Архив тегов: malware

Всем привет.

Мы периодически изучаем состояние компьютерного мира «тыкая палочками» в разные его части, замеряя разные сетевые сенсоры и изучая «информационный шум». По этим и другим источникам мы оцениваем «температуру ситуации» и мониторим основные «группы риска». И что мы видим — об этом и рассказ.

Многим кажется, что наиболее болезненными точками цифрового мира являются домашние компьютеры, планшеты, мобильные телефоны и корпоративные сети — т.е. привычный нам компьютерный мир, домашний и/или рабочий. А вот и нет. Несмотря на то, что большинство кибер-атак совершаются именно в традиционном кибер-пространстве (кибер-шпионаж, мошенничество и т.п.) — главную угрозу представляют не они. Более всего следует опасаться атак на телекоммуникации (Интернет, мобильные сети) и на АСУ ТП (Автоматизированные системы управления технологическими процессами).

Исследования, проводимые в рамках проекта «Безопасная операционная система» показали низкий уровень «компьютерного иммунитета» у систем управления критически важной инфраструктурой. АСУ ТП, которые строятся на программном обеспечении и аппаратном компьютеризированном оборудовании, включая системы верхнеуровнего управления SCADA — они отвечают за работу технологических процессов в практически любой отрасли промышленности, энергетики, транспорта, средств массовой информации и так далее. Компьютерными системами управляется любой современный автомобиль, самолёт и поезд, каждая электростанция и система водоснабжения, каждый завод и даже многие современные здания (лифты, электро- и водоснабжение, пожарные системы). SCADA-системы незаметны – но от них напрямую зависит очень многое вокруг нас.

Увы — как и любые другие компьютерные системы, SCADA могут быть подвержены вирусным и хакерским атакам, что наглядно продемонстрировал червь Stuxnet в 2010 году. Посему защита критически важных систем стала одним из основных приоритетов стратегии компьютерной безопасности в большинстве развитых стран мира, а на кибер-атаки по критической инфраструктуре некоторые страны готовы ответить реальными военными действиями (если смогут найти страну-виновника). Ситуация накаляется.

Конечно же, мы тоже занимаемся проблематикой безопасности SCADA. На протяжении последних нескольких лет мы провели детальные исследования промышленных систем управления, сформировали основные принципы SCADA-безопасности, а также разработали прототип решения для гарантированной защиты SCADA от внешних вирусных угроз — на базе традиционного endpoint security и на безопасной платформе (secure OS). Готовых к употреблению продуктов пока ещё нет, но активные работы ведутся.

Так вот, в ходе очередного исследования SCADA-безопасности нас ждал большой-большой сюрприз – нам удалось обнаружить «Mother-SCADA», главнейшую промышленную систему в мире, от работы которой зависит буквально всё на Земле: от вкуса завтрака и размера ежегодного бонуса, до регулярности смены времён года и скорости передвижения солнца и звёзд по небу. А именно – мы нашли SCADA, управляющую технологическими процессами в Матрице!!!

Дальше: ищем специалистов! …

Всем привет,

В мире случается много мероприятий по теме компьютерной безопасности. И выставка-конференция RSA — одна из важнейших в этом списке. Что это такое и зачем — рассказывать не буду, просто немного фоток окрестностей. Фотки сделаны за день до открытия, во время монтажа стендов — не всё еще готово, зато толпы народа не застилают пейзаж.

Дальше: Ситхи Ассемблера…

Недавно прикинул сколько интервью с прессой у меня случается каждый месяц. Раз на раз не приходится, но в наиболее «жаркое» время это число добивает до 70. И это только «голосовых», т.е. при личной встрече или по телефону. Сколько с учётом e-mail интервью – вообще страшно подумать.

Но я ни разу не жалуюсь. Наоборот – я обожаю это дело. У Брэнсона есть одно правило: «Если в дверь постучался журналист CNN — бросьте всё и дайте интервью». И следую я этому правилу неспроста. В совсем небольшом проценте интервью имеешь дело с очень въедливыми и хорошо понимающими тему журналистами. Они за час буквально вынимают душу. Это самые тяжёлые и самые полезные моменты. Потому что в такие встречи мозг начинает работать, думать нестандартно, смотреть на обычные вещи с другой стороны. Причём даже по окончанию интервью работа по инерции продолжается и, порой, выходишь на очень интересные идеи.

