Корпорация Stonesoft, разработчик продуктов в сфере сетевой безопасности и непрерывности бизнеса, совместно со своим российским технологическим партнером ООО [Новые технологии безопасностиk объявила о получении сертификата, подтверждающего соответствие систем защиты удаленного доступа StoneGate SSL требованиям, предъявляемым ФСБ России к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, по классам КС1 и КС2.

Сертификат СФ/124-1803 от 27 марта 2012 года удостоверяет, что средство криптографической защиты информации (СКЗИ) [Система обеспечения безопасных соединений StoneGate SSL VPNk соответствует требованиям ФСБ России к СКЗИ класса КС1 (для исполнения 1, 6, 10) и класса К2 (для исполнения 2, 4, 7, 8, 11) и может использоваться для криптографической защиты информации (шифрование и имитозащита IP-трафика), не содержащей сведений, составляющих государственную тайну.

Решение StoneGate SSL обеспечивает одновременно простой и защищенный удаленный доступ пользователей к корпоративным информационным ресурсам из любой точки земного шара на базе бесклиентской технологии SSL VPN. Применение StoneGate SSL позволяет значительно повысить эффективность работы удаленных пользователей, при этом обеспечивая надежную защиту от несанкционированного доступа, соответствие подключаемых устройств принятой политике безопасности, контроль подключений во время сессии и другие расширенные функции безопасности. Это решение легко с минимальными трудозатратами интегрируется в сколь угодно сложную инфраструктуру любой организации, нетребовательно в части администрирования. В дополнение к этому оно позволяет производить усиленную аутентификацию пользователей различными способами, в том числе с помощью мобильных устройств, что существенно снижает совокупную стоимость владения системой защиты. Кроме того, StoneGate SSL сертифицирован по требованиям безопасности информации ФСТЭК России (сертификат 2163 от 31.08.2010), что позволяет использовать его для защиты автоматизированных систем до класса защищенности 1Г включительно, а также информационных систем персональных данных до 1 класса включительно. Теперь в полной мере ощутить преимущества данного решения смогут не только коммерческие организации, но и многие государственные учреждения, решающие задачи организации информационных порталов или удаленного доступа. Решение StoneGate SSL единственное полноценное решение такого класса на Российском рынке.

[Получение сертификата соответствия ФСБ РФ на локализованное решение по защите удаленного доступа StoneGate SSL является нашей [первой ласточкойk в процессе сертификации продуктов StoneGate со встроенной поддержкой российских криптографических алгоритмов в системе сертификации ФСБ Россииk, прокомментировал директор по развитию бизнеса Stonesoft в России, СНГ и странах Балтии Михаил Романов. [В настоящий момент это единственное на российском рынке SSL решение, сертифицированное и ФСТЭК, и ФСБ Россииk.

ИНФОРМАЦИЯ О КОМПАНИИ [ДИАЛОГНАУКАk

С момента образования в 1992 г. [ДиалогНаукаk является одной из ведущих российских компаний, специализирующихся в области информационной безопасности. Первыми и самыми известными отечественными продуктами, поставляемыми компанией, были антивирусы Aidstest, Doctor Web и ревизор ADinf.

[ДиалогНаукаk оказывает услуги в области системной интеграции, консалтинга и внедрения комплексных решений по защите информации. Компания занимает лидирующие позиции в сфере дистрибьюции программных продуктов для защиты от вирусов, спама, сетевых атак и других угроз информационной безопасности.

[ДиалогНаукаk является поставщиком программных решений от ряда ведущих российских и зарубежных компаний рынка информационной безопасности [Доктор Вебk, [Информзащитаk, [Инфотексk, [КриптоПроk, [Лаборатория Касперскогоk, НПП [Информационные технологии в бизнесеk, [С-Терра СиЭсПиk, [Яндексk, Acronis, Agnitum, Aladdin, ArcSight, Cisco Systems, IBM, Microsoft, Oracle, Portwise, Positive Technologies, SmartLine, Sophos, Stonesoft, Symantec, Trend Micro, Websense и других. Постоянно растущая партнерская сеть [ДиалогНаукиk охватывает свыше 100 городов России и насчитывает более 400 компаний-партнеров.

[ДиалогНаукаk является членом Ассоциации защиты информации (АЗИ), Ассоциации документальной электросвязи (АДЭ), Сообщества ABISS и Ассоциации предприятий компьютерных и информационных технологий (АП КИТ). Компания является сертифицированным партнером BSI Management Systems.

Система менеджмента качества компании [ДиалогНаукаk сертифицирована на соответствие требованиям стандарта ISO 9001:2008.

Свою деятельность компания [ДиалогНаукаk осуществляет на основании лицензий Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства обороны РФ.

Программами и услугами от [ДиалогНаукиk пользуются тысячи корпоративных пользователей в России и других странах. В их числе крупные коммерческие компании и государственные структуры.

Миссия [ДиалогНаукиk заключается в создании решений, оказании услуг и поставке продуктов, обеспечивающих защиту информации и безопасную работу с компьютерами и сетями.

Дополнительную информацию о компании можно найти на сайте www.DialogNauka.ru

За дополнительной информацией обращайтесь:
Отдел маркетинга ЗАО [ДиалогНаукаk
Тел.: +7(495) 980-67-76, Факс: +7(495) 980-67-75
URL: http://www.DialogNauka.ru, E-mail: marketing@DialogNauka.ru

02.11.2011,Хельсинки, Финляндия

Корпорация Stonesoft, финский производитель инновационных решений по сетевой защите и обеспечению непрерывности бизнеса, сегодня объявила о том, что еще 163 новых образца динамических техник обхода (Advanced Evasion Techniques или AET) были переданы в Национальный центр реагирования на компьютерные инциденты Финляндии CERT-FI, занимающемуся глобальной координацией работ по защите от уязвимостей. Новые образцы включают АЕТ, которые передаются посредством разных протоколов, таких как IPv4, IPv6, TCP и HTTP.

С момента открытия динамических техник обхода AET год назад, Stonesoft продолжает всесторонние исследования в этой области и в настоящее время в CERT-FI (Национальный центр реагирования на компьютерные инциденты Финляндии) переданы новые образцы из 163 техник обхода. Серия новых АЕТ состоит из 54 элементарных техник обхода и 109 комбинаций, которые могут дополнительно комбинироваться друг с другом или с техниками обхода предыдущих релизов, образуя новые AET. Новые техники обхода также эффективно работают через протокол IPv6, что приводит к увеличению рисков информационной безопасности и нарушений.

По результатам проведенных Stonesoft тестов, новейшие образцы AET позволяют успешно обойти почти все системы предотвращения вторжений IPS, представленные в настоящее время на рынке. Поскольку количество AET и их возможных комбинаций постоянно растет, построение эффективной защиты от АЕТ требует глубокого понимания сетевого трафика. Однако большинство производителей средств сетевой защиты до сих пор не осознали, в чем же проблема.

"Производители средств сетевой защиты имели более года для того, чтобы обеспечить своих клиентов защитой от AET, но, к сожалению, мы не видим больших сдвигов в этой области. Очень немногие вендоры по-настоящему поняли масштаб проблемы, только некоторые попытались обеспечить хоть какую-то защиту от АЕТ. Большинство производителей, признавших проблему, не способны создать реально работающее решение: они заняты реализацией временных негибких патчей. Остальные просто игнорируют проблему и ничего не делают", - отмечает Ilkka Hiidenheimo, основатель и исполнительный директор корпорации Stonesoft.

В Stonesoft считают, что сетевую безопасность следует рассматривать как динамичный, постоянно развивающийся процесс. Системы сетевой защиты, которые для вычленения эксплойтов или других вредоносных воздействий до сих пор используют методы нормализации протоколов десятилетней давности, скорей всего пропустят современные техники обхода, в том числе и AET. Базовая функциональность разбора протокола не может быть статичной скорее напротив, она должна развиваться одновременно с постоянно возникающими угрозами. Несмотря на то, что новые эксплойты, уязвимости и даже целые векторы атак обнаруживаются постоянно, они должны быстро пресекаться средствами защиты, а новые техники обхода требуют в одинаковой степени и динамического, и быстрого реагирования.

Получить более подробную информацию о решениях Stonesoft Вы можете на сайте www.DialogNauka.ru , по телефону +7 (495) 980-67-76 или по e-mail sales@dialognauka.ru

Корпорация Stonesoft, разработчик инновационных решений в сфере обеспечения сетевой безопасности и непрерывности бизнеса, рекомендует организациям пересмотреть свою концепцию управления рисками и архитектуру сетевой безопасности. Недавние инциденты такие, как: утечки информации Wikileaks, компьютерный червь Stuxnet, обнаруженный не только на компьютерах рядовых пользователей, но и в промышленных автоматизированных системах управления производственными процессами, открытие динамических техник обхода АЕТ, которые способны обойти практически любую систему защиты, а также атака на крупнейшего производителя средств защиты RSA, - окончательно изменили ландшафт ИТ безопасности и являются сигналом к изменению стратегического подхода к сетевой безопасности. Организациям следует пересмотреть существующую концепцию управления рисками и архитектуру системы защиты и осознать, что в конечном итоге ответственность за защиту ценных активов лежит на топ-менеджменте и совете директоров.

