Уязвимости систем видеонаблюдения позволяют хакерам создавать масштабные ботнеты. Ботнеты плацдарм современных кибератак реферат

Ботнеты и кибервойны | ChannelForIT

29 Июля, 2014 21:16

Олег Николаев

О ботнетах сейчас много говорят производители антивирусного программного обеспечения. Пишут в ИТ-новостях и спорят обычные пользователи ПК. Время от времени в СМИ появляется информация об обезвреживании очередного ботнета. Тем не менее, по мнению экспертов, обнаруженные ботнет или зомби-сети – это лишь вершина айсберга.

Ботнет (botnet – сокращение от roBOTNETwork) представляет собой сеть компьютеров, зараженных вредоносным кодом, который позволяет преступным группировкам удаленно управлять «инфицированными» машинами без ведома пользователя. При этом бот – это вредоносная программа, которая внедряется на ПК и предоставляет функции удаленного управления киберпреступникам, а сам зараженный компьютер превращается в «зомби». Компьютер, который управляет ботнетом, называется центром управления. Правда, чтобы не размещать в одном месте управление большим ботнетом, злоумышленники дробят его на несколько более мелких, на случай, если один из них выйдет по каким-либо причинам из строя. В некоторые ботнеты входит только несколько сотен компьютеров, тогда как в другие — десятки или даже сотни тысяч компьютеров-зомби.

Примечательно, что разработчики ботов стараются сделать так, чтобы эти вредоносные программы долгое время не выдавали своего присутствия на ПК. Поэтому многие владельцы инфицированных компьютеров не подозревают о заражении. Среди подозрительных признаков может быть разве что замедление работы системы, появление странных сообщений, иногда может случиться сбой. В то же время, в случае обнаружения Интернет-провайдером фактов распространения из инфицированного ПК вредоносного программного обеспечения, спама или массового DDoS-трафика, провайдер может отключить ваш ПК от Сети.

Боты проникают на чужие компьютеры несколькими способами. Чаще всего они распространяются через сомнительные веб-сайты, при загрузке непроверенных плагинов для браузера, через электронные сообщения, с запуском генераторов ключей, «кряков», патчей и прочего пиратского ПО. Есть также вариант заражения от USB-флешки, если она побывала на заражённой машине.

Изъять зараженный компьютер из ботнета очень просто – достаточно отключить его от интернета. Однако в нынешнюю эпоху повсеместной интернетизации такой способ представляется крайне нежелательным: мало того, что это затруднит вам доступ к информации, ещё и нет гарантии, что вирус не подхватится от флешки. По-видимому, более оптимальный вариант – придерживаться некоторых правил во время работы в интернете. Во-первых, не работать на ПК с правами администратора, во-вторых, не загружать бездумно файлы, предлагаемые на различных сайтах, в-третьих, установить на ПК антивирус (а лучше – пакет класса Internet Security), использовать стойкие и сложные пароли. Наконец, очень осторожно относится к пиратскому ПО, особенно к различным генераторам ключей, взломщикам и т. д.

Зачем нужны ботнеты?

Необходимо понимать, что бот на ПК – это фактически шпион, который может отсылать с инфицированного компьютера пароли к различным сервисам, делать снимки экрана, выполнять поиск интересующих файлов с дальнейшим их удалением или закачкой на удалённый сервер. Кроме того, киберпреступники могут использовать бот-сети для рассылки спама, выполнения атак типа «отказ в обслуживании» (DDoS), и даже автоматического «нащёлкивания» по рекламным баннерам, что приносит прибыль мошенникам.

Важно отметить, что использование ботнетов далеко не всегда осуществляется владельцем сети: за её приобретение или аренду может заплатить какая-нибудь рекламная компания. Причем такое целенаправленное создание ботнетов на продажу является вполне прибыльным криминальным бизнесом.

Ботнет как армия киберроботов

Хотя в большинстве случаев бот-сети используются с целью коммерческой наживы, их можно использовать в качестве эффективного инструмента в кибервойнах в другими государствами, например, для организации мощных DDoS-атак и массированной рассылки спама.

В апреле 2007 года состоялась первая в мире кибератака против государства – небольшой прибалтийской страны Эстонии, отличающейся высоким уровнем интернетизации населения и развития интернет-сервисов е-правительства.

Кибератаки против веб-сайтов Эстонии начались 27-го апреля, вслед за массовыми беспорядками в Таллинне, вызванными переносом советского памятника «Бронзовый солдат». Первоначально атаки были направлены на веб-сайты президента Эстонии, премьер-министра, министерства иностранных дел, министерства юстиции и парламента. Вначале атаки являлись технически несложными и мало напоминали кибервойну, скорее — кибербунт. Однако политические мотивы таких атак и некоторые улики натолкнули множество экспертов на мысль, что эти атаки были организованы правительством России.

В первое время злоумышленники ограничились рассылкой спама и кибервандализмом (например, была искажена фотография премьер-министра Эстонии на вебсайте его партии). Однако 30-го апреля началась скоординированная атака DDoS (то есть, распределённая атака типа «отказ в обслуживании») с применением ботнетов. Самые разрушительные атаки продолжалась свыше десяти часов, обрушив несколько гигабит трафика на веб-ресурсы правительства Эстонии. DDoS-нападения достигли своей кульминации 9-го мая, после чего пошли на спад.

Как ни странно, не удалось обнаружить каких-либо достоверных улик, что эту кибератаку организовала Россия. Применение зомбии-компьютеров, которые были рассредоточены по всему миру, прокси-серверов и тактики спуфинга (использование чужого IP-адреса с целью обмана системы безопасности) чрезвычайно затрудняло определение с какой-либо долей уверенности происхождения атак. В то же время, есть косвенное доказательство связи с ними Москвы. Дело в том, что в кибернападение были вовлечены миллионы компьютеров. Аренда ботнетов для таких атак является дорогостоящим мероприятием. Более того, возникает вопрос: «Кому эти атаки выгодны?». Президент Эстонии высказал предположение, что зондирующий характер атак на конкретное правительство через анонимные прокси-серверы, отвечает образу действия режима Путина, тестирующего новое «оружие».

Спустя год мощная кибератака была проведена против Грузии. Хакеры, которые непосредственно отвечали за нанесение первого киберудара по Грузии, входили в группировку RBN (RussianBusinessNetwork), которая управлялась Александром Бойковым из Санкт-Петербурга. Также в этой атаке был задействован программист и спамер Андрей Смирнов. Эти люди возглавили секцию RBN, причем они занимались этим не из развлечения, в то же время они и не были «хактивистами» (напомним, что некоторые кибератаки на Грузию выполнялись именно хакерами-ативистами).

Александр Бойков к тому времени уже был хорошо известен в киберкриминальном мире, более всего — за распространение вредоноса VirusIsolator (который загружает трояны для контроля над компьютером-жертвой). Также он «прославился» рассылкой порно-спама, финансовыми преступлениями и управлением жульническими сайтами.

Смирнов тоже работал с жульническими порталами, в частности он владел сайтом по продаже медпрепаратов из Канады. Известно, что Смирнов придерживался нацистских взглядов и поддерживал блокирование поставок природного газа в Украину.

Кибератака началась следующим образом. Сначала Бойков разослал огромный объем спам-писем якобы от имени ВВС, в которых утверждалось, что президент Грузии – гей. Когда пользователь щёлкал по письму, на его ПК загружался вирус. Эту ботсеть начали формировать еще в 2006 году, однако основное число узлов добавилось в марте-апреле 2008 года. Дальнейшие расследование деятельности Бойкова и Смирнова показали, что в кибератаки были задействованы российские власти.

Если сопоставить происходившее в Эстонии и Грузии, то очень многое выглядело идентично, или как минимум очень похоже. В атаках на обе страны были использованы ботнеты, применяемые для мощных DDoS-атак. Но если в Эстонии вовремя отреагировали на кибератаки и они мало повлияли на жизнь обычных жителей, то в Грузии защита от них не была столь успешной. Например, в Эстонии были недоступны несколько часов интернет-услуги крупных банков, тогда как в Грузии эта остановка была более длительной.

Подводя итоги, можно сказать, что чем выше уровень «цифровизации» населения, тем больший вред могут нанести кибератаки. В то же время, государство и частный бизнес могут противостоять кибератакам, оперативно наращивая пропускную способность интернет-канала и блокируя DDoS-трафик. Но чтобы сделать это эффективно, необходимо заранее предпринять меры по кибербезопасности на государственном уровне.

channel4it.com

Ботнеты и кибервойны - DrRouter

Зачем нужны ботнеты?Необходимо понимать, что бот на ПК – это фактически шпион, который может отсылать с инфицированного компьютера пароли к различным сервисам, делать снимки экрана, выполнять поиск интересующих файлов с дальнейшим их удалением или закачкой на удалённый сервер. Кроме того, киберпреступники могут использовать бот-сети для рассылки спама, выполнения атак типа «отказ в обслуживании» (DDoS), и даже автоматического «нащёлкивания» по рекламным баннерам, что приносит прибыль мошенникам.Важно отметить, что использование ботнетов далеко не всегда осуществляется владельцем сети: за её приобретение или аренду может заплатить какая-нибудь рекламная компания. Причем такое целенаправленное создание ботнетов на продажу является вполне прибыльным криминальным бизнесом.

Ботнет как армия киберроботовХотя в большинстве случаев бот-сети используются с целью коммерческой наживы, их можно использовать в качестве эффективного инструмента в кибервойнах в другими государствами, например, для организации мощных DDoS-атак и массированной рассылки спама.

Источник: e-news

www.doctorrouter.ru

Кибератаки и их жертвы

Согласно исследованию проведенному «Лабораторией Касперского» совместно с компанией B2B International, в среднем потери российского пользователя в ходе кибератак составляют 80 долларов, а каждая девятая жертва потеряла в результате такого онлайн-мошенничества более 1000 долларов. Поясняя причину потери, 21% пострадавших отметил, что хакеры похитили деньги, получив доступ к записям в платежном сервисе. Еще 19% попались на уловку мошенников и ввели данные на поддельном веб-сайте. А 10% пользователей уверены, что их логины или пароли были перехвачены вредоносной программой.

kiber-12 1 Кроме того, в течение года пользователи довольно часто сталкивались со взломами своих онлайн-аккаунтов: электронной почты, страницы в социальной сети и т.д. – об этом сообщили 26% респондентов в России. Опасность таких инцидентов заключается не только в том, что скомпрометированные учетные записи используются преступниками для рассылки спама и вредоносных ссылок, они также вполне могут обернуться финансовыми потерями. Например, в почтовом ящике можно найти логины и пароли для доступа к платежным сервисам и онлайн-магазинам, получаемые во время регистрации или восстановления.

Распределенные сетевые атаки / DDoS

Распределенные сетевые атаки часто называют атаками типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Успех атак этого типа основан на ограничении пропускной способности, которая является одной из характеристик любого сетевого ресурса, например, такого как инфраструктура, поддерживающая веб-сайт компании. Во время DDoS-атаки веб-ресурсу отправляется большое количество запросов с целью исчерпать его возможности обработки данных и нарушить его нормальное функционирование.

Принцип действия DDoS-атак

Сетевые ресурсы (например, веб-серверы) всегда имеют ограничения по количеству одновременно обрабатываемых запросов. Кроме ограничения мощности сервера, канал, по которому сервер связывается с интернетом, также обладает конечной пропускной способностью. Если число запросов превышает предельные возможности какого-либо компонента инфраструктуры, могут возникнуть следующие проблемы с уровнем обслуживания:

формирование ответа на запросы происходит значительно медленнее обычного,
некоторые или даже все запросы пользователей могут быть оставлены без ответа.

Обычно конечная цель злоумышленника — полное прекращение нормальной работы веб-ресурса, полный «отказ в обслуживании». Злоумышленник может также требовать денег за прекращение атаки. В некоторых случаях DDoS-атака может использоваться для дискредитации бизнес-конкурента или нанесения ему ущерба.

dos-atak1

Проведение DDoS-атаки с помощью ботнета

Для отправки на ресурс сверхбольшого количества запросов киберпреступники часто создают из зараженных компьютеров зомби-сеть. Так как преступники могут полностью контролировать действия каждого зараженного компьютера зомби-сети, совокупный масштаб такой атаки может быть чрезмерным для атакованных веб-ресурсов.

Характер современных DDoS-угроз

С начала и до середины 2000-х годов такой вид криминальной деятельности был достаточно распространен. Однако количество успешных DDoS-атак уменьшилось, вероятно, это вызвано следующими причинами:

полицейские расследования, которые привели к арестам преступников во многих странах мира;
успешные технические контрмеры против DDoS-атак.

Целевые атаки

В отличие от массовых атак компьютерных вирусов (цель которых — заражение максимального количества компьютеров) в целевых атаках используется совершенно другой подход. Целевые атаки могут быть направлены на заражение сети определенной компании или организации или даже одного сервера в сетевой инфраструктуре организации, для чего может быть написана специальная троянская программа.

На кого нацелены атаки?

kiber-778a2bd01e8f2c26310e5456d271ebd5 Киберпреступники часто проводят целевые атаки на предприятия, обрабатывающие или хранящие информацию, которая может быть использована преступниками с целью получения прибыли. Наиболее часто целевым атакам подвергаются:

Банки. Преступники атакуют серверы или банковскую сеть, чтобы получить доступ к данным и осуществить незаконный перевод средств с банковских счетов пользователей.
Биллинговыекомпании (например, телефонные операторы). Когда для атаки выбирается биллинговая компания, преступники пытаются получить доступ к учетным записям пользователей или украсть ценную информацию, такую как клиентские базы данных, финансовую информацию или технические данные.

Обход корпоративной системы безопасности

Поскольку большие компании (которые обычно подвергаются целевым атакам вредоносных программ) нередко имеют высокий уровень ИТ-безопасности, киберпреступникам могут потребоваться некоторые особо хитрые методы. Так как большинство организаций использует сетевые экраны и другие способы защиты от внешних атак, преступник может попытаться найти ходы внутри организации.

Фишинг. Сотрудники невольно могут помочь преступнику, ответив на фишинговое электронное письмо. Оно может выглядеть как сообщение из ИТ-отдела компании, они предлагают сотруднику в целях тестирования ввести свой пароль доступа к корпоративной системе.
Использование фальшивых персональных данных. В некоторых случаях преступники могут использовать личную информацию, собранную на веб-сайтах социальных сетей, чтобы выдать себя за одного из коллег сотрудника. В таком случае фишинговый запрос имени пользователя и пароля выглядит так, как если бы он действительно был отправлен коллегой. Это помогает запрашивать у сотрудников их пароли, не вызывая подозрения.

