Несколько дней назад Микрософт заявил о масштабном наезде на сервис динамических DNS No-IP, в результате которого было прикрыто 22 домена. По словам ребят из Редмонда было за что – там хостилась всякая неприятная малварь, да и вообще No-IP оказался рассадником киберкриминала и эпицентром таргетированных атак, при этом от сотрудничества категорически отказывался.

Как в любой похожей заварушке стороны обменялись противоречивыми заявлениями формата «дурак сам дурак».

В частности, No-IP заявил, что они белые-пушистые, всегда были рады сотрудничеству в гашении источников кибератак, а сейчас их клиенты, задетые этим наездом страдают и вообще это неправомерный наезд на легальный бизнес, поскольку малвару можно найти где угодно и приостанавливать из-за этого сервис через суд – никак не кошерно.

Как бы то ни было, результат налицо — отвалилось более 4млн сайтов (1,8млн клиентов), как вредоносных, так и чистых. Микрософт пытается отсеять зерна от плевел и вернуть чистым сайтам работоспособность, однако многие пользователи до сих пор жалуются на перебои.

Разбираться кто больше виноват – дело бесперспективное и неблагодарное. Оставлю журналистские расследования журналистам. Вместо этого даю пищу для ума, сухие и веские цифры и факты, чтобы каждый мог сам для себя сделать вывод о правомерности и этичности действий Микрософт.

1)      Отключение 22 доменов No-IP затронуло операции около 25% таргетированных атак, которые мы отслеживаем. Это тысячи шпионских и криминальных операций за последние 3 года. Примерно четверть из них имели хотя бы один управляющий центр (C&C) у этого хостера. Например, такие хакерские группы как Syrian Electronic Army и Gaza Team используют только No-IP, у группы Turla в этом сервисе было 90% хостов.

2)      Мы подтверждаем, что среди всех крупных провайдеров динамических DNS No-IP был наиболее закрытым для сотрудничества. Они игнорировали наши обращения по поводу синкхола ботнетов.

3)      Наш анализ актуальной малвари показывает, что No-IP чаще всего используется кибер-негодяями для центров управления ботнетами. Поиск через агрегатор Virustotal красноречиво подтверждает этот факт – у 4,5млн (sic!) уникальных самплов вредоносов ноги растут именно оттуда.

4)      Но напоследок вот такая табличка из нашей облачной системы KSN о детектах кибератак с десяти крупнейших сервисов динамических DNS.

Вроде «ужос-ужос», но вот вам информация для сравнения:

(i) % вредоносных хостов по зоне .COM составляет 0,03%, а в зоне .RU 0,39%, в No-IP этот показатель составляет 27,5%;

(ii) за неделю вредоносные домены в No-IP нагенерили около 30 тыс. срабатываний, в то время как у одного самого вредоносного домена в зоне .COM этот показатель составил 429тыс (почти в 14 раз больше). А вот домен под номером 10 в зоне .RU нагенерил 146 тыс. срабатываний, т.е. примерно столько же, сколько вся десятка провайдеров динамических DNS вместе взятая.

Итого.

С одной стороны, блокировка популярного сервиса, которым пользуются тысячи (миллионы) обычных людей — сиё есть неправильно. С другой стороны, закрытие рассадника малвары есть дело правильное и богоугодное.

Но тут «адвокатом дьявола» начинает выступать математика, которая свидетельствует:  в количественном отношении, закрытие всех доменов No-IP не более эффективно для противодействия распространению малвары, чем закрытие одного-единственного топового вредоносного домена в одной из популярных зон – .COM, .NET или даже .RU. Проще говоря, даже если прикрыть вообще всех провайдеров динамических DNS, то Интернет от этого сильно чище не станет.

Вот такая вот неоднозначная история, и у меня нет чёткого понимания хорошо это или плохо. «Кроха сын к отцу пришел, и спросила кроха…».

Но «прицепом» вылезает попутная мысль вот о чём.

Как только количество контрафакта/криминала превышает какой-то порог, то «силовики» закрывают сервисы, несмотря на «интернет-свободу» и свободу предпринимательства. Это правило жизни, человеческого социума. Если «воняет», то рано или поздно «чистят».

Список заблокированных сервисов достаточно длинный: Napster, KaZaA, eMule, Pirate’s Bay и т.п. Сейчас No-IP.

Кто следующий?

// Неужели Биткоин? Начало положено.

Говорит и показывает…

Сводки с фондовых рынков. Для начала немного ликбеза, если кому-то он нужен.