События 2010 года и начала 2011 года навсегда изменили ландшафт ИТ безопасности. Четыре недавних события: утечки информации Wikileaks, компьютерный червь Stuxnet , открытие динамических техник обхода АЕТ, взлом [SecurIDk компании RSA стали сигналом для изменения подхода к сетевой безопасности. Недавняя серия кибератак еще больше подчеркнула необходимость принятия срочных мер. Чем более ценной информацией владеет организация, тем больше вероятность стать объектом нападения. Даже на уровне совета директоров организациям следует пересмотреть существующую архитектуру управления рисками и ИТ безопасностью.

Социальный международный проект Wikileaks был подвергнут критике за раскрытие секретной информации (из-за отсутствия редакционных ограничений), которая нанесла ущерб национальной безопасности и поставила под угрозу международную дипломатию. Этот инцидент наглядно показывает, что организациям нужно пересмотреть общую картину ведения бизнеса с точки зрения работы с информацией и используемых бизнес-практик, которые при огласке смогут нанести ущерб репутации компании или, в худшем случае, привести к потере бизнеса. Если бизнес-информация организации не для публичного доступа, она должна быть защищена соответствующим образом.

Компьютерный червь Stuxnet наглядно показал, что существуют организации и / или лица, которые обладают такими ресурсами и знаниями, что способны успешно реализовать любые целевые атаки против организаций. Следовательно, утверждение, что атаки, направленные на хорошо защищенные сети, слишком сложны в реализации или требует слишком много ресурсов, безосновательны, если награда за киберпреступление высока.

Динамические техники обхода AET являются новым видом техник обхода, которые могут быть скомбинированы в произвольном порядке так, что дают возможность злоумышленнику избежать обнаружения средствами сетевой защиты. Множество AET предоставляют сегодняшним киберпреступникам мастер-ключ, с помощью которого можно донести вредоносный контент (новый или уже известный эксплойт) до любой, даже хорошо защищенной целевой системы. Динамические техники обхода значительно повышают риски для критически важных активов организаций, показывая, что слишком часто главным критерием выбора средств защиты были скорость и маркетинг продукции, а не самое главное - реальная защищенность. С открытием AET, организации столкнулись с необходимостью вновь и вновь пересматривать архитектуру своей системы безопасности, чтобы убедиться в надежности защиты критически важных данных и систем.

Брешь в системе безопасности компании RSA, входящей в состав корпорации ЕМС, дала возможность киберпреступникам войти в систему защиты путем создания дубликатов к токенам двухфакторной аутентификации SecurID. Это широко распространенное решение представляет собой электронные ключи (токены авторизации), которые предназначены для защиты от несанкционированно установленных злоумышленниками [кейлоггеровk (специальных программ для захвата паролей), путем генерации каждый раз новых паролей для входа в систему. В марте 2011 года хакеры проникли в сети EMC и похитили информацию о SecurID организаций-клиентов, которая может быть использована для компрометации этих устройств.

Обзор недавних хакерских взломов

В 2010-2011 годах мы стали свидетелями нескольких серьезных инцидентов безопасности:

Nasdaq, 2010 год

Хакеры неоднократно в течение 2010 года проникали в компьютерную сеть компании, которая обеспечивает работу фондовой биржи Nasdaq. Это обстоятельство ставит перед руководством две первоочередные задачи: сохранить стабильность и надежность компьютеризированной торговли, и гарантировать инвесторам полную безопасность такой торговли. Фондовые биржи знают, что они часто становятся мишенью для хакеров.

RSA, Март 2011 года

Хакеры успешно проникли в компьютерную сеть компании RSA и похитили информацию, касающуюся токенов двухфакторной аутентификации пользователей SecurID

Сеть Sonу взламывалась в 2011 году несколько раз

Последний инцидент произошел всего пару недель назад и стал очередным звеном в длинной цепи хакерских атак. Проблемы начались 19 апреля, когда компания начала расследование и обнаружила серьезные нарушения в системе безопасности сети PlayStation Network, киберскандал поставил под угрозу личные данные более, чем 100 миллионов пользователей Sonу PlayStation.

Comodo, март 2011 года

Американский удостоверяющий центр компания Comodo призналась, что еще два ее центра регистрации были взломаны. И этот взлом отличается от еще одного, произошедшего ранее в этом же месяце и названного "инцидентом одинокого иранского хакера", когда были скомпрометированы по крайней мере пять аккаунтов.

Barracuda, Апрель 2011 года

После нескольких часов автоматического сканирования, хакеры нашли уязвимость SQL injection и атаковали веб-сайт Barracuda, в результате чего были похищены имена и контактная информация партнеров, клиентов и сотрудников Barracuda.

Lockheed Martin Corp, май 2011 года

Неизвестные хакеры взломали систему безопасности крупнейшего в мире предприятия военно-промышленного комплекса США корпорации Lockheed Martin.

L-3 Communications, попытка взлома в 2011 году

Система безопасности канадского предприятия ВПК L-3 Communications подверглась хакерским нападениям, направленным на получение конфиденциальной информации. L-3 не разглашает информацию относительно успешности этой атаки.

Citibank атакован в мае 2011 года

Личные данные и информация о счетах 200 000 держателей карт Ситибанка в Северной Америке были похищены в мае 2011 года.

IMF, июнь 2011 года

Международный монетный фонд IMF, межгосударственная группа, которая занимается глобальной финансовой системой и объединяет 187 наций, стала жертвой серьезной кибератаки.

Общим знаменателем для почти всех перечисленных организаций является то, что их системы безопасности имели один из самых высоких уровней защищенности и целостности. И хотя данные компании имеют высоко квалифицированных сотрудников, центры управления и контроля защиты сетей от различных инцидентов, тем не менее, их информационные системы были взломаны. Вероятно, что в будущем число подобных инцидентов возрастет, и хакерские атаки распространятся и на не столь хорошо защищенные области, по мере развития все новых и новых хакерских инструментов и повышения их доступности.

"Ландшафт ИБ угроз изменился, и принципы разработки систем защиты для критически важных активов организаций должны быть пересмотрены. Стратегия ИТ-безопасности становится все более важной областью управления рисками. В сложившейся обстановке игнорировать принципы безопасности и складывать ответственность только на плечи ИТ-управления является признаком плохого управления ", - отмечает Ilkka Hiidenheimo, Президент и исполнительный директор Stonesoft Corporation. "Организациям следует пересмотреть существующую стратегию управления рисками и понять, что основная ответственность за происходящее лежит на топ-менеджменте и совете директоров.

Получить более подробную информацию о решениях Stonesoft Вы можете на сайте www.DialogNauka.ru , по телефону +7 (495) 980-67-76 или по e-mail sales@dialognauka.ru

23.06.11, Москва

Stonesoft объявила, что ее решения по сетевой безопасности StoneGate получили сертификат Common Event Format (CEF) от ArcSight, компании HP, - ведущего мирового разработчика систем безопасности и контроля соответствия стандартам, продукты которой широко используется корпорациями и государственными организациями во всем мире. Stonesoft является одним из первых мировых производителей средств защиты, предложивших полную поддержку CEF.

Сервер сбора событий StoneGate Log Server может быть настроен для перенаправления всех логов, собираемых с устройств StoneGate FW / VPN, IPS и SSL VPN, в систему ArcSight в формате CEF. Это ускоряет и упрощает интеграцию журнала регистрации событий StoneGate с платформой управления угрозами и рисками ArcSight Enterprise Threat и Risk Management (ETRM).

"Получение сертификата CEF это еще один шаг в реализации нашей стратегии предоставить нашим клиентам самые современные инструменты сетевой защиты. Знание текущей ситуации является ключевым моментом в защите сети. Теперь наши клиенты могут в полной мере ощутить преимущества от интеграции интерфейсов различных устройств сетевой безопасности, что значительно улучшит прозрачность и управляемость, а также даст администратору полное понимание того, что происходит в сети", - говорит Antti Kuvaja, директор по управлению продуктами Stonesoft.

Чтобы понимать и противостоять современным сетевым угрозам, ИТ-администраторы должны опираться на информацию как от средств сетевой защиты, так и сетевых устройств", - отмечает Dan Barahona, директор по развитию бизнеса компании ArcSight. "С передовой централизованной системой управления StoneGate Management Center компании Stonesoft и платформой Enterprise Threat и Risk Management от компании ArcSight, организации получают самую актуальную критически важную информацию о статусе безопасности их сети."

