В духе времени, или закономерное развитие

Не так давно я уже писал о возрастающей роли распределенных технологий в современной ИТ-сфере, и, в частности, в таком её приложении, как вредоносные программы. Что ж, пока мы говорим, вирусописатели не сидят сложа руки - они, к примеру, уже успели обновить наш любимый ботнет Zeus таким образом, что он тоже имеет теперь стопроцентно распределенную структуру.

Куда ж уже распределеннее, может спросить неискушенный читатель. Ботнет ведь и есть самое что ни на есть распределенное инженерное сооружение, какое только можно себе представить. Но на самом деле классический ботнет - вовсе не одноранговая сеть. В нём есть командные сервера, с помощью которых ботоводы управляют троянами, установленными на зараженных компьютерах, и собственно сами боты, которые и выполняют всю грязную работу по велению и хотению своих хозяев.

Собственно, именно такую архитектуру имел до недавнего времени и Zeus. Теперь же появилось сообщение о том, что исследователи из Symantec обнаружили, что в новой версии Zeus/SpyEye рядовые боты могут выступать в качестве командных серверов. Это значительно осложнит нейтрализацию ботнетов, ведь раньше главным методом обезвреживания сети заражённых компьютеров была блокировка C&C-серверов либо перехват управления с помощью подставного C&C-сервера. Кроме того, такой метод пиринговой организации узлов осложняет поиск владельца ботнета и делает бессмысленной работу сервиса Zeustracker.

Ну, в общем-то, вполне понятно, что развитие ботнетов тоже идет по своим естественным законах, хотя сейчас перехватить управление в чем-то даже стало и проще, раз управлять теперь можно с помощью любого работающего во вредоносной сети трояна. Что ж, ждем теперь распределенных антивирусов...

Р. Идов,

аналитик компании SearchInform

Эксперты подтверждают:)

Про мобильные угрозы сегодня говорить модно - правда, надо сказать, что от этого есть и польза: из-за сильного шума в кругах экспертов на проблему начинают обращать внимание и достаточно широкие народные массы, составляющие основной костяк пользователей современных мобильных устройств.

К обсуждению подключился и самый известный широкой общественности ИБ-россиянин - Евгений Касперский. "В ноябре прошлого года что-то произошло и мы зафиксировали около 1500 уникальных кодов мобильных вредоносов. До этого мы на протяжении всего года фиксировали такое число", - говорит он. Конечно, не очень много на фоне малвари для "Винды", но по сравнению с тем, что было в "доайфонную" эпоху, вполне себе впечатляет.

Надо сказать, что в самом главном с Касперским сложно не согласиться - больше всего проблем как раз с Android, демонстрирующей всю глубину сомнительности преимуществ ПО с открытым исходным кодом перед нормальными коммерческими продуктами. Ну и с тем, что мобильные угрозы становятся всё более, так сказать, угрожающими, тоже не согласиться, скажем прямо, непросто.

Ну, а в целом, порадовало то, что у умных людей мысли действительно сходятся, и что большинство аналитиков достаточно единодушны в своих высказываниях по поводу трендов мобильных угроз. Думаю, это хороший знак - если мы знаем врага и знаем, что от него ожидать, то и бороться с ним становится проще.

Р. Идов,

аналитик компании SearchInform

Конец ещё одной хорошей идеи

Похоже, платформа Android близка к тому, чтобы продемонстрировать широкой общественности несостоятельность ещё одной хорошей идеи для защиты пользовательских устройств от вирусов. Этой идеей, по суть, сегодня пользуется большинство производителей мобильных платформ. А состоит она в том, что платформа защищена от вредоносов путем проверки любых приложений, которые могут попасть на пользовательское устройство, непосредственно производителем платформы.

Родоначальником инициативы можно считать, конечно же, Apple с её AppStore, за которым подтянулись (или, во всяком случае, попытались подтянуться) и другие. У Apple, надо сказать, это получилось лучше всех - видимо, в силу её опыта проведения политики закрытия своих платформ от всего и всех. Опыт Google вышел чуть менее удачным. Но, в общем, как бы то ни было, даже тщательная проверка на вредоносность оказалась совсем не панацеей.

