Интернет угрозы. Многие из самых известных интернет угроз за последние два десятилетия - Rustocks, Waledacs, Esthosts, Confickers, Mebroots, Bagles, Netskys, Melissas, ILOVEYOU, Blasters, Slammers и им подобные - для внедрения в незащищённые машины используют встроенные возможности программирования или дыры Windows.
Содержание:
Интернет угрозы
Со временем концепции изменились. Старые угрозы все ещё существуют, но они приобрели новый поворот: запах денег, а иногда и политическая мотивация, сделали взлом (или взлом ПК с гнусными целями) гораздо более изощренным. То, что начиналось кучкой негодяев, играющих в программиста за ваш счёт, превратилось в прибыльное, а иногда и очень прибыльное предприятие.
Предупреждение. Где деньги. По крайней мере, на данный момент - и в обозримом будущем - наибольшую прибыль приносят ботнеты и фишинговые атаки. Вот где вам следует ожидать самых изощрённых и чертовски сложных атак. Если, конечно, вы не управляете ядерным реактором или антиправительственной кампанией.
Основные переносчики инфекции
Как на самом деле заражаются компьютеры? Согласно отчёту Microsoft Security Intelligence Report 11, самая большая брешь в безопасности - это пробел между вашими ушами. Совет для профессионалов: последний отчёт MS Security Intelligence можно найти на сайте www.microsoft.com/sir. Они всегда интригуют.
Много лет назад самая большая угроза для ПК исходила от недавно обнаруженных дыр в безопасности. Плохие парни используют дыры, прежде чем вы исправите вашу машину. Эти дыры по-прежнему привлекают много внимания, особенно в прессе, но они не являются основной причиной широкого распространения инфекции. Даже не рядом. Подавляющее большинство случаев заражения происходит, когда людей обманом заставляют нажимать на то, что им делать не следует. Однако узкие целевые заражения, как правило, полагаются на ранее неизвестные дыры в безопасности. Большим мальчикам трудно защититься от такого рода нападений. У таких маленьких людей, как мы с вами, на самом деле, нет ни единого шанса.
Предупреждение. За последние пару лет, когда дело доходит до заражения компьютеров с Windows, дыры в системе безопасности исчезли. В зависимости от того, чью статистику вы читаете, от 70 до 90 процентов всех заражений Windows за последние годы приходилось на Java, Flash и Adobe Reader. Вы заходите на вредоносный веб-сайт, нажимаете на то, на что не следует нажимать и Java, Flash или плохой PDF-файл, обработанный Adobe Acrobat Reader, запускается и захватывает вашу машину. Иногда вам не нужно нажимать, особенно если вы используете старые версии Internet Explorer.
Бэкдоры и ботнеты
Каждый месяц Microsoft публикует новое средство удаления вредоносных программ. Оно сканирует компьютеры на наличие вредоносных программ и, во многих случаях, удаляет их. В недавнем исследовании Microsoft сообщила, что 62 процента всех компьютерных систем, в которых было обнаружено вредоносное ПО, также имеют бэкдоры. Это отрезвляющая цифра. Программа бэкдор преодолевает обычные меры безопасности Windows и позволяет злоумышленнику контролировать ваш компьютер через Интернет, эффективно превращая вашу машину в зомби. Самые изощрённые бэкдоры позволяют крипам приспосабливать (обновлять, если хотите), работающее на взломанной машине вредоносное программное обеспечение. И они делают это дистанционно.
Бэкдоры часто появляются на вашем ПК, когда вы устанавливаете нужную программу. Реже, компьютеры приобретают бэкдоры, когда заражаются какой-либо инфекцией. Черви Conficker, Mebroot, Mydoom, Sobig, TDL4/Alureon, Rustock, Waledac и ZeuS устанавливают бэкдоры. Многие заражения происходят на компьютерах, на которых не обновлены Java, Flash или Adobe Acrobat Reader. Наиболее распространённый механизм заражения - это переполнение буфера.
Злоумышленник, который управляет одной машиной через backdoor - ничто. Но тот, кто создаёт ботнет - коллекцию из сотен или тысяч компьютеров - может отнести своих зомби в банк.
Ботнет, на котором запущен кейлоггер (программа, которая следит за тем, что вы вводите, и периодически отправляет данные контроллеру ботнета), может собирать различную ценную информацию. Самая большая проблема, с которой сталкиваются те, кто собирает и распространяет кейлоггеры - объем — огромный объем украденной информации. Как вы отсканируете миллионы символов зарегистрированных данных и получите номер банковского счета или пароль?
Недобросовестные компании нанимают контроллеров ботнета для распространения спама, «сбора» адресов электронной почты и даже прямых скоординированных распределенных атак типа «отказ в обслуживании» (DDoS) на сайты конкурентов. (DDoS-атака направляет одновременно на определённый веб-сайт тысячи компьютеров, блокируя законное использование.)
