Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта


ИКТ и безопасность


Проекты

Компания ESET поставила антивирусное ПО ESET NOD32 Business Edition в компанию Paragon Software Group.
Paragon Software Group - разработчик ПО.


"Лаборатория Касперского" по итогам открытого конкурса поставит департаменту информационных технологий города Москвы ПО Kaspersky Total Space Security для использования во всех ее государственных учреждениях. В общей сложности организации и ведомства получат 250 000 лицензий сроком на 3 года.


В феврале 2012 года компания "Микротест" завершила проект для кадрового агентства Adecco Group Russia, в ходе которого информационные системы персональных данных (ИСПДн) были приведены в соответствие с законом "О персональных данных" (ФЗ-152).
Специалисты "Микротест" разработали систему защиты персональных данных в центральном офисе Adecco и 13 российских филиалах и подготовили организационно-распорядительные документы, которые регламентируют организационные меры по защите персональных данных.


Ульяновская компания "Мотом", продающая автомобили, внедрила у себя биометрическую систему учета рабочего времени и контроля доступа BioTime от компании BioLink Solutions.
В компании "Мотом" есть несколько подразделений, принципиально отличающихся друг от друга, как спецификой, так и графиком работы. В частности, у шоурума и у отдела сервисного обслуживания - разные условия и время работы. При планировании перехода на новую систему учета рабочего времени компания "Мотом" ставила следующие цели:

Теперь сотруднику достаточно поднести палец к оптическому сканеру терминала FingerPass TM, установленному на входе/выходе в помещение, - и время прихода или ухода будет зафиксировано в памяти терминала.
Эти данные могут быть переданы на сервер в режиме реального времени. Либо, если оборудование в момент фиксации не подключено к информационной сети, данные могут быть сохранены в памяти терминала и переданы на сервер при следующем подключении.
Данные о времени можно экспортировать в ПО "1С", используемое в отделе кадров и бухгалтерии.


"Лаборатория Касперского" сообщает о продлении Российскими железными дорогами лицензий Kaspersky Total Space Security - продукта для централизованной защиты корпоративной информационной сети.


Компания Acronis внедрила ПО Acronis Backup & Recovery 11 Server в Одинцовском гуманитарном институте (ОГИ) для защиты 5 серверов, которые управляют сетью из более чем 650 персональных компьютеров в компьютерных классах и кабинетах. Среди защищаемых серверов контроллеры доменов, файловый и почтовый сервера.
В ОГИ недавно внедрили систему электронного документооборота, которая поддерживает работу всего вуза. В этой системе регистрируют абитуриентов, а когда они становятся студентами, через нее отслеживается успеваемость и посещаемость. В системе готовятся учебные планы, оформляются справки и другие служебные документы. Поэтому для института очень важно поддерживать ее бесперебойную работу.
Решение установилось без проблем поверх 10-й версии и стабильно работает.
Одинцовский муниципальный район в 2004 году создал Одинцовский гуманитарный институт, который готовит специалистов для органов местного самоуправления, муниципальных предприятий, учреждений и организаций района.


Компания Leta завершила комплексный аудит системы обеспечения информационной безопасности ЗАО АКБ "Алеф-Банк" на соответствие требованиям стандарта Банка России СТО БР ИББС и требованиям по защите персональных данных, а также спроектировала систему защиты персональных данных в соответствии с существующими требованиями.


Компания Softline поставила в Министерства образования Пензенской области ПО Kaspersky Work Space Security.
Корпоративная сеть государственного учреждения объединяет 90 рабочих станций.


Продукты

"Лаборатория Касперского" выпустила ПО Kaspersky Security для SharePoint Server для компаний, использующих платформу для совместной работы и хранения данных MS SharePoint Server. ПО в режиме реального времени проводит проверку скачиваемых и загружаемых на сервер документов и по требованию - файлов, уже хранящихся на SharePoint. Гибкие настройки позволяют задавать область и время сканирования, а также типы файлов для более тщательной проверки.
Функции фильтрации контента блокируют попытки размещения на сервере ненадлежащей или не соответствующей корпоративной политике информации. Фильтрация осуществляется по имени файлов, их расширению и типу контента. Кроме того, для анализа контента используются встроенные настраиваемые словари. Компании могут воспользоваться уже готовыми словарями, доступными на четырех языках, включая русский, или создать свои собственные.