С каждым годом число кибератак растет. Дополнительным фактором роста послужило обнаружение ряда опасных уязвимостей платформы Java, которые были использованы злоумышленниками в кибератаках. Популярность банковских троянцев и других программ для получения финансовой информации обусловлена тем, что с их помощью киберпреступники могут быстро обеспечить себе незаконный доход. При этом набор приемов, используемых злоумышленниками, пополняется едва ли не каждый месяц, и уже нет уверенности, что оградить себя от них можно одной только бдительностью.

По материалам сайта kaspersky.ru

security.mosmetod.ru

Диссертация на тему «Обеспечение устойчивости функционирования многоагентных систем защиты в условиях воздействия распределенных угроз безопасности» автореферат по специальности ВАК 05.13.19 - Методы и системы защиты информации, информационная безопасность

1. Тарасов, В. Б. От многоагентных систем к интеллектуальным организациям Текст. / В. Б. Тарасов. — М.: Эдиториал УРСС, 2002. — 352 с.1.BN 5-8360-0330-0.

2. Колмогоров, А. Н. Три подхода к определению понятия «количество информации», Проблемы передачи информации Текст. / А. Н. Колмогоров1965, т. 1, вып. 1,С. 3-11.

3. Пригожин, И. Р. От существующего к возникающему: Время и сложность в физических науках. Текст. / И. Р. Пригожин. — М.: Эдиториал УРСС, 2002. — 287 с. — ISBN 5-354-00071-8.

4. Пригожин, И. Р. Порядок из хаоса: Новый диалог человека с природой Текст. / И. Р. Пригожин, И. Стенгерс. — М.: Эдиториал УРСС, 2000. — 312 с. — ISBN 5-8360-0106-5.

5. Ashby, R. Automaton Theory and Learning Systems Текст. / M Andrew; W Ross Ashby, F H George, Gordon Pask, J С Shepherdson, D J Stewart.1.ndon: Academic Press, 2000. — P. 23-51.

6. Ashby, R. The Set Theory of Mechanism and Homeostasis Текст. / W. R. Ashby // Biological Computer Laboratory, Technical Report #4.7, University of Illinois: Urbana, IL, — 44 p.

7. Burks, A. W. Essays on Cellular Automata Текст. / Ed. A. W. Burks — Urbana: Univ. of Illinois Press, 1970.— 120 p.

8. Holland, J. H. Adaptation in natural and artificial systems Текст. / John H. Holland.—A Bradford Book., 1992.—211 p.

9. Goldberg, D.E. Genetic Algorithms in Search, Optimization and Machine Learning Текст. / D.E. Goldberg. — Addison-Wesley Publishing Co., 1989. — 379 p. —ISBN 0-201-15767-5.

10. Genesereth, M.R. Logical Foundations of Artificial Intelligence Текст. / M. R. Genesereth. — Morgan Kaufmann; First Edition edition, 1987v— 406 p. — ISBN 0-934-61331-1.

11. Гаврилова, Т. А. Базы знаний интеллектуальных систем Текст. / Т. А. Гаврилова, В. Ф. Хорошевский. — СПб.: Питер, 2000. — 384 с.

12. Hanks, S. Issues and architectures for planning and execution Текст. / S. Hanks, R. J. Firby // DARPA Workshop on Innovative Approaches to Planning, Scheduling and Control Materials. — 1990.— p. 59-70.

13. Kaspersky Security Network Электронный ресурс. / URL http://www.kaspersky.ru/downloads/pdf/kasperskysecuritynetwork.pdf, режим доступа: свободный.

14. Panda Internet Security Documentation Электронный ресурс. / URL http://www.pandasecurity.com/homeusers/downloads/docs/product/internet-security/, режим доступа: свободный.

15. ESET Live Grid Описание используемых технологий Электронный ресурс. / URL http://www.esetnod32.ru/company/why/technology/, режим доступа: свободный.

16. Parag, К. Shelke. Intrusion Detection System for Cloud Computing Текст. / Ms. Parag K. Shelke, Ms. Sneha Sontakke, Dr. A. D. Gawande // International Journal of Scientific & Technology Research Volume 1, Issue 4. — 2012, —p. 133-152.

17. Кондрашин, M. Ботнеты плацдарм современных кибератак Текст. / М. Кондрашин // Журнал «Information Security / Информационная безопасность» №5. — 2007. — с. 43-50.

18. Букин, М. Атака сетевых «зомби» Электронный ресурс. / М. Букин, Daily Digital Digest News. — 2009.— URL http://www.3dnews.ru/communication/botnet/print, режим доступа: свободный.

19. Бот-сеть Win32.Rmnet.12 Электронный ресурс. / SecurityLab. — URL: http://www.securitylab.ru/news/426503.php, режим доступа: свободный.

20. Win32.Rmnet.16 Электронный ресурс. / URL http://it-sektor.ru/win32.rmnet. 16-novyyi-vid-fayilovogo-virusa.html, режим доступа: свободный.

21. Хронология эпидемии троянца BackDoor.Flashback.39 Электронный ресурс. / URL http://www.ferra.ru/ru/soft/news/2012/04/1 l/BackDoor-Flashback-39/, режим доступа: свободный.

22. BackDoor.Andromeda.22 и Trojan.Necurs.97 в подарок от Amazon.com / URL http://it-sektor.ru/backdoor.andromeda.22-i-trojan.necurs.97-ili-podarok-ot-amazon.com.html, режим доступа: свободный.

23. Harley, D. Net of the Living Dead Электронный ресурс. / David Harley, Andrew Lee, Cristian Borghello // White Paper ESET.— 2009. — URL http://go.eset.com/us/resources/white-papers/NetLivingDead.pdf, режим доступа: свободный.

24. Pereira, J. Neem: Network-friendly epidemic multicast Текст. / Pereira, J, Rodrigues, L., Monteiro, M.J., Oliveira, R. & Kermarrec, A.M. // Proceedings of the 22th IEEE Symposium on Reliable Distributed Systems (SRDS'03).—2003.

25. Deshpande, M. Crew: A gossip-based flash-dissemination system Текст. / Deshpande, M., Xing, В., Lazardis, I., Ноге, В., Venkatasubramanian, N. & Mehrotra // Proceedings of the 22th IEEE Symposium on Reliable Distributed Systems (SRDS'03).—2003.

26. Birman, K. Bimodal multicast Текст. / К. Birman, M. Hayden, O. Ozkasap, Z. Xiao, M. Budiu, and Y. Minsky. Bimodal multicast // ACM TOCS, 17(2).—1999.

27. Demers, A. Epidemic algorithms for replicated database maintenance Текст. / A. Demers, D. Greene, C. Hauser, W. Irish, J. Larson, S. Shenker, H. Sturgis, D. Swinehart, and D. Terry // In Proc. of the 6th PODC.—1987.—P. 1-12.

28. Ganesh, A. J. SCAMP: Peer-to-peer lightweight membership service for large-scale group communication Текст. / A. J. Ganesh, A.-M. Kermarrec, and L.Massouli // Networked Group Communication.—2001.— P. 44-55.

29. Voulgaris, S. Cyclon: Inexpensive membership management for unstructured P2P overlays Текст. / S. Voulgaris, D. Gavidia, M. Steen // Journal of Network and Systems Management, 13(2).—2001.—P. 197-217.

30. Leitao, J. HyParView: A membership protocol for reliable gossip-based broadcast Текст. / J. Leitao, J. Pereira, L. Rodrigues // In Proc. of the 37th DSN.—2007.—P. 419^29.

31. Melamed, R. Araneola: A scalable reliable multicast system for dynamic environments / R. Melamed, I. Keidar // Proc. of the 3rd NCA.—2004.— P. 5-14.

32. Tang, C. GoCast: Gossip-enhanced overlay multicast for fast and dependable group communication / C. Tang and C. Ward // Proc. of the DSN.— 2005,—P. 140-149.

33. Jelasity, M. T-Man: Gossip-based overlay topology management Текст. / M. Jelasity, O. Babaoglu // The Fourth International Workshop on Engineering Self-Organizing Applications (ESOA'06).—2006.—P. 150-158.

34. Leitao, J. X-bot: A protocol for resilient optimization of unstructured overlays Текст. / J. Leitâo, J. P. Marques, J. Pereira, and L. Rodrigues // Proceedings of the 28th IEEE International Symposium on Reliable Distributed Systems.—P. 236-245.—2009.

35. Levine, B. N. A comparison of reliable multicast protocols Текст. / Brian Neil Levine, J.J. Garcia-Luna-Aceves // Multimedia Systems,v.6 n.5.— 1998.—P.334-348.

36. Котенко, И.В. Агентно-ориентированное моделирование бот-сетей и механизмов защиты от них Текст. / Котенко И.В., Коновалов A.M., Шоров А.В. // Вопросы защиты информации № 3.—2011.—С.24-29.

37. Райгородский, А. М. Модели случайных графов Текст. / А. М. Райгородский.—МЦНМО.—2011.—136 с.

38. Alon, М. Probabilistic Method Текст. / Noga Alon, Joel H. Spencer—Wiley-Blackwell.—2008—376 р.

39. Krishnamurti, R. The minimum satisfiability problem Текст. / R. Krishnamurti, R. Kohli, P. Mirchandani // SIAM Journal on Discrete Mathematics 7(2).—1994.—P. 275-283.

40. Wu, L. Honeypot Detection in Advanced Botnet Attacks Текст. / Ping Wang, Lei Wu, Ryan Cunningham, Cliff C. Zou // Int. J. Information and Computer Security, Vol.3.—2010.—P. 45-67.

41. Siljak, D. D. Dynamic Graphs Текст. / D. D. Siljak // The International Conference on Hybrid Systems and Applications.—2006.—P. 110141.

42. Siljak, D. D. Control of large-scale systems: Beyond decentralized feedback Текст. / D. D Siljak, A. I. Zecevic // Annual Review in Control 29.— 2005.—P. 169-179.

43. Siljak D. D. Robust stabilization of nonlinear systems: The LMI approach Текст. / D. D. Siljak, D. M. Stipanovi // Mathematical Problems in Engineering 6,—2000,— P. 461-493.

44. Erdos, P. On the evolution of random graphs Текст. / P. Erdos, A. Renyi // Publ. Math. Inst. Hung. Acad. Sci. 5,—1960.—P. 17-61.

45. Fountoulakis, N. Percolation on sparse random graphs with given degree sequence Текст. / Nikolaos Fountoulakis // Internet Mathematics. —2007. — P. 329-356.

46. Dijkstra, E. A note on two problems in connexion with graphs Текст. / E. Dijkstra // Numerische mathematik 1(1).—1959.—P. 269-271.

47. Dees, J. Computing Alternative Routes in Road Networks Текст. / J. Dees // Master's thesis, Karlsruhe Institut fur Technologie, Fakultat fur Informatik. —2010,—145 p.

48. Dees, J. Denning and Computing Alternative Routes in Road Networks Текст. / Dees, J., Geisberger, R., Sanders, P., Bader, R. // Technical report, ITI Sanders, Faculty of Informatics, Karlsruhe Institute of Technology.— 2010.—172 p.

49. Pittel, B. Edge percolation on a random regular graph of low degree Текст. / Boris Pittel // Annals of Probability Vol. 40, Num. 6,—2012.—P. 13591389.

50. McKay, D. Uniform generation of random regular graphs of moderate degree Текст. / Brendan D. McKay, Nicholas C. Wormald // Journal of Algorithms 11,—1990,—P. 52-67.

51. Kleinberg, J. A first random graph model Текст. / Jon Kleinberg // Some Basic Calculations on Random Graphs.—2008.—P. 46-50.

52. Степанова, Т. В. Оценка эффективности использования средств защиты для нейтрализации и устранения бот-сетей Текст. / Д. П. Зегжда, Т.

53. B. Степанова // Журнал "Проблемы информационной безопасности. Компьютерные системы". — СПб.: Изд-во Политехи, ун-та, 2012.— №2. —1. C. 21-27.

54. Цвиркун, А. Д. Имитационное моделирование в задачах синтеза структуры сложных систем (оптимизационно-имитационный подход) Текст. / Цвиркун А. Д., Акинфиев В. К., Филиппов В. А М.: Наука, 1985. - 174 с.

55. Снапелев, Ю. М. Моделирование и управление в сложных системах Текст. / Снапелев Ю. М., Старосельский В. А. М.: Сов. радио, 1974.-264 с.

56. Бусленко, Н. П. Об одном классе задач оптимального распределения Текст. / Бусленко Н. П., Соколов Г. А. // Экономика и математические методы. 1965. - Т. 1, № 1. - С. 123-136.

57. Бусленко, Н. П. Математическое моделирование производственных процессов на цифровых вычислительных машинах Текст. / Бусленко Н. П. М.: Наука, 1964.-364 с.

58. Зегжда, П. Д. Математические основы информационной безопасности Текст. / П. Д. Зегжда, А. П. Баранов, Н. П. Борисенко и др. — Орел: ВИПС, 1997. — 354 с.

59. Бусленко Н. П. Метод статистических испытаний (метод Монте-Карло) Текст. / Н. П. Бусленко, Д. И. Голенко, И. М. Соболь и др. М.: Физматтиз, 1962. - 332 с.

www.dissercat.com

Кибератаки

Модели атаки

В феврале 2017 года TAdviser и Sec-Consult составили следующую классификацию моделей кибератак.

Сетевая инфраструктура

Уязвимости протокола канала передачи данных

Проблемы безопасности в слое 2 модели OSI. Модель атаки:

Разметка 802.1Q и ISL (расстановка тегов)
ARP-фальсификация
Взлом шифрования беспроводного соединения
Истощение адресов DHCP
Атака с двойным инкапсулированием 802.1Q / вложенной VLAN
Переполнение MAC
Манипуляции STP

Уязвимости слоев сетевого и транспортного протокола

Проблемы безопасности в слое 3, 4 and 5 модели OSI. Модель атаки:

Манипуляции BGP
Манипуляции EIGRP
Манипуляции IGRP
Манипуляции OSPF
Перехват и анализ сетевых пакетов
Манипуляции RIP
Предсказание порядкового номера TCP/IP
Переполнение SYN

Проблемы с файерволом

Проблемы безопасности, связанные с конфигурацией файервола. Модель атаки:

Обход правил файервола
Недостаточная фильтрация пакетов

Уровень исправлений

Уровень исправлений сервера

Возможно применение известных багов программного обеспечения, несмотря на то что патч уже имеется

Модель атаки:

Использование известных уязвимостей приложений

Конфигурация сервера

Конфигурация сервера / общий тип

Данный класс включает в себя ошибки конфигурации, которые могут быть использованы злоумышленниками, в отношении всех типов серверного программного обеспечения.