Давным-давно профессия биржевого брокера была не только почётной, но и чрезвычайно тяжелой. Труженики биржевых фронтов, не зная сна и отдыха, от рассвета до заката, в невыносимых условиях финансовых цифр, в поте лица покупали и продавали Очень Ценные Бумаги, пытаясь узреть будущее и попасть в правильные моменты пиков и днов биржевых котировок, зарабатывая себе бессонницы и инфаркты. А иногда и просто выпрыгивая из окон, чтобы разом избавиться от всех несчастий, выпавших на их долю.

Всё это давно в прошлом. На смену ручному неблагодарному труду пришла автоматика. Теперь думать и потеть не надо – бОльшую часть работы выполняют роботы — специальные программы, которые автоматически определяют наиболее оптимальные моменты «купи-продай». Т.е. профессия биржевого брокера свелась к тренировке ботов. Причём важно не только правильно принять решение, но и важна скорость реакции на фондовые скачки. А скорость зависит от качества Интернет-коннекта к электронной бирже. Т.е. чем ближе к бирже находится робот, тем выше у него шанс быть первым с заявкой. И наоборот – роботы на периферии всегда будут аутсайдерами, если не используют алгоритмы, более «продвинутые» чем у конкурентов.

А вот тут-то и возникает возможность «подкрутки», которой воспользовались неизвестные злоумышленники. Путём несложного хака конкурирующих систем они внедрили в них небольшую задержку.

Дальше: шоколад против капусты…

Всё началось вот с этих вот гаджетов (тогда их называли «девайсы»). Тогда они были пределом мечтаний каждого уважаемого хипстера :) И именно на них мы в чисто научных целых спасения мира анализировали первого мобильного зловреда. Он был обнаружен 15 июня 2004 г. в 19:17 по московскому времени, т.е. ровно 10 лез назад от момента публикации этого самого поста.

Это был Cabir, червяк для Symbian, расползавшийся по другим мобилкам через Bluetooth и даже успевший через год после появления, в августе 2005, вызвать локальную эпидемию на чемпионате мира по лёгкой атлетике в Финляндии :) Думаю, не стоит сейчас углубляться и рассказывать как далеко скакнула мобильная вирусология с тех пор. Лучше послушаем из «первых рук» широко известного анонимного вирусного эксперта А.Г. захватывающую историю как мы его задетектили, почему у нас в офисе появилась экранированная комната, кто стоял за Cabir’ом и вообще почему этого червя так назвали.

Дальше: загадочный файл, не предвещавший ничего хорошего…

Как было обещано, продолжаю традицию еженедельных ой-ай-новостей.

Сегодня — о безопасности критической инфраструктуры. Вернее – о проблемах и опасностях, её подстерегающих. Атаки на промышленные системы, ядерные объекты и прочие АСУ ТП.

На самом деле это не совсем новости прошедшей недели – к счастью, не так уж часто по этой теме что-то всплывает на поверхность. Как мне думается, в основном их скрывают (что немудрено) или просто «не в курсе» (бабахнет в будущем по сигналу красной кнопки). Так что ниже, скорее, подборка любопытных фактов, чтобы показать нынешнюю ситуацию и тренды и приготовиться адекватно воспринимать последствия угроз.

А удивляться в критической инфраструктуре есть чему.

Главное кредо инженеров по АСУ – «работает — не трогай!». Дырка в контроллере, через которую хакер может получить управление системой? Подключение к Интернету? Отсутствие проверки стойкости паролей? Да, пофиг — система-то работает! А если поставить патч или там какие другие манипуляции произвести, то система может и перестать работать, и вот тогда будет мучительно больно. Да, критическая инфраструктура частенько всё ещё мыслит категориями релюшек.

В сентябре прошлого года мы сделали специальный honeypot, который «торчал» в Интернет и прикидывался промышленной системой. Так вот- за месяц его успешно поломали 422 раза, при этом злодеи 7 раз добрались прямо до PLC-контроллера, а 1 раз даже удаленно перепрограммировали его.

Ну, то есть вы понимаете, да? Непатченная АСУ с подключением к Сети – это практически 100% гарантия её взлома в первый же день. А уж что потом негодяи будут делать с объектом – ойййй…Сценарий для Голливуда Мосфильма. Да и объекты бывают разные, например, вот такие:

Ядрёна малвара

Источник

Незабываемо встретили Новый год в Японии. Один из компьютеров центра управления атомным реактором «Мондзю» оказался заражён неким зловредом, проникшим туда в процессе обновления бесплатного софта.

Дальше: мы ходим по краю, но выхода не может не быть…

Всем привет!

Что-то давненько я не рассказывал ничего интересного про мир кибер-зловредства, что там бурлит и где расцветает. А то вы ещё подумаете что мы тут без работы сидим :) Конечно же, мы публикуем всю эту информацию на специализированных ресурсах, но большинство ведь их не читает! А тут есть что рассказать, самое-самое интересное для самых любопытных.