"Лаборатория Касперского" выпустила обновление Антивируса Касперского 8.0 для IBM Lotus Domino. Обновление Maintenance Pack 1 включает поддержку 64-битных версий клиентских и серверных модулей Lotus Domino, а также содержит ряд усовершенствований, направленных на повышение производительности и надежности работы приложения.
В функции продукта входит сканирование электронных сообщений и вложений (включая архивы) на наличие вредоносных объектов в режиме реального времени, а также проверка выбранных областей по требованию. Зараженные и подозрительные объекты архивируются, что позволяет в случае необходимости восстановить важные данные. Решение является масштабируемым и кроссплатформенным, обеспечивая защиту серверов Lotus Domino на базе как Windows Server 2008 R1и R2, так и Linux.


Компания Acronis выпустила ПО Acronis vmProtect 7 для резервного копирования и восстановления виртуальных серверов VMware vSphere.
В новой версии Acronis vmProtect 7 к веб-интерфейсу, используемому для управления резервными копиями виртуальных машин, добавлена интеграция с консолью VMware vCenter. Это поможет централизовать выполнение задач по управлению виртуальными средами.
Используемые средства репликации с функциями переключения и возврата, а также возможность запуска виртуальных машин непосредственно из резервных копий, значительно сокращают время восстановления виртуальных серверов. Даже в случае физической поломки сервера виртуальную машину можно будет восстановить на оборудовании с другой аппаратной конфигурацией, значительно сократив простои.
Acronis vmProtect 7 поддерживает восстановление данных MS Exchange на уровне отдельных элементов. Это избавляет от необходимости создавать отдельную резервную копию MS Exchange на случай поиска отдельных сообщений или утраченных контактов.


"Лаборатория Касперского" представила корпоративный продукт Kaspersky Security для виртуальных сред (KSV).
Продукт предназначен для защиты виртуальных серверов, рабочих станций, а также центров обработки данных, развернутых на базе VMware.
Kaspersky Security для виртуальных сред тесно интегрируется с VMware vShield Endpoint и представляет собой виртуальное устройство, которое осуществляет антивирусную проверку всех гостевых машин, размещенных на хост-сервере. Решение не требует установки антивирусных агентов на каждую виртуальную машину, что позволяет избежать чрезмерной нагрузки на хост-сервер и перебоев в его работе, вызванных "шквальным" сканированием и обновлением (одновременным запуском задач проверки и обновления на большом количестве виртуальных машин).


"Лаборатория Касперского" представила новую версию Kaspersky CRYSTAL для домашних пользователей.
Новая версия продукта существенно модернизирована. Решение обеспечивает защиту от вирусов, шпионского ПО, троянских программ, спама, хакерских атак, червей, клавиатурных шпионов, руткитов, ботов, фишинга и т.д. В Kaspersky CRYSTAL применяется гибридная защита: комбинация традиционных сигнатурных методов выявления угроз и новейших облачных технологий, которые позволяют быстрее и эффективнее реагировать на сложные, постоянно развивающиеся угрозы.
"Менеджер паролей" позволяет создавать надежные, устойчивые к взлому пароли, обеспечивать их безопасное хранение и легко ими управлять. Модуль существенно экономит время пользователя, автоматически заполняя формы регистрации и авторизации.
Безопасное хранение и передача ценной информации возможна с помощь функции шифрования данных в Kaspersky CRYSTAL. Информация шифруется в специальном файл-контейнере, доступ к которому защищен паролем. Таким образом, он становится недоступным для хакеров и мошенников.
Еще одна функция - резервное копирование и восстановление данных. Резервные копии могут сохраняться в соответствии с установленным пользователем расписанием на жестком диске, съемном носителе, FTP-сервере или в другом сетевом хранилище, а доступ к таким копиям защищен паролем.
ПО содержит функцию централизованного управления безопасностью всех компьютеров в доме - "Контроль домашней сети". Этот модуль позволяет проверять статус защиты всех компьютеров домашней сети и обновлять на них антивирусные базы с одного ПК, а также управлять настройками "Родительского контроля" на компьютерах детей.
Оптимизирован ряд функций для проверки файлов и веб-сайтов, например, "Безопасная среда" и "Мониторинг системы". Также в Kaspersky CRYSTAL реализована новая технология "Проверка репутации файлов", которая позволяет получить сведения о безопасности файла до начала работы с ним. И наконец, в продукте применен модуль "Проверки ссылок". Встроенная в панель инструментов браузера, эта функция помечает цветовым индикатором ссылки на зараженные или вредоносные (фишинговые) ресурсы в результатах выдачи поисковых систем. Кроме того, модуль "Родительский контроль", с помощью которого взрослые могут контролировать общение своих детей в Интернет, был усовершенствован, а его интерфейс стал более интуитивно понятным.