Модель атаки:

Использование учтенных записей по умолчанию
Перечисление учетных записей пользователей
Использование опасных методов протоколирования
Использование несоответствующих разрешений для доступа
Использование незащищенных функциональных возможностей
Сбор внутренней информации
Угадывание паролей
Считывание незашифрованных конфиденциальных данных

Стандартное программное обеспечение и проприетарные приложения

Проблемы аутентификации

Веб-приложение не имеет достаточных средств аутентификации для защиты своих ресурсов.

Модель атаки:

Проблемы авторизации

Неавторизованный или непривилегированный пользователь может получить доступ к ресурсам, которые защищены или должны быть защищены.

Модель атаки:

Доступ к защищенным функциям
Доступ к защищенным ресурсам

Проблемы бизнес-логики

Злоумышленник может нарушить бизнес-правила приложения

Модель атаки:

В зависимости от приложения

Раскрытие информации

Злоумышленник может собирать информацию о внутренних данных приложения или серверном окружении

Модель атаки:

Сбор информации из комментариев к коду
Сбор информации из системных сообщений и сообщений об ошибках
Чтение старых файлов, файлов архивных копий и файлов без внешних ссылок

Способствование атакам со стороны клиента (браузерные атаки)

Этот класс уязвимостей относится к Интернету. В него входят атаки, нацеленные на веб-браузер.

Модель атаки:

Фальсификация кросс-сайтовых запросов (XSRF)
Подстановка HTML / кросс-сайтовый сценарий (XSS)
Расщепление ответа HTTP / подстановка заголовков
Имитация фреймов
Фиксация сессии

Проблемы подстановки интерпретатора / проверки введенных данных

Приложение передает введенные параметры в базу данных, в API (программные интерфейсы) операционной системы или в другие интерпретаторы без надлежащей проверки данных.

Модель атаки:

Доступ к файловой системе
Подстановка кода
Подстановка команд
Подстановка строки форматирования
Подстановка IMAP/SMTP
Подстановка LDAP
Подстановка ORM
Переполнение буфера символов
Обход пути
Подстановка операторов SQL
Подстановка SSI
Подстановка XML
Подстановка Xpath

Проблемы управления состоянием / сессией

Переменные состояния или сессии инициализируются и применяются неверно.

Модель атаки:

Перечисление идентификаторов сессии
Использование проблем состояния сессии

Небезопасное управление доверенными данными

Злоумышленник может манипулировать доверенными данными и внутренними данными приложения.

Модель атаки:

Манипулирование внутренними данными приложения о клиенте
Чтение внутренних данных приложения / конфиденциальных данных о клиенте

Функциональность в которой нет необходимости, и небезопасная функциональность

Приложение имеет небезопасную по своей сути функциональность.

Модель атаки:

Использование приложений-образцов
Загрузка произвольных файлов

Небезопасные алгоритмы

Использование небезопасных алгоритмов позволяет скомпрометировать уязвимые данные.

Модель атаки:

Взлом шифрования
Использование слабого генератора случайных чисел
Использование слабых/небезопасных алгоритмов шифрования

Уязвимость, приводящая к отказу в обслуживании

Служба может быть выведена злоумышленником из строя.

Модель атаки:

Использование неограниченного распределения ресурсов
Блокировка учетных записей заказчиков

Цели атак

Современная безопасность не имеет границ

Инструменты атак

Хроника событий

2018

Исследование Balabit

Check Point: 97% компаний не готовы к кибератакам «Пятого поколения»

Согласно отчету 2018 Security Report, подготовленному компанией Check Point Software Technologies, более 300 мобильных приложений, распространяющихся через официальные магазины, содержат вредоносный код. Также специалисты Check Point отмечают, что количество облачных угроз, атак криптомайнеров, уязвимостей MacOS и IoT-устройств продолжает расти.

мы наблюдаем следующее поколение кибератак — это многовекторные, крупномасштабные и стремительно распространяющиеся атаки «Пятого поколения» (Gen V), — отметил Питер Александер, директор по маркетингу Check Point Software Technologies. — 77% ИБ-директоров выразили обеспокоенность тем, что организации не готовы к таким современным кибератакам, и что подавляющее большинство инфраструктур безопасности компаний безнадежно устарело.

Чтобы получить больше информации о современном ландшафте киберугроз, Check Point опросил 443 ИТ- и ИБ-специалистов по всему миру о вызовах, с которыми они сталкиваются, отражая атаки «Пятого поколения». Результаты исследования показали, что защита большинства компаний отстаёт на 10 лет и как минимум на два поколения от современных кибератак Gen V. Это говорит о глобальной повсеместной уязвимости перед атаками «Пятого поколения».

Согласно данным 2018 Security Report, кибератаки Gen V становятся все более частыми, — отметил Дуг Кахил, руководитель группы и старший аналитик по кибербезопасности Enterprise Strategy Group. — Риску подвержены все: медицинские учреждения, государственные сервисы, крупные корпорации и т.д. 97% компаний не обладают решениями, способными противостоять кибератакам Gen V, и это нужно менять.

По информации Check Point, 2018 Security Report опирается на данные многочисленных исследований среди ИТ-директоров и руководителей бизнеса, а также отчетов Check Point’s Threat Cloud и Threat Intelligence Report. Исследование охватывает все современные угрозы, направленные на различные отрасли, такие как здравоохранение, промышленность и государственные структуры.

Атака на газопроводные компании

В начале апреля 2018 года стало известно о хакерских атаках на четыре американские газовые компании. В результате кибернападения некоторые ИТ-системы на несколько дней были остановлены в целях безопасности.

Неизвестные киберпреступники напали на Boardwalk Pipeline Partners, Eastern Shore Natural Gas, Oneok и Energy Transfer, которые занимаются обслуживанием газопроводов. Атаки были совершены в конце марта.

В компании Oneok, которая управляет газовыми магистралями в пермском нефтегазоносном бассейне в Техасе и Скалистых горах (западная часть Северной Америки), заявили, что в качестве меры предосторожности было принято решение отключить компьютерную систему после того, как подрядчик стал «очевидной целью для кибератаки».

Четыре газопроводные компании в США атаковали хакеры. ИТ-системы остановлены

Oneok не уточнила, работа какой системы была заморожена. В Energy Transfer рассказали, что компания отключила платформу для обмена данными (EDI; через нее передают заказы на поставку, счета-фактуры и т. п.) с клиентами, которую разработала дочерняя Energy Services Group для ускорения передачи документов и сокращения расходов.

Эта ситуация не повлияла на нашу деятельность. В период отключения мы вручную выполняем все плановые операции, — заявила агентству Bloomberg пресс-секретарь Energy Transfer Вики Гранадо (Vicki Granado).

EDI-решение Energy Services также используется другими компаниями, такими как Tallgrass Energy Partners и Kinder Morgan. Их представители говорят, что компьютерные системы компаний не пострадали. В Boardwalk Pipeline Partners подтвердили, что в EDI-системе произошел сбой, однако не уточнили причину. То же самое сказали в Eastern Shore Natural Gas.

К 4 апреля 2018 года системы электронного документооборота всех газовых компаний, которые пережили кибернападения, полностью восстановлены.

Президент организации North American Energy Standards Board (отвечает за разработку отраслевых стандартов в области энергетики) Ра Маккуад (Rae McQuade) говорит, что вывод из строя EDI-систем не прекращает передачу газа, однако оказывает серьезное влияние, поскольку компаниям приходится искать обходные варианты для взаимодействия.

Партнер Jones Walker Энди Ли (Andy Lee) отмечает, что компании, управляющие большей частью американской газопроводной сети протяженностью 3 млн милей, используют сторонние решения для документооборота, поэтому зависят от тех, кто отвечает за безопасность таких систем. При этом хакеров привлекает легкодоступность EDI, что позволяет им распространять вирусы-вымогатели или красть данные с последующей продажей.

По мнению эксперта по кибербезопасности промышленных систем Фила Нерая (Phil Neray), хакерская атака на газопроводные компании была проведена с целью финансового обогащения, однако не стоит исключать, что за этим стояли власти каких-либо стран.

Сети компаний, у которых есть какие-то важные активы, например, трубопроводы, электричество, финансы, могут быть целями для атак. Так было всегда, — заявил операционный директор компании-поставщика ИБ-решений R9B Джон Харбо (John Harbaugh).

Системы электронного обмена данными используются злоумышленниками для проникновения в ИТ-инфраструктуру компаний, но не являются конечной целью для них, рассуждает представитель Accenture Джим Гуинн (Jim Guinn).

Нет абсолютно никакой ценности в доступе к EDI, кроме как для перемещения по сети, чтобы делать что-то еще более злонамеренное. Все плохие художники ищут способ проникнуть в музей, чтобы украсть картину Ван Гога, — сообщил он, добавив, что принципиальных различий между системами для нефтяных и газовых компаний нет.[1]

2017

К 2021 году глобальный ущерб от кибератак превысит $6 трлн

Как заявили в компании RedSys в конце декабря 2017 года, количество кибератак продолжает увеличиваться. Так только в первой половине 2017 года было совершено более 900 кибератак, в результате которых похищено более 1,9 млрд наборов данных. В основе большинства атак зафиксировано вредоносное программное обеспечение ransomware, которое заражает компьютеры и ограничивает доступ к файлам в обмен на выкуп. Кроме того, некоторые зловреды напрямую воровали миллионы долларов.

В целом кибератаки 2017 года высветили существующую проблему обеспечения информационной безопасности, считает директор центра информационной безопасности RedSys Дмитрий Шумилин.

Тенденция, которая наблюдалась в течение предыдущих лет, однозначно говорит о том, что точно не стоит ожидать уменьшения количества и масштабов атак. Вероятно, атаки все чаще будут нацеливаться на конкретные уязвимые точки, также ожидается увеличение атак с использованием устройств интернета вещей, распространенность которых в последнее время лавинообразно увеличивается, а их безопасность при этом оставляет желать лучшего, — прогнозирует эксперт.

Увеличение числа угроз, в свою очередь, приведет к резкому росту расходов бизнеса и государственных структур на защиту данных. Так, по прогнозам Cybersecurity Ventures, в течение следующих четырех лет глобальные расходы на кибербезопасность составят около $1 трлн. Однако ущерб от киберпреступности тоже значительно вырастет. Так, в 2015 году расходы на возмещение глобального ущерба из-за атак посредством программ-вымогателей составили $325 млн. В 2017 году эти расходы, по предварительным подсчетам, превысят отметку в $5 млрд, а к 2021 году показатель перешагнет планку в $6 трлн.

Подвергнуться кибератаке могут любые предприятия во всем мире, вне зависимости от их размера и рода деятельности. При этом многие корпорации уже задумались над путями решения проблемы — об этом свидетельствуют планируемые на 2018 года бюджеты, добавил Дмитрий Шумилин.[2]

Изобретен компьютер, который «невозможно взломать»

Университет штата Мичиган получил от Агентства передовых оборонных исследований (DARPA) грант в размере $3,6 млн на разработку компьютера, который будет неуязвим для хакерских атак на аппаратном уровне[3].

Идея проекта под названием Morpheus - сделать тщетными любые попытки атак на программное или аппаратное обеспечение компьютера. Аппаратные комплектующие Morpheus будут представлять собой «неразгадываемую головоломку»: вся информация, содержащаяся в системе, может быть быстро и в случайном порядке перераспределена по разным компонентам.

Основная статья: DARPA Morpheus "Неразгадываемая головоломка"

PwC: Большинство российских компаний не могут противостоять кибератакам

Большинство российских компаний не могут успешно противостоять кибератакам, говорится в исследовании международной консалтинговой компании PwC, выпущенном в ноябре 2017 года.[4].

В PwC считают, что компании должны инвестировать время и средства в технологии обеспечения кибербезопасности

Половина российских респондентов отмечает, что в их компаниях нет общей стратегии информационной безопасности, а в 48% компаний нет программы обучения, направленной на повышение уровня осведомленности сотрудников в вопросах безопасности.

Кроме того, 56% компаний признались, что у них не отработан процесс реагирования на кибератаки. В способности найти хакеров полностью уверены лишь 19% участников исследования PwC в России и 39% респондентов во всем мире.

Среди основных мер для обнаружения киберрисков российские участники опроса назвали оценку киберугроз (50%), постоянный мониторинг системы информационной безопасности (48%), оценку уровня уязвимости (44%) и тест на проникновение для проверки системы защиты (40%).

Почти четверть российских компаний утверждают, что к проблемам с информационной безопасностью привело использование мобильных устройств. Этот фактор занял второе место после фишинговых атак, которые лидируют среди называемых угроз.

Киберинциденты происходят каждый день, при этом бренду и репутации компании, ставшей объектом хакерской атаки, наносится серьезный ущерб. Компаниям необходимо защищать доверие со стороны клиентов путем инвестирования времени и средств в работу по внедрению надлежащих систем и технологий, направленных на обеспечение кибербезопасности, — отметил руководитель практики по оказанию услуг в области информационной безопасности PwC в России Роман Чаплыгин.

По его словам, еще одним эффективным инструментом в борьбе с киберпреступностью может стать регулярный обмен информацией между компаниями.

$1,3 млрд потеряли маркетологи в 2016 году из-за фрода со сбросом DeviceID

20 сентября 2017 года компания AppsFlyer сообщила о выявлении решением Protect360 масштаба фрода (мошенничества) со сбросом DeviceID. Согласно полученным данным, на этот вид фрода приходится свыше 50% всего мошенничества, связанного с установками приложений, что гораздо больше, чем предполагалось. По оценкам AppsFlyer, в 2016 году маркетологи потеряли $1,1–$1,3 млрд из-за фрода со сбросом DeviceID.[5]

Недавно обнаруженный вид мошенничества основан на сбросе идентификатора мобильного устройства. Применяется преступниками, эксплуатирующими высокоорганизованные «фермы» мобильных устройств (также известные как «мобильные фермы» или клик-фермы), для сокрытия своих действий. Такие фермы могут насчитывать тысячи устройств, как результат, скрыть мошенничество такого масштаба нелегко, в следствие чего преступники прибегают к целому ряду приемов, чтобы оставаться в тени. Последовательный сброс уникального идентификатора — один из приемов, который проводится для каждого мобильного устройства. Тогда телефон, входящий в «мобильную ферму», определяется как новый даже после нескольких тысяч установок приложения, что приносит компаниям убытки в размере до нескольких миллиардов долларов ежегодно, пояснили в AppsFlyer.