Common Event Format (CEF) является открытым стандартом управления логами, который улучшает интероперабельность информации, полученной от различных систем безопасности, сетевых устройств и приложений. Стандарт CEF был создан с использованием опыта поддержки более 275 продуктов из более 35 категорий ИТ решений, и является первым стандартом по управлению логами для поддержки широкого ряда различных типов устройств. CEF позволяет технологическим компаниям и клиентам использовать единый формат журнала событий таким образом, что данные могут быть легко собраны и агрегированы для последующего анализа посредством системы управления предприятием.

Помимо того, что StoneGate Management Center может отправлять логи в формате CEF, он может также и получать логи в том же формате. Это дополняет функциональность StoneGate Management Center по управления логами с устройств сторонних производителей, значительно упрощая получение логов с CEF-совместимых устройств. Новый предустановленный CEF профайл доступен в новом центре управления StoneGate Management Center версии 5.3, выпущенном в мае 2011 года.

Получить более подробную информацию о решениях Stonesoft Вы можете на сайте www.dialognauka.ru , по телефону +7 (495) 980-67-76 или по e-mail sales@dialognauka.ru

Компания [Доктор Вебk ведущий российский разработчик средств информационной безопасности предупреждает пользователей о появлении нового опасного семейства вредоносных программ для смартфонов под управлением ОС Android Android.Plankton. Встроенный в приложение Angry Birds Rio Unlock, которое дает доступ к скрытым уровням этой популярной игры, троянец передает злоумышленникам данные о зараженном устройстве, а также загружает на него другое вредоносное ПО.

Начало июня 2011 года ознаменовалось появлением большого количества новых вредоносных программ для мобильной операционной системы Android. Интерес вирусописателей к этой ОС неслучаен: приложения-вредители воруют конфиденциальную информацию владельцев сотовых телефонов, отправляют втайне от пользователя СМС-сообщения на платные сервисные номера, организуют рекламные рассылки, что, так или иначе, способствует обогащению злоумышленников.

9 июня специалистами компании [Доктор Вебk в вирусные базы был добавлен новый троянец для Android Android.Plankton. Основная особенность данной угрозы заключается в том, что вредоносный объект встроен в приложение Angry Birds Rio Unlock, открывающее доступ к скрытым уровням популярной для различных мобильных платформ игры Angry Birds. Только с официального сайта Android Market инфицированная программа была загружена более 150 000 раз, а на альтернативных ресурсах (в частности, с известного сборника приложений для Android androidzoom.com) число скачиваний достигало 250 000.

В отличие от выявленного днем ранее вредоносного приложения Android.Gongfu, новый троянец Android.Plankton не использует известные уязвимости операционной системы для повышения собственных привилегий. Алгоритм реализации атаки выглядит следующим образом: непосредственно после запуска инфицированного приложения троянец загружает в фоновом режиме собственную службу, которая собирает информацию о зараженном устройстве (ID устройства, версия SDK, сведения о привилегиях файла) и передает ее на удаленный сервер.

Затем вредоносная программа получает с сайта злоумышленников данные для последующей загрузки и установки на смартфон жертвы другого приложения, функционал которого, по предположениям аналитиков, может варьироваться. В настоящее время специалистам компании [Доктор Вебk известно о нескольких видах такого вредоносного ПО. В частности, это пакеты plankton_v0.0.3.jar и plankton_v0.0.4.jar, предназначенные для выполнения на инфицированном устройстве получаемых от управляющего центра команд. На сегодняшний день все известные модификации данного троянца добавлены в вирусные базы Dr.Web, в связи с чем Android.Plankton не страшен пользователям Dr.Web для Android Антивирус + Антиспам и Dr.Web для AndroidLight.

Так как Android.Plankton получил чрезвычайно широкое распространение благодаря значительному количеству загрузок инфицированных приложений, специалисты [Доктор Вебk продолжают внимательно следить за развитием событий. В случае появления новых модификаций Android.Plankton они будут оперативно добавлены в вирусные базы Dr.Web.

Источник: ООО [Доктор Вебk

Компания [Доктор Вебk российский разработчик средств информационной безопасности сообщает о начале бета-тестирования Dr.Web Security Space Pro 7.0. В новой версии архитектура продукта подверглась радикальным изменениям: модули утратили свою [автономностьk, и теперь их работой управляет Dr.Web Control Service. Также в продукте появился ряд новых компонентов, а часть прежних была существенно модернизирована.

Появление клиент-серверной архитектуры стало самым существенным новшеством в продукте Dr.Web для комплексной защиты ПК за последнее время. Благодаря появлению нового сервиса Dr.Web Control Service каждый модуль программы теперь может сосредоточиться на своих специфических задачах. Сервис берет на себя управление настройками, статистикой, обновлением и другими параметрами.

Реализована возможность удаленного управления Dr.Web Security Space Pro в пределах локальной сети. При наличии доступа с одного компьютера можно не только проверить состояние модулей, актуальность вирусных баз на всех машинах сети, на которых установлена седьмая версия продукта, но и внести в настройки необходимые корректировки. Это удобно как для администрирования небольших корпоративных сетей, так и для домашних пользователей с несколькими ПК.

Кроме того, разработчики полностью переработали сканер с графическим интерфейсом: скорость сканирования возросла за счет использования сервиса Scanning Engine, что обеспечило возможность проверки в несколько потоков. Работа с антируткит-модулем Dr.Web Shield была вынесена в отдельную подсистему.

Значительным изменениям подвергся модуль обновления улучшения были призваны сделать процесс установки и обновления более стабильным, а использование репозитория и скриптов позволяет минимизировать последствия возможных ошибок. Также удалось полностью отказаться от использования системного планировщика задач теперь за планирование отвечает Dr.Web Control Service, управляющий запуском модуля обновления.

Существенно модернизирован механизм перехвата трафика. В частности, появилась возможность проверки почтового и сетевого трафика, поступающего по зашифрованному соединению SSL. Также подверглась переработке драйверная часть брандмауэра.

Источник: ООО [Доктор Вебk

Компания Смарт Лайн Инк, поставщик программных средств защиты от утечек данных с компьютеров, анонсировала программу перехода с конкурентных решений на использование новой версии своего продукта DeviceLock 7, обеспечивающего контроль операций передачи данных с фильтрацией их содержимого в каналах ввода-вывода корпоративных компьютеров, включая сетевые коммуникации. Воспользовавшись программой, пользователи целого ряда продуктов контроля доступа к периферийным устройствам и локальным портам компьютеров (device/port control) а также защиты от утечек данных на базе контентной фильтрации (content-aware endpoint DLP) смогут на бесплатных или льготных условиях перейти на использование технически более совершенного и коммерчески выгодного программного комплекса DeviceLock 7.

Согласно условиям программы, переход возможен с наиболее свежей по времени выпуска легально используемой версии конкурентного продукта, включенного в квалификационный список, либо с любой версии квалифицированного продукта при наличии у пользователя действующего контракта на его поддержку и сопровождение.

[В зависимости от версионности и статуса поддержки конкурентного продукта участники программы смогут получить лицензию на базовый модуль DeviceLock 7, реализующий механизмы контроля доступа к периферийным устройствам и локальным интерфейсам защищаемых компьютеров, включая интеграцию со встроенным в ОС Windows 7 средством шифрования данных на съемных дисках BitLocker To Go^, со скидкой 70%, разъяснил Ашот Оганесян, основатель и технический директор Смарт Лайн Инк. Во-вторых, квалифицированным участникам по их выбору предоставляется бесплатная лицензия на один из двух принципиально новых функциональных компонентов DeviceLock Endpoint DLP Suite: модуль мониторинга и фильтрации контента ContentLock или модуль контроля сетевых коммуникаций NetworkLock. При этом второй компонент они смогут приобрести также со скидкой 70%, в итоге получив полнофункциональный комплекс DeviceLock 7 на исключительно льготных условиях. Естественно, бесплатная техническая поддержка, включая обновление версий, будет обеспечена для всех вновь используемых компонентов DeviceLock Endpoint DLP Suite на время действия контракта на поддержку конкурентного продукта, с которого организация перешла на DeviceLock. Наконец, перейти на DeviceLock 7 с большой скидкой можно будет и тем, у кого контракт на поддержку конкурентного продукта истек в течение месяца с момента прекращения его действияk.

Источник: ЗАО Смарт Лайн Инк.

[Лаборатория Касперскогоk опубликовала отчет о деятельности спамеров в первом квартале 2011 года. По заключению экспертов, злоумышленники стремительно восстанавливают свои позиции, утраченные после закрытия ряда крупных ботнетов в конце 2010 года.