Вредное ПО

В марте 2012 года "Лаборатория Касперского" обнаружила уникальную атаку, в ходе которой злоумышленники использовали вредоносную программу, способную функционировать без создания файлов на зараженной системе - "бестелесный" бот. Заражению подвергались посетители сайтов некоторых российских онлайн-СМИ, использующих на своих страницах тизеры сети, организованной при помощи технологий AdFox. То, что так называемые "бестелесные" вредоносные программы функционируют исключительно в оперативной памяти зараженного компьютера, значительно усложняет процесс их обнаружения с помощью антивируса.


В марте 2012 обнаружен кардинально новый банковский троянец для ОС Android. Ранее существовали троянцы, ворующие мобильные коды аутентификации транзакций (mTAN), которые посылаются банком на телефон клиента в SMS-сообщениях. Новый нацелен не только на кражу SMS, содержащих mTAN'ы, но и на кражу непосредственно самих данных (логин/пароль) для идентификации пользователя в системе онлайн-банкинга. Эксперты полагают, что к созданию новой вредоносной программы причастны русскоязычные вирусописатели.


Маркетинг

Компания Acronis опубликовала результаты исследования Acronis Global Recovery Index, проведенного при поддержке исследовательского института Ponemon Institute в конце 2011 года. В опросе приняли участие 6000 инженеров и ИТ-менеджеров средних и малых предприятий (до 1000 рабочих мест) из 15 секторов экономики 18 ведущих стран мира. Основные результаты исследования в форме инфографики можно найти здесь: http://www.acronis.ru/promo/DRI-2012.
По итогам исследования, госсектор стал отраслью с самыми низкими показателями уверенности в резервном копировании и аварийном восстановлении, причем большинство опрошенных представителей этого сектора называют главными проблемами недостаток бюджета и ресурсов. Треть респондентов (33%) заявили, что вообще не выделяют никаких средств на резервное копирование и аварийное восстановление, а 41% опрошенных отметили недостаток квалифицированного ИТ-персонала для управления системами.
Более половины (65%) организаций госсектора ожидают серьезные простои в случае аварии. Две трети респондентов признались, что не контролируют операции аварийного восстановления должным образом, а почти половина (47%) опрошенных заявили, что руководство не оказывает должной поддержки в вопросах резервного копирования и аварийного восстановления. На вопрос о том, привело ли рекордное количество стихийных бедствий в 2011 году к росту приоритета защиты данных, лишь один из пяти (21%) опрошенных заявил, что довел эту проблему до сведения вышестоящего руководства.
Результаты исследования также показывают, что госсектор относительно медленно внедряет виртуализацию по сравнению с другими отраслями. Четверть (23%) всех организаций госсектора пока вообще не внедряли виртуализацию. Госсектор также хуже всех защищает виртуальные серверы: 70% респондентов заявили, что они либо не выполняют резервное копирование этих серверов, либо не уверены, что виртуальные серверы проходят резервное копирование так же часто, как физические.
Облачные технологии показали себя альтернативой для госсектора, поскольку 92% опрошенных планируют использовать облачные технологии в следующие 12 месяцев, а половина (55%) соглашается, что облака позволяют сократить операционные издержки. Часть (39%) опрошенных не имеют никакой стратегии резервного копирования во внешнее хранилище, так что в случае полномасштабной катастрофы им не удастся выполнить восстановление.
Подавляющее большинство (76%) опрошенных ИТ-менеджеров из госсектора уверены, что главная проблема их гибридных сред заключается в перемещении данных между физическими, виртуальными и облачными системами. Стоит отметить, однако, что по результатам опроса большинство организаций все еще не консолидировали свои инструменты резервного копирования и аварийного восстановления для решения этой проблемы. Чаще всего в организациях используется сразу несколько таких инструментов, причем около трети (32%) опрошенных используют для защиты данных не менее трех решений. Две трети (63%) опрошенных используют разные решения для физических и виртуальных сред.