Согласно данным, полученным с помощью Protect360, мошенничество со сбросом DeviceID:

отнимает деньги у маркетологов в 10% случаев — в среднем одна из 10 неорганических установок является мошеннической. Это означает, что из каждого доллара, потраченного на мобильную рекламу, 10 центов уходят прямиком в карманы мошенников;
в равной степени затрагивает как iOS, так и Android;
наносит ущерб 16 из 100 ведущих рекламных сетей — свыше 20% обеспечиваемых установок приложений являются мошенническими.

Источник: AppsFlyer

Данный тип фрода не ограничивается определённой страной или регионом. Мошенники в основном делают своей мишенью страны с высокими возмещениями CPI (cost-per-install, «цена за установку»). Кроме того, мошенники, занимающиеся сбросами DeviceID, нацеливаются на регионы с большим количеством кампаний и пользователей, чтобы затеряться в ожидаемо большом потоке трафика и остаться незамеченными для рекламодателей и сетей.

По данным исследования, на регион Восточная Европа, в который входит Россия, приходится 4,8% от общего объёма финансовых потерь, вызванных этим видом мошенничества, по всему миру. Компании удалось установить, что самая большая доля мошеннических установок со сбросом DeviceID приходится на Азию, за ней следуют Северная Америка и Европа. При этом наибольший финансовый урон испытывает Северная Америка (33,6% от общемирового уровня), Западная Европа (17,1%) и Юго-Восточная Азия (14,5%).

Eset зафиксировала 15 млн кибератак на пользователей торрентов

Компания Eset 18 августа опубликовала результаты анализа кибератак, выполненных с помощью пиринговых сетей. С начала 2016 года система телеметрии Eset зафиксировала 15 млн инцидентов, в которых загрузка вредоносного кода была связана с популярными торрент-приложениями и файлообменными сервисами. Хакеры используют пиринговые сети для доставки вредоносного ПО двумя способами: компрометируя доверенные торрент-приложения или маскируя вредоносное содержимое в «раздачах».

В частности, в 2016 году злоумышленники атаковали пользователей macOS, взломав сайт торрент-клиента Transmission. Они переработали приложение, включив в его состав вредоносный код.

В апреле 2016 года с сайта Transmission загружался под видом легитимного приложения шифратор KeRanger. Разработчики удалили зараженный дистрибутив уже через несколько часов, но от угрозы пострадали тысячи пользователей. Авторы KeRanger использовали стойкий алгоритм шифрования, что свело к минимуму шансы на восстановление данных.

В августе 2016 года хакеры повторили атаку на сайт Transmission. На этот раз вместе с торрент-клиентом на компьютер устанавливалась вредоносная программа Keydnap, предназначенная для кражи паролей от «Связки ключей iCloud» и удаленного доступа к системе. Команда Transmission удалила троянизированное приложение с сайта в течение нескольких минут после обращения специалистов Eset.

Однако, по данным Eset, не все инциденты связаны с программным обеспечением, существует также риск загрузки вредоносных торрентов. В апреле 2017 года эксперты компании обнаружили троян Sathurbot, который распространялся таким способом — он скрывался в торрентах с пиратским софтом или фильмом, маскируясь под кодек.

Зараженные Sathurbot компьютеры входили в состав ботнета, который на момент исследования насчитывал 20 тыс. устройств. Ботнет искал в сети сайты на базе WordPress и взламывал их путем перебора паролей. Скомпрометированные сайты использовались для дальнейшего распространения вредоносных торрентов.

В феврале 2017 года злоумышленники раздавали через торрент-трекеры новый шифратор, замаскированный под Patcher — приложение для взлома Adobe Premiere Pro, Microsoft Office для Mac и другого платного софта. Восстановить зашифрованные файлы невозможно даже в случае оплаты выкупа — в лже-Patcher не предусмотрена функция связи с командным сервером, поэтому у операторов шифратора нет ключа расшифровки.

На всякий случай напоминаю об ответственности за нарушение авторского права и использование пиратского контента, — отметил Алексей Оськин, руководитель отдела технического маркетинга Eset Russia. — Тем не менее, экосистема Р2Р — не только и не столько пиратство, у нее есть ряд легитимных путей применения. И, как любая массовая технология, файлообменные сервисы интересны киберпреступникам. Базовые рекомендации: используйте только лицензионное ПО, игнорируйте подозрительные сайты и торренты, защитите компьютер комплексным антивирусным продуктом.

Глобальная кибератака может обойтись мировой экономике в $53 млрд

Как подсчитали в июле эксперты Lloyd's of London и Cyence, мощная глобальная кибератака может стоить мировой экономике $53 млрд — примерно столько же, во сколько оценивается ущерб от природных катаклизмов, таких как ураган «Сэнди». В своем отчете исследователи описали возможный ущерб экономике от взлома облачного провайдера и кибератаки на операционные системы, под управлением которых работают компьютеры в компаниях по всему миру, передаёт информагентство Reuters.[6]

Потери от глобальной кибератаки сопоставимы с ущербом от природных катаклизмов. Фото: www.segodnya.ua

Согласно предположению экспертов Lloyd's of London и Cyence, злоумышленники могут внедрить в ПО облачного провайдера вредоносный код, запрограммированный на выведение из строя компьютеров через год. После внедрения зловред будет распространяться среди клиентов провайдера, начиная от финансовых организаций и заканчивая отелями, принося им огромные убытки от простоя и починки.

По подсчетам исследователей, размер ущерба от серьезных кибератак может колебаться от $4 млрд до $53 млрд и достигать $121 млрд. Сумма урона от взлома операционных систем варьируется от $9,7 млрд до $28,7 млрд. Для сравнения, ущерб от урагана «Сэнди» — мощного тропического циклона, унесшего в 2012 году жизни 185 человек — составил $50 млрд.

Positive Technologies: Россия заняла второе место по числу киберинцидентов

Каждый десятый киберинцидент происходит в России, количество троянов-вымогателей вырастет благодаря направлению «ransom as a service», а мощность DDoS-атак увеличится за счет уязвимостей в «умных вещах». Такие наблюдения и прогнозы содержатся в новом исследовании актуальных киберугроз компании Positive Technologies по итогам первого квартала 2017 года.

Эксперты Positive Technologies отмечают, что за первые три месяца 2017 года было всего пять дней, в течении которых не поступало сведений о новых киберинцидентах.

Самой атакуемой страной в первом квартале является США (41% всех атак), Россия заняла второе место по количеству киберинцидентов (10%), а на третьем месте оказалась Великобритания (7%). В целом, атакам подвергались не менее 26 стран по всему миру.

Наибольшее число атак было направлено на государственные организации, на них пришлась каждая пятая атака (20%). Предпосылками для этого может служить обостренная как внешняя, так и внутренняя политическая обстановка многих стран. Социальные сети, поисковые системы, интернет-магазины и другие онлайн-сервисы стали мишенью каждого девятого нападения (11%). Немного лучше ситуация в финансовой отрасли — на банки пришлось 9% всех инцидентов. Далее следуют сфера образования (8%), медицинские учреждения и сфера услуг (по 7%), промышленные компании (5%) и оборонные предприятия (3%).

В исследовании эксперты рассмотрели произошедшие инциденты сразу с двух сторон: что атаковали злоумышленники и как они это сделали. Так, большинство атак были нацелены на ИТ-инфраструктуру компаний (40% атак). Преимущественно, злоумышленников интересовала чувствительная информация (например, персональные данные, данные владельцев платежных карт), которую можно продать на черном рынке. Однако эксперты отмечают снижение интереса киберпреступников к персональным данным и, соответственно, снижение их стоимости, что может быть связано с перенасыщением рынка.

Второе место по распространенности заняли атаки на веб-приложения (33%), которые открывают перед злоумышленниками множество возможностей: от получения конфиденциальной информации до проникновения во внутреннюю сеть компании. Большинство веб-атак были реализованы через уязвимые компоненты (устаревшие библиотеки и CMS-системы), хотя уязвимости веб-приложений также эксплуатировались. Специалисты Positive Technologies в начале 2017 года зафиксировали множество атак на сайты государственных организаций и различных коммерческих компаний.

Существенно увеличилось и число атак на POS-терминалы (3% от всех атак), превысив показатели первого квартала 2016 года почти в шесть раз и составив 63% от всех аналогичных нападений за 2016 год. Злоумышленники использовали средства удаленного администрирования и трояны.

Если говорить о наиболее популярных методах атак, то на первом месте по-прежнему использование вредоносного ПО. Эксперты Positive Technologies отмечают появление модели «вымогатели как услуга»: создатели вредоносного ПО все чаще не являются организаторами атак, а зарабатывают на продаже троянов преступным группировкам. Таким образом, разработчики вредоносного ПО, получив прибыль от продажи, могут готовить новый троян в то время, как другие преступники занимаются непосредственно реализацией атаки.

Что касается DDoS-атак, то в первом квартале 2017 года их мощность существенно увеличилась в связи с подключением к ботнетам все большего количества IoT-устройств. Так, в марте 2017 года было обнаружено очередное вредоносное ПО (ELF_IMEIJ.A), направленное на IP-камеры, системы видеонаблюдения и сетевые записывающие устройства производства AVTech. Кроме того, было выявлено свыше 185 тысяч уязвимых IP-камер, которые также могут оказаться частью нового ботнета.

Fortinet: Эффективность отслеживания и управления распределенными инфраструктурами снижается

В июне 2017 года Fortinet обнародовала данные отчета о всемирном исследовании угроз. Предметом исследования стала цепочка внедрения киберугроз. В контексте корпоративных технологий и современных тенденций развития сферы были рассмотрены три основных направления атак — эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Как показывает исследование, несмотря на широкое освещение более резонансных атак, проводником преобладающей части успешных атак, с которыми довелось столкнуться организациям, стала широкомасштабная инфраструктура «Киберпреступление как услуга». Ниже приведены три основных вывода, изложенных в отчете[7].

1) Злоумышленники всегда учитывают прошлый опыт при разработке инструментов атак, готовых к применению в любое время и в любом месте

Благодаря современным инструментам и инфраструктуре «Преступление как услуга» злоумышленники могут оперативно действовать на общемировом уровне. Это означает, что в Интернете не существует расстояний или географических границ, так как большинство угроз функционирует в масштабе всего мира, а не отдельных регионов. Преступники всегда готовы к атаке и постоянно занимаются поисками уязвимостей на международном уровне.

Знание тенденций развития эксплойтов, а также принципов функционирования и распространения программ-вымогателей позволит избежать вредоносных последствий атак, которые придут на смену WannaCry. Вредоносные программы-вымогатели и их разновидности распространились по всему миру и одновременно поражают сотни организаций.

Программы-вымогатели. Чуть менее 10% организаций выявили активность программ-вымогателей. В каждый отдельно взятый день 1,2% организаций обнаруживали в своих корпоративных сетях ботнеты-вымогатели. Наибольшая активность наблюдалась в выходные дни: злоумышленники пытались внедрить вредоносный трафик в обход сотрудников службы безопасности, работающих на выходных. По мере роста среднего объема трафика разных ботнетов-вымогателей повысилось и среднее количество организаций, становящихся целями атак.
Тенденции развития эксплойтов. 80% организаций сообщили о выявлении в системах эксплойтов, представляющих серьезную и критически серьезную опасность. Большинство этих целевых эксплойтов было разработано в течение последних пяти лет, однако злоумышленники использовали и те уязвимости, которые существовали еще в прошлом веке. Распределение эксплойтов по географическим областям достаточно равномерно. Вероятно, это обусловлено тем, что активность огромного количества эксплойтов полностью автоматизирована при поддержке инструментов, сканирующих сеть Интернет на наличие уязвимостей.

2) Взаимопроникновение инфраструктур и IoT способствуют ускорению распространения вредоносного ПО

По мере роста объемов передачи данных и ресурсов между пользователями и сетями увеличивается и количество атак в разных географических областях и сферах деятельности. Исследование вредоносного ПО позволяет получить представление о стадиях подготовки и внедрения атак. Следует отметить, что задачу обеспечения защиты от мобильного вредоносного ПО усложняют такие факторы, как незащищенность устройств в рамках внутренней сети, частые подключения к публичным сетям и отсутствие корпоративного контроля над устройствами, находящимися во владении пользователей.

Мобильное вредоносное ПО. Показатели распространенности мобильного вредоносного ПО за период с 4-го квартала 2016 г. по 1-й квартал 2017 г. оставались стабильными: около 20% организаций выявили мобильное вредоносное ПО. В этом квартале большинство в списке 10 наиболее распространенных угроз составили семейства вредоносного ПО, поражающего устройства Android. Общее соотношение по всем типам вредоносного ПО в 1-м квартале составило 8,7% — в 4-м квартале это значение было равно 1,7%.
Распространение по регионам. Мобильное вредоносное ПО все шире распространяется во всех регионах, за исключением Ближнего Востока. Во всех случаях наблюдающийся рост статистически достоверен, его нельзя списать на случайные колебания. При рассмотрении в региональном разрезе тенденции распространения вредоносного ПО, поражающего устройства Android, демонстрируют наиболее очевидную географическую привязку.

3) Наблюдается снижение эффективности отслеживания состояния гибких распределенных инфраструктур

Тенденции развития угроз зависят от среды, поэтому очень важно быть в курсе изменений, которые с течением времени претерпевают информационные технологии, службы, элементы управления и поведение. Возможность доступа к актуальным данным позволяет составить представление о политиках безопасности и моделях управления в целом, а также успешно отслеживать развитие эксплойтов, вредоносного ПО и ботнетов по мере усложнения сетей и повышения степени их распределенности.

По мере увеличения количества потенциальных направлений атак в рамках расширенной сети эффективность отслеживания и управления современными инфраструктурами снижается. Такие тенденции, как повсеместное распространение частных и общедоступных облачных решений, развитие IoT, подключение к сетям большого количества самых разных интеллектуальных устройств и появление внеполосных направлений угроз, таких как теневые ИТ-ресурсы, привели к чрезмерному повышению нагрузки на специалистов по информационной безопасности.

Зашифрованный трафик. Среднее значение соотношения между трафиком HTTPS и HTTP достигло рекордного значения — около 55%. Эта тенденция способствует сохранению конфиденциальности, однако создает сложности в ходе отслеживания и выявления угроз. Многие средства безопасности недостаточно эффективны при отслеживании зашифрованных данных. Организации, особенно те, в которых объем трафика HTTPS более высок, могут столкнуться с угрозами, скрытыми в зашифрованных данных.
Приложения. В среднем организация использует 62 облачных приложения, что составляет примерно треть от общего числа обнаруженных приложений. При этом количество приложений IaaS достигло нового максимума. Проблема многих организаций заключается в том, что при перемещении данных в облако эффективность отслеживания их состояния может заметно снизиться. Кроме того, наблюдается спорная тенденция к увеличению объема данных, для хранения которых используются подобные приложения и службы.
Сферы деятельности. Как показал групповой анализ по отраслям, для большинства сфер опасность представляют одни и те же направления угроз. В числе немногих исключений оказались сферы образования и телекоммуникаций. Это означает, что злоумышленники могут с легкостью использовать схожие направления атак в разных сферах, особенно при наличии автоматизированных инструментов.