В течение первых трех месяцев нового года доля почтового мусора неуклонно росла. В итоге количество спама в I квартале в среднем составило 78,6%. Это на 1,4% больше, чем в конце 2010 года, но все же на 6,5% ниже, чем год назад. Тем не менее, при сохранении данной тенденции уже в следующем квартале количество спама может достичь 80%.

Доля спама в почтовом трафике в I квартале 2011 года

Одним из наиболее эффективных методов борьбы с преступниками, занимающимися рассылкой нежелательной почты, являются скоординированные действия правоохранительных органов и инициативных групп. Так, закрытие во второй половине 2010 года командных центров ботнетов Pushdo/Cutwail и Bredolab привело к почти двукратному сокращению количества непрошенных писем. Однако злоумышленники, очевидно, сделали определенные выводы из своих поражений и стали заранее готовить [пути для отступленияk: после закрытия 16 марта командного центра ботнета Rustock, одного из лидеров в рассылке спама, доля спама лишь на несколько дней снизилась на 2-3%.

Новыми плацдармами для спамеров все чаще становятся страны со слабо развитым законодательством в области борьбы с киберпреступлениями. Именно туда злоумышленники стараются переносить ботнеты. Таким образом, снижение удельного веса в спам-расслыках стран Восточной и Западной Европы (-5,64% и -2,36% соответственно) частично компенсируется увеличением доли африканского континента, которая достигла 3,50%, обогнав США и Канаду. Ранее доля государств Африки в глобальном спам-трафике не превышала одного процента.

Активность злоумышленников сказалась и на увеличении количества писем, содержащих вредоносные вложения. Доля таких спам-сообщений в среднем составила 3,5%. За этот же период увеличилось количество срабатываний почтового антивируса на территории США, что может быть связано с попытками хозяев ботнетов восстановить свои зомби-сети в этой стране. Более того, чтобы обойти почтовые фильтры и обмануть пользователей, спамеры часто прибегали к различным уловкам, среди которых стоит отметить подделки под обычные письма или личную переписку. [Лаборатория Касперскогоk призывает пользователей быть бдительными и проверять подлинность сообщений, прежде чем совершать с ними какие-либо действия.

Источник: [Лаборатория Касперскогоk

[Лаборатория Касперскогоk проанализировала деятельность спамеров в апреле 2011 года. Несмотря на продолжающуюся тенденцию увеличения количества мусорных писем в общем объеме почтового трафика в апреле она выросла на 1,2% до уровня 80,8% доля спама, распространяемого с территории России, постепенно сокращается. Если в январе текущего года российские спамеры занимали вторую строчку в рейтинге стран источников массовых рассылок, уступая первенство лишь Индии, то по итогам апреля второе и третье место достались Бразилии и Южной Корее соответственно.

Рейтинг стран источников спама в апреле 2011 года

В апреле продолжились рассылки, использующие тему землетрясения в Японии и войны в Ливии. Особенно часто эти темы упоминались в мошеннических письмах, призывающих к финансовой помощи. Однако внимание спамеров привлекли и другие события. Так, злоумышленники активно эксплуатировали тему Пасхи, рассылая сообщения о выигрышах в пасхальную лотерею, предлагая пользователям различные путешествия на время пасхальных выходных, а также широкий спектр деликатесов к празднику. Справедливости ради следует отметить, что вредоносных пасхальных рассылок отмечено не было.

Вопреки ожиданиям антивирусных компаний, тема свадьбы принца Уильяма и Кейт Мидлтон, которая стала одним из самых обсуждаемых событий прошедшего месяца, не получила широкого распространения в спам-рассылках.

[Отсутствие в апреле громких событий, связанных с борьбой со спамерами, а также наличие достаточного количества информационных поводов создает благоприятные условия для постепенного увеличения доли нежелательных сообщений в почтовом трафике, говорит Мария Наместникова, ведущий спам-аналитик [Лаборатории Касперскогоk. Таким образом, при условии сохранения существующих тенденций, наш прогноз о восстановлении среднемесячной доли спама до уровня 82-83% в мае 2011 года имеет все шансы сбытьсяk.

Вместе с тем одним из ключевых элементов противодействия киберпреступникам, в том числе занимающимся рассылкой спама, является продуманное законодательство. [Лаборатория Касперскогоk входит в состав группы РАЭК (Российская ассоциация электронных коммуникаций) и принимает активное участие в разработке поправок к федеральным законам РФ, касающихся введения дополнительных мер по противодействию распространению спама. Реализация предложенных инициатив может оказать серьезное влияние на существующие тенденции в области рассылки нежелательных сообщений.

Источник: [Лаборатория Касперскогоk

[Лаборатория Касперскогоk не раз сообщала о том, что киберзлоумышленники используют любые популярные новости с целью заражения максимального количества интернет-пользователей, проявляющих к ним интерес. Известие о ликвидации террориста Усамы бен Ладена не стало исключением.

В течение последних нескольких дней эксперты [Лаборатории Касперскогоk зафиксировали, по крайней мере, две рассылки, использующие тему смерти бен Ладена. Одна их них содержала zip-архив, защищенный паролем, в котором якобы находились фотографии убитого террориста. Используя ажиотаж вокруг этой новости, злоумышленники не удосужились даже изменить текст стандартного спамерского письма, в котором [незнакомая девушкаk желает познакомиться и для начала предлагает посмотреть на свои фотографии. Естественно, вместо обещанных фото любопытный пользователь получал троянца.

Письмо с якобы фотографиями убитого Усамы бен Ладена

Другая вредоносная рассылка на ту же тему содержала ссылки, якобы, на видео с моментом его убийства. Написанное на испанском языке и подделанное под новости CNN, письмо содержало ссылку, которая вела на страницу, расположенную в российской доменной зоне. С нее пользователю загружалась вредоносная программа, предоставляющая злоумышленнику возможность несанкционированного удаленного управления зараженным компьютером.

[В связи с тем, что в мире происходит множество событий, привлекающих интерес широкой общественности, спамеры стали все чаще прибегать к приему [поддельных новостейk для распространения вредоносного кода, констатирует Мария Наместникова, ведущий спам-аналитик [Лаборатории Касперскогоk. Необходимо помнить, что любопытство и невнимательность могут обернуться серьезными проблемами для вашего компьютера, а также потерей персональных данных или, даже, денегk.

Эксперты [Лабораторииk напоминают пользователям о необходимости соблюдения правил безопасного поведения в Сети, и использования средств антивирусной защиты.

Источник: [Лаборатория Касперскогоk

Самые интересные вирусные события апреля оказались связаны с мобильной платформой Android именно на ней сосредоточили своё внимание вирусописатели. Помимо этого, прошедший месяц ознаменовался традиционным уже обнаружением уязвимостей в продукции Adobe. Как и в прошлые месяцы, топовые мировые новости нашли своё отражение в тематике спам-рассылок и мошеннических действиях в социальных сетях. На этот раз спаммеры воспользовались королевской свадьбой в Великобритании.

Новые вредоносные программы для мобильных платформ

В апреле был зафиксирован первый полноценный бэкдор для Android, уже насчитывающий две известные модификации. Android.Crusewind использует ряд новых приёмов распространения и не встречавшуюся ранее нагрузку. Жертва получает сообщение, похожее на следующее: [Получены обновления настройки MMS/GPRS/EDGE. Для активации пройдите по ссылке: http://.../flash/MM329.apkk. При переходе по указанной ссылке пользователь получает троянский APK дистрибутивный пакет ОС Android (в этом формате хранятся дистрибутивы в магазине Android Market).

Рис. 1.

После установки троянец скачивает со своего командного центра конфигурационный файл в формате XML. При этом вредоносная программа обладает достаточно серьёзным набором функций. Например, она способна рассылать SMS-сообщения по команде с сервера.

В ходе усложнения мобильных ОС и увеличения производительности смартфонов вредоносные программы под эти платформы также усложняются, приближаясь по своим характеристикам к вирусам для персональных компьютеров. Появления подобной Android.Crusewind программы следовало ожидать уже давно. Можно предположить, что по мере распространения антивирусного ПО для мобильных платформ вирусописатели перенесут на них свойства и других классов троянцев под платформу x86. Таких, например, как руткиты.

Также было обнаружено несколько новых троянских программ под мобильную ОС Android. Появились новые модификации троянцев Android.Spy и Android.SmsSend.

Android.Spy.54 был обнаружен на китайском ресурсе www.nduoa.com, который представляет собой сборник различных приложений для платформы Android. Троянец был встроен в программу Paojiao виджет, позволяющий совершать звонки или отсылать SMS на выбранные номера. Распространение в составе легитимных программ является стандартной моделью для вредоносных программ семейства Android.Spy.

