Центр исследования компьютерной преступности

home контакты

Данные отчёта Internet Security Threat Report по вопросам интернет-безопасности

Дата: 23.03.2006
Источник: Pcweek.ru


cybercrime/img21.jpgЛюбопытные данные содержатся в девятом томе отчёта Internet Security Threat Report, посвящённого вопросам интернет-безопасности и раз в шесть месяцев выпускаемом Symantec (www.symantec.com). Утверждается, что при создании данного отчёта, охватывающего период с 1 июля по 31 декабря 2005 г., были проанализированы данные, поступающие от сорока с лишним тысяч датчиков (“вирусоловушек”), установленных аналитическими службами Symantec и контролирующих сетевую активность более чем в 180 странах мира. Общее количество зафиксированных этими датчиками вирусов не раскрывается, но сообщается, что из 50 самых распространенных образцов вредоносного кода 80% приходится на программы-шпионы, осуществляющие кражу конфиденциальной информации с целью извлечения их создателями дохода. Для сравнения: в прошлом отчётном периоде аналогичный показатель равнялся лишь 74%.
Отчёт фиксирует растущую тенденцию к использованию злоумышленниками бот-сетей, целенаправленных атак на Web-приложения и Web-браузеры, а также модульного вредоносного кода.
Термины, использованные в предыдущем предложении, требуют пояснения. Под бот-сетями понимаются компьютеры, зараженные определённым видом вируса-робота (для краткости его часто называют бот-вирусом), которым в дистанционном режиме управляет его создатель и который используется для проведения DoS-атак*, кражи конфиденциальной информации и иных неблаговидных целей.
Хотя из новейшего отчёта Internet Security Threat Report следует, что число бот-инфицированных компьютеров во второй половине минувшего года (по сравнению с первым полугодием) снизилось на 11% (в среднем в этот период ежедневно фиксировались 9163 зараженные системы), бот-сети используются всё интенсивнее. За отчётный период аналитические подразделения Symantec в среднем наблюдали 1402 DoS-атаки в день, что на 51% больше, чем в предыдущем отчетном периоде. Эксперты Symantec утверждают, что тенденция к росту продолжится и дальше, так как растёт число уязвимостей Web-приложений и браузеров, используемых злоумышленниками.
Так, за отчётный период Symantec зафиксировала 1895 новых уязвимостей ПО. Это самый большой показатель с 1998 г. Чтобы подчеркнуть, насколько важно быстро “латать дыры”, обнаруженные в ОС и приложениях, специалисты Symantec оценили время, которое злоумышленники затрачивают на взлом ОС, используемых в Web-серверах и настольных ПК. При этом среди серверных систем самое короткое среднее время до взлома продемонстрировала ОС Windows 2000 Server без установленных исправлений, тогда как исправленная Windows 2003 Web Edition и обе версии (исправленная и неисправленная) RedHat Enterprise Linux 3 за период тестирования (сведения о продолжительности этого периода и квалификации взломщиков, увы, не приводятся) взломаны не были. Среди настольных систем самое короткое среднее время до взлома продемонстрировала ОС Microsoft Windows XP Professional без исправлений, но та же ОС со всеми установленными “заплатами”, равно как и ОС SuSE Linux 9 Desktop за период тестирования взломаны не были.
С учётом растущего объема обнаруженных уязвимостей специалисты Symantec следят также за тем, с какой скоростью “эксплуатируются” эти самые уязвимости. Оказалось, что в отчётный период с момента объявления уязвимости до выпуска использующего её зловредного кода проходило в среднем 6,8 суток (против 6,0 суток в предыдущий отчётный период). В то же время между обнаружением уязвимости и выпуском соответствующего исправления проходит в среднем 49 дней.
Однако вернёмся к терминам (у каждой антивирусной фирмы есть словечки, практически никогда не употребляемые её конкурентами, что сильно затрудняет сравнение не только отчётов, но и самих продуктов). Так вот, под модульным вредоносным кодом Symantec понимает вредоносные программы (например, программы-шпионы), которые сначала обладают ограниченной функциональностью, но со временем могут приобретать новые, более разрушительные возможности. Из упомянутого отчёта следует, что за последние шесть месяцев 2005 г. на долю модульных вредоносных программ пришлось 88% из пятидесяти самых опасных образцов вредоносного кода, попавших в “вирусоловушки” Symantec, против 77% за прошлый отчетный период.
Кроме того, по данным Symantec, во втором полугодии 2005-го участились случаи фишинга, то есть попыток выведать у пользователей конфиденциальную информацию обманным путем: за отчётный период фиксировалось 7,92 млн. подобных попыток в день (против 5,70 млн. в предыдущий отчетный период). В будущем Symantec ожидает роста числа фишинговых сообщений и вредоносных программ, распространяемых через службы интернет-пейджинга.
Symantec также зафиксировала небольшое увеличение количества новых вариантов 32-разрядных Windows-вирусов и червей — с 10 866 в первом полугодии 2005 г. до 10 992 во втором. Интересно отметить, что число новых семейств зловредных кодов при этом уменьшилось на 39% — соответственно со 170 до 104. По-видимому, это указывает на то, что разработчики вредоносного кода предпочитают модифицировать циркулирующие в настоящее время программы, а не создавать их заново. То ли они в массе своей просто обленились, то ли переживают творческий застой…
Что же касается общего вывода Symantec о росте киберпреступности в мире, то точно такой же лейтмотив прослеживается и в годовом отчёте испанской компании Panda Software (www.viruslab.ru/download/report2005), выпущенном практически одновременно с упомянутым выше исследованием. А если учесть, что ещё в апреле прошлого года (см. заметку “Наши в Лондоне”, PC Week/RE, № 18/2005, с. 28;www.termika.ru/pcf?d&nd=963847102&prevDoc=963847072) о неуклонной криминализации вирусной индустрии говорил Евгений Касперский в своём выступлении на международной выставке Infosecurity Europe 2005 (www.infosec.co.uk), то становится ясно, что данная тенденция не в прошлом году возникла и, похоже, не в нынешнем закончится. А всё потому, что прибыли киберпреступников, по мнению многих аналитиков, соизмеримы с прибылями наркоторговцев и производителей поддельных товаров.
*DoS-атака (название происходит от слов Denial of Service — отказ в обслуживании) — одна из разновидностей хакерских интернет-атак. Известна с 2000 г. Заключается в забрасывании сервера-мишени ложными запросами на обслуживание, в результате чего у данного сервера не остаётся ресурсов на обработку истинных запросов и он практически выходит из строя. DoS-атака может производиться не только с одного компьютера, но и со множества компьютеров-зомби, которые заранее без ведома их владельцев были инфицированы так называемыми DoS-агентами. В этом случае говорят о DDoS-атаке (от слов Distributed Denial of Service), или распределённой DoS-атаке. Компьютеры-зомби используются также для рассылки нежелательной корреспонденции. По данным компании Sophos (см. заметку “В 2005 г. киберпреступники перешли к целевым атакам”, PC Week/RE, № 47/2005, с. 27;www.termika.ru/pcf?d&nd=963848892&prevDoc=963848826), более 60% от общего объёма мирового спама рассылается именно через сети зомби-компьютеров.

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2006 Computer Crime Research Center

CCRC logo
Рассылка новостей