Как никогда ранее, сегодня одна из самых обсуждаемых тем на повестке дня – это обеспечение информационной безопасности. Так как мы живем в информационном обществе, информация и знания являются едва ли не самым экономически ценным ресурсом.

Был перехвачен и опубликован телефонный разговор между ФБР и Скотланд-Ярдом, а также взломан ноутбук агента ФБР

Тема ИБ широко освещается СМИ: почти каждый день появляются новости про очередную DDoS-атаку на какой-нибудь популярный сайт, про хакерские взломы, про уязвимости социальных сетей и различных программ, про новые мощные вирусы, которые угрожают человечеству, и т.д. Но это только вершина айсберга, видная простому человеку, тематика информационной безопасности далеко этим не ограничивается.

Сейчас, когда близится конец года, самое время подвести его итоги и дать прогнозы на следующий год. В декабре прошлого года эксперты полагали, что в ИБ произойдет примерно следующее:

• значительно возрастет угроза безопасности мобильных устройств;
• станет больше целенаправленных устойчивых угроз (APT) и финансируемых атак;
• ботнеты станут кросс-платформенными и привлекут новых участников;
• участится взлом встраиваемых устройств;
• социальная инженерия станет преобладающим методом атаки;
• усилится хактивизм – хакерство с политическими мотивами.

Что же мы наблюдали в 2012 году на самом деле?

Безопасность мобильных устройств

Как и ожидалось, увеличилась доля вредоносных программ среди приложений для iPhone и Android. Злоумышленники используют Jailbreak-уязвимости для захвата и установки вредоносных программ на iPhone и rouge-приложения для заражения устройств Android через Google Play.

Благодаря тому, что безопасность новой версии платформы iOS6 возросла, а Android становится более защищенной операционной системой, для компаний Google и Apple будущее выглядит оптимистично. Издание Information Week выпустило интересную статью о том, почему будет значительно труднее сделать Jailbreak нового iPhone 5 (iOS6). Хотя взломщиков iOS статья не убедила, тем не менее, она отражает уровень защищенности мобильных устройств в настоящее время. Однако это не означает, что о вредоносных программах для этих устройств можно забыть. Это говорит лишь о том, что злоумышленники будут прилагать больше усилий и разрабатывать новые подходы и методы.

Целенаправленные устойчивые угрозы (APT) и финансируемые атаки

Java в этом году побила рекорд по уязвимостям. Последняя из них (затрагивающая Java версии с 5 по 7) создает угрозу для миллиарда потенциальных жертв. Будучи кросс-платформенной технологией, Java открыла хакерам доступ к новым платформам. Хакерская кампания, направленная на компьютеры Mac (ботнет Flashback), затронула 600 тысяч компьютеров.

Рынок уязвимостей вышел из подполья, ему посвящают главные статьи в Forbes, о нем говорилось во вступительной речи на конференции Virus Bulletin в этом году. Stuxnet, Flame, Shamoon и другие финансируемые атаки попадают в выпуски новостей каждые пару месяцев, в то время как некоторые страны, такие как Индия и Канада, объявили о намерении разработки кибероружия. На конференции DEFCON в Лас-Вегасе директор Агентства национальной безопасности США генерал Кит Александер попытался привлечь на службу хакеров.

«Здесь, в этом помещении, находятся талантливые люди, в которых нуждается наша нация для защиты киберпространства». Как видите, уже никто не скрывает своих намерений, все хотят нанять лучших специалистов. Считать ли это официальным началом кибервойны? Время покажет.

Ботнеты

Кросс-платформенные программы-боты смогли преодолеть двухфакторную аутентификацию, используемую в системах интернет-банкинга. В целом банковский сектор стал самой большой жертвой атак в этом году – новые технологии позволили похитить больше денег, чем когда-либо. Платформа Mac OS-X больше не может считаться безопасной в связи с появлением в этом году новых версий программ-ботов. Большинство из них используют Java для проникновения в систему, поэтому Apple ответила на это удалением Java из стандартной конфигурации операционной системы.

Взлом встраиваемых устройств

Телевизоры, автомобили и даже холодильники начали выходить в Сеть. Все эти изделия имеют одну особенность – они содержат встроенные устройства, отвечающие за их функционирование. Как и ожидалось, произошел большой сдвиг в сторону взлома встраиваемых устройств. В июле специалист по исследованию безопасности продемонстрировал, как можно получить доступ к 4 миллионам гостиничных номеров путем использования уязвимостей устройств, встроенных в дверные замки. В августе компания McAfee наняла специалиста по безопасности Барнаби Джека для разработки систем защиты автомобилей. Скорее всего, в этом году произойдут и другие события, подобные здесь упомянутым. Безопасность встраиваемых устройств начала выходить на передний план.