Новая модификация Android.Spy регистрирует фоновый сервис, который соединяется с сервером злоумышленников, отсылая им идентификационные данные жертвы (в частности, международный идентификатор мобильного оборудования IMEI и индивидуальный номер абонента IMSI). Кроме того, троянец загружает конфигурационный xml-файл, содержащий команды для спам-рассылки SMS с телефона жертвы и добавления определенных сайтов в закладки браузера.

Adobe продолжает [радоватьk пользователей

В марте мы уже писали о критической уязвимости в продукции Adobe. Причём тогда традиционный для таких уязвимостей термин 0-day в буквальном смысле превратился в 0-week: уязвимость закрывали в течение недели, в то время как в публичном доступе находилось несколько образцов ее эксплуатации.

8 апреля 2011 года стало известно о новой уязвимости CVE-2011-0611, а вскоре появились подробные технические описания и реализации уязвимости. Как и в случае с прошлым инцидентом, речь идёт о внедрении троянского SWF-объекта в документ MS Office (DOC-файл) и в файлы PDF. Вскоре появились и образцы спам-рассылок, содержащих эксплойты уязвимости Exploit.Rtf.based и Exploit.PDF.2177.

Рис. 2. Exploit.Rtf.based

Рис. 3. Exploit.PDF.2177

Массовые рассылки и поддельное антивирусное ПО

Также в прошедшем месяце были зафиксированы массовые рассылки, содержащие многочисленные модификации примитивного троянца Trojan.Download.64325. В течение двух недель было обнаружено несколько разновидностей этого загрузчика. Троянец загружал на компьютер жертвы Trojan.FakeAlert.20509. Рассылка велась через ботнет BlackEnergy. Анализ активности этого ботнета выявил в списке рассылки значительные группы корпоративных адресов, принадлежащих, в частности, фармакологическим компаниям, таким как SecureMedical Inc., что подразумевает возможность утечки баз данных почтовых адресов и передачи их в руки спамеров.

Мошеннические ссылки и активность в социальных сетях

Мошенники в социальных сетях продолжают эксплуатировать интерес пользователей к популярным новостям, при этом не считаясь ни с какими этическими нормами. Несколько несчастных случаев в парках аттракционов попали на видео и получили широкую огласку. Впоследствии новости о несчастных случаях были использованы злоумышленниками в качестве темы для рассылки в Facebook, чтобы спровоцировать переход пользователя по троянской ссылке.

Рис. 4, 5. Рассылка о несчастном случае в парке аттракционов Алтон (Великобритания)

В других случаях в качестве наживки использовались новости о королевской свадьбе в Великобритании. При этом пользователь, переходящий по этим ссылкам, попадал на сайт, распространяющий поддельное антивирусное ПО.

Рис. 6. Мошеннические ссылки на новости о королевской свадьбе в Великобритании

Рис. 7. Внешний вид мошеннической страницы

Рис. 8. Внешний вид образца Trojan.FakeAlert, скачиваемого по троянским ссылкам

Заключение

Можно с уверенностью говорить о том, что наметился и окончательно оформился новый вектор вирусных атак. Злоумышленники проявляют растущий интерес к мобильным платформам. В настоящее время происходит перенос наработок и накопленного опыта вирусописателей для PC на платформу Android, очевидное усложнение и большее разнообразие троянского ПО под нее. Скорее всего, конкурирующей платформе iOS в ближайшем будущем злоумышленники также уделят внимание.

Образцы троянского ПО, обнаруженные в апреле 2011 года в почтовом трафике

Всего проверено:

Инфицировано:

Образцы троянского ПО, обнаруженные в апреле 2011 года на компьютерах пользователей

Всего проверено:

Инфицировано:

Источник: Компания Dr.Web

[Лаборатория Касперскогоk подвела итоги вирусной активности в апреле 2011 года и отмечает повышенное внимание киберпреступников к популярным социальным сообществам в Интернете.

В начале месяца получил продолжение скандал, связанный с массированными DDoS-атаками на русскоязычную блог-платформу [Живой Журналk. Начавшись в конце марта, они продолжались на протяжении нескольких дней в апреле. [Лаборатория Касперскогоk наблюдала за одним из ботнетов, ответственных за атаку, что позволило выяснить некоторые подробности инцидента. Эта зомби-сеть состояла из десятков тысяч компьютеров, зараженных троянской программой (ботом) Optima. Жертвами атаки стали популярные страницы блогеров-[тысячниковk Рунета, доступ к которым был периодически затруднен.

В апреле неприятности коснулись и многих пользователей интерактивной среды Play Station Network (PSN) и Sony Online Entertainment. В результате хакерской атаки их личные данные, включая электронные и почтовые адреса, даты рождения, логины и пароли, оказались в руках злоумышленников. Более того, компания Sony, которой принадлежат эти ресурсы, сообщила о краже информации о 12,7 тысяч банковских карт из устаревшей базы 2007 года. Учитывая тот факт, что в одной только PSN зарегистрировано порядка 75 млн аккаунтов, можно смело говорить о крупнейшей в истории утечке персональных данных.

В минувшем месяце под прицелом злоумышленников постоянно оказывались и владельцы мобильных телефонов. Об этом свидетельствует активное продвижение SMS-троянцев, которые отправляют платные сообщения на короткие номера. Одним из способов распространения этих зловредов стали спамовые SMS - сообщения, содержащие вредоносные ссылки. Как установили эксперты [Лаборатории Касперскогоk, сайты, на которые вели такие ссылки, были созданы с помощью одного из популярных бесплатных онлайн-конструкторов.

Пример спам-сообщения со ссылкой на вредоносный сайт

На этом фоне утешительной может показаться информация об очередных успехах американских правоохранительных органов. Так, в апреле министерство юстиции США инициировало закрытие командных центров крупного ботнета Coreflood, насчитывавшего порядка 2 млн зараженных машин.

Источник: [Лаборатория Каспрскогоk

Компания Смарт Лайн Инк, мировой лидер в области разработки средств защиты от утечек данных с компьютеров, объявила о получении двух патентов Бюро по патентам и товарным знакам США на технологию контроля локальной синхронизации данных между компьютером и подключенными к нему смартфонами и КПК, включая мобильные устройства на платформах Windows Mobile^, Palm^, iPhone^, iPod touch^, iPad^ и т.д. Разработанная Смарт Лайн и используемая с 2007 года в программе DeviceLock уникальная технология позволяет оперативно контролировать процесс обмена данными между компьютером и мобильными устройствами, включая перехват, анализ и фильтрацию данных с точностью до их типа, событийное протоколирование операций обмена и теневое копирование данных согласно централизованно задаваемым политикам.

Защищенная патентами US7,899,779 и US7,899,782 технология обеспечивает значительное повышение уровня защиты корпоративных компьютеров от утечек данных в широко распространенных и практически неподконтрольных ситуациях, когда сотрудники подключают к рабочим компьютерам свои личные смартфоны или КПК и по халатности, из-за ошибок или намеренно копируют на них служебную или деловую информацию.

[Получение патентов в известной своей скрупулезностью американской патентной системе не только устанавливает международный приоритет Смарт Лайн в одном из важнейших технологических компонентов защиты компьютеров от утечек данных но, что самое главное, позволяет блокировать незаконное применение сходных по принципам технологий в продуктах конкурентов, о чем теперь можно предметно напомнить, подчеркнул Ашот Оганесян, основатель и технический директор Смарт Лайн. Важно и то, что патенты служат наглядным подтверждением технологического лидерства Смарт Лайн в области Endpoint Data Leak Prevention защиты компьютеров организаций от утечек данных, ущерб от которых может быть не только масштабным, но иногда глобальным, как показывает пример Брэдли Маннинга и Wikileaksk.

Подробно изучив функционал и бизнес-модель [рекламногоk ботнета Artro, эксперты [Лаборатории Касперскогоk пришли к выводу: при использовании определенных схем обмана рекламодателей, доход злоумышленников от накрутки трафика и кликов может доходить до 2 тысяч долларов США в сутки.

Многие сайты, заинтересованные в увеличении посещаемости своих ресурсов, пользуются услугами рекламных сетей. При этом посредник получает определенную сумму за каждого перенаправленного пользователя. Желая увеличить свой доход, некоторые владельцы сайтов, размещающих у себя рекламные ссылки, пользуются услугами ботнетов, чтобы имитировать переходы пользователей с их сайтов на рекламируемые ресурсы.

Схема обмана рекламодателей

При такой схеме мошенничества в выигрыше остаются владельцы ботнета, недобросовестные партнеры, сайты, размещающие рекламные ссылки, и рекламные сети. При этом последние, по мнению экспертов [Лаборатории Касперскогоk, могут даже не знать о том, что заработать им помогает зомби-сеть. Однако по-настоящему обманутым в данной ситуации остается, как правило, только рекламодатель: платя за переходы пользователей на свой собственный сайт, он получает исключительно виртуальных посетителей.