Итак, что любопытно-занятного случилось на этой неделе?

Дурак сам дурак

Новый виток контр-наездов между США и Китаем в плоскости кибер-шпионажа. На этот раз американцы не просто наехали, а наехали с фотографиями и именами. 5 китайских военных специалистов попали на постеры формата «Wanted» в лучших традициях Дикого Запада за взломы сетей американских компаний и кражу всяких важных секретов. Как их вычислили и вообще насколько это соответствует реальности — остаётся загадкой под грифом «без комментариев». Некто А.Г. по ссылке выше предельно чётко высказался, что атрибуция – наука весьма неточная и трудно не только 100% приписать атаку какой-то стране или спецслужбе, но практически невозможно указать на конкретного человека. В общем, какая-то кибер-алхимия.

Дальше: хакерские атаки с борта атомного авианосца…

Люблю Сан-Франциско.

Очень приятный, хороший город. Добрый, светлый, на набережных кормят вкусно и морепродуктно. Гладь залива пронзают корабли-гиганты с китайским ширпотребом, по краям всё обрамлено мостами-птицами, посреди водных просторов установлен Алькатрас, и он тоже следит за всем невидимым сноудену никому глазом.

Красотища! А ты неспеша прогуливаешься поверх всего этого блаженства — туда и сюда. Так и надо.

И что это великолепие тут обсуждать? А то других забот мало. Просто фотки:

Дальше: совместить приятное с полезным…

Интернет принёс в нашу жизнь много разных полезных, точных и просто приятных слуху сетевых неологизмов. Их – море: лайкнуть, твитнуть, зафрендить, чекин, селфи…

Увы, помимо позитивных глаголов и существительных наш словарь был вынужден «обогатиться» и словами для явлений и вещей вредных и опасных. Одно из низ – «фрод», от английского «fraud», то бишь «обман», «мошенничество». Как вы догадались – речь об Интернет-мошенничестве.

Вот про это и поговорим. Вернее, как с этой нечистью бороться.

Кто страдает от фрода?

Пользователи? А вот и нет — не только они. Основное бремя расходов за онлайн фрод несут на себе банки, ритейлеры и вообще любой бизнес, хоть как-то связанный с онлайн-платежами.

А что пользователь? Пользователь написал заявление в банк, что с его счёта в неизвестном направлении неизвестными лицами ушли деньги, а дальше система разбирается — кто и сколько будет платить. И в большинстве случаев платит именно система – возвращают деньги или открывают кредиты на покупку товаров. В 2012 г. только в США прямой ущерб от онлайн фрода составил $3,5 млрд., т.е. около 24 млн. онлайн-заказов оказались мошенничеством и почти в 3 раза больше заказов было отклонено при оформлении из-за подозрений.

И теперь для решения этой проблемы и «на радость» кибер-негодяям в нашем арсенале есть подходящий инструмент – KFP.

Кратко: KFP создаёт безопасную среду для операций в онлайне и защищает от кражи доступа в онлайн-банкинг, перехвата транзакций, обхода многофакторной аутентификации и многих других видов изощрённых сетевых безобразий. Не требует от пользователя каких-то супер-познаний, не задаёт умных вопросов, работает тихо и чётко и на всех популярных платформах, включая мобильные операционки.

Дальше: а зачем тогда нужен антивирус?…

Каждый год, 31 декабря мы с друзьями… Нет, не так. Каждый год в начале февраля мы проводим подряд три важнейших мероприятия:

• конференцию для IT-аналитиков.
• Северо-Американскую партнёрскую конференцию.
• и глобальный съезд экспертов по безопасности Security Analyst Summit (SAS).

Вот такой развесистый конференц-биатлон :) Получилось где-то полторы недели выступлений, переговоров и встреч, зато всё сразу и в одном месте – не надо мотаться по планете. Но всё равно конференц-деньки получаются довольно утомительными… Спасает только ласковое море-окиян и синее небо.

У нас повелось устраивать эти «состязания» в краях с тёплым климатом, географической близостью к крупнейшим экономикам мира и хорошей авиа-логистикой. Условия идеально выполнимые в Карибском бассейне, в этом году – в Доминикане. Отель Hard Rock, на самом краю доминиканского «курортного рая» Пунта Кана.

Если по пляжу пойти направо, то будут километры отелей, толпы народу и прочее веселье:

Дальше: налево пойдёшь …

Как 100%-но вычислить зловреда в дремучих джунглях операционной системы? Особенно, когда эту гадость раньше никто не видел, её «IQ» зашкаливает и она уже в компьютере?

