций. Год назад известные сайты взламывали, в основном, с целью дефейса, теперь их превращают в эффективных разносчиков компьютерной «заразы».
У страха глаза велики
В то, что за минувшие шесть месяцев количество зловредов успело утроиться, готовы поверить не все участники рынка. В «Лаборатории Касперского» готовят собственный полугодовой отчет, однако по предварительным данным рост ИБ-угроз составил 190%. Александр Гостев, ведущий антивирусный аналитик компании, назвал заявленный ScanSafe показатель «вполне адекватным», если экстраполировать эту цифру на весь 2007 год.
Двукратный рост подтверждает Кирилл Леонов, представляющий Dr.Web. Григорий Васильев, технический директор ESET, конкретных цифр не назвал, однако также признал оценку ScanSafe завышенной.
«Указанная динамика роста веб-угроз впечатляет, но, к сожалению, соответствует действительности», — прокомментировал Михаил Кондрашин, глава представительства Trend Micro в России. По статистике компании, опубликованной в начале июля, количество зловредов демонстрирует еще более стремительный рост. В декабре 2007 года аналитиками Trend Micro было зафиксировано 12 млн. веб-угроз, а в марте 2008 – эта цифра выросла до 50 млн.
Даже если численность зловредов выросла не в 3-4 раза, а всего лишь удвоилась, спокойствия пользователям это не добавляет. Особенно на фоне утверждений о том, что теперь опасность подстерегает их преимущественно на хорошо знакомых сайтах, которым они привыкли доверять. Если раньше АВ-компании пытались пробудить в юзерах бдительность, то отныне, если верить ScanSafe, даже самые недоверчивые запросто могут стать жертвой злоумышленников.
76% всех взломанных сайтов в июне пришлось на так называемые SQL-инъекции. Злоумышленникам достаточно внедрить собственный SQL-код в текст запроса, и они смогут прочитать содержимое таблиц, изменить, удалить или добавить информацию. Возможно такое, разумеется, только в том случае, если сайтовладелец не позаботился о корректной обработке входящих данных в запросах. На поверку в числе забывчивых и застигнутых врасплох оказываются многие известные ресурсы. ScanSafe, например, рапортует о зафиксированных атаках на сайты Wal-Mart, Business Week, Race for Life. 22 июля появилось сообщение о взломе малазийского ресурса «Лаборатории Касперского», который был совершен путем SQL-инъекции.
«Взломанные сайты, как правило, обладают широкой известностью, высоким уровнем пользовательского доверия и решают бизнес-задачи», — отмечает Мэри Ландесман (Mary Landesman) из ScanSafe. – Это сайты с хорошей посещаемостью, и атаки осуществляются настолько осторожно, что большинство пользователей даже не подозревает о заражении».
Социальным инженерам рано на пенсию
Популярность SQL-инъекций в современном арсенале киберпреступника не ставит под сомнение ни один из участников отечественного АВ-рынка. Александр Гостев полагает, что виной тому, в основном, Internet Explorer 6.x. Следствием его высокой популярности стали десятки уязвимостей, обнаруженные в этой версии браузера за последние несколько лет. Многие дыры Microsoft уже успела залатать, однако сами пользователи не торопятся устанавливать патчи.
Не стоит сбрасывать со счетов и социальную инженерию. Виталий Янко, директор по продажам и маркетингу компании Agnitum, считает эксплуатацию уязвимостей в отрыве от «человеческого фактора» неэффективной. Как правило, технологические лидеры в анализе вредоносного трафика – Google, Mozilla и АВ-компании — оперативно закрывают доступ к зараженным сайтам. Кстати, поиском вирусных аналитиков на открытые вакансии активно занимается «Яндекс».
«Социальная инженерия никуда не делась — человек по-прежнему является самым слабым звеном системы, однако растущее число уязвимостей в веб-приложениях и серверных системах, а также их эксплуатация в промышленных масштабах, несомненно, вносят дисбаланс в это соотношение», — высказал свою точку зрения Кирилл Леонов , PR-менеджер компании Dr.Web.
В отчете Trend Micro говорится о многокомпонентном и многоэтапном характере современных угроз ИБ, поэтому сравнивать SQL-инъекции и социальную инженерию некорректно. Кстати, по статистике компании, в марте 2008 года было зафиксировано более 400 фишинговых структур, созданных для имитации социальных сайтов.
На прошлой неделе об очередной «социальной» атаке на пользователей «Вконтакте» сообщила «Лаборатория Касперского». Спам-сообщения, приходившие от знакомых людей, содержали ссылку на порносайт, где пользователям под видом кодека загружалась троянская программа. Таким образом, по данным антивирусной компании, было похищено около 4000 пользовательских аккаунтов.
Огородить и забанить
Способы борьбы с SQL-инъекциями остаются традиционными. Антивирус должен заблокировать вредоносный код при заходе на зараженный сайт. Неплохо было бы также предупреждать пользователя об опасности, для чего создаются «черные списки».
Dr.Web предлагает специальный плагин к браузеру Mozilla под названием LinkChecker. С его помощью пользователь может проверить любые ссылки на странице, не загружая их. В стадии бета-тестирования находится инструмент WorryFree SecureSite, разработанный TrendMicro. Его целевой аудиторией являются сайтовладельцы, озабоченные «здоровьем» собственного ресурса.
У «Лаборатории Касперского» средством защиты от подобных угроз является Web-Antivirus – специальный модуль АВ-продукта, который в режиме реального времени проверяет все посещаемые пользователем сайты. Дополнительно используется практика «черных списков», куда заносятся подозрительные IP-адреса и сайты.