Check Point: хакеры могут использовать субтитры для взлома миллионов устройств

Check Point объявил в мае 2017 года об обнаружении нового вектора атак, угрожающего миллионам пользователей популярных медиаплееров, включая VLC, Kodi (XBMC), Popcorn Time и Stremio. Создавая вредоносные субтитры, хакеры могут получить управление любыми девайсами, на которых установлены эти медиаплееры. К ним относятся мобильные устройства, ПК и Smart TV.

«Процесс производства субтитров сложен, в нем используется более 25 различных форматов, каждый из которых обладает уникальными функциями и возможностями. Фрагментированная экосистема наряду с ограниченной безопасностью подразумевает наличие множества уязвимостей, что делает ее чрезвычайно привлекательной целью для злоумышленников, — говорит Омри Хершовичи (Omri Herscovici), руководитель команды исследователей уязвимостей, Check Point Software Technologies. — Мы обнаружили, что вредоносные субтитры могут создаваться и доставляться на миллионы устройств автоматически, минуя системы безопасности. В результате хакеры получают полный контроль над зараженными девайсами и данными, которые на них содержатся».

Команда исследователей Check Point обнаружила уязвимости в четырех наиболее популярных медиаплеерах: VLC, Kodi, Popcorn Time и Stremio, — и сообщает о них в соответствии с инструкцией по разглашению информации. Используя уязвимости данных платформ, хакеры получают возможность захватить контроль над устройствами, на которых они установлены.

Файл:Subtitle vulnerability infographic.jpg

Субтитры к фильмам и телешоу создаются многими авторами и загружаются в общие онлайн-хранилища, такие как OpenSubtitles.org, где их индексируют и классифицируют. Исследователи Check Point выяснили, что, благодаря манипуляции алгоритмом ранжирования, вредоносные субтитры автоматически скачиваются медиаплеером, позволяя хакеру получить полный контроль над всей цепочкой предоставления субтитров без вовлечения пользователей.

Все четыре компании исправили уязвимости на своих платформах. Stremio и VLC также выпустили новые версии ПО, включающие данные изменения. «Чтобы защитить себя и свести к минимуму риск возможных атак, пользователи должны убедиться, что они обновляют свои медиаплееры до последних версий», — заключил Хершовичи.

Охота на государственные базы данных

Отчет NTT Security 2017 Global Threat Intelligence Report, включающий данные опроса более 10 тыс. клиентов на пяти континентах, показывает, что государственные учреждения все чаще становятся целью киберпреступников. Нередко атаки учащаются накануне важных геополитических событий, таких как президентские или парламентские выборы, встречи политиков, голосование по важным вопросам в парламенте и т. д[8].

Опасность состоит в том, что государственные учреждения могут подвергаться как нападению из-за пределов страны, так и атаке местных хакеров. Государственные учреждения являются хранителями большого количества информации разного рода: от личных данных граждан до разведывательных данных. Таким образом, данные из государственного учреждения могут быть интересны как простым вымогателям, так и хорошо организованным преступным и террористическим организациям. Кроме того, сегодня преступники охотятся в том числе и на данные, которые могут повлиять на общественное мнение, содержат компрометирующую информацию о политиках, их расходах и т. д. В результате атаки на госорганы становятся сложнее и масштабнее, и к сожалению, далеко не всегда системы защиты могут противостоять угрозе.

Анализ показал, что около 63% всех кибератак организовано с IP-адресов в США, еще 4% осуществлено из Великобритании и 3% из Китая. Главными угрозами для кибербезопасности являются фишинг, компрометация электронной почты, DDoS-атаки и др. Потенциальным источником и целью атаки являются устройства интернета вещей (ИВ) и облачные серверы. Из обнаруженных в 2016 г. ИВ-атак 66% пытались обнаружить определенные устройства, такие как видеокамера.

Кампании по распространению зловредов на Java

В апреле 2017 года эксперты компании Zscaler отметили резкий рост количества вредоносных инструментов удаленного администрирования на базе Java (jRAT). [9]

Схема выглядит относительно просто: с помощью всевозможных уловок (в первую очередь, социальной инженерии) злоумышленники добиваются, чтобы пользователи открывали вложения к их письмам; эти вложения содержат вредоносные JAR-файлы. Обычно письма выглядят как сообщения от налоговых органов или как заказы каких-либо товаров или услуг. Попав на машину, вредоносный JAR-файл скачивает скрипт на VBS, который сканирует систему на предмет наличия файерволлов и антивирусов. По окончании сканирования JAR-файл записывается в папку Temp и запускается.

В апреле 2017 года эксперты компании Zscaler отметили резкий рост количества вредоносных инструментов удаленного администрирования на базе Java

Код основного зловреда имеет сложную структуру, в которой за отдельные задачи — например, за соединения с контрольным сервером — отвечают отдельные модули. В код зловреда вписан URL сервера, с которого он мог докачивать дополнительные вредоносные модули. Интересно, что этот же сервер, располагающийся в доменной зоне .ru, в прошлом был замечен в распространении зловреда Loki. К 21 апрелю он неактивен. Вредоносные компоненты по большей части скачиваются c файлообменных ресурсов, таких как Dropbox.

Эксперты ZScaler отметили, что у jRAT-зловредов, которые им удалось перехватить, есть ряд нетипичных особенностей. Файл зловреда трижды зашифрован, программный код снабжен мощной обфускацией. Все это сделано для того, чтобы предотвратить автоматическое обнаружение антивирусами и затруднить ручной или автоматизированный анализ. Кроме того, автор зловреда даже учел разрядность операционной системы: для JAR-файлов предусмотрены 32-битные и 64-битные DLL.

Злоумышленники продолжают совершенствовать свои инструменты. Чем больше денег может принести зловред хотя бы теоретически, тем больше усилий его авторы будут прилагать, чтобы обеспечить его скрытность и воспрепятствовать анализу, — говорит Ксения Шилак, директор по продажам компании SEC-Consult Рус. — Самый верный способ для пользователей обезопасить самих себя — не открывать никакие вложения, если они вызывают минимальные подозрения, и не запускать Java на компьютере без особой надобности.

Опасные сетевые принтеры

1 февраля 2017 года исследователи университета города Рура в Германии обнаружили в прошивках некоторых моделей сетевых принтеров ряд критических уязвимостей. Согласно их исследованию (официальное представление в мае 2017 года), посредством обнаруженных уязвимостей злоумышленники могут получить копии отправляемых на печать документов и даже захватить контроль над корпоративной сетью.

На 7 февраля 2017 года все принтеры во время печати управляются компьютером с помощью нескольких специальных протоколов и языков. В случае с сетевыми принтерами во время печати компьютер сначала инициализирует принтер через протокол управления устройством, затем устанавливает с ним обмен данным через сетевой протокол, после чего отправляет ему задание для печати сначала на языке управления заданиями, а потом на языке описания страниц [10].

Проще говоря, при старте печати компьютер находит в сети принтер, пробуждает его и сообщает, что нужно напечатать, например, два документа — сначала документ с одним идентификатором, а затем — с другим. При этом для каждого документа отправляется дополнительное описание, как именно его надо напечатать — прокрутить одну строку, по таким-то координатам нанести краску и т.п. Основные языки управления заданиями и описания страниц написаны в 1970-80-х годах и сегодня используются на всех принтерах.

Обнаруженные уязвимости потенциально присутствуют на всех принтерах (из-за общности языков управления ими), но представляют наибольшую угрозу именно на сетевых устройствах, поскольку к ним можно подключиться удаленно, а не по USB, как в случае с домашними устройствами. Самое простое, что может сделать злоумышленник с сетевым принтером — отправить его в замкнутый цикл, заставив выполнять одно и то же действие. При этом устройство перестанет отвечать на все внешние команды.

Протестированные принтеры: красная отметка — уязвимости обнаружены, розовая уязвимости обнаружены частично, белая — уязвимости не найдены, (2017)

По данным исследователей, уязвимости обнаружены на 20 принтерах компаний Dell, HP, Lexmark, Brother, Samsung, Kyocera, Konica и OKI. Ученые полагают, что проблема распространена шире, но не могут проверить это предположение, поскольку проект изучения уязвимостей не финансируется. Отчеты о найденных брешах исследователи отправили производителям, из которых откликнулась только компания Dell - на январь 2017 года найденные уязвимости не устранила.

Исследователи создали собственный инструмент — программу PRET, она позволяет протестировать любой принтер, подключенный по USB, Wi-Fi или LAN, на наличие уязвимостей.

Юный хакер взломал 160 тыс. принтеров по всему миру

Хакер, называющий себя Stackoverflowin, также представляющийся «богом хакинга», утверждает, что написал скрипт, который автоматически ищет в Сети общедоступные принтеры и терминалы продаж, поддерживающие протоколы сетевой печати RAW, Internet Printing Protocol И Line Printer Remote, функционирующие на базе портов 9100, 631 и 515, соответственно[11].

Обнаруженные устройства с открытыми портами скрипт заставлял распечатывать хвастливое «письмо счастья» от хакера, содержащее рекомендацию срочно закрыть порты принтеров.

Уже даже после рассылки этих сообщений издание The Register с помощью поисковика Shodan.io выявило более 143 тысяч принтеров с открытым портом 9100.

Stackoverflowin, утверждающий, что ему нет 18 лет, заявил также, что использовал три уязвимости в веб-интерфейсе оборудования фирмы Xerox; эти уязвимости позволяют удаленно запускать произвольный код на этом оборудовании. По словам хакера, данные об этих брешах еще не раскрывались.

Сообщение от Stackoverflowin, распечатанное тысячами взломанных принтеров

В целом, хакер заметил, что даже несколько расстроен тем, как просто было провернуть всю затею.

В социальных сетях (в первую очередь, в твиттере) по всему миру множатся публикации с фотографиями распечаток хакерских сообщений, так что очевидно, что Stackoverflow хвастается не на пустом месте.

2016

Исследование Fortinet

Киберпреступники устанавливают контроль над устройствами

Устройства IoT чрезвычайно привлекательны для киберпреступников по всему миру. Злоумышленники создают собственные «армии» устройств. Дешевизна организации атак, высочайшая скорость и огромные масштабы — вот основы экосистемы современной киберпреступности[12].
В 4-м квартале 2016 г. отрасль была дестабилизирована утечкой данных Altaba (ранее Yahoo) и DDoS-атакой на компанию Dyn. В середине квартала рекордные показатели, зафиксированные по результатам обеих атак, были не только превзойдены, но и возросли вдвое.
Подключенные к [[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|Интернету вещей (IoT)]]]] устройства, пораженные ботнетом Mirai, инициировали рекордное количество DDoS-атак. После запуска исходного кода Mirai активность ботнета в течение недели возросла в 25 раз. К концу года активность увеличилась в 125 раз.
Исследование связанной с IoT активности эксплойтов в отношении нескольких категорий устройств показало, что наиболее уязвимыми являются домашние маршрутизаторы и принтеры, однако устройства DVR/NVR быстро опередили маршрутизаторы. Количество пораженных устройств этой категории увеличилось более чем на 6 порядков.
Большое значение также приобрела проблема вредоносного ПО, поражающего мобильные устройства. Несмотря на то, что этот вид вредоносного ПО занимает лишь 1,7 процента в общем объеме, одна из каждых пяти организаций, сообщивших об атаках с помощью вредоносного ПО, столкнулась с его мобильным вариантом. Практически все эксплойты были разработаны на базе Android. В структуре атак с помощью мобильного вредоносного ПО были выявлены значительные отличия в зависимости от региона: 36 процентов атак приходятся на организации Африки, 23 процента — Азии, 16 процентов — Северной Америки и лишь 8 процентов — Европы. Эти показатели следует учесть при работе с доверенными устройствами в современных корпоративных сетях.

Преобладание крупномасштабных автоматизированных атак

Взаимосвязь между количеством и распространенностью эксплойтов свидетельствует о повышении степени автоматизации атак и снижении стоимости вредоносного ПО и инструментов распространения, доступных в глубоком Интернете. Организация атак стала проще и дешевле, чем когда-либо.
Первое место в списке выявленных эксплойтов, представляющих значительную опасность, занял SQL Slammer, главным образом поражающий образовательные учреждения.
Вторым по распространенности является эксплойт, свидетельствующий о попытках проведения атак на протокол удаленного рабочего стола (RDP) Microsoft методом подбора. Эксплойт запускает 200 запросов RDP каждые 10 секунд, чем объясняется его значительная активность в сетях глобальных организаций.
Третье место в списке самых распространенных эксплойтов заняла сигнатура, привязанная к уязвимости «Повреждение памяти» диспетчера файлов Windows. С помощью этой сигнатуры злоумышленник может удаленно запустить выполнение произвольного кода внутри уязвимых приложений с помощью файла JPG.
Наибольшие показатели численности и распространенности продемонстрировали семейства ботнетов H-Worm и ZeroAccess. С помощью обоих ботнетов киберпреступники берут зараженные системы под контроль и похищают данные либо занимаются мошенничеством с рекламными объявлениями и майнингом биткоинов. Наибольшее количество попыток проведения атак с помощью этих двух семейств ботнетов было зафиксировано в технологическом и государственном секторах.

Программы-вымогатели продолжают распространяться

Независимо от того, в какой отрасли промышленности они применяются, программы-вымогатели заслуживают внимания. Вероятнее всего, эта эффективная технология атак продолжит развитие в рамках концепции «программы-вымогатели как услуги» (RaaS). За счет этого потенциальные преступники, не обладающие соответствующими навыками, могут загрузить инструменты и незамедлительно применить их на практике.
36% организаций зафиксировали активность ботнетов, связанную с применением программ-вымогателей. Наибольшую активность продемонстрировал троян TorrentLocker, на третьем месте оказался Locky.
Широкое распространение получило вредоносное ПО, принадлежащее двум семействам — Nemucod и Agent. 81,4 процента собранных образцов вредоносного ПО относится к этим двум семействам. Как известно, семейство Nemucod связано с программами-вымогателями.
Программы-вымогатели были выявлены во всех регионах и отраслях, однако наиболее широкое распространение они получили в учреждениях здравоохранения. Это весьма тревожная тенденция: под угрозой находятся данные пациентов, которые по сравнению с другими типами данных отличаются большей длительностью хранения и значимостью, что чревато серьезными последствиями.