Зная, сколько в среднем за сутки каждый модуль совершает кликов, среднюю стоимость рекламных сервисов за клик, минимальное количество ботов в зомби-сети и вероятную доля владельцев ботнета от продажи трафика, авторы исследования подсчитали примерный доход злоумышленников: [По нашим оценкам, он составляет 1-2 тысячи долларов США в сутки. И это только за счет обмана рекламодателей. Помимо этого, киберпреступники могут зарабатывать на загрузках сторонних вредоносных программ. Однако оценить доходность данного вида преступного бизнеса практически невозможноk.

Источник: [Лаборатория Касперскогоk

[Лаборатория Касперскогоk подвела итоги спам-активности в марте 2011 года, согласно которым, количество нежелательной корреспонденции продолжает расти. По сравнению с предыдущим месяцем доля почтового мусора увеличилась на 0,9% и составила в среднем 79,6%.

Громким событием месяца стало закрытие 16 марта в результате совместной операции компании Microsoft и американских правоохранительных органов крупного ботнета Rustock. На его долю приходилось до 30-40% мирового спама. В связи с этим, эксперты [Лаборатории Касперскогоk отметили в период с 17 по 21 марта снижение объема почтового мусора примерно на 15%. Однако, уже через неделю после закрытия ботнета объем спам-трафика снова начал расти. [Очевидно, опыт конца 2010 года, когда были отключены командные центры ботнетов Bredolab и Pushdo/Cutwail, не прошел для спамеров бесследно, комментирует Мария Наместникова, ведущий спам-аналитик [Лаборатории Касперскогоk. Скорее всего, злоумышленники успели быстро сориентироваться и перераспределить свои мощностиk.

В марте лидирующее положение среди стран-распространителей спама сохранила за собой Индия (11,42%). Изменения произошли на второй и третьей строчках рейтинга, где Россия поменялась местами с Бразилией, которая поднялась на одну ступень вверх. В итоге доля спама, разосланного с территории этой латиноамериканской страны, достигла 6,6% (+2%). Количество нежелательной корреспонденции из России в общем почтовом трафике не изменилось и составило 4,8%. Замыкают пятерку лидеров Индонезия (4,3%) и Италия (4%).

В минувшем месяце в Рунете возросла доля русскоязычного спама, который большей частью представлен рассылками, рекламирующими товары и услуги компаний малого и среднего бизнеса. Значительно увеличилось количество предложений образовательных услуг (+6,7%). Одновременно снижалась доля рекламных рассылок медицинских препаратов (-7,1%), которые переместились со второй позиции на пятую. Их место заняли предложения по организации отдыха и путешествий (+2,7%), что объясняется приближением майских праздников.

Распределение спама по тематическим категориям в марте 2011 года

Спамеры не оставили без внимания и важнейшие мировые и общественно-политические события. Так, в марте стали приходить мошеннические спам-сообщения, предлагавшие отправить деньги на счет якобы Красного Креста и других гуманитарных организаций для пострадавших от землетрясения в Японии. Кроме того, в России [Лаборатория Касперскогоk зафиксировала несколько рассылок, темой которых стал нашумевший в последнее время проект блогера Алексея Навального [РосПилk.

Источник: [Лаборатория Касперскогоk

Компания [Доктор Вебk российский разработчик средств информационной безопасности сообщает об обнаружении новой модификации вредоносной программы семейства Android.Spy, представляющей опасность для владельцев смартфонов на базе ОС Android. Попадая на мобильное устройство, троянец осуществляет спам-рассылки СМС-сообщений по команде злоумышленников без ведома владельца устройства. Кроме того, Android.Spy.54 добавляет в закладки браузера смартфона некоторые сайты. Наиболее вероятно, что новая угроза для платформы Android пришла из Китая.

Семейство вредоносных программ Android.Spy для ОС Android получило известность осенью 2010 года. Помимо чтения и записи контактов зараженного устройства, отправки, чтения и редактирования СМС, определения координат и ряда других возможностей, троянцы этого семейства имеют функцию автозагрузки. Некоторые модификации Android.Spy также могут загружаться при включении смартфона, однако их основная цель сбор идентификационных данных, задание определенных параметров поиска в поисковом движке, а также переход по ссылкам.

Новая модификация троянца Android.Spy была обнаружена специалистами компании [Доктор Вебk 12 апреля 2011 года. В тот же день она была добавлена в вирусные базы Dr.Web. На данный момент ее детектирует только Dr.Web. Стоит отметить, что вредоносные программы под Android появляются все чаще. Так, буквально две недели назад была обнаружена новая версия СМС-троянца Android.SmsSend.

Android.Spy.54 был найден на китайском интернет-ресурсе www.nduoa.com сборнике различных приложений для платформы Android. Троянец был встроен в программу Paojiao виджет, позволяющий совершать звонки или отсылать СМС на выбранные номера. Стоит добавить, что распространение в составе легитимных программ является стандартной моделью для вредоносных программ семейства Android.Spy.

Новая модификация Android.Spy регистрирует фоновый сервис, который соединяется с сайтом злоумышленников, отсылая им идентификационные данные жертвы (в частности, Международный идентификатор мобильного оборудования IMEI и индивидуальный номер абонента IMSI). Кроме того, троянец загружает xml-файл, содержащий команды для спам-рассылки СМС с телефона жертвы и добавления определенных сайтов в закладки браузера.

Один из признаков того, что устанавливаемое приложение содержит подобный вредоносный функционал, требование дополнительных разрешений для работы. В частности, если для игры в ее оригинальном виде нужен лишь доступ в Интернет, то в инфицированной версии количество привилегий будет намного выше. Если вам известно, что приложение (или игра), которое вызвало у вас интерес, не имеет функций работы с СМС, звонками, контактами и т. п., устанавливать его не рекомендуется

Источник: ООО [Доктор Вебk

Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о самых распространенных интернет-угрозах, выявленных специалистами Вирусной лаборатории ESET с помощью технологии раннего обнаружения ThreatSense.Net в марте 2011 года.

Самой распространенной угрозой в марте в России стал класс вредоносных программ Win32/Spy.Ursnif.A, которые крадут персональную информацию и учетные записи с зараженного компьютера, а затем отправляют их на удаленный сервер (4,07% распространения в регионе). Также остается довольно опасным семейство злонамеренного ПО INF/Autorun (3,38%), которое передается на сменных носителях и использует для проникновения на компьютер пользователя функцию автозапуска Windows Autorun. На третьем месте рейтинга самых распространенных угроз расположилась модификация червя Conficker Win32/Conficker.AA, с долей проникновения 1,72%.

Число срабатываний в российском регионе на вредоносное ПО класса HTML/Iframe.B.Gen, благодаря которому злоумышленники перенаправляют пользователя по опасным ссылкам, снизилось на 0,48%, до 1,45%. HTML/Iframe.B.Gen эвристическое обнаружение различных вредоносных скриптов для перенаправления пользователя на ресурс, который содержит определенный набор злонамеренных эксплойтов. Они, в свою очередь, достаточно часто реализованы в виде html-тега iframe. При этом доля обнаружений эвристики на класс JS/Agent.NCX увеличилась и достигла 0,93% проникновения в России. Данный эвристический метод обнаружения вредоносного ПО, в первую очередь, направлен на обнаружение различного рода злонамеренных JavaScript-сценариев, встроенных в веб-страницы.

[На этот раз не попали в двадцатку угроз вредоносные программы класса Win32/Hoax.ArchSMS, которые сопровождали нас уже длительное время, отмечает Александр Матросов, директор Центра вирусных исследований и аналитики ESET. Так же стоит отметить уменьшение активности в этом месяце партнерской программы ZipMonster, в рамках которой также было замечено активное распространение нелегального контента в платных архивахk.

Доля России от общего обнаружения мировых угроз в феврале снизилась на 0,61% и составила 10,68%. При этом процент уникальных угроз, которые приходятся на регион, также уменьшился на 0,27% и составил 3,01%.

[Стоит также отметить, что в марте злоумышленники активно использовали громкие информационные поводы для использования [черныхk методов поисковой оптимизации, комментирует Александр Матросов. Таким образом, мошенники продвигали фальшивые антивирусы и различные вредоносные программыk.

Что касается мирового рейтинга самых распространенных угроз, то наиболее активным вредоносным ПО в марте стало семейство INF/Autorun (5,79%). Второе место рейтинга занимает червь Win32/Conficker с долей распространенности в 4,29%. Замыкают тройку лидеров трояны-кейлоггеры Win32/PSW.OnLineGames. Их показатель проникновения составил 2,23%.

