Отчет Symantec об угрозах интернет-безопасности, том XIV – вопросы

и ответы

Март 2009 г.

В. Что такое «Отчет Symantec об угрозах интернет-безопасности»?

О. Отчет Symantec об угрозах интернет-безопасности – это один из

наиболее полных источников данных об интернет-угрозах в мире.

• Он содержит обзор и анализ глобальной деятельности интернет-

угроз за год, а также обзор общей картины интернет-угроз.

• Текущий, ХIV том отчета – это первый годовой отчет; он охватывает

период времени с января по декабрь 2008 года.

В. Что делает этот отчет уникальным?

О. ISTR – единственный в своем роде общедоступный отчет, в котором

публикуются не только углубленный анализ данных и тенденций, но и
методологии, используемые для получения этих результатов. К тому же
этот отчет основан на самых полных в мире источниках данных по
безопасности.

• Symantec Global Intelligence Network; свыше 240 тыс. датчиков следят

за активностью в интернете более чем в 200 странах.

• Антивирусные решения Symantec; свыше 130 млн клиентских,

серверных и шлюзовых систем, на которых установлены

1
 антивирусные продукты Symantec, присылают отчеты о вредоносных
программах, а также о шпионском и рекламном ПО.

• База данных уязвимостей; охватывает свыше 32 тыс.

зарегистрированных уязвимостей (более чем за два десятилетия),
относящихся более чем к 72 тыс. технологий более чем от 11 тыс.
поставщиков. Symantec ведет одну из самых полных в мире баз
данных уязвимостей.

• BugTraq; один из самых популярных в интернете форумов, который

посвящен раскрытию информации и дискуссиям об уязвимостях и
имеет около 50 тыс. прямых подписчиков, ежедневно публикующих,
читающих и обсуждающих сведения об уязвимостях.

• Symantec Probe Network; система более чем из 2,5 млн учетных

записей-приманок, а также Symantec MessageLabs Intelligence и
другие технологии Symantec собирают сообщения email более чем в
86 странах и позволяют Symantec измерять деятельность спамеров и
фишеров во всем мире; в 16 центрах обработки данных каждый день
сканируется 5 млрд сообщений email и более одного миллиарда веб-
запросов.

• Symantec Phish Report Network; широкое сообщество по борьбе с

мошенничеством, в котором предприятия, поставщики ПО
безопасности и более 50 млн потребителей сообщают о
мошеннических веб-сайтах, и эти данные используются для
сигнализации и фильтрации в широком спектре решений.

В. Какова цель этого отчета?

О. Цель отчета – предоставить информацию, которая поможет

потребителям и предприятиям эффективно защитить свои системы сегодня
и в будущем.

2
В. Отличается ли этот отчет по составу от предыдущих?

О. В отличие от предыдущих томов отчета, которые выпускались раз в

полгода и охватывали шестимесячный период, этот том ISTR охватывает
весь 2008 год.

В. Каковы важнейшие тенденции этого периода?

О. В XIV томе делается вывод, что вредоносная деятельность

перемещается в страны с быстро развивающимися инфраструктурами
интернета и что эта деятельность по-прежнему ведется главным образом
через веб, так как злоумышленники охотятся за информацией конечных
пользователей.

• Больше вредоносной деятельности наблюдается в странах с

растущим числом пользователей широкополосного доступа.

• Веб – главный проводник вредоносной деятельности

• Злоумышленники чаще, чем когда-либо, охотятся за информацией

конечных пользователей

• Вредоносной деятельности способствует процветающая теневая

экономика.

В. В каких странах вредоносная деятельность усиливается, а в каких

ослабляется?

О. Среди 10 стран с наиболее активной вредоносной деятельностью такая

деятельность ослабляется в первых трех – странах с хорошо развитой
интернет-инфраструктурой – но усиливается практически во всех остальных.

• Как и в 2007 году, в 2008 году странами с наиболее активной

вредоносной деятельностью стали США, Китай и Германия; однако
по сравнению с уровнями 2007 года вклад этих стран уменьшился.

3
 o 23% всей вредоносной деятельности в 2008 году исходили из
США, против 26% в 2007 году; 9% — из Китая против 11% в
2007 году и 6% всей вредоносной деятельности в 2008 году
исходили из Германии против 7% в 2007 году.

o В 2008 году Китай обогнал США по числу абонентов услуг

широкополосного доступа, доля которых составила 21% от
общемировой; США занимают по этому показателю второй
место с 20%, а Германия – четвертое место с 6%.

• За исключением Франции и Италии, все остальные страны из первой

десятки продемонстрировали в 2008 году рост уровня вредоносной
деятельности по сравнению с 2007 годом.

o В 2008 году 5% всей вредоносной деятельности исходили из

Великобритании против 4% в 2007 году; 4% - из Бразилии и
Испании (у каждой наблюдается рост с 3% в 2007 году) и 3% из
Турции и Польши (у каждой наблюдается рост с 2% в 2007
году).