Кстати, не могу в связи со всем этим не упомянуть историю, которую трудно озаглавить иначе, чем "только бледнолицый брат может дважды наступить на одни и те же грабли". На днях появилась новость о том, что в Android Market вернулись приложения, которые уже были раньше удалены из-за оказавшейся вредоносной функциональности. Ладно бы функциональность куда-то исчезла - но нет, как оказалось, всё присутствует, и даже в лучшем виде, чем раньше...

Впрочем, дело не в Google, а в самой концепции. Очевидно, что она перестаёт работать достаточно хорошо. Пусть, конечно, смартфонным платформам далеко до Windows по числу вредоносов, но они тоже есть. Что ж, будем ждать новых идей, дамы и господа...

Р. Идов,

аналитик компании SearchInform

Правильным путем идем, товарищи?

Очень интересную новость донесли до широкой общественности разработчики браузера Chrome. Они озаботились качеством пользовательских паролей, и для благой цели его повышения предложили довольно интересное, хотя, на мой взгляд, и несколько противоречивое нововведение - генератор паролей.

Не секрет, что подавляющее большинство паролей, используемых людьми при регистрации на сайтах, имеет вид "123", "qwerty" или что-то в том же духе. Вполне понятно, что такие пароли и запомнить проще, чем "идеологически правильный" "oK3,d(m92mKIns$2sdn!n92", но именно из-за них сегодня наблюдается разгул спама в социальных сетях и прочие негативные явления, связанные с похищением пользовательских аккаунтов злоумышленниками.

Генераторы и запоминальщики паролей - вещь довольно распространённая и далеко не новая, и большинство из них давно умеют интегрироваться со многими браузерами, а не только с "Хромом". Но от этого больше хороших паролей не становится - напротив, можно сказать, что с каждым новым массовым похищением аккаунтов количество примитивных паролей, обнародуемых злоумышленниками, только возрастает.

Сама идея парольной аутентификации, к сожалению, изживает себя, однако из-за дороговизны альтернатив (в первую очередь, биометрии) пока перехода на них не наблюдается. Это, конечно, не лучшим образом отражается на безопасности, но "костыли" в виде таких генераторов паролей тоже вряд ли будут способны спасти ситуацию.

Так что, к сожалению, труд разработчиков гуглобраузера, скорее всего, пропал напрасно - даже очень хороший генератор паролей не переделает пользователя, который плевать хотел на эту вашу безопасность.

Р. Идов,

аналитик компании SearchInform

Спасение утопающих?..

Некоторые меры, предпринимаемые интернет-сервисами для защиты данных своих посетителей, вызывают если не улыбку, то, по крайней мере, некоторое недоумение. Потому что польза от них (если, конечно, не считать таковой PR-эффект от подобных нововведений) при внимательном рассмотрении оказывается под большим вопросом.

Сейчас, к примеру, активно обсуждают введение Твиттером по умолчанию работы через HTTPS. Как бы да, дыр поуменьшилось, то есть, теоретически зашифрованный трафик действительно и сложнее перехватывается, и пользователь защищен лучше, чем при использовании простого и бесхитростного HTTP. С другой стороны, всё это совершенно бесполезно, если у аккаунта пароль "12345", или если пользователь не знает, как отличить фишинговое сообщение от подлинного.

Опять-таки, нужно сказать, что сегодня поддержкой HTTPS любят злоупотребить многие, начиная с Гугла и Фейсбука, и заканчивая тысячами мелких и куда менее известных сервисов. И в это время многие начинают критиковать отечественную "социалку" "В контакте" за отсутствие поддержки HTTPS. Но зато при восстановлении аккаунта (который, кстати, в обязательном порядке привязывается к мобильному телефону) эта соцсеть проводит очень качественных ликбез на тему того, как этот самый аккаунт больше не потерять. Что полезнее? Для меня ответ очевиден.