"Лаборатории Касперского" в ходе исследования выяснила, каким контентом на ПК, ноутбуках, нетбуках, смартфонах и планшетах пользователи дорожат более всего.
В частности, респондентам предложили выбрать три самых ценных вида контента на своих девайсах. Более всего российские владельцы персональных электронных устройств беспокоятся за фото- и видеоконтент собственного производства (42% респондентов). Еще 36% опрошенных пользователей включили в тройку такие важные конфиденциальные данные, как пароли и другие детали персональных аккаунтов, которые также зачастую хранятся в памяти гаджетов, а не их хозяина. Для многих пользователей потеря электронной книги контактов сродни потери памяти, ведь в современном мире практически никто не заботится о запоминании большого количества номеров телефонов или адресов e-mail. Поэтому 32% респондентов оценили данные записной книги как наиболее важные и ценные. Большинством голосов адресная книга замыкает тройку лидеров.
Рейтинг ценных видов контента российских пользователей продолжили документы личного характера (не связанные с работой); банковские данные (номера счетов, кредитных карт и т.п.); личная переписка по e-mail; программное обеспечение на устройстве; рабочие документы, развлекательный контент (фото, видео и музыка из сторонних источников); учебные материалы, рабочая переписка и электронные книги.
Наиболее опасными в руках злоумышленников российские пользователи посчитали чужие логины и пароли от аккаунтов, а также банковские данные (64% и 55% опрошенных соответственно). В этом наши соотечественники оказались единодушны с большинством европейцев. Также в тройку самых опасных для утраты данных респонденты включили адресную книгу (32% опрошенных). В нашей стране известно много случаев, когда полученные нелегальным путем базы данных использовались для рассылки спама, вымогательства, банального обмана, в том числе пожилых людей.


Конкурсы

>RuCTF 2012. Финал, http://ructf.org. С 17 по 22 апреля 2012 года в Уральском федеральном университете в Екатеринбурге проходил финал ежегодных Всероссийских межвузовских соревнований по защите информации - RuCTF 2012. Участие в финале приняли 11 команд из 10 вузов России: RuCTF - это ежегодные Всероссийские межвузовские соревнования по защите информации. Начиная с 2009 года, RuCTF проводится в два этапа. В этом году отборочный этап проводился через Интернет с 16 по 18 марта. Участие в отборе приняли около 600 человек из 79 команд со всей страны, от Калининграда до Владивостока. За двое суток командам предлагалось решить более 40 заданий из различных областей информатики, объединенных в категории - криптография, стеганография, администрирование, reverse engineering, экстремальное программирование и файловая экспертиза. Отборочные соревнования проводились на специальном сервисе blackbox.sibears.ru, разрабатываемом командой из Томского государственного университета. На этом ресурсе можно найти задания отборочного тура.
Финал в этом году проводился по отличной от привычной всем схемы. Обычно целью финала соревнований является захват флагов, - приватной информации других команд, - и защита своих флагов от кражи. В этом году основной темой финальных соревнований стали деньги. Команды предстали в роли крупных холдингов, которые боролись между собой в гонке за обогащением, зарабатывая и защищая от хищений виртуальные деньги. Полную версию легенды можно найти в официальной рассылке соревнований.
По итогам соревнований первое место заняла команда из Балтийского федерального университета имени И. Канта (г. Калининград), второе место увезла с собой команда Томского государственного университета, а третье место в жаркой битве отвоевала команда из Челябинского государственного университета. Призерам соревнований традиционно были вручены дипломы и кубки, а победители увезли с собой и переходящий кубок соревнований. Полная таблица результатов выступления команд доступна на сайте соревнований.
Помимо финала соревнований по защите информации в рамках RuCTF 2012 также прошел новый вид соревнования для системных администраторов - VSFI. Командам предлагалось посоревноваться в умении быстро и эффективно принимать меры для организации нормального функционирования информационной структуры предприятия. Подробное описание доступно на сайте соревнований. Участниками первых соревнований для системных администраторов стали команды из Дальневосточного федерального университета и Honeypot из Владимирского государственного университета. Организаторами данных соревнований выступила команда из Самарского государственного аэрокосмического университета имени академика С.П. Королева.
За более подробной информацией обращайтесь по адресу info@ructf.org.