Исследование Trend Micro

Рост мошенничества с использованием корпоративной почты

1 марта 2017 года компания Trend Micro Incorporated опубликовала ежегодный отчет о кибербезопасности в мире за 2016 год - «Рекордный год для киберугроз в корпоративном секторе» (2016 Security Roundup: A Record Year for Enterprise Threats).

Основные выводы исследования:

Рост числа случаев мошенничества с использованием корпоративной почты: наравне с программами-вымогателями, мошенничество с использованием корпоративной почты также оказалось выгодным для киберпреступников – финансовые потери компаний от таких атак по всему миру в 2016 году достигли $140 тыс. Этот вид мошенничества показывает эффективность использования методов социальной инженерии в ходе атак на предприятия.
Разнообразие уязвимостей: в 2016 году Trend Micro и Zero Day Initiative (ZDI) обнаружили рекордное количество уязвимостей, большинство из которых обнаружено в Adobe Acrobat Reader DC и решении WebAccess от Advantech. Оба приложения широко используются в организациях, в SCADA-системах.
Набор эксплойтов Angler сдал свои позиции: после ареста 50 киберпреступников, набор эксплойтов Angler стал уходить в тень, пока окончательно не прекратил свое существование. Несмотря на то, что свежим наборам эксплойтов не потребовалось много времени, чтобы занять его место, к концу 2016 года количество уязвимостей, включенных в наборы эксплойтов, сократилось на 71%.
Банковские трояны и вредоносное программное обеспечение для банкоматов: киберпреступники продолжают использовать вредоносные программы для банкоматов, скимминг и банковские трояны. Однако в последние годы атаки злоумышленников становятся все более разнообразными и позволяют им получить доступ к личной информации и учетным данным пользователей, которые могут быть использованы для проникновения в корпоративную сеть.
Атака с помощью ботнета Mirai: в октябре 2016 года хакеры воспользовались плохо защищенными устройствами Интернета вещей для DDoS-атаки, в ходе которой использовано ~100 тыс. устройств. В результате, сайты вроде Twitter, Reddit и Spotify стали недоступны на несколько часов.
Утечка данных пользователей Yahoo: компания пострадала от крупной утечки информации в августе 2013 года – скомпрометировано ~1 млрд учетных записей пользователей. Об инциденте стало известно спустя три месяца после другой утечки, в сентябре 2016 года, в результате которой пострадали еще 500 млн аккаунтов.
Рост числа программ-вымогателей. Подробнее см. Вирус-вымогатель (шифровальщик)

Прогноз Trend Micro на 2017 год

8 декабря 2016 года стало известно согласно прогнозам Trend Micro Incorporated - в 2017 году размах и глубина атак возрастут, как и разнообразие тактических приемов злоумышленников.

Trend Micro Incorporated опубликовала ежегодный отчет с прогнозами по информационной безопасности на 2017 год «Новый уровень – 8 прогнозов по кибербезопасности на 2017 год» (The Next Tier – 8 Security Predictions for 2017) [13].

Раймунд Гинес (Raimund Genes), CTO Trend MicroСледующий год выведет индустрию кибербезопасности на новые рубежи. В 2016 году ландшафт угроз позволил киберпреступникам значительно увеличить разнообразие методов атак и видов атакуемых целей. На наш взгляд, большие изменения в компаниях по всему миру вызовет необходимость соблюдения требований «Акта о защите персональных данных» (General Data Protection Regulation, GDPR). Кроме того, мы прогнозируем появление новых методов атак на крупные корпорации, расширение тактик онлайн-вымогательства, которые будут затрагивать все большее разнообразие устройств, а также применение методов киберпропаганды для манипуляции общественным мнением.

В 2016 заметно выросло количество уязвимостей в устройствах Apple, за год было объявлено о пятидесяти из них. При этом в продуктах Adobe эта цифра составила 135, в продуктах Microsoft – 76. Этот заметный сдвиг в сторону Apple в дальнейшем будет усиливаться.

Интернет вещей (Internet of Things, IoT) и Промышленный Интернет вещей (Industrial Internet of Things, IIoT) будут играть все более значимую роль в осуществлении целенаправленных атак в 2017 году.

Такие атаки будут весьма прибыльными из-за повсеместного распространения подключенных устройств, а также благодаря возможности эксплуатировать содержащиеся в них уязвимости и использовать незащищенные корпоративные системы, чтобы нарушать бизнес-процессы в компаниях – как в случае с вредоносным программным обеспечением Mirai. Рост использования мобильных устройств для мониторинга систем управления на производстве и объектах инфраструктуры в сочетании с большим числом уязвимостей, найденных в этих системах, будет представлять реальную угрозу для организаций.

Мошенничество с использованием корпоративной почты (Business Email Compromise, BEC) и взлом бизнес-процессов (Business Process Compromise, BPC) продолжат распространяться, представляя собой простой и эффективный метод корпоративного онлайн-вымогательства. Мошенничество с использованием корпоративной почты, например, может принести злоумышленникам $140 тыс., для этого требуется лишь убедить жертву перевести корпоративные средства на счет мошенников. При этом, для сравнения, взлом системы финансовых транзакций, хоть и требует больших усилий, в результате может принести злоумышленникам намного больше − сумма может доходить до $81 млн.

Мы видим, как киберпреступники продолжают приспосабливаться к постоянно меняющемуся технологическому ландшафту. Если в 2016 году наблюдался значительный рост числа новых программ-вымогателей, то сейчас он заметно снизился, поэтому хакеры будут искать новые пути использования уже существующих разновидностей таких программ. Похожим образом, инновации в сфере Интернета вещей позволяют хакерам находить себе другие цели для атак, а изменения в программном обеспечении подталкивают их искать новые уязвимости.

Эд Кабрера (Ed Cabrera), Chief Cybersecurity Officer, Trend Micro

Прогнозы на 2017 год:

Рост количества новых семейств программ-вымогателей замедлится и будет достигать порядка 25%, однако их воздействие распространится на устройства Интернета вещей, PoS-терминалы и банкоматы.
Разработчики не смогут своевременно обеспечить защиту устройств Интернета вещей и Промышленного Интернета вещей от DoS- и других видов атак.
В продуктах Apple и Adobe будут обнаруживаться все новые уязвимости, которые будут добавлены в наборы эксплойтов.
Поскольку 46% мирового населения имеет доступ к Интернету, усилится роль киберпропаганды с целью оказания влияния на общественное мнение.
Пример атаки на центральный банк Бангладеш в начале 2016 года доказывает, что атаки со взломом бизнес-процессов позволяют злоумышленникам получать значительную прибыль. В то же время методы мошенничества с использованием корпоративной почты по-прежнему останутся эффективным методом незаконного обогащения с использованием ничего не подозревающих сотрудников.
Вступление в силу «Акта по защите персональных данных» (General Data Protection Regulation, GDPR) вызовет изменения в регламентах и административных процедурах, что, в свою очередь окажет серьезное влияние на затраты организаций и потребует от них полного пересмотра процессов обработки данных для соответствия новым требованиям.
Новые методы проведения целенаправленных атак будут направлены на то, чтобы уклониться от современных технологий обнаружения и совершать атаки на компании в самых разных областях.

Белая книга Panda Security об атаках на инженерные объекты

30 ноября 2016 года подразделение PandaLabs компании Panda Security сообщила о выходе в свет белой книги с информацией о самых громких кибератаках на объекты жизненно важной инженерной инфраструктуры (критической) в мире и рекомендациями о способах защиты от атак на основную опору экономики современности. Ниже фрагмент издания.

Белая книга Panda Security, (2016)

Усиление тенденции взаимодействия всех типов инфраструктуры отражает рост потенциального числа точек проникновения атак в объекты, ставшие жизненно важными для современного общества. Это актуально и в отношении кибератак, которые проводились против подобных сетей в прошлом: одна из первых подобных атак выполнена в 1982 году, до появления Интернета. Тогда хакеры посредством трояна заразили системы сибирского нефтепровода, что привело к одному из самых мощных неядерных взрывов в мире.

Помимо частичной или полной остановки работы объектов критической инфраструктуры, что произошло с венесуэльской нефтяной компанией PDVSA, когда в результате атаки добыча нефти сократилась с 3 млн до 370 тыс. баррелей в сутки, подобные атаки также наносят значительный финансовый ущерб. Один из крупнейших производителей автомобилей в США потерпел убытки в размере $150 млн, «благодаря» атаке с использованием SQLSlammer, который быстро распространился по 17 заводам компании.

Один из самых печально известных случаев кибер-атаки на критическую инфраструктуру за всю историю – это Stuxnet. Уже известно, что это была согласованная атака американских и израильских спецслужб, направленная на срыв ядерной программы Ирана. Этот случай стал катализатором, который заставил мировую общественность узнать о разновидностях угроз.

Некоторые события ряда лет стали вехами в развитии мировой безопасности, в частности, атака 11 сентября. В Европе есть схожая дата – 11 марта 2004 года, тогда произошли взрывы поездов в Мадриде. В результате, Европейская комиссия разработала глобальную стратегию защиты объектов критической инфраструктуры «European Programme for Critical Infrastructure Protection», в составе которой приведены предложения по совершенствованию комплекса мер в Европе, предназначенных для предотвращения террористических атак и эффективному реагированию на них.

В результате подобных атак, помимо всего прочего, могут быть украдены технические характеристики объектов критической инфраструктуры и огромный объем других критически важных данных. Это означает необходимость принятия специальных мер защиты такой инфраструктуры, включая апробированные практики:

Проверка систем на уязвимости.
Адекватный мониторинг сетей, используемых для контроля таких инфраструктурных объектов, и, при необходимости, их полная изоляция от внешних соединений.
Контроль над съемными устройствами, что крайне важно в любой инфраструктуре не только потому, что они являются направлением подобных атак, как было в случае с Stuxnet. При защите таких объектов критической инфраструктуры крайне важно сделать так, чтобы вредоносные программы не проникали во внутренние сети через съемные устройства, которые также могут использоваться и для кражи конфиденциальной информации.
Мониторинг компьютеров, к которым подключены программируемые логические контроллеры (PLC). Эти подключенные к Интернету устройства наиболее чувствительны, поскольку они могут предоставлять хакерам доступ к критически важным системам контроля. Но, даже если хакеры не смогут получить контроль над системой, они могут получить ценную информацию для других направлений атак [14].

2015

10 самых опасных кибер-атак 2015 года

Ни персональная информация, ни отпечатки пальцев не были в полной безопасности от кибер-преступников в 2015 году[15]. Ниже мы приводим краткий обзор наиболее опасных и тревожных атак 2015 года.

Кража отпечатков пальцев

Если отпечатки пальцев считаются одним из самых безопасных методов биометрической безопасности (этот метод используется для разблокировки iPhone), то кража информации, принадлежащей сотрудникам правительства США, показала, что у этой системы существуют различные проблемы, на которые стоит обратить внимание.

В июне 2015 года группа кибер-преступников смогла заполучить отпечатки пальцев примерно шести миллионов сотрудников федеральных ведомств и учреждений США, что могло бы подвергнуть опасности не только их мобильные телефоны, но и безопасность страны[16].

Удаленный контроль над смарт-автомобилями

Еще одна большая проблема, которая стоит перед специалистами по кибер-безопасности, - это инцидент со смарт-автомобилями[17]. Пока нет соответствующего решения, эти автомобили по-прежнему будут уязвимы для манипуляций над ними. Летом прошлого года два хакера показали, что можно воспользоваться ошибками в компьютерной системе Jeep Cherokee и перехватить контроль над автомобилем, даже сумев применить тормоза на этой машине, причем все операции были осуществлены удаленно.

Тысячи зараженных устройств с Android

Не все уязвимости в мире IT-безопасности ориентированы на современных решениях и устройствах. На самом деле, смартфоны оказались в центре массового скандала в 2015 году, когда тысячи устройств с Android были заражены Stagefright – в результате этого инцидента безопасности кибер-преступники смогли получить доступ к любому телефону с Android и контролировать его без ведома его владельца.

Фурор с онлайн-знакомствами

Несомненно, самый крупный скандал года был связан с утечкой информации о более чем 32 миллионах пользователей сайта онлайн-знакомств Ashley Madison[18]. Этот инцидент послал мощную взрывную волну по всему миру кибер-безопасности, лишний раз напомнив каждому из нас (как пользователям, так и владельцам онлайн-платформ) об опасностях, перед которыми сталкивается IT-безопасность.

Уязвимая инфузионная помпа

Здоровье и безопасность людей также подвержены риску в результате наличия уязвимостей у различных устройств. Причем речь идет не только о смарт-автомобилях, которыми можно дистанционно управлять и спровоцировать ДТП: в 2015 году был инцидент с инфузионной помпой, которая используется в больницах. Оказалось, что если кибер-преступник сумел подключиться к локальной сети больницы, то он смог бы получить доступ к этому аппарату, манипулируя им и изменяя параметры его работы.

Риски для АЗС

В опасности могут находиться не только аппараты в больницах, но и АЗС, в чем смогли убедиться исследователи по обе стороны Атлантики. Подключившись к сети, кибер-преступники могут атаковать топливные насосы, что может привести даже к взрыву.

Год, о котором в Apple хотели бы забыть

2015 стал самым плохим годом для Apple с точки зрения безопасности, т.к. количество атак, направленные на эти устройства, выросло в пять раз по сравнению с 2014 годом, при этом количество новых уязвимостей продолжило расти. Один такой пример – это ошибка Dyld, которая была обнаружена летом прошлого года, повлиявшая на операционную систему MAC OS X[19].

Кража данных через третьих лиц

В 2015 году данные 15 миллионов пользователей T-Mobile были украдены кибер-преступниками. По данным компании, информация была взята не с их корпоративных серверов, а она была украдена у компании, которая управляла платежами клиентов T-Mobile.

Кража данных через веб-браузеры

Летом 2015 года Firefox пришлось сообщить своим пользователям, что сбой в работе браузера был вызван тем инцидентом[20], в рамках которого кибер-преступники могли находить и осуществлять кражу файлов пользователей без их ведома.

Плохой конец года для Dell

Последний скандал 2015 года случился в декабре, когда было обнаружено, что в последних моделях компьютеров Dell скрывались серьезные ошибки безопасности. Благодаря этим уязвимостям кибер-преступники были способны изменять коммуникации между различными системами и осуществлять кражу информации с пострадавших компьютеров.

2011

Количество атак выросло на 81%

В 2011 году Symantec отразил более 5,5 миллиардов атак, что на 81% больше, чем в предыдущем. Кроме того, число уникальных образцов вредоносного кода в мире увеличилось до 403 миллионов, доля ежедневных Web-атак выросла на 36%.

