Что угрожает современному пользователю
Эксплойты, связанные с документами различных форматов
Файлы форматов Microsoft Office
Тенденции в области возникновения брешей в системах безопасности
Картина угроз в домашних и корпоративных условиях
Показатели заражения различных ОС семейства Windows
Угрозы, связанные с электронной почтой
Ложные средства обеспечения безопасности
Недавно корпорация Microsoft выпустила шестой глобальный отчет по информационной безопасности (Microsoft Security Intelligence Report. Vol. 6. July through December 2008). Этот документ, свободно доступный для загрузки, обобщает данные об основных угрозах информационной безопасности, полученные благодаря анализу опубликованных в открытых источниках данных об инцидентах и статистики самой корпорации Microsoft, а также описывает возможные меры противодействия угрозам и способы юридического преследования компаний и лиц, производящих и распространяющих вредоносное ПО. В данной публикации мы обсудим наиболее интересные данные, приведенные в этом отчете.
Выявленные уязвимости
Уязвимостями считаются слабые стороны программного обеспечения, которые позволяют злоумышленнику нарушить его целостность, доступность или конфиденциальность. Общее количество выявленных уникальных уязвимостей сократилось за второе полугодие 2008 года на 3%, а за год — на 12%. Количество же уязвимостей, степень опасности которых по общей системе оценки уязвимостей CVSS версии 2 (Common Vulnerability Scoring System — отраслевой стандарт оценки опасности уязвимостей ПО) оценивается как высокая, напротив, увеличилось на 4% (рис. 1).
Рис. 1. Количество уязвимостей, выявленных в отрасли, по степени серьезности,
согласно CVSS версии 2, по полугодиям (с 2003 г.)
Аналогично количеству уязвимостей высокой степени опасности увеличилась и доля выявленных уязвимостей, которые легко использовать. Сейчас 56% от общего числа уязвимостей требуют использования эксплойта низкой степени сложности. В отчете также отмечено, что доля уязвимостей в отрасли, обнаруженных в операционных системах, продолжает сокращаться и сейчас более 90% от общего числа выявленных уязвимостей относятся к приложениям и браузерам (рис. 2).
Рис. 2. Количество уязвимостей, затрагивающих операционные системы,
браузеры и другое ПО
Отметим, что один из самых эффективных способов борьбы с уязвимостями — сообщение о них непосредственно производителю того ПО, чью продукцию они затрагивают, до того, как сведения о них примут характер распространенных (так называемое ответственное обнаружение). Подобные действия позволяют защитить пользователей благодаря тому, что обновления для системы безопасности таких продуктов будут выпущены до того, как об уязвимостях узнают злоумышленники. Отметим, что за второе полугодие 2008 года с помощью ответственного обнаружения корпорацией Microsoft было выявлено 70,6% уязвимостей (в первом полугодии — 78,2%) благодаря взаимодействию с сообществами специалистов в области безопасности.
Эксплойты в браузерах
Для оценки относительной распространенности эксплойтов в браузерах специалисты корпорации Microsoft проанализировали образцы данных, полученные при изучении уязвимостей в системе безопасности, о которых сообщалось пользователями, а также переданные образцы вредоносного кода и отчеты об ошибках операционной системы Microsoft Windows. Эти данные охватывают несколько операционных систем и версий браузеров и включают сведения о браузерах сторонних производителей, использующих механизм визуализации Internet Explorer, называемый Trident.4. Отметим, что языком систем, наиболее часто становившихся жертвами использования эксплойтов в браузерах (32,4% от общего количества случаев), оказался английский (США), за ним с показателем 25,6% следует китайский (упрощенное письмо), а атакованные русскоязычные системы составили 7,9% случаев.
Из общего количества атак, проведенных с применением уязвимостей в браузерах на компьютерах под управлением Windows XP, атаки посредством уязвимостей программного обеспечения Microsoft составили 40,9% (второе полугодие 2008 года), а в предыдущем полугодии — 42,0%. На компьютерах под управлением Windows Vista доля атакованного программного обеспечения Microsoft оказалась гораздо меньше и составила всего 5,5% от общего числа, тогда как в предыдущем полугодии — 6,0% (рис. 3).