Российский программист Сергей Глазунов, принявший участие в организованном Google конкурсе для хакеров Pwnium, первым обнаружил критическую уязвимость в браузере Chrome. За это он получит вознаграждение от Google в $60000.
Найденная Глазуновым "брешь" связана с UXSS-атакой и историей навигации в Chrome. Детали этой уязвимости Google раскроет после того, как большинство пользователей установит обновление безопасности.
Конкурс для хакеров Pwnium проходил в Ванкувере в рамках конференции по компьютерной безопасности CanSecWest. Согласно условиям соревнования, тот, кто сможет найти "дыры" в Chrome, получит от Google от $20 тысяч до $60 тысяч в зависимости от характера уязвимости. Общий премиальный фонд составляет $1 млн.


Происшествия

Сотрудники компании McAfee сообщили, что можно удаленно взломать управление инсулиновой помпой.
Эти насосы в настоящее время являются очень популярным вариантом для пациентов, страдающих сахарным диабетом, потому что они не должны беспокоиться о дозе инсулина. Данная опасность не только угроза для медицинских имплантатов. Ученые из Университета штата Массачусетс смогли с помощью радиопередатчика генерировать помехи для дефибриллятора, который обычно находится в сердце пациента после инфаркта миокарда.
Имплантаты этого типа становятся все более популярными, так как они становятся все дешевле и проще в производстве и помогают намного облегчить жизнь больным. Все больше и больше таких имплантантов оснащаются радиопередатчиками, чтобы облегчить, в свою очередь, работу для врачей, которым необходимо обновлять эти устройства или адаптировать к потребностям отдельных пациентов. Это также избавляет пациента от необходимости в дорогостоящей операции.
И здесь возникает проблема, так как безопасность радиосвязи может быть нарушена.
Один из сотрудников компании McAfee наглядно продемонстрировал способ управления инсулиновой помпой. Это устройство включает в себя 300 единиц инсулина - необходимую дозу в течение 45 дней. Хакер смог выпустить всю дозу за один раз, - что для пациента, оснащенного данным устройством, может привести к гипогликемии - значительному снижению уровня сахара в крови, что в конечном итоге повлечет за собой смерть. Как правило, насос имеет встроенный вибрирующий сигнал, когда инсулин вводится, но и эту безопасность хакер сумел обойти. Более того, - он был в состоянии сделать все это с расстояния 90 метров.
Уже в 2008 году группа исследователей из Университета штата Массачусетс наглядно продемонстрировала, что хакеры могут провести аналогичные атаки на пациентов с имплантированным дефибриллятором.
К сожалению, с такими нападениями трудно бороться, потому что связи шифрования требуют дополнительной энергии, в чем любой имплантат весьма ограничен. Каждая замена батареи связана с дорогой и не очень безопасной для пациента операцией.


В марте 2012 российские правоохранительные органы совместно с исследовательской группой Group-IB завершили расследование преступной деятельности группы лиц, участвовавших в краже денег с использованием банковского троянца Carberp. Пресс-служба Управления "К", сообщила, что в группу входило восемь человек, жертвами злоумышленников были клиенты десятков российских банков, и было совершенно хищений на сумму около 60 млн рублей. Результатом расследования стал арест злоумышленников. Однако пока автор троянца и владельцы партнерских сетей для его распространения остаются на свободе. Троянец Carberp продолжает продаваться на специализированных форумах.