Один из самых распространённых вопросов: самые актуальные проблемы IT-секюрити. Читай: какие профессиональные ночные кошмары меня мучают :) И это не только вопросы журналистов. Тема постоянно поднимается практически на каждой специализированной IT-конференции. Так вот: как обещал представляю список пяти главных проблем IT-секюрити в широком понимании этого слова. Известия уже опубликовали сжатую версию. Тут же будет без лирики, но максимально развёрнуто. И сразу скажу – у меня нет ответов на все вопросы. Задача этого поста – обозначить проблему, начать думать над ней самому и вовлечь в процесс всех заинтересованных, неравнодушных и сочувствующих.

Итак:

• Прайваси
• Интернет-паспортизация
• Социальные сети
• Киберпреступность
• Кибервойна

Дальше: по порядку …

Как уже сообщалось мы отметились на двух австралийских выставках-конференциях AusCERT и CeBIT Australia. Говорили о многом – в том числе о кибер-войнах, атаках на критическую инфраструктуру и промышленные объекты, перспективах развития кибер-преступности. Но одной из самых горячих тем оказалась безопасность продуктов Apple. И это вполне ожидаемо в свете первой глобальной эпидемии Мак-трояна Flashfake.

На самом деле мы сейчас находимся на очень интересном этапе. С одной стороны есть подтверждённый факт: Apple-софт не более безопасен, чем Винда и её экосистема. С другой стороны — мощнейшая инерция маркетинговой машины Apple, которая на протяжении многих лет питала обратное представление. Насколько пользователи смогут понять реальное положение вещей и принять соответствующие меры? Найдёт ли сама Apple силы изменить свой подход к реагированию на новые угрозы? Чему могла бы Apple научиться у Микрософт и секюрити-сообщества в плане решения актуальных проблем?

Дальше: сначала немного истории …

Помните мой недавний пост по проблеме контроля над приложениями?

Любопытно, после него мне в личку насыпалось много идей. Особняком стояли несколько циничных каментов, мол, «да это всё можно на коленке сделать!». Ага, сложно не согласиться. И антивирус можно самому на коленке написать, и самолёт построить и велосипед изобрести. Я серьёзно – можно ведь! Дело упирается в другое – время, ресурсы и качество реализации.

С контролем над приложениями ситуация другая.

Действительно, на поверхности лежит простая реализация такой фичи: создаём домен, прописываем в нём пользователей, включаем политику ограниченного использования программ, создаём MD5-базу доверенных/запрещённых приложений и вроде как всё. Именно, что «вроде», потому что при первом же обновлении софта (а софт нынче ох как любит часто обновляться) сисадмину придётся писать базу заново! И пока это не сделать обновлённые программы работать не будут, от пользователей посыпятся гневные письма и звонки, а босс так вообще будет … ммм… очень недоволен. И так постоянно – добро пожаловать на аттракцион «belka v kolese».

Здесь всплывает одна незаметная, но мега-полезная фича нашего контроля над приложениями – Trusted Updater (или, как говорят наши разработчики — «доверенный обновлятор»). Она не только автоматически обновляет установленные программы и актуализирует базу данных доверенного софта, но и следит за наследованием «доверенности» программами, которые были вовлечены в процесс обновления. Ну, первое просто и понятно, а вот второе требует пояснения.

Рассмотрим пример. Есть некий «обновлятор», который в процессе обновления он запускает, скажем, браузер (например, чтобы показать пользовательское соглашение) и передаёт ему свои привилегии. Но что происходит, когда обновление завершено? Догадываетесь к чему это я клоню? Да! В некоторых продуктах браузер действительно наследует привилегии вызвавшей его доверенной программы пока его не перезапустят! Т.е. он может выполнять действия, которые по политике безопасности ему запрещены – например, качать что-то из Интернета, а самое главное запускать это. Более того, сам браузер получает возможность вызывать дополнительные программы и уже им передавать права апдейтера.
Получается, что одно-единственное обновление может порушить вообще всю систему безопасности. И «это не баг, а фича» ©

Наш же Trusted Updater контролирует обновление и как только процесс завершился, восстанавливает привилегии по всей цепочке задействованных программ. Важно, что наша система ещё и заранее знает, какой «обновлятор» является доверенным – для них есть специальная категория в нашей Whitelist-базе. Кроме того, если сисадмин хочет, он может сам добавить любые «обновляторы» в эту категорию — никаких забот и хорошая прибавка к уровню защиты от всяких хитрых бэкдоров.