В. Почему вредоносная деятельность усиливается с ростом числа

пользователей услуг широкополосного доступа?

О. Обычно жертвами вредоносной деятельности становятся компьютеры,

подключенные к широкополосным интернет-соединениям ввиду высокого
быстродействия, надежности и постоянного подключения таких соединений,
что привлекает злоумышленников.

• Страны с быстрорастущими инфраструктурами интернета, вероятно,

будут испытывать рост уровня вредоносной деятельности, пока ей не
станут противостоять улучшенные протоколы и усиленные меры
безопасности в этих странах.

4
В. Как злоумышленники используют веб для организации атак?

О. Большинство веб-атак направлено на определенные уязвимости, или

пробелы в защите, веб-браузеров или других клиентских приложений,
которые обрабатывают информацию, поступающую через веб.

• Распространенность веб-приложений и большое число простых в

применении образцов вредоносных программ, эксплуатирующих
такие уязвимости, привело к росту числа веб-угроз.

• Большинство злоумышленников используют пользующиеся доверием

веб-сайты с интенсивным трафиком, хотя некоторые могут применять
методы социального инжиниринга для склонения жертв к посещению
вредоносного сайта.

• Когда пользователь посещает зараженный веб-сайт, вредоносная

программа может непосредственно использовать уязвимость веб-
браузера, плагина браузера или настольного приложения.

o В 2008 году было зарегистрировано 232 новых уязвимости веб-

браузеров.

ƒ Хотя по сравнению с 245 уязвимостями, найденными в

2007 году, их число уменьшилось, большая доля
уязвимостей браузеров оценивается как уязвимости
среднего уровня опасности (141 против 89 в 2007 году);
таких уязвимостей, влияющих на клиентские или
настольные приложения, часто достаточно для
успешной атаки на отдельную клиентскую систему или
целое предприятие.

ƒ В 2008 году самым распространенным видом атак (29%

от общего числа) стали атаки с использованием
уязвимости Microsoft Internet Explorer, исправление для

5
 которой вышло еще в 2004 году; это так называемая
уязвимость Microsoft Internet Explorer ADODB.Stream
Object File Installation Weakness.

o В 2008 году было обнаружено 424 уязвимости плагинов

браузеров.

ƒ Хотя это меньше, чем в 2007 году (475 уязвимостей

плагинов браузеров), наборы инструментов для
организации атак тоже стали более изощренными;
например, к инструментарию NeoSploit был добавлен
новый эксплойт для уязвимости ActiveX, при помощи
которого злоумышленники могут тайно устанавливать
компоненты этого эксплойта, криптографически
подписанные поставщиком в рамках действительного
сертификата Internet Explorer.

o В 2008 году 63% всех уязвимостей относились к веб-

приложениям – больше, чем в 2007 году (59%).

ƒ В 2008 году злоумышленники стали не только искать и

использовать новые уязвимости приложений и сайтов,
но и находить общие признаки для целого класса
уязвимостей, автоматизируя процесс поиска и
исследования уязвимостей.

ƒ В 2008 году злоумышленники предпочитали вводить

вредоносный контент, чтобы атаковать других
пользователей и эксплуатировать доверие к
организациям, вместо того, чтобы охотиться за
информацией этих организаций.

o В 2008 году было обнаружено 12 885 уязвимостей типа

межсайтового скриптинга.

6
 ƒ Хотя это меньше, чем 17 697 таких уязвимостей,
обнаруженных в 2007 году, за 2008 год было исправлено
всего 394 (или 3%) уязвимостей типа межсайтового
скриптинга; между тем в 2007 году было исправлено
1240 таких уязвимостей (7%).

ƒ В 2008 году среднее время исправления уязвимости на

веб-сайте составило 60 дней (вместо 76 дней в 2007
году); это означает, что пользователи сайта в течение
длительного времени оставались уязвимыми для атак.

В. Из каких стран или регионов исходит больше всего атак?

О. Главным источником веб-атак были США, за ними следовали Китай и

Украина, а среди всех регионов больше всего атак исходило из региона
ЕМЕА.

• 38% всех веб-атак исходили из США, 13% — из Китая и 12% — из

Украины.

• Шесть из 10 стран-главных источников веб-атак находятся в регионе

ЕМЕА, на долю которого приходится 45% всех атак – больше, чем на
долю любого другого региона.

o Одной из причин повышенной доли региона ЕМЕА могут быть

пакеты эксплойтов, созданные в России, и вероятно, что
именно русские, разработавшие эти наборы, взламывают веб-
сайты по всему миру и переадресуют посетителей на
расположенные в регионе ЕМЕА компьютеры, на которых
установлен вредоносный код.

В. За чем охотятся злоумышленники и как они это добывают?