Рис. 3. Эксплойты, целью которых является ПО Microsoft и сторонних производителей,
установленные на компьютерах под управлением различных ОС:
а — Windows XP; б —Windows Vista
Эксплойты, связанные с документами различных форматов
В качестве источников эксплойтов злоумышленники все более активно используют файлы стандартных форматов. Хотя сегодня большинство программ для работы с электронной почтой и обмена мгновенными сообщениями блокируют передачу потенциально опасных файлов, ориентируясь на их расширения, тем не менее они позволяют передавать файлы широко применяемых форматов, например Microsoft Office и Adobe PDF, — ведь подобные файлы широко используются в повседневной работе многими компаниями. То, что такие файлы, как правило, не блокируются почтовыми системами, и сделало их привлекательной мишенью для разработчиков эксплойтов.
Файлы форматов Microsoft Office
Как ни странно, наиболее часто применяемыми уязвимостями в ПО Microsoft Office являются самые старые из них. С одной-единственной уязвимостью, исправление безопасности для которой было выпущено более двух лет назад, связано 91,3% от общего количества проанализированных атак. Иными словами, в большинстве случаев атакованные приложения оказывались версиями приложений, для которых не были установлены текущие пакеты обновления, и для каждого из таких приложений подавляющее большинство атак пришлось на RTM-версию приложения, для которой не были установлены пакеты обновления. Например, 100% атак против приложений Office 2000 были направлены на RTM-версию этого пакета от 1999 года, несмотря на то что с 2000-го для него было выпущено множество пакетов обновления и обновлений для системы безопасности.
Достаточно странным, однако, представляется факт отсутствия упоминания о семействе продуктов Microsoft Office 2007 — ведь внедрений этой версии данного семейства продуктов даже в корпоративном секторе, традиционно более консервативном в плане обновления версий ПО, нежели сектор домашних пользователей, сегодня более чем достаточно. Если бы в данном продукте не было ни одной уязвимости, это, безусловно, было бы отражено в данном отчете.
Отметим, что, как и в случае с уязвимостями браузеров, языком приложений, наиболее часто становившихся жертвами атак (32,5% от общего количества атак), является английский. Русскоязычные офисные приложения составили 12% от атакованных систем.
Файлы формата Adobe PDF
Показатель использования файлов формата PDF в качестве вектора атаки резко возрос во втором полугодии 2008 года. Так, в июле количество подобных атак более чем вдвое превысило общее количество атак за все первое полугодие и почти удвоилось за оставшиеся месяцы указанного года. Объектом атак стали две уязвимости приложений Adobe для просмотра файлов этого формата. На данный момент компанией Adobe для них выпущены соответствующие обновления системы безопасности.
Тенденции в области возникновения брешей в системах безопасности
Во втором полугодии основной выявленной причиной утечки данных из-за брешей в системах безопасности, как и ранее, была кража оборудования, например ноутбуков (33,5% от всех случаев потери данных, по сведениям из открытых источников, в частности данных фонда Open Security Foundation (http://datalossdb.org)). Вместе с потерей оборудования две эти категории составляют 50% от общего числа зафиксированных случаев. В то же время бреши в системах безопасности, связанные с действиями хакеров или использованием вредоносного программного обеспечения, составляют менее 20% от общего числа (рис. 4).
Рис. 4. Бреши в системах безопасности по типу, в процентах от общего числа
(второе полугодие 2007 года — второе полугодие 2008 года)
Картина угроз в домашних и корпоративных условиях
Продукты для обеспечения безопасности производства корпорации Microsoft собирают данные с миллионов компьютеров, функционирующих во всех странах мира, а также с некоторых наиболее популярных интернет-служб. Их анализ обеспечивает полный и уникальный обзор активности вредоносного и потенциально нежелательного программного обеспечения по всему миру. Рассмотрим, какое вредоносное ПО было удалено продуктами Windows Live OneCare (средство защиты для домашних ПК) и Forefront Client Security (средство защиты для корпоративных рабочих станций) за второе полугодие 2008 года (рис. 5).