Так что, в общем-то, не всё то золото, что блестит, как любил говаривать барон Мюнхгаузен. И не всегда то, что хотят выдать за заботу о максимальной защищенности пользователя является таковым.

Р. Идов,

аналитик компании SearchInform

Америка открыта

Душевно радуют сообщения новостных лентах отраслевых ИБ-порталов о распространении в преддверии Дня Святого Валентина фишинговых и спамерских писем, которые приурочены к нему. Одно дело, когда такое публикуют, условно говоря, в "Комсомолке", и совсем другое - когда пишет об этом издание, претендующее на экспертизу в данной области.

Каждый год ведь, в принципе, мы видим одно и то же. А именно, непрекращающиеся попытки мошенников заиметь на халяву чужие данные, что называется, под шумок. И попытки, надо сказать, в подавляющем большинстве случаев не совсем уж безуспешные. Но дело совсем не в них, а в том, что их столько, что писать о каждой - это пустая трата времени и для пишущего, и для читающего. Особенно когда речь идет о прогнозируемых волнах спама с заранее известными "центрами тяготения" - праздниками.

Впрочем, конечно, польза от таких сообщений есть. Может, безопасник, зайдя на любимый ИБ-портал, решит вдруг, что ему совершенно необходимо поделиться этой информацией с пользователями, и, например, напечатает новость в количестве экземпляров, равном количеству сотрудников бухгалтерии. Так что польза, конечно есть. Но всё равно раздражает...

Р. Идов,

аналитик компании SearchInform

Распределенный мир

Ботнеты живучи, и этот факт нельзя не иметь в виду, говоря о деактивации того или иного ботнета. Недавний случай с Kelihos, о победе над которым громко заявлялось прошлой осенью, показал, что не стоит недооценивать противника. Впрочем, речь не только о ботнетах, но и о любых распределенных технологиях, будь то торренты или скайп.

Распределенные технологии меняют мир, и сегодня их становится всё больше. Сегодня уже есть даже такие интересные проекты, как распределенные социальные сети, которые не будут, в отличие от Facebook и прочих, контролироваться частными компаниями. А до чего удобна для всех сомнительных личностей кибервалюта BitCoin, также работающая на основе пиринговых технологий.

В будущем даже доменная система может изменить свой привычный всем вид, и стать распределенной. И, в принципе, от этого она только выиграет, потому что будет меньше возможностей для реализации дурацких инициатив наподобие SOPA.

Так что же, впереди перед нами - мир, где всё будет пиринговым? Вообще говоря, сомнения в этом есть, потому что вряд ли поменяется то, что уже устоялось годами (Web-серверы, электронная почта и тому подобные вещи), но большинство новых технологических решений будут именно распределенными. Это же, думаю, будет касаться и DLP-систем. Потому что будущее - за так называемыми хостовыми системами, компоненты которых работают на компьютерах конечных пользователей. Такие системы дают большее пространство для манёвра безопаснику и гарантируют более полный контроль.

Так что, думаю, в обозримом будущем мы все перейдем на распределенные технологии и системы, и в этом нет ничего странного и необычного - просто таково направление движения прогресса. Просто надо к этому подготовиться.

Р. Идов,

аналитик компании SearchInform

Мало заплатили?

Корпорацию Symantec продолжают преследовать злоключения. О некоторых я уже не так давно рассказывал. Теперь же злые "анонимусы" выложили на торренты исходники одного из продуктов Symantec, несмотря на все старания последней предотвратить такое развитие событий. Вкратце можно сказать, что Symantec то ли пожадничала, то ли попыталась не поддаться на шантаж.