Дальше: 4 варианта реализации

Всем привет!

Для посетителей этого блога – в особенности тех, кто не читает Securelist, не подписан на мой Твиттер и Фейсбук (да-да, там самое-самое важное дублируется!). Мы опубликовали, пожалуй, самый глубокий анализ Flashfake (Flashback) – того самого трояна, который недавно отметился созданием первого в истории Маковского ботнета. Да ещё какого ботнета – 700 тыс. машин! В общем, выкладываю сюда весь текст, а кому понравится – срочно подписывайтесь на Securelist.

Дальше: анатомия Flashfake. Часть I

Что лучше – Мак или PC? Извечная тема практически религиозного противостояния, мало кого миновавшая, равнодушных почти не осталось. Похоже, в этой истории появилась очередная глава, которая более похожа на некролог эпиграф. Превосходство платформы Мак наконец-то по настоящему признали и кибер-преступники.

Дальше: А именно…

Всем привет!

Я — IT-параноик, который не боится вслух говорить о своих страхах — об Интернет-катастрофах, алчности и массовости кибер-негодяев и т.п. По этой причине меня постоянно обвиняют в том, что я намеренно запугиваю всех и вся [в своих корыстных интересах].

Увы, эволюция кибер-армагеддонов движется по предсказанной траектории… Это — плохая новость. Хорошая новость заключается в том, что «большие мальчики и девочки» тоже наконец-то это начали понимать — и часто в дискуссиях на эту тему практически слово-в-слово звучат мои старые страшилки «волки-волки!». Ага, да. // В наше время быть Кассандрой гораздо безопаснее :)

Конференции и межгосударственные тусовки всё чаще и чаще поминают проблемы кибер-безопасности — или вообще целиком и полностью посвящены этой теме. За неполные полгода мне пришлось излагать свою точку зрения на эту тему вот здесь:

Дальше: 5 проблем IT-безопасности …

Кролики — это не только ценный мех, но и три, четыре килограмма легкоусвояевомого мяса!

(c) Моисеенко & Данилец

Да, предыдущий опрос был риторическим. Действительно 250 млрд. – это именно столько каждый день рассылается спам-писем.

А теперь спросите себя и соседа в чём опасность спама? Ну? Ага, скорее всего – виагра и прочая назойливая хрень, которая забивает почтовые ящики и не даёт нормально работать. Так вот: спам – он как кролики. Это не только ценный мех… тьфу, — это ни разу не только всякая реклама. Реклама – это только вершина айсберга. Спам — часть огромной киберпреступной экосистемы. И его видимая невинность – типичная иллюзия, которую я сейчас буду развенчивать :)

Техническая основа этой экосистемы – т.н. ботнеты или зомби-сети. Это сети компьютеров, зараженных зловредами (ботами), с помощью которых кибернегодяи удалённо управляют этими компьютерами без ведома их владельцев.

Экономика тут довольно проста. В ботнет «вербуются» компьютеры и потом их мощности монетизируются разными способами: ддос-атаки, рассылка рекламы, фишинг, кража данных и пр. Примерно как показано ниже:

Дальше: и в чём же тут душераздирающая роль спама?

1. На первое – самое вкусное (и приятное!). Гартнер выкатил новую версию своего «Магического Квадрата» по защите эндпоинтов. Мы наконец-то вошли в секцию лидеров! Ура!

2. Кибервоенщина наращивает обороты. Израиль создаёт элитное хакерское подразделение.

3. Корпорация Фуджицу по заказу японского правительства разрабатывает некий супер-вирус для кибер-войны.

А теперь подробнее по пунктам…