В то же время значительно снизился уровень спама, и на 20% снизилось количество новых уязвимостей. Эта глобальная статистика на фоне продолжающегося роста рынка вредоносного ПО выявляет интересную тенденцию. Злоумышленники стали использовать простые инструментарии для существующих уязвимостей. Все чаще киберпреступники нацеливаются на социальные сети, предпочитая их спаму. Сама природа таких сетей формирует ошибочное мнение о безопасности пользователей, и злоумышленники видят в них новых жертв. Технологии социальной инженерии и вирусная природа социальных сетей позволяют угрозам распространяться с огромной скоростью.

Intel Security: Новый виток атак будет направлен на промышленные и энергетические компании

На июль 2011 года, по данным McAfee, киберпреступники потратили как минимум 5 лет, целенаправленно ведя атаки на 70 государственных структур, некоммерческих организаций и корпораций для хищения данных. В число их входят, например, ООН, Международный олимпийский комитет (МОК) и коммерческие компании, расположенные на территории США.

В McAfee не уточняют, кто стоит за этими атаками. Большинство жертв не называются в отчете В McAfee, также как и то, какие именно данные у них были похищены. Сообщается только, что это компании и организации из таких стран помимо США как Канада, Южная Корея, Тайвань, Япония и многие другие.

Отчет выпущен после целой серии высоко-квалифицированных хакерских атак , произошедших в последние месяцы, в результате чего пострадали компании Citigroup, Sony Corp., Lockheed Martin, PBS и другие. По мнению экспертов McAfee, ко всем им были причастны так называемые группы хакеров-активистов вроде Anonymous и Lulzsec.

По мнению Дмитрия Алперовича, вице-президента по исследованию угроз McAfee и автора отчета, угроза гораздо больше, и многие случаи были просто не преданы огласке. Ключом к этим вторжениям, по его словам, «является массовый голод до чужих секретов и интеллектуальной собственности».

Однако не все организации воспринимают слова исследователей настороженно. В частности, представитель МОК Марк Адамс (Mark Adams) заявил, что пока исследователи из McAfee не предоставили им доказательств попыток скомпрометировать информационную безопасность комитета.

«Если это правда, то, конечно, это не может нас не тревожить. Однако МОК прозрачная организация и не имеет таких секретов, которые поставили бы под угрозу нашу деятельность или репутацию», - добавил он.

Между тем, исследователи предупреждают, что новой целью кибератак могут стать промышленные и, в частности, энергетические компании.

«Это не угроза только для США, это глобальная угроза», - заявил Тим Рокси (Tim Roxey), директор по управлению рисками North American Electric Reliability Corporation (NERC).

По оценкам этой компании, хакеры в состоянии получать доступ к любому оборудованию электростанций, включая турбинные клапаны.

Он также напомнил, как группа ученых вынуждена была покинуть атомный реактор в результате атаки печально известного вируса Stuxnet. По мнению экспертов Siemens AG, для таких атак не обязательны даже действия слаженной хакерской группы, атаку можно организовать единолично, обладая достаточным опытом и количеством времени.

2010: Расширение атак на другие ОС кроме Windows

В 2010 году в сфере киберпреступности наметился знаменательный поворот: впервые в истории хакеры стали переключать свое внимание с ПК и ОС Windows на другие операционные системы и платформы, включая смартфоны, планшетные компьютеры и мобильные устройства в целом. Об этом говорилось в опубликованном 20 января 2011 года Ежегодном отчете Cisco по информационной безопасности за 2010 год.

В предыдущие десять лет хакеры нацеливались, в первую очередь, на операционные системы для ПК. В ответ на это поставщики ПК-платформ и приложений усилили защиту своих продуктов и стали гораздо активнее искать и закрывать уязвимости с помощью коррекционных модулей (патчей). В результате хакерам стало все труднее взламывать платформы (в частности, платформу Windows), которые раньше позволяли им легко зарабатывать на хлеб и на масло. Поэтому злоумышленники ищут новые области для применения своих вредоносных "талантов". Тут очень кстати подоспели мобильные устройства и приложения, которые стали активно распространяться на рынке. В результате в 2011 году наибольшую угрозу для пользователей таят мобильные приложения, созданные сторонними разработчиками.

1982: ЦРУ взрывает советский газовый трубопровод

Сотрудники американского ЦРУ внедрили баг в канадское программное обеспечение, управлявшее газовыми трубопроводами. Советская разведка получила это ПО как объект промышленного шпионажа и внедрила на Транссибирском трубопроводе. Результатом стал самый большой неядерный взрыв в истории человечества, который произошел в 1982 году.

Смотрите также

Киберпреступность в мире
Требования NIST
Глобальный индекс кибербезопасности
Кибервойны, Кибервойна России и США
Киберпреступность и киберконфликты : Россия, ФСБ, Центр информационной безопасности (ЦИБ) ФСБ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия
Киберпреступность и киберконфликты : Украина
Киберпреступность и киберконфликты : США, ЦРУ, АНБ, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security
Киберпреступность и киберконфликты : Европа, ENISA
Киберпреступность и киберконфликты : Израиль
Киберпреступность и киберконфликты : Иран
Киберпреступность и киберконфликты : Китай
Как США шпионили за производством микросхем в СССР

Примечания

↑ Four US gas pipeline data systems shut down as cyberattack hits
↑ Итоги года: кибератаки обходятся все дороже
↑ Изобретен компьютер, который «невозможно взломать»
↑ Большинство российских компаний не устойчивы к кибератакам, заявили в PwC
↑ AppsFlyer представила Protect360 для защиты бизнеса от мобильного фрода
↑ Страховщики подсчитали ущерб мировой экономике от глобальной кибератаки
↑ В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети устройств и датчиков рабочих сред в 1-м квартале 2017 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Кроме того, компания Fortinet публикует сводку данных об угрозах (при наличии подписки доступ бесплатен), в которой приводится еженедельный обзор наиболее опасных вирусов, вредоносного ПО и сетевых угроз, а также ссылки на данные наиболее актуальных исследований Fortinet.
↑ Хакеры открыли охоту на государственные базы данных
↑ Increase in jRAT Campaigns
↑ Принтеры оказались опасными для корпоративных сетей
↑ Юный хакер взломал 160 тыс. принтеров по всему миру
↑ В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs в 4-м квартале 2016 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты.
↑ The Next Tier – 8 Security Predictions for 2017
↑ Panda Security: Критическая инфраструктура
↑ The 10 most alarming cyberattacks of 2015
↑ US government hack stole fingerprints of 5.6 million federal employees
↑ Недостатки безопасности, влияющие на «подключенные» автомобили
↑ Уроки, которые мы должны извлечь из утечки данных с Ashley Madison
↑ Компания Apple применила меры безопасности после провального года
↑ You need to update Firefox right now to protect yourself from a big security flaw

www.tadviser.ru

Прогнозы кибератак в бизнес-среде

Новые рефераты:

Многообразие систем международного частного права. Иммунитет государства.
Россия в 1917 г.: проблема цивилизационного выбора.
Российская модель экономики.
Российская модель экономики.
Дидактическая характеристика системы Л.В. Занкова.
Значение игры в психическом развитии дошкольников.
Проблемы внедрения электронных систем документооборота.
Рынк ценных бумаг США.
Экономика третьего Рейха.
Российско-американские отношения в период правления Б. Обамы 2012-2016г.г.
Особенности уголовно-правового института освобождения от ответственности. .
Главная » Основы борьбы с киберпреступностью » Прогнозы кибератак в бизнес-среде

Прогнозы кибератак в бизнес-среде

Увеличение количества атак на финансовые организации, совершение финансовых махинаций на биржах
Мы ожидаем как увеличения количества атак на финансовые организации, так и изменения качества таких атак. Помимо перевода денег на свои счета с последующим обналичиванием злоумышлениики могут применять новые техники, в том числе связанные с манипуляцией данными на торговых площадках, где работают как с традиционными, так и с новыми финансовыми инструментами, такими как криптовалюты.
Атаки на инфраструктуру
Практически все ценные данные организаций подчас расположены не в самой организации, а на серверах в дата-центрах. Получение доступа к этим элементам инфраструктуры и будет одним из важных векторов атак на компании. Использование уязвимостей в I о 1 для проникновения в сети организаций Практически во всех современных корпоративных сетях сегодня есть IoT-устройства. Исследования, проведенные в 2015 г., показали, что существует ряд проблем с безопасностью этих устройств, чем, очевидно, попробуют воспользоваться злоумышленники, используя их в качестве первой ступени проникновения в сеть организации.
Прогноз развития киберпреступности: конец APT
Мы имеем в виду только те аспекты АРТ-угроз, которые связаны с продолжительностью и сложностью атак. Киберпреступники готовы с радостью отказаться от обоих аспектов ради скрытости атак. Мы ожидаем, что злоумышленники будут уделять меньшее внимание продолжительности атак, отдавая большее предпочтение резидентным, или бесфайловым, вредоносным программам. Смысл в том, чтобы уменьшить количество следов, оставляемых в зараженной системе, и благодаря этому избежать обнаружения. Еще одно изменение в подходе будет связано с уменьшением акцента на сложность вредоносного ПО. По нашим прогнозам, злоумышленники будут чаще отдавать предпочтение переориентации готового вредоносного ПО на новые задачи, вместо того чтобы инвестировать в буткиты, руткиты и специализированный вредоносный код, становящийся бесполезным после его обнаружения экспертами по безопасности. Значение этого не только в том, что вредоносная платформа теперь не будет терять актуальность после своего обнаружения, но еще и в том, что АРТ-группировке будет легче спрятаться и скрыть свои намерения за широкими возможностями применения стандартного, легально продаваемого RAT (remote administration tool — инструмента удаленного администрирования). Когда эйфория от возможностей нестандартного вредоносного ПО сойдет на нет, окупаемость инвестиций будет играть не последнюю роль в принятии решений о финансировании злоумышленников, действующих при поддержке государственных структур. Как известно, низкие первоначальные вложения — залог отличной окупаемости. Продолжение кошмара с троянцами-вымогателями По нашему мнению, в обозримом будущем программы-вымогатели ожидает неизменный успех и открытие новых горизонтов. У этого вида вредоносного ПО есть два преимущества для злоумышленников перед традиционными банковскими угрозами: прямая монетизация и относительно низкие затраты в расчете на жертву. Эта угроза мало беспокоит обладающие значительными ресурсами сторонние организации, такие как банки, и о ней редко поступают жалобы в правоохранительные органы. Мы ожидаем, что программы-вымогатели не только отвоюют часть рынка у банковских троянцев, но и будут осваивать новые для себя платформы. Слабые попытки реализовать программы-вымогатели на мобильных (Simplelocker) и Linux-устройствах (Ransom.Linus.Cryptor и Trojan-Ransom.FreeBSD.Cryptor) уже делались, однако, вероятно, OS X — более желанная платформа для киберпреступников. Мы ожидаем, что программы-вымогатели перейдут Рубикон и будут не только заражать компьютеры Мас, но и требовать у жертв выкуп «по ценам Мае». Затем, в более дальней перспективе, существует вероятность появления программ-вымогателей для Интернета вещей. И вот вопрос: сколько вы готовы заплатить за возвращение доступа к просмотру телепрограмм, к холодильнику, к автомобилю?
Финансовые преступления на самом высоком уровне: игра против заведения
Слияние киберпреступности и АРТ-угроз воодушевило финансово мотивированных преступников, позволив им элегантно перейти от атак на конечных пользователей к преследованию обслуживающих их финансовых организаций. В 2015 г. мы видели множество примеров атак на кассовые терминалы и банкоматы, не говоря уже о дерзких ограблениях Carbanak, в ходе которых злоумышленникам удалось украсть сотни миллионов долларов. Мы ожидаем, что киберпреступ-ники будут и дальше действовать в том же духе и возьмут в оборот новинки рынка — такие как альтернативные платежные системы (ApplePay и AndroidPay). При этом растущее число пользователей этих систем должно давать злоумышленникам новый способ прямой монетизации. Еще одна группа объектов, которые неизбежно вызовут интерес, — это фондовые биржи, настоящая золотая жила. В то время как лобовые атаки могут принести быстрый доход, нельзя сбрасывать со счетов возможности, связанные с более тонким вмешательством, таким как взлом используемых при высокочастотном трейдинге алгоритмов «черного ящика», чтобы обеспечить продолжительное получение выгоды при минимальном риске быть пойманными.
Атаки на производителей защитных систем
Исходя из роста числа атак на производителей систем для обеспечения безопасности, мы прогнозируем появление интересного вектора атаки, который заключается во взломе применяемых игроками отрасли стандартных инструментов реверс-инжиниринга, таких как IDA и Hiew, средств отладки, таких как OllyDbg и WinDbg, или средств виртуализации — таких как комплекс VMware и продукт VirtualBox. Приведем в качестве примера уязвимость в реализации утиллиты Strings в Linux — СМУ-2014-8485. Это одна из уязвимостей, обнаруженных в сложном инструментарии, применяемом экспертами по безопасности при проведении исследований. Такие уязвимости могут пытаться эксплуатировать злоумышленники, всерьез намеревающиеся атаковать самих экспертов по IT-безопасности. Еще одно направление, открытое для злоупотреблений, — это обмен бесплатным исследовательским инструментарием через репозитории кода, такие как Github. Дело в том, что пользователи зачастую берут код из репозитория и запускают его на своих системах без элементарных мер предосторожности. Возможно, стоит также с подозрением взглянуть на популярные реализации PGP, которые охотно используют представители сообщества экспертов по информационной безопасности. Вредительство, вымогательство и предание позору От размещения в Сети обнаженных фото знаменитостей до взлома систем компаний Sony и Ashley Madison и публикации содержимого серверов HackingTeam — все говорит о том, что случаи доксинга (DOXing — это публикация личных данных в Сети без согласия владельца), публичного опозоривания и вымогательства становятся все более и более частыми. Хактивисты, преступники и злоумышленники, опирающиеся на государственную поддержку, — все они прибегают к хорошо продуманному размещению частных фото, данных, клиентских списков и кода с целью опозорить своих жертв. В то время как некоторые из подобных атак являются частью хорошо спланированных кампаний, другие — результат приспособленчества, использование низкого уровня кибербезопасности для демонстрации своей «хакерской силы». К сожалению, распространенность подобных явлений продолжит расти по экспоненте. Кому доверять? Возможно, самый серьезный дефицит в наш век Интернета — это дефицит доверия. Злоупотребление доверенными ресурсами будет способствовать дальнейшему усилению этого дефицита. Злоумышленники снова и снова будут использовать для своих вредоносных целей библиотеки с открытым исходным кодом и ресурсы, внесенные в белые списки. По нашим прогнозам, злоупотребления затронут еще один вид доверенных объектов — внутренние ресурсы компаний. В поисках возможностей закрепиться в зараженной сети и продвинуться вглубь нее коварные киберпреступники могут обратить свой взор на ресурсы, доступные только через корпоративный интранет — например, организовывать атаки типа watering hole на корпоративный Sharepoint-портал, файловый сервер или портал ADP. Не исключено даже, что мы столкнемся с крайней формой и без того вопиющего злоупотребления доверенными сертификатами, если киберпреступники организуют от начала до конца сфабрикованный центр сертификации, который будет выписывать цифровые сертификаты на их вредоносные программы. АРТ-группировки: что нас ждет в будущем Наши враги не могли не обратить внимание на выгодность кибер-шпионажа. Как мы и ожидали, на сцену начали выходить наемники. Эта тенденция будет только усиливаться: спрос на возможности для проведения кибератак порождает предложение. И компании, и известные АРТ-группировки ищут способы переложить задачи, не имеющие критической важности, на сторонних исполнителей и не подвергать риску свой инструментарий и инфраструктуру. Здесь был бы уместен термин «APT как сервис» (APT-as-a-Service), но, вероятно, еще интереснее то, что развитие целевых атак, по нашим прогнозам, приведет их к уровню, который можно условно назвать «Доступ как сервис» (Access-as-a-Service). Речь идет о продаже доступа к системам жертв высокого уровня, на которых уже были успешно проведены атаки наемников. Заглядывая дальше в будущее кибершпионажа, мы видим возможный выход из тени членов наиболее серьезных АРТ-группировок (если угодно, «элиты АРТ-мира»). Возможны два разных сценария такого выхода из тени: переход представителей этих группировок в частный сектор экономики в связи с распространением практики «ответных ударов» (hacking back) со стороны жертв хакерских атак или передача ими информации сообществу экспертов по информационной безопасности — например, путем участия в конференциях с целью представить собственную версию ситуации. Тем временем можно ожидать появления еще нескольких новых языков в вавилонском столпотворении APT. Будущее Интернета В последние годы появились признаки напряжения и разрывов в инфраструктуре самого Интернета. Появление огромных ботнетов из маршрутизаторов, перехват BGP-сессий и BGP dampening, различные атаки на DNS-серверы и использование серверов для проведения DDoS-атак — все это говорит о безнаказанности и отсутствии в Сети регулирования и контроля в глобальном масштабе. Если говорить о долгосрочных прогнозах, можно представить себе, во что превратится Интернет, если будет и дальше терять свою роль связующего звена, делающего мир единой глобальной «деревней». Мы можем прийти к раздробленному («балканизированному») Интернету, разделенному государственными границами. В этом случае доступность ресурсов может быть ограничена атаками на связующие звенья, обеспечивающие соединения между различными сегментами Интернета, или, возможно, геополитической напряженностью, препятствующей использованию физических каналов, соединяющих крупные группы интернет-ресурсов. Можно даже предположить, что мы столкнемся с появлением «черного рынка» соединений. Кроме того, можно ожидать, что по мере того как технологии, формирующие уязвимые точки Интернета, будут становиться общедоступными и все более широко применяться, разработчики, связанные с теневыми рынками, биржами и форумами, будут создавать более современные технологии, которые позволят подпольным ресурсам оставаться в глубокой тени. Будущее транспорта В наши дни значительные инвестиции и наиболее передовые исследовательские ресурсы направляются на разработку автономных транспортных средств как для личного, так и для коммерческого применения. Такой транспорт потребует создания распределенных систем для управления маршрутами и крупными потоками подобных транспортных средств. Возможно, атаки будут направлены не на сами распределенные системы, а на перехват и подмену трафика, передаваемого по протоколам, лежащим в основе этих систем. Можно предположить, что целью подобных атак может стать кража ценного имущества или организация аварий движущихся транспортных средств с человеческими жертвами. Приближение криптоапокалипсиса И наконец, невозможно переоценить важность криптографических стандартов для поддержания функциональной роли Интернета как непревзойденного средства взаимодействия и обмена информацией. В основе применяемых сегодня криптографических стандартов лежит представление о том, что вычислительные мощности, необходимые для взлома данных, зашифрованных на основе этих стандартов, превышают возможности всех людей вместе взятых. Но что произойдет, если наши вычислительные возможности перейдут на качественно новый уровень, как обещают предстоящие прорывы в области квантовых вычислений? Несмотря на то что поначалу квантовые вычисления не будут доступны обычным киберпреступникам, можно говорить об исчерпании ресурсов надежности текущих стандартов шифрования и необходимости создания новой, «постквантовой» криптографии. Учитывая, что даже современные высококачественные криптографические системы часто не применяются или реализуются некорректно, нельзя ожидать гладкого перехода к прогрессивным стандартам, который позволил бы избежать масштабных проблем, связанных с неадекватностью криптозащиты в новых условиях. Лекция, реферат. Прогнозы кибератак в бизнес-среде - понятие и виды. Классификация, сущность и особенности.
Оглавление книги открыть закрыть
« назад Оглавление вперед » Основные направления развития деятельности киберкриминала « | » Тренды 2015 года в области интернет-безопасности в России и в мире