НИКАК.

Действительно найти черную кошку в тёмной комнате, при условии, что она там точно есть, смогут немногие спецы и вручную. Но автоматическими и продуктовыми средствами можно попытаться это сделать и с некоторой долей вероятности навести на след заражения. Вот только классическими сигнатурами и файловым сканером эту задачку никак не решить.

Выход – планомерное интеллектуальное развитие антивируса в направлении мега-мозга, анализирующего сигналы от десятков сенсоров, встроенных в операционную систему. Вот такой всеобъемлющий и системный взгляд и отличает гадание на кофейной гуще от научно обоснованного и практически воплощённого подхода к проактивной защите. А помимо общего врага эти сенсоры объединяет и общий инструментарий – практически в каждом используются эвристические методы анализа.

Эвристика в вирусологии прописалась уже лет 20 назад, а смысл её состоит в следующем.

Дальше: об эвристике замолвим слово…

Бабах!! Ещё одна торпеда, пущенная кибер-негодяями в офисное пространство Микрософт увязла в нашей цепкой защите.

А именно: недавно была обнаружена вроде обычная себе атака — при открытии документов Word незаметно для пользователя в систему внедрялся вредоносный код. Вряд ли это событие добралось до заголовков, кабы не одно обстоятельство: это была атака класса «зеродей» – использовалась ранее неизвестная уязвимость в MS Office, для которой нет «заплатки», при этом большинство антивирусов тоже в упор не видели угрозу. А мы отработали на «отлично»!

Да! – технология автоматической защиты от эксплойтов (AEP – Automatic Exploit Prevention) вычислила аномальное поведение и проактивно блокировала атаку. Никаких обновлений и ожиданий. Сразу и наповал.

С «зиродеями» можно и нужно бороться. Это самое острие атак кибер-атак – зачем нужен антивирус, который работает исключительно сигнатурами, а от будущих угроз защищает только на бумаге (пусть очень красивой бумаге)? Ну, да, разработка таких технологий требует мозгов и инвестиций. Не каждый вендор первое имеет, а второе может себе это позволить. Это не детект у соседа тырить, ага..

Вообще, мы всегда считали, что в IT-секъюрити нельзя жить сегодняшним днём – нужно постоянно заглядывать за горизонт и предвидеть поворот мысли кибер-негодяев. Потому «проактивка» была у нас на повестке дня с бородатых 90-х – среди прочего мы тогда отличились разработкой эвристика и эмулятора. Технологии оттачивались, прокачивались и изобретались, и вот, где-то 2,5 года назад, фичи для защиты от эксплуатации известных и неизвестных уязвимостей были объединены под зонтиком AEP. И очень вовремя! С его помощью мы впоследствии  проактивно накрыли целый зоопарк целевых атак, в том числе Red October, MiniDuke и Icefog.Тогда же случился всплеск нездорового интереса к Java и AEP снова оказался кстати. И одну из первых скрипок здесь играл модуль Java2SW для детекта атак через Java.

О нём сейчас и пойдёт речь.

Программный ландшафт типичного компьютера напоминает лоскутное одеяло с кучей заплаток и не меньшим количеством дыр. После выпуска каждого продукта в нём регулярно находятся уязвимости (чем популярнее продукт, тем чаще и больше) и вендоры их регулярно же латают, выпуская «патчи». Но#1: вендоры выпускают «патчи» не сразу — кое-кто, бывает, ковыряет в носу месяцами. Но#2: большинство пользователей всё равно, пардон, забивает на установку этих «патчей» и продолжают работать на дырявом софте. Зато#1: практически на каждом компьютере есть… антивирус!

Тут на сцену выходит тот самый Java2SW, который в Java домене убивает сразу двух зайцев.

Вообще, с точки зрения безопасности архитектура Java достаточно продвинутая. Каждая программа выполняется в изолированном пространстве (JVM – Java Virtual Machine), под присмотром секюрити-агента. Увы, Java пала жертвой популярности – какой бы защищённой ни была система, рано или поздно (пропорционально популярности) в ней найдутся уязвимости. К этому должен быть готов каждый вендор — своевременно развивать технологии противодействия, скорость реакции и обучать пользователей. У Oracle это как-то не очень получилось. Не получилось настолько не очень, что пользователи начали массово удалять Java с компьютеров даже несмотря на ограничения при просмотре сайтов.

Судите сами: количество обнаруженных уязвимостей в Java в 2010г. – 52, 2011г. – 59, 2012г. – 60, 2013г. – уже 180 (год продолжается!). А число атак на Java росло по вот такой грустной кривой:

Дальше: как Java2SW спасает от атак на уязвимости?…