Портал по информационной безопасности SecurityLab обнародовал результаты исследования компьютерных уязвимостей за 2011 год. В центре внимания специалистов оказались SCADA-системы, CMS, программы компании Adobe, почти все браузеры и семейство ОС Windows.
В отчете указано, что всего за год было описано 4733 уязвимости. К 1 января производители программного обеспечения смогли устранить только 58% уязвимостей и выпустить инструкции по устранению для еще 7%. Таким образом, больше трети уязвимостей остались открытыми для киберпреступников.
Аналитики также отметили рост числа уязвимостей нулевого дня в продуктах Adobe. В минувшем году их число достигло семи (по этому параметру Adobe обогнала компанию Microsoft, в продуктах которой было обнаружено пять уязвимостей этого типа). В числе свежих примеров - обнаруженная в конце 2011 года уязвимость с идентификатором CVE-2011-2462 в Adobe Reader, которая использовалась для взлома компании ManTech, подрядчика министерства обороны США.
Наиболее защищенным браузером в отношении количества уязвимостей, найденных в 2011 году, стала Opera. Во всех распространенных приложениях этого типа кроме Opera было обнаружено большое количество уязвимостей высокой степени опасности, которые могут использоваться для компрометации системы. Кроме того, в минувшем году у ведущих браузеров было найдено четыре уязвимости критической степени опасности, которые использовались злоумышленниками для проведения успешных атак на различные компании. Три из них пришлись на Internet Explorer, и одну обнаружили в Chrome 11.x.
По сравнению с другими ОС, у Windows было найдено больше всего уязвимостей. Она держит лидерство как в общем зачете (92 уязвимости), так и в индивидуальном (у этой ОС в отчетный период была опубликована информация о 2 критических уязвимостях). С другой стороны, максимальное число уязвимостей высокой степени опасности (33) обнаружили в Mac OS. У Windows их нашли 22, а в разных версиях Linux - всего одну.
В серверном ПО широкое распространение получили уязвимости в SCADA-системах: в 17 уведомлениях безопасности было описано 37 уязвимостей. Интерес исследователей к программной части АСУ ТП не случаен: именно в последние два года получили распространение вирусы, нацеленные на приложения для промышленной автоматизации.
Наилучшие условия для несанкционированных проникновений в сегменте веб-приложений предоставляют системы управления содержимым (18%). Киберпреступники постоянно ищут уязвимости в CMS и находят их в большом количестве (204 уязвимости за год).
Администраторам сайтов, построенных на популярных платформах, необходимо не только контролировать подозрительную активность, но и оперативно устанавливать обновления для CMS. Следует не забывать также о веб-форумах, которые удерживают второе место по количеству уязвимостей (7%).
Рассмотрев все уязвимости за год, специалисты заключили, что злоумышленник мог работать удаленно при эксплуатации 77% уязвимостей. Для 15% требовалась локальная сеть, а для 8% - личное присутствие или инсайдерская информация.
24% уязвимостей позволяли преступнику скомпрометировать систему, выполнив произвольный код на компьютере жертвы. Еще 21% обнаруженных "дыр" подходил для XSS-нападения, 15% могли быть использованы для отказа в обслуживании, 13% - для раскрытия важных данных, 12% - для неавторизованного изменения данных.
Весной и летом 2011 года тегеранские хакеры последовательно взломали серверы удостоверяющих центров Comodo и DigiNotar. Второй случай оказался особенно плодовитым. Часть украденных сертификатов безопасности принадлежали ЦРУ, Моссаду и МИ-6. Помимо международной киберразведки похищенные "цифровые паспорта" использовались для атак типа man-in-the-middle. Киберпреступник пропускал интернет-траффик "клиента" через собственный прокси-сервер, где браузер жертвы встречался с фальшивым сертификатом и выдавал информацию в незашифрованном виде. Под ударом оказались пользователи Интернет-банкинга, почтовых онлайн-служб и других сервисов, использующих SSL-сертификаты.
В мае 2011 года были пойманы румынские хакеры, взломавшие системы обработки транзакций торговых терминалов и 3 года перехватывавшие данные платежных карт клиентов. Основной удар пришелся по компании Subway. Проникновение в ЛВС Subway, согласно информации The Wire, осуществлялось через беспроводные сети в ресторанах, а сами терминалы не соответствовали стандартам безопасности индустрии платежных карт (PCI DSS). Кроме того, специалисты, осуществляющие удаленную техподдержку терминалов, не только не устанавливали обновления для приложения удаленного администрирования PCAnywhere, но и выбрали простейшую комбинацию логина и пароля в более чем 200 системах.