На ботнетах можно заработать целое состояние. Один только ботнет Rustock отвечал за от 10 до 30 миллиардов спама в день. Спамеры платили обработчикам Rustock напрямую или за комиссию в зависимости от количества рефералов.
Что такое переполнение буфера
Если вы следили за развитием вредоносных программ в целом и за тем, как работает Windows в частности, вы, несомненно, встречали термин «переполнение буфера» - любимый инструмент в арсенале многих вирусописателей. Переполнение буфера может показаться загадочным, но, по сути, это довольно просто.
Программисты выделяют в своих программах небольшие участки для передачи данных из одной программы в другую. Эти места - буферы. Проблема возникает, когда в буфер помещается слишком много данных (или, с другой стороны, если буфер слишком мал для хранения всех данных).
Когда в буфере слишком много данных, часть их может попасть в саму программу. Если злоумышленник, который загружает слишком много данных в буфер, умён, он/она может убедить программу, что дополнительные данные - это не данные, а ожидающая запуска другая часть программы. Червь помещает в небольшое пространство много данных и гарантирует, что выпавший фрагмент выполнит все злонамеренные действия, которые хочет создатель червя. И программа выполняет данные, которые были помещены в буфер, - запускает программу, написанную создателем червя. Так переполнение буфера может взять под контроль ваш компьютер. Каждый червь, использующий брешь в системе безопасности при переполнении буфера в Windows, использует глупую программную ошибку внутри Windows, но в настоящее время переполнение буфера чаще происходит во Flash или Java.
Наиболее успешные бот-сети работают как руткиты, программы (или наборы программ), которые работают глубоко внутри Windows, скрывая файлы и делая чрезвычайно трудным обнаружение их присутствия. Вероятно, вы впервые услышали о руткитах в конце 2005 года, когда пара исследователей безопасности обнаружила, что некоторые компакт-диски от Sony BMG тайно устанавливали руткиты на компьютеры. Если вы просто воспроизводили компакт-диск на своём компьютере, руткит прижился. Спустя несколько судебных исков Sony, наконец, осознала ошибочность своих действий и пообещала прекратить распространение руткитов со своими компакт-дисками.
Предустановленное программное обеспечение - дрянное ПО, устанавливаемое людьми, которые продают вам компьютеры - открыло значительные бреши в безопасности на машинах Acer, Asus, Dell, HP и Lenovo (см. https://duo.com/assets/pdf/out-of-box-exploitation_oem-updaters.pdf). Ещё одна причина запускать процедуру Win10 Start Fresh на любой новой машине после покупки - или купите машину Signature в Microsoft Store.
Червь Stuxnet
Немногие компьютерные темы так расписывались в прессе, как червь Stuxnet - переносимая Windows вредоносная программа, которая, по-видимому, уничтожила несколько центрифуг на иранском предприятии по обогащению урана. Вот что точно известно о Stuxnet: он поддерживается Windows, но не делает ничего подлого, пока не обнаружит, что подключён к определённому типу компьютера Siemens, который используется для промышленной автоматизации. Когда он обнаруживает, что подключён к этому конкретному виду компьютера Siemens, он устанавливает на компьютер руткит, который нарушает работу всего, что контролируется компьютером. И этот конкретный компьютер Siemens управлял центрифугами на обогатительном заводе Ирана.
Люди, написавшие Stuxnet, очень хорошо разбираются как в методах заражения Windows, так и в компьютерном программировании Siemens. Дэвид Сэнгер, главный вашингтонский корреспондент The New York Times, утверждает, что Stuxnet возник в результате сотрудничества между Агентством национальной безопасности США и секретным израильским военным подразделением, и последующие разоблачения подтвердили, что это почти несомненно так.
Microsoft заслуживает большой похвалы за то, что уничтожила ботнеты инновационными способами, требующими привлечения юристов. В октябре 2010 года, благодаря отслеживающим возможностям Microsoft, 116 человек по всему миру были арестованы за проведение мошеннических банковских операций. Когда люди из Microsoft занялись ботнетом ZeuS, они убедили несколько компаний, чьи логотипы использовались для распространения ботнета, обратиться в суд. Собравшаяся группа использовала законы RICO - законы США о рэкете - чтобы получить приказ о сносе. 23 марта 2012 г. маршалы США уничтожили два командных центра - один в Иллинойсе, другой в Пенсильвании - и фактически отключили ZeuS. Microsoft также возглавила усилия по уничтожению бот-сетей Waledac, Rustock и Kelihos.
Тем не менее, представители сообщества безопасности резко критиковали Microsoft за «препятствование и даже компрометацию ряда крупных международных расследований в Соединённых Штатах, Европе и Азии» при попытках отменить быстрое правосудие (www.krebsonsecurity.com/2012/04/microsoft-answers-to-critics-over-botnet-bruhaha).