Двадцать самых распространенных угроз в России в марте 2011

1. Win32/Spy.Ursnif.A 4,07%,
2. INF/Autorun 3,83%
3. Win32/Conficker.AA 1,72%
4. HTML/Iframe.B.Gen 1,45%
5. Win32/Packed.ZipMonster.A 1,33%
6. INF/Autorun.Gen 1,27%
7. Win32/Conficker.X 1,24%
8. INF/Conficker 1,20%
9. HTML/ScrInject.B.Gen 1,13%
10. Win32/Tifaut.C 1,04%
11. JS/Agent.NCX 0,93%
12. Win32/AutoRun.KS 0,88%
13. Win32/RegistryBooster 0,86%
14. Win32/Toolbar.AskSBar 0,83%
15. Win32/HackKMS.A 0,76%
16. Win32/Packed.Themida 0,72%
17. Win32/Packed.VMProtect.AAD 0,72%
18. Win32/Packed.VMProtect.AAA 0,65%
19. Win32/Bflient.K 0,60%
20. Win32/Qhost 0,55%

Десять самых распространенных угроз в мире в марте 2011

Статистика угроз получена с помощью ThreatSense.Net глобального сервиса, обеспечивающего автоматическую передачу новых образцов подозрительных или вредоносных программ экспертам вирусной лаборатории ESET для анализа и принятия оперативного решения.

Источник: Компания ESET

[Лаборатория Касперскогоk подвела итоги вирусной активности в марте 2011 года. Одной из особенностей прошедшего месяца стало использование злоумышленниками для распространения вредоносного кода ссылок на сообщения о землетрясении и цунами в Японии, а также о кончине актрисы Элизабет Тейлор.

Во всех этих случаях киберпреступники прибегали к приемам социальной инженерии. Так, вирусописатели распространяли ссылки на [горячиеk новости, проходя по которым пользователь попадал на зараженный сайт и подвергался drive-by атаке с последующей загрузкой эксплойтов. Наиболее [быстрыеk злоумышленники активно использовали для этих целей Twitter: вредоносные ссылки на новости о смерти Элизабет Тейлор появились там уже на следующий день после того, как стало известно о кончине великой актрисы. Проявили свою активность и мошенники, которые рассылали письма с просьбой оказать помощь пострадавшим от цунами, перечислив деньги на счет отправителей.

В марте же злоумышленникам впервые удалось массово распространить вредоносные программы под видом легальных приложений на Android Market. Они содержали эксплойты, позволяющие зловреду получить полный доступ к операционной системе смартфона, собирать личные данные пользователей и скрыто передавать их преступникам.

Кроме того, в минувшем месяце был нанесен новый удар по распространителям спама. Благодаря совместной операции, проведенной компанией Microsoft и американскими правоохранительными органами, удалось закрыть ботнет Rustock, который насчитывал несколько сотен тысяч зараженных компьютеров. По данным [Лаборатории Касперскогоk, последние экземпляры Rustock загружались на компьютеры пользователей с командных серверов ботнета 16 марта, а команда на рассылку спама последний раз была отдана 17 марта.

Источник: [Лаборатория Касперскогоk

Корпорация Stonesoft, ведущий разработчик продуктов в сфере сетевой безопасности и непрерывности бизнеса, открыла динамические техники обхода в апреле прошлого года. Было установлено, что АЕТ представляют реальную угрозу критически важным активам организаций, при этом они еще и динамически изменяются, что еще больше усложняет противодействие. Stonesoft дает шесть советов как защитить бизнес от АЕТ.

Техники обхода - это способ [обойтиk сетевые системы предотвращения вторжений (IPS) или любые другие устройства защиты систем безопасности, которым [предписаноk инспектировать сетевой трафик. Сами техники обхода были известны уже давно. В прошлом году Stonesoft обнаружила новую разновидность таких техник - динамические техники обхода Advanced Evasion Techniques или АЕТ, которые на момент открытия не могла обнаружить ни одна из существующих систем сетевой безопасности. Информация об открытии и первые 23 образца АЕТ были оперативно доставлены в Центр реагирования на компьютерные инциденты (Computer Emergency Response Team CERT-FI), а затем об этом было объявлено общественности. В феврале 2011 года Stonesoft отправил в CERT-FI еще 124 образца вновь открытых АЕТ. Однако, это всего лишь верхушка айсберга.

"Как правило, все сервисы имеют плановые периоды обслуживания и обновления, системы предотвращения вторжений IPS призваны защитить критичные информационные активы при появлении уязвимостей до выхода соответствующего патча. Именно незакрытые уязвимости и перерывы в обслуживании послужили причиной [нападенияk червя Stuxnet в промышленных сетях SCADA в 2010 году. Однако, используя динамические техники обхода АЕТ, злоумышленник способен обойти установленные средства защиты и доставить вредоносный контент (вирус или эксплойт) до целевой информационной системы без обнаружения даже такими продвинутыми средствами, как сетевые IPS. Это значит, что любая уязвимость критичной информационной системы может быть использована в любой момент, - объясняет Tomi Kononow, менеджер по продукту StoneGate IPS. Чтобы защитить свои критичные информационные активы от AET, организации должны действовать на опережение, протестировать установленные решения по защите систем безопасности и при необходимости искать альтернативные варианты в борьбе с этой новой серьезной угрозой. Мы живем в эпоху изменения рынка сетевой безопасности, и старые испытанные методы больше не работают.

Чтобы повысить уровень защиты своих систем безопасности от АЕТ, организациям следует придерживаться 6 советов, перечисленных ниже:

1. Узнайте больше о динамических техниках обхода. АЕТ во многом отличаются от традиционных техник обхода, и важно понимать, что они не являются атаками как таковыми, а только методами доставки вируса/ эксплойта в уязвимую цель, причем безопасными для злоумышленника, поскольку не детектируются ни межсетевыми экранами, ни IPS устройствами. Таким образом, нет [пуленепробиваемогоk решения. Вы можете свести к минимуму риск внешней атаки при помощи AET, используя решения по сетевой защите, которые способны к многоуровневой нормализации трафика, и снабжены централизованным управлением для быстрой установки обновлений.

2. Проанализируйте риски. Регулярно проводите аудит свой критической инфраструктуры и анализ рисков для наиболее значимых информационных активов (на каких серверах находятся, как и кем осуществляется доступ к важным данным, как часто производится их резервное копирование и т.п.) Установите приоритеты. Для начала убедитесь, что все критически важные активы и публичные сервисы защищены от AET самым лучшим способом из возможных.

3. Пересмотрите свою систему управления обновлениями (патчами). В случае, когда это возможно, установка обновлений для уязвимых систем дает максимальную защиту от сетевых атак, независимо от того, были ли они [усиленыk динамическими техниками обхода. Техники обхода могут только помочь злоумышленнику обойти системы предотвращения вторжений (IPS) или межсетевые экраны, но они не помогут ему провести атаку, направленную на конкретную уязвимость, если она уже была [запатченаk. Необходимо отметить, правда, что тестирование и развертывание патча потребует определенного времени даже при самых благоприятных обстоятельствах, а до установки обновления следует применять системы предотвращения вторжений (IPS).

4. Протестируйте свое решение по предотвращению вторжений. Критически оцените установленные у Вас решения по предотвращению вторжений и межсетевому экранированию на предмет их возможностей по защите Вашей сети от AET. Рассмотрите критически различные варианты. Динамические техники обхода AET изменили [ландшафтk безопасности навсегда: если средство сетевой защиты не способно противостоять техникам обхода, оно практически бесполезно - независимо от того, имеет ли оно хорошую производительность, много сертификатов, наград и т.п.

5. Пересмотрите свою систему управления безопасностью. Централизованное управление играет важную роль в вопросах защиты от AET. Нужно, чтобы можно было без особых усилий удаленно получать обновления по мере их выпуска производителем, таким образом, Вы будете иметь максимально возможную защиту от техник обхода.

6.Протестируйте установленные у Вас средства защиты с ее текущими политиками и конфигурациями на способность противостоять АЕТ. Многие производители систем безопасности знают, как бороться с обычными техниками обхода, которые смоделированы в лабораторных условиях, и которые отличаются от динамических своей стабильностью и предсказуемостью.. Однако, сталкиваясь с динамическими AET, эти системы сетевой защиты [слепнутk и оказываются не в состоянии защитить информационные системы. Если Вы действительно хотите знать уровень защиты ваших активов от AET, проведите тестирование ваших средств сетевой защиты.

Вопросы о продуктах StoneSoft Вы можете задать менеджеру компании [ДиалогНаукаk Сергею Соколову по телефону +7 (495) 980-67-76 доб. 137 и по e-mail: sergey.sokolov@dialognauka.ru и corp@dialognauka.ru

Март 2011 года оказался богат на события в сфере информационной безопасности. В числе главных новостей проникновение троянцев в платёжные терминалы и ликвидация крупнейшей в мире спам-сети ботнета Win32.Ntldrbot, известного также под названием Rustock. Помимо этого, злоумышленники предприняли ряд заметных атак на социальные сети. Кроме того, как и следовало ожидать, катастрофа в Японии послужила темой множества спам-рассылок и спекуляций.