Социальная инженерия как преобладающий метод атаки

Одна из серьезнейших проблем, связанных с социальной инженерией, – это недостаток информации. В большинстве случаев инциденты не разглашаются, что снижает уровень общественной осведомленности. Исследования показали, что причина успеха всех таких атак – удачное применение к цели приемов социальной инженерии. Соревнование по социальной инженерии на конференции DEFCON в этом году доказало, что сотрудники компаний недостаточно хорошо обучены, чтобы выявлять подобные атаки. Победитель соревнования Шейн Макдугалл применил хорошие навыки обмана, обещание прибыльного государственного заказа и свой талант вести непринужденный разговор, оставаясь в тени, для получения следующей информации от сотрудников американской сети супермаркетов Wal-Mart:

• название компании, оказывающей услуги по уборке помещений для магазина Wal-Mart в небольшом канадском городке;
• название компании, оказывающей услуги общественного питания для магазина;
• график выплаты заработной платы сотрудникам магазина;
• график работы сотрудников магазина;
• время перерывов для менеджеров магазина;
• время обеденных перерывов;
• тип компьютера, используемого менеджером;
• название и версия операционной системы компьютера;
• какой веб-браузер и антивирус используются на этом компьютере.

Вывод – от социальной инженерии никуда не деться!

Хактивизм

Хакерская группа Anonymous, не сходящая с заголовков новостей, направляет свои усилия на правительства и правоохранительные органы. Был перехвачен и опубликован телефонный разговор между ФБР и Скотланд-Ярдом, а также взломан ноутбук агента ФБР (последнее затем было опровергнуто). В течение последних недель мы оказались свидетелями массовых DDoS-атак на банковские учреждения, что породило невиданные объемы трафика.

Итак, все наши прогнозы сбылись.

Теперь самое время рассмотреть прогнозы в сфере ИБ на следующий год.

Преобладающими темами в 2013 году, на мой взгляд, будут такие:

1. BYOD (концепция использования личных гаджетов на рабочих местах) станет основным или вторичным направлением атаки

В 2013 году для мобильных и портативных устройств появится больше вредоносных приложений, приемов и уязвимостей. Сюда входят ботнеты и черви, которые будут заражать устройства через Bluetooth / WI-FI / NFC / автоматическую загрузку, а также шпионское ПО, отслеживающее местонахождение пользователя и похищающее данные. В сочетании с ростом количества персональных устройств в компаниях это откроет путь для нового типа атак – преодоления традиционного механизма защиты из-за отсутствия стандартов безопасности для персональных устройств на рабочих местах.

2. Внутренние угрозы – переход от удаленных атак к вредоносным действиям, осуществляемым ни о чем не подозревающими работниками

Совершенствование технологий защиты от входящих атак вынуждает хакеров направлять свои атаки на неосмотрительных сотрудников предприятий, не соблюдающих меры предосторожности.

Например, злоумышленник может заразить устройство пользователя, когда тот находится дома, то есть за пределами защищенного периметра рабочего места. Когда человек возвращается в офис с зараженным устройством, он способен распространить атаку внутри сети.

3. Облачная безопасность – все больше организаций перемещают свою инфраструктуру вместе с конфиденциальными данными в облачные системы

Увеличение количества облачных служб дает злоумышленникам отличную возможность похищать большие объемы информации. Более того, управление внесением исправлений и контроль системы защиты выполняется одной стороной (компанией, предоставляющей услуги облачного хранения данных), что создает единую точку отказа для большого количества клиентов.

4. HTML 5 – новый стандарт предоставляет новые возможности для поиска уязвимостей

Как показывает история, каждая крупная технология, помимо новых возможностей, приносит новые расходы, а в нашем случае – и новые угрозы. Мы увидим всплеск атак, ориентированных на HTML 5, а затем их постепенный спад по мере совершенствования защиты.

5. Ботнеты – более сложные, распределенные и кросс-платформенные

Растет монетизация похищенной информации (пример – Operation High-roller), и прошлогодний успех побудит преступников продолжать работу в этом направлении.

DDoS-атаки, кража конфиденциальной информации, распространение спама и вредоносных программ – ботнеты не сдают позиций.

6. Социальная инженерия – «нет средства от человеческой глупости»

Безопасность человека не становится лучше. Поскольку интернет становится доступным большему числу людей, неосведомленных об угрозах или не осознающих их, человеческий фактор остается уязвимым местом для атак социальной инженерии. Все куда-то едут, ожидают посылку или просто подчиняются руководству. Социальная инженерия остается важным стимулирующим фактором для злоумышленников.

Специально для газеты ВЗГЛЯД