referatwork.ru

Уязвимости систем видеонаблюдения позволяют хакерам создавать масштабные ботнеты

Согласно заявлению US-CERT, в прошивке цифровых устройств видеонаблюдения (DVR) AVer Information EH6108H+ обнаружены серьезные уязвимости, которые позволяют злоумышленникам без труда получать к ним удаленный доступ и даже формировать ботнеты.

Уязвимости

Исследователям безопасности удалось обнаружить три критические уязвимости. Первая из них (CVE-2016-6535) заключается в наличии двух скрытых учетных записей для удаленного подключения. Каждая из них обладает root-правами, пароли для доступа прописаны в коде прошивке — в итоге аккаунты нельзя отключить или удалить из системы. В итоге атакующий, который знает IP конкретной камеры, может легко подключиться к ней по Telnet.

AVer Information EH6108H+ hybrid DVR

Кроме того, злоумышленники могут получить доступ к административной панели и вовсе без паролей администратора благодаря ошибке в работе системы аутентификации (CVE-2016-6536). Для того, чтобы получить доступ к панели управления, хакеру нужно просто перейти по адресу [IP-устройства]/setup и подобрать параметр “handle” — после этого административная страница откроется без ввода пароля. Получив к ней доступ, злоумышленник может изменять параметры устройства и даже изменять пароли для всех пользователей системы.

Третья уязвимость (CVE-2016-6537) приводит к разглашению конфиденциальной информации — проблема возникает из-за ошибки в механизме обработки пользовательских учетных данных.

Как защититься

Согласно заявлению US-CERT, в настоящий момент не существует патчей для исправления обнаруженных уязвимостей. Производитель прошивки AVer на своем сайте описывает ее как «более не поддерживаемую» (discontinued).

Единственным действенным способом предотвратить атаку с использованием этих дыр является ограничение доступа к устройствам — с помощью межсетевого экрана или настроек сетевого оборудования.

Масштабы проблемы

Присутствие простых в эксплуатации уязвимостей и «бэкдоров» в DVR устройствах — далеко не новость. Ранее эксперты Positive Technologies находили критические уязвимости и, так называемые, «мастер-пароли», которые позволяют без труда получить злоумышленникам доступ к таким устройствам, сотни тысяч которых доступны из интернет. К примеру, проблемы были обнаружены в системах видеонаблюдения Samsung, а также популярной прошивке DVR-систем, использующейся многими вендорами.

Кроме того, не так давно стало известно о том, что червем BASHLITE были заражены более 1 миллиона DVR-устройств — злоумышленники сформировали из них ботнеты для проведения DDoS-атак.

Географическое распределение атак

Также ранее в этом году исследователи из компании Sucuri обнаружили ботнет из 25000 подключенных к интернету устройств для видеонаблюдения. Кроме того, ботнет для проведения DDoS-атак, состоящий из инфицированных вебкамер был найден специалистами из Security Engineering and Response Team компании Arbor (ASERT).

Важно понимать, что злоумышленникам зачастую не требуется прикладывать особенных усилий для обнаружения брешей защиты в системах видеонаблюдения, потому что, как правило, содержащиеся в них уязвимости крайне примитивны.

Ситуацию усугубляет тот факт, что производители DVR-ситсем зачастую не сами полностью создают прошивки для своих устройств, а используют сторонние разработки. Такие прошивки могут распространяться разными сомнительными путями, потенциально, в них может содержаться скрытая недокументированная логика, о которой производители конечных DVR могут и вовсе ничего не знать.

Например, обнаруженные нашими экспертами уязвимости присутствовали в популярной прошивке, которую использовали и по-своему дополняли многие производители DVR. Соответственно, уязвимости в этих прошивках ставили под угрозу сразу множество разных устройств различных производителей.

При этом многие производители не уделяют достаточно внимания выпуску обновлений и разработке механизмов их централизованного развертывания на конечных устройствах или оповещении пользователей. В случае использования прошивки сторонних производителей, процесс исправления еще больше усложняется: в таких случаях производитель DVR может не полностью контролировать прошивку — и не иметь возможности её изменять.

Например, с одним из производителей такой популярной и уязвимой прошивки нам так и не удалось установить контакт, чтобы они смогли исправить найденные проблемы. Более подробная информация была представлена в докладе в ходе форума Positive Hack Days III:

Уязвимости и взлом DVR-устройств являются серьёзной угрозой и для частных компаний. Получив доступ к системам видеонаблюдения, злоумышленник может использовать их как плацдарм для дальнейших незаметных нападений внутри сети компании (APT). Типичные средства защиты, которые используются в компаниях, зачастую не могут обнаружить такое проникновение (например, классический антивирусный подход здесь бессилен).

Фактически в корпоративной сети появляется зловредное устройство-миникомпьютер, внутри которого злоумышленник может установить своё ПО. Бэкдор в таких устройствах может очень долго и незаметно существовать.

Что делать

Для того, чтобы защититься, эксперты Positive Technologies советуют изолировать доступ к системам цифрового видеонаблюдения из Интернета (например, настройками роутера и/или firewall). Желательно для устройств из внутренней сети также ограничить доступ к DVR и дать доступ только тем адресам, которым он точно необходим (например, только администраторам). И аналогично ограничить доступ к сети самого DVR, дав ему доступ только к нужным адресам. Лучше всего помещать такие устройства в отдельную изолированную сеть.

В целом, с развитием «Интернета вещей» возможности для создания подобных ботнетов значительно возрастают: многие новые гаджеты разрабатываются и выпускаются на рынок безо всякой оглядки на безопасность (даже наоборот: схемы подключения к Интернету максимально упрощаются). В этой ситуации можно посоветовать и частным лицам, и компаниям быть более разборчивыми в покупке оборудования, и по возможности проводить анализ защищенности новых устройств.

Выявление ботнетов и расследование инцидентов также усложняются в ситуации, когда заражёнными оказываются не личные компьютеры, а множество автоматических систем, за поведением которых никто конкретно не следит.

О том, по каким признакам выявлять скомпроментированные активы, оценивать возможности атакующих и реагировать на инциденты безопасности в корпоративных сетях, можно послушать 22 сентября в 14:00 на бесплатном вебинаре Владимира Кропотова «Реагирование на инциденты».

» Для участия необходимо зарегистрироваться: www.ptsecurity.ru/research/webinar/106986

habrahabr.ru

Уязвимости систем видеонаблюдения позволяют хакерам создавать масштабные ботнеты. Ботнеты плацдарм современных кибератак реферат

Ботнеты и кибервойны | ChannelForIT

Ботнеты и кибервойны - DrRouter

Кибератаки и их жертвы

Распределенные сетевые атаки / DDoS

Принцип действия DDoS-атак

Проведение DDoS-атаки с помощью ботнета

Характер современных DDoS-угроз

Целевые атаки

На кого нацелены атаки?

Обход корпоративной системы безопасности

Кибератаки

Модели атаки

Сетевая инфраструктура

Уязвимости протокола канала передачи данных

Уязвимости слоев сетевого и транспортного протокола

Проблемы с файерволом

Уровень исправлений

Уровень исправлений сервера

Конфигурация сервера

Конфигурация сервера / общий тип

Стандартное программное обеспечение и проприетарные приложения

Проблемы аутентификации

Проблемы авторизации

Проблемы бизнес-логики

Раскрытие информации

Способствование атакам со стороны клиента (браузерные атаки)

Проблемы подстановки интерпретатора / проверки введенных данных

Проблемы управления состоянием / сессией

Небезопасное управление доверенными данными

Функциональность в которой нет необходимости, и небезопасная функциональность

Небезопасные алгоритмы

Уязвимость, приводящая к отказу в обслуживании

Цели атак

Инструменты атак

Хроника событий

2018

Исследование Balabit

Check Point: 97% компаний не готовы к кибератакам «Пятого поколения»

Атака на газопроводные компании

2017

К 2021 году глобальный ущерб от кибератак превысит $6 трлн

Изобретен компьютер, который «невозможно взломать»

PwC: Большинство российских компаний не могут противостоять кибератакам

$1,3 млрд потеряли маркетологи в 2016 году из-за фрода со сбросом DeviceID

Eset зафиксировала 15 млн кибератак на пользователей торрентов

Глобальная кибератака может обойтись мировой экономике в $53 млрд

Positive Technologies: Россия заняла второе место по числу киберинцидентов

Fortinet: Эффективность отслеживания и управления распределенными инфраструктурами снижается

Check Point: хакеры могут использовать субтитры для взлома миллионов устройств

Охота на государственные базы данных

Кампании по распространению зловредов на Java

Опасные сетевые принтеры

Юный хакер взломал 160 тыс. принтеров по всему миру

2016

Исследование Fortinet

Киберпреступники устанавливают контроль над устройствами

Преобладание крупномасштабных автоматизированных атак

Программы-вымогатели продолжают распространяться

Исследование Trend Micro

Рост мошенничества с использованием корпоративной почты

Прогноз Trend Micro на 2017 год

Белая книга Panda Security об атаках на инженерные объекты

2015

10 самых опасных кибер-атак 2015 года

2011

Количество атак выросло на 81%

Intel Security: Новый виток атак будет направлен на промышленные и энергетические компании

2010: Расширение атак на другие ОС кроме Windows

1982: ЦРУ взрывает советский газовый трубопровод

Смотрите также

Примечания

Прогнозы кибератак в бизнес-среде

Прогнозы кибератак в бизнес-среде

Увеличение количества атак на финансовые организации, совершение финансовых махинаций на биржах

Атаки на инфраструктуру

Прогноз развития киберпреступности: конец APT

Финансовые преступления на самом высоком уровне: игра против заведения

Атаки на производителей защитных систем

Оглавление книги открыть закрыть