Рис. 5. Угрозы, удаленные с помощью Windows Live OneCare и Forefront Client Security во втором полугодии 2008 года,
по семействам, в процентах к общему количеству компьютеров, очищенных каждой из программ
Приведенные данные свидетельствуют о том, что на домашних ПК зафиксировано гораздо больше программ-троянов, троянов-загрузчиков, троянов-сбрасывателей, программ для показа рекламы, нежели на корпоративных рабочих станциях, тогда как на последних более распространены атаки червей. Для обеих категорий компьютеров характерно приблизительно одинаковое количество лазеек и шпионских программ.
Показатели заражения различных ОС семейства Windows
Различным версиям операционных систем Microsoft Windows соответствуют разные показатели заражения, что связано, помимо характерных для каждой из них наборов функций и пакетов обновления, с различиями в применении этих версий отдельными людьми и организациями.
Из приведенных на рис. 6 данных следует, что операционная система Windows Vista имеет гораздо более низкий уровень заражения по сравнению со своей предшественницей — Windows XP независимо от уровня пакета обновления. Так, уровень заражения для Windows Vista с пакетом обновления 1 на 60,6% ниже, чем для Windows XP с пакетом обновления 3, а уровень заражения для RTM-версии системы Windows Server 2008 на 52,6% ниже, чем для ее предшественницы — Windows Server 2003 с пакетом обновления 2.
Рис. 6. CCM (количество очищенных компьютеров на каждую тысячу запусков средства удаления
вредоносных программ) по операционным системам (второе полугодие 2008 года)
В целом чем выше уровень пакета обновления клиентской или серверной версии Windows, тем ниже показатель заражения. Причиной этого является тот факт, что пакеты обновления содержат все ранее выпущенные обновления для системы безопасности, а зачастую и дополнительные функции по обеспечению безопасности, средства предотвращения заражения и изменения в настройках по умолчанию, направленные на защиту пользователей. Кроме того, пользователи, устанавливающие пакеты обновления, обычно более осторожны при работе в Интернете, открытии вложений и совершении каких-либо действий, которые могут сделать их компьютеры объектами атаки.
Серверные версии ОС Windows, как правило, демонстрируют в среднем более низкий показатель заражения по сравнению с клиентскими, поскольку они обычно работают в контролируемых условиях, обслуживаются квалифицированными администраторами и обладают одним или несколькими уровнями защиты.
Угрозы, связанные с электронной почтой
Сегодня более 97% всех сообщений электронной почты в Интернете являются нежелательными: они содержат вредоносные вложения или спам либо служат средствами фишинг-атак. Как и в предыдущие периоды, во втором полугодии спам в основном содержал рекламу продукции, большой процент которой относился к фармакологии (48,6% от общего числа), — рис. 7.
Рис. 7. Входящие сообщения, заблокированные фильтрами содержимого EHS, по категориям,
в 2008 году (синий цвет — первое полугодие, красный — второе полугодие)
Вредоносные веб-сайты
Большая часть страниц, являющихся источником фишинговых атак, связана с деятельностью финансовых организаций. Однако, судя по показателям просмотра (количества попыток пользователей зайти на страницу, представляющую собой зафиксированный источник фишинговых атак), еще одной распространенной целью служат социальные сети (рис. 8).
Рис. 8. Количество просмотров каждой из разновидностей страниц,
являющихся источником фишинговых атак, по месяцам за второе полугодие 2008 года,
по отношению к среднему количеству ежемесячных просмотров за этот период
В связи с приведенными данными хотелось бы обратить внимание на следующий факт: отключение в течение осени 2008 года ряда американских провайдеров услуг хостинга, предоставляющих услуги спамерам, в том числе владельцам бот-сетей, ответственных за большую часть рассылаемого спама, серьезно повлияло на количество просмотров, которое с октября по ноябрь сократилось на 46,2%. Количество посещений страниц, являющихся источниками фишинг-атак и ориентированных на социальные сети, уменьшилось по этой же причине с 34,1% от общего числа просмотров в октябре до всего лишь 1,1% в ноябре. Несмотря на эти меры, страной, на серверах которой размещено больше всего страниц — источников фишинг-атак, по-прежнему являются США.