О. Злоумышленники охотятся за данными конечных пользователей; часто

они применяют вредоносный код, содержащий средства экспорта данных

7
или регистрации нажатия клавиш.

• В 2008 году 78% угроз для конфиденциальной информации

экспортировали данные пользователей, против 74% в 2007 году;
такие угрозы приносят злоумышленникам пользу, так как собранные
данные можно применять для кражи персональной информации
пользователей или для организации новых атак.

• В 2008 году доля угроз для конфиденциальной информации с

возможностью регистрации нажимаемых клавиш составила 76% от
всех угроз для конфиденциальной информации, против 72% в 2007
году.

• В 2008 году 76% фишинговых атак были нацелены на бренды в

секторе финансовых услуг; этот сектор продемонстрировал также
самый большой уровень кражи персональных данных в результате
утечек данных, 29% от общего числа.

• 12% всех случаев утечки данных, произошедших в 2008 году, были

связаны с раскрытием информации о кредитных картах.

В. Какую роль играет теневая экономика во вредоносной

деятельности в интернете?

О. Злоумышленники используют теневую экономику, которая крепнет и

процветает, для купли-продажи краденых товаров, а также инструментов и
услуг, связанных с мошенничеством.

• Распространение товаров и услуг, рекламируемых на серверах

теневой экономики, по-прежнему сконцентрировано на финансовой
информации, что предполагает, что преступники сильнее
сосредоточены на приобретении товаров, которые позволяют им

8
 быстро делать большие деньги, чем на эксплойтах, которые требуют
больше времени и ресурсов.

• Список товаров и услуг, рекламируемых преступниками в теневой

экономике, возглавляют данные кредитных карт — на их долю
приходится 32% от всех товаров и услуг, против 21% в 2007 году;
второе занимают реквизиты банковских счетов.

• Интересно отметить, что в отличие от мирового рынка, на котором

цены в основном упали, цены на товары и услуги черного рынка
остаются неизменными; например, цена краденой информации о
кредитных картах в 2008 оставалась неизменный на уровне от $0,06
до $30 за карту, а цена краденых реквизитов банковского счета в
2008 оставалась неизменный на уровне от $10 до $1000 за счет.

• По мере того как теневая экономика становится более

профессионализированной, производство и распространение таких
товаров, как специализированный вредоносный код и комплекты для
фишинга, становится лучше скоординированным; это, в свою очередь,
ведет к существенному росту общей распространенности
вредоносного кода.

o В 2008 году Symantec создала 1 656 227 новых сигнатур

вредоносных программ; это на 265% больше, чем в 2007 году
(когда было создано 624 267 сигнатур), и рекордное число
сигнатур, созданных Symantec за один год.

o К концу 2008 года общее число сигнатур вредоносных

программ выросло до 2 674 171; это означает, что 60% всех
сигнатур вредоносных программ, созданных Symantec, были
созданы в 2008 году.

o Успех Russian Business Network также указывает на

профессионализацию теневой экономики; этой группе, которая,

9
 как известно, специализируется на распространении
вредоносного кода, услугах хостинга вредоносных веб-сайтов и
т.п., приписывают почти половину всех инцидентов фишинга,
случившихся во всем мире в 2008 году.

• В число услуг, рекламируемых на черном рынке, входят

обналичивание, хостинг фальшивых сайтов и трудоустройство –
например, разработчиком нелегальных схем или партнером по
фишингу.

o Symantec обнаружила, что во многих случаях разработка

вредоносных программ, которые крадут конфиденциальную
информацию, организована на широкую ногу и ведется хорошо
организованными программистами, так же, как приложения в
легитимных фирмах.

o Работа теневой экономики хорошо организована; например,

такие товары, как чистые пластиковые карты с магнитной
полосой, могут изготавливаться в одной стране, пересылаться
в другую для записи краденых реквизитов кредитных карт, а
затем переправляться в страны, откуда исходят эти краденые
данные.

• По оценке Symantec, общая стоимость рекламируемых на серверах

черного рынка товаров в период с июля 2007 по июнь 2008 года,
составила $276 млн.

В. Что могут сделать потребители и предприятия, чтобы защититься

от угроз?

О. Symantec призывает потребителей и организации использовать

глубинную оборону, своевременно устанавливать исправления и применять
практические рекомендации по резервному копированию и восстановлению.

10
• Важнейшей профилактической мерой является использование
глубинной обороны, когда применяются несколько пересекающихся и
взаимодействующих систем безопасности для защиты от любых
сбоев в любой отдельной технологии или отдельном методе защиты.
Для потребителей это означает использование решения интернет-
безопасности, в котором сочетаются антивирус, межсетевой экран,
система предотвращения вторжений и система управления
уязвимостями.

• Потребителям и организациям следует гарантировать

своевременную установку исправлений для всех уязвимых
приложений.

• Предприятия и потребители должны иметь наготове аварийные

процедуры, включая наличие решения для резервного копирования и
восстановления.

11