Как вести себя в подобных ситуациях? В принципе, общеупотребительного рецепта нет, да и быть не может. Всё зависит от ситуации, от шантажиста, от компании, от целей обеих сторон... Наверное, самым правильным будет не подставляться, но это тоже достаточно сложно, а для некоторых компаний и вовсе нереально без глубокой реорганизации их внутренних бизнес-процессов, но, думаю, можно сказать о том, что такая жертва с их стороны вполне оправдана.
В общем-то, думаю, что любой компании стоит задуматься о том, что при утечке конфиденциальных данных кто-то даже через достаточно большое время может вспомнить об их существовании (ну, и попытаться извлечь прибыль для себя из этого). Ведь исходные коды у Symantec украли ещё в 2006 году, а всплыли они только теперь. Поэтому если ничего не происходит в ближайшие после утечки дни и месяцы, рано успокаиваться. Хотя, в общем-то, лишнее беспокойство делу тоже вряд ли поможет.
Какая мораль всей этой истории? В общем-то, она проста. Не нужно допускать утечек информации. Впрочем, это все и так знают.
Р. Идов,
аналитик компании SearchInform

Google и приватность: урок для всех

Пока Google рекламирует свою обновленную политику приватности, скептики её активно критикуют. И тех, и других вполне можно понять - каждому хочется за счет другого укрепить собственные позиции, конкуренция есть конкуренция, рынок есть рынок, и тут ничего не убавить, не прибавить.

Интересна, впрочем, не столько сама конкурентная борьба, сколько тот факт, что именно становится её инструментов. В данном случае конкурентное преимущество отдельных сервисов заключается в более тщательной и более качественной защите пользовательских данных. Это означает, что средний пользователь уже достаточно настрадался от утечек и взломов, чтобы осмысленно выбирать более защищенный сервис. И ещё это означает, что и другие компании, а не только Web-гиганты, могут поднять свою привлекательность в глазах потенциального клиента, рассказав ему о том, что его данные в их руках будут под надёжной защитой.

Это означает, что компаниям самим выгодно рассказывать публично о внедрении у себя различных ИБ-решений, в частности, тех же DLP-систем. Потому что, в конечном итоге, это позволит создать имидж компании, следующей всем последним тенденциям, и заботящейся о своих клиентах.

Но у нас обычно делают всё втихомолку, чтобы персонал не узнал, что за ним наблюдают, и не начал вести себя более осторожно. То есть, чтобы было проще работать безопаснику. Какой подход будет, в конечном итоге, более эффективным: публичный рассказ о внедренных средствах обеспечения ИБ в компании, или замалчивание таких внедрений? Мне думается, истина, как обычно, где-то посередине. А каково ваше мнение, дамы и господа?

Р. Идов,

аналитик компании SearchInform

Мысли по поводу хода голосования на нашем блоге

В нашем корпоративном блоге (точнее, в его blogspot'овской версии, потому что ещё есть то же самое в ЖЖ), потихоньку идет голосование по поводу того, кто в организации отвечает за информационную безопасность. Конечно, восемь проголосовавших - не самая репрезентативная выборка, но уже сейчас удручает тот факт, что за "никто" прогосовали столько же человек, сколько и за "отдел информационной безопасности".

Хотелось бы думать, что аудитория нашего блога - люди, которые не так уж сильно далеки от сферы информационной безопасности. И если уж они своим выбором при голосовании говорят, что ИБ в той организации, в которой они работают, мягко говоря, не в приоритете, то это внушает некоторые опасения. Конечно, наша компания сама не один и не два раза проводила различные исследования в различных регионах, которые говорят, что значительная часть организаций не задумывается об ИБ (пока, во всяком случае). Но одно дело услышать это от руководителя, и другое - от самих безопасников, которых наняли... Зачем? Вот, собственно, самый важный вопрос, на который до сих пор так и нет ответа.

В общем, надеюсь, что этот пост станет толчком для новых голосующих, которые исправят ситуацию, чтобы результаты опроса не выглядели так плачевно. Ну, или ещё больше её усугубят, но при этом их количество будет достаточным для глубокого анализа причин такого положения дел.

Р. Идов,

аналитик компании SearchInform