Ложные средства обеспечения безопасности
В упомянутом отчете отдельно обсуждаются так называемые ложные средства обеспечения безопасности — относительно новая категория вредоносного ПО, доля которой постоянно растет. Авторы этих средств используют тактику запугивания жертв и навязчиво убеждают их приобрести «полные версии» соответствующего программного обеспечения для удаления вредоносных программ и защиты от них (рис. 9).
Рис. 9. Пример сообщения ложного средства обеспечения безопасности
На самом же деле основной целью этих приложений является кража личных данных пользователя и получение прибыли путем мошенничества даже при том, что в некоторых случаях они действительно в состоянии обеспечить минимальную защиту от вредоносного кода.
Российская специфика угроз
Несмотря на глобальный характер Интернета, угрозы для компьютеров пользователей в разных частях мира существенно различаются. Поскольку в последнее время вредоносное ПО все чаще использует средства социальной инженерии, угрозы безопасности всё в большей степени зависят от языковых и культурных факторов: в одних странах применяются атаки против пользователей интернет-банкинга, в других — вредоносные расширения браузеров, в третьих — атаки против пользователей онлайновых игр, в которых сегодня обращается огромное количество виртуальных ресурсов, имеющих вполне реальную (и нередко немалую) денежную стоимость.
На рис. 10 приведены данные об уровне инфицированности компьютеров по регионам в единицах CCM (Computers Cleaned per Mil — очищенных компьютеров на тысячу), отражающих количество очищенных компьютеров на тысячу запусков средства удаления вредоносных программ.
Рис. 10. Уровень инфицированности компьютеров по странам и регионам (второе полугодие 2008 года)
Для России уровень инфицированности компьютеров (CCM) составил 21,1, что на 59% выше, чем в предыдущем полугодии, тогда как средний показатель в мире составил 8,6. Данные обсуждаемого отчета также свидетельствуют о том, что Россия находится в числе лидеров и по доле серверов — источников вредоносного ПО, уступая лишь США и Китаю.
Каковы самые распространенные в России угрозы безопасности? Ответ на этот вопрос дает диаграмма на рис. 11, отображающая распределение вредоносного ПО в России по категориям.
Рис. 11. Распределение вредоносного ПО
в России по категориям
Из приведенных данных следует, что наиболее распространенной в России категорией угроз являются черви, а достаточно широко распространенными — трояны, кейлоггеры и средства кражи паролей.
Заключение
Цели создания отчетов, подобных рассмотренному в данной публикации, очевидны. Приведенные в них сведения позволяют ИТ-менеджерам и лицам, ответственным за информационную безопасность, планировать мероприятия, позволяющие обеспечить непрерывность и безопасность функционирования корпоративной ИТ-инфраструктуры. К таким мероприятиям можно отнести и операции резервного копирования данных, и обучение пользователей, и внедрение средств обеспечения информационной безопасности самой Microsoft (например, продуктов семейства Forefront) или других производителей. Домашним же пользователям подобные отчеты могут еще раз напомнить о многократно повторяемых и уже ставших банальными истинах: не нужно использовать устаревшие версии программного обеспечения (операционных систем, браузеров, офисных приложений), поскольку они не рассчитаны на постоянное подключение к Интернету и характерное для нынешнего времени массовое его использование; не следует открывать вложения из незнакомых источников и посещать сомнительные сайты, а также приобретать пиратское ПО. При этом стоит позаботиться о том, чтобы пароли для доступа к приложениям и ресурсам соответствовали требованиям к сложности и хранились надлежащим образом, а домашние компьютеры содержали средства защиты данных (в конце концов, среди них существуют и бесплатные). И конечно, следует своевременно устанавливать обновления программного обеспечения, поскольку, как правило, они содержат средства защиты от новых угроз.
 |
|