Закрытие ботнета Win32.Ntldrbot (Rustock)

17 марта 2011 года прекратил работу самый крупный генератор спама, ботнет Win32.Ntldrbot. 26 командных центров ботнета стали недоступны, и сотни тысяч ботов, оставшись без управления, впали в спячку.

По оценкам Microsoft, компьютер, заражённый Win32.Ntldrbot, рассылал до 10000 писем в час. При этом, по данным некоторых экспертов, в спам-сеть входило порядка 815 тысяч ботов. Таким образом, суммарный спам-трафик, создаваемый ботнетом Win32.Ntldrbot, можно оценивать в несколько миллиардов сообщений в сутки. Ответственность за обезглавливание ботнета Win32.Ntldrbot взяла на себя корпорация Microsoft, которая провела операцию совместно с американскими властями.

Win32.Ntldrbot, первые известные образцы которого датируются 2005 годом, стал одним из самых высокотехнологичных и сложных представителей актуального троянского ПО. Разработчик Win32.Ntldrbot несколько лет совершенствовал эту программу, а разбор кода троянца послужил источником множества аналитических публикаций.

Юридическим обоснованием операции был гражданский иск Microsoft против неустановленных лиц, стоявших за данным ботнетом. По распространённой версии, злоумышленниками являются наши соотечественники.

Пока сложно давать прогнозы относительно будущего спам-индустрии. Тот ощутимый урон, который нанесло ей закрытие крупнейшей спам-сети, может быть быстро возмещён ростом других ботнетов. Лидирующие позиции в распространении спама уже занял давно известный ботнет Win32.HLLM.Beagle, активность которого последние несколько лет была низкой. Обе спам-сети специализируются на т. н. фарм-спаме рекламе лекарственных препаратов.

В дальнейшем стоит также быть готовыми к изменению архитектуры ботнетов в сторону децентрализации. Также высказываются предположения о возможности восстановления ботнета Win32.Ntldrbot.

Троянцы в терминалах

В марте 2011 года компания [Доктор Вебk заявила об обнаружении новой модификации троянца Trojan.PWS.OSMP, специализирующегося на заражении терминалов экспресс-оплаты. Этот троянец изменяет номера счетов получателей платежей. А последняя его модификация, вероятно, позволяет злоумышленникам создать виртуальный терминал.

Примечательно, что троянец был обнаружен не при анализе заражённого терминала, а при мониторинге бот-сети другого троянца, обеспечивающего пути проникновения Trojan.PWS.OSMP на терминалы.

Заражение терминалов происходит в два этапа. Сначала на терминал попадает BackDoor.Pushnik, который представляет собой запакованный исполняемый файл размером ~620 КБ, написанный на Delphi, и распространяется через сменные носители. После установки троянец получает управляющие данные от своих командных центров и, через несколько промежуточных шагов, загружает и запускает бинарный файл размером 60-70 КБ, содержащий Trojan.PWS.OSMP. Тот перебирает запущенные процессы в поисках процесса maratl.exe, являющегося частью программного окружения платёжных терминалов. В случае успеха троянец внедряется в процесс и изменяет счёт получателя непосредственно в памяти процесса, подставляя счета злоумышленников.

Последняя зафиксированная версия троянца реализует другую схему мошенничества. Trojan.PWS.OSMP копирует на свой сервер конфигурационный файл ПО платёжного терминала. Кража конфигурационного файла предполагает попытку создания поддельного терминала на компьютере злоумышленников, что должно позволить перенаправлять безналичные денежные средства на счета разработчиков троянца.

Новые критические уязвимости в продукции Adobe

14 марта 2011 года Adobe объявила об обнаружении очередной уязвимости в проигрывателе Adobe Flash Player 10.2.152.33 и некоторых более ранних версиях.

Уязвимость позволяет злоумышленникам атаковать систему при помощи специально оформленного swf-файла. Она является общей для версий данного программного продукта для Windows, Mac OS, Linux, Solaris и ранних версий Android.

Обновления, закрывающие эту уязвимость, были выпущены только 21 марта. Таким образом, уязвимость оставалась актуальной в течение недели. Вскоре после этого в открытом доступе оказались исходные коды примера эксплуатации данной уязвимости.

Инструмент реализации атаки представляет собой xls-файл со встроенным swf-объектом:

Рис. 1. Встроенный swf-файл в таблице Excel.

Данный swf-файл загружает в память shell-код, затем выполняет атаку на уязвимый flash-проигрыватель, используя технику Heap Spray. Затем код swf-файла загружает второй swf-файл, который использует уязвимость интерпретатора байт-кода ActionScript CVE-2011-0609, общего для всех уязвимых систем.

Демонстрация уязвимости спровоцировала рассылки писем, содержащих во вложении троянский xls-файл, включающий в себя Exploit.SWF.169. При запуске троянского файла среда MS Excel на некоторое время перестаёт отвечать, при этом пользователь видит пустую таблицу со встроенным flash-роликом без изображения.

Рис. 2. Загрузка документа MS Excel, содержащего Exploit.SWF.169.

В это время Exploit.SWF.169 осуществляет свою локальную атаку, сохраняет на диск и запускает исполняемый файл с нагрузкой в виде Trojan.MulDrop1.64014 или Trojan.MulDrop.13648.

Атаки на социальные сети

На сегодняшний день социальные сети популярная цель хакерских атак. Подтвердил это и прошедший месяц атакам подверглись популярные сервисы LiveJournal и Facebook.

4 марта 2011 года была осуществлена массовая рассылка фишинговых писем от имени администрации сервиса LiveJournal, содержащих уведомления о блокировке и возможном удалении аккаунта на LiveJournal.

При этом в графе отправителя фишингового письма был указан адрес do-not-reply@livejournal.com, который действительно используется сервисом LiveJournal для рассылки уведомлений. Мошенническая ссылка, по которой предлагается перейти, ведёт на один из поддельных сайтов: livejorrnal.com или xn--livejurnal-ivi.com.

При переходе пользователь попадает на страницу, копирующую дизайн оригинального LiveJournal. Данные, которые здесь вводит пользователь, передаются мошенникам.

Рис. 3. Мошенническая страница, копирующая внешний вид LiveJournal.

Через несколько дней похожей атаке подвергся сервис Facebook. Его пользователи стали получать спам-сообщения, рассылаемые от имени действующих аккаунтов Facebook. В сообщениях содержалась короткая ссылка (такая методика часто используется при подобных атаках). При этом пользователь не может узнать заранее, куда такая ссылка ведёт. В данном случае она приводила на мошенническую страницу, копирующую дизайн Facebook. На этой странице размещалось уведомление с запросом личной информации пользователя. В случае заполнения полей запроса злоумышленники получали доступ к аккаунту жертвы, от имени которой в дальнейшем происходила аналогичная рассылка по списку друзей.

Очевидно, что злоумышленники продолжают совершенствовать технические приёмы и методы социальной инженерии при атаках с использованием социальных сетей.

30 марта 2011 года LiveJournal подвергся очередной DDoS-атаке. По оценкам администрации сервиса, самой масштабной за время его существования. Атака продолжалась несколько часов, в это время сервис был практически недоступен.

Волна спам-рассылок, связанных с катастрофой в Японии

Как и следовало ожидать, нашлись злоумышленники, готовые воспользоваться чужой бедой, и за катастрофой в Японии последовала волна спама соответствующей тематики.

Некоторые образцы спам-рассылок содержали призывы к пожертвованиям, при этом в качестве отправителя фигурировала одна из известных благотворительных организаций ([Красный крестk, [Армия спасенияk и т. п.).

В теле письма, как правило, присутствовала ссылка на соответствующий мошеннический ресурс, готовый принимать пожертвования.

Рис. 4. Поддельная страница Красного креста.

В других случаях пользователей заманивали на вредоносные ресурсы. Например, в сообщении предлагалось просмотреть видеоролик о катастрофе, ссылка на который присутствовала в теле письма.

Рис. 5. Спам-рассылка с видео о катастрофе в Японии.

При попытке просмотра пользователь переходит на вредоносный сайт, с которого на его машину устанавливается Trojan.FakeAlert.

Рис. 6. Результат просмотра видео о катастрофе в Японии.

Множество подобных рассылок зафиксировано и у нас, и за рубежом. Пользуясь случаем, злоумышленники распространяют широкий спектр троянского ПО: лжеантивирусы, поддельные системные утилиты, всевозможные блокировщики.

Вредоносные файлы, обнаруженные в марте 2011 года в почтовом трафике

Вредоносные файлы, обнаруженные в марте 2011 года на компьютерах пользователей