В начале 2012 года специалисты компании ESET обнаружили ботнет, управляемый через официальный сайт правительства Грузии.
Ботнет получил название Win32/Georbot. Целью создания данного ботнета является похищение документов и цифровых сертификатов с зараженных компьютеров. Еще одна особенность этой вредоносной программы заключается в том, что она ищет на инфицированном ПК файлы конфигурации RDP (Remote Desktop Connection) с целью дальнейшего хищения и получения несанкционированного доступа к ним. Кроме того, бот способен создавать аудио- и видео-записи и собирать информацию о локальной сети.
На сегодняшний день ботсеть Georbot по-прежнему активна, последние ее обновления были зафиксированы 20 марта 2012 года.
Аналитики ESET отмечают, что Georbot имеет механизм обновлений, который позволяет ей оставаться незамеченной для обнаружения антивирусными программами. У ботнета также есть резервный механизм получения команд на случай недоступности основного командного центра - это подключение к специальной веб-странице, размещенной на одном сервере с официальным сайтом грузинского правительства.
По данным компании ESET, Win32/Georbot ориентирован в первую очередь на компьютерных пользователей Грузии. Из всех зараженных компьютеров, которые специалистам удалось обнаружить, 70% находились в Грузии, затем следует США со значительно более низким показателем (5,07%), далее идут Германия (3,88%) и Россия (3,58%).
Аналитикам компании ESET также удалось получить доступ к центру управления ботнетом, содержащим информацию о числе зараженных ПК, их местоположении и передаваемых командах. Среди полученной информации определенный интерес представляют ключевые слова, используемые для поиска документов, которые интересуют злоумышленников. В списке ключевых слов - министерство, служба, секретно, говорит, агент, США, Россия, ФБР, ЦРУ, оружие, ФСБ, КГБ, телефон, номер и др.
Специалистами установлено, что такие возможности ботнета, как запись видео с помощью веб-камеры, получение снимков рабочего стола, проведение DDoS-атак были применены не один раз.


По статистике, основанной на данных Управления "К" БСТМ МВД России, в 2011 году по ст.146 УК РФ больше всего нарушений пришлось на "черных внедренцев" - установщиков пиратского ПО под видом технической помощи (32%), на "лоточников" - продавцов нелицензионных продуктов - 30%. Организаций, использующим нелегальное ПО, среди всех нарушителей было выявлено порядка 18%. Медленно, но устойчиво растет число выявленных преступлений в телекоммуникационных сетях, в т.ч. Интернет - 10%.


В ходе проведения детального анализа вредоносного кода троянца Duqu эксперты "Лаборатории Касперского" пришли к выводу, что часть вредоносной программы написана на неизвестном языке программирования.
Duqu представляет собой сложную троянскую программу, созданную авторами червя Stuxnet. Главная задача Duqu - обеспечить доступ в систему с целью кражи конфиденциальной информации. Впервые этот троянец был обнаружен в сентябре 2011 года, однако, по данным "Лаборатории Касперского", следы вредоносного кода, имеющего отношение к Duqu, появились еще в августе 2007 года. Специалисты компании зафиксировали более десятка инцидентов, произошедших при участии этого зловреда, причем большинство его жертв находились в Иране. Анализ рода деятельности организаций, пострадавших в результате соответствующих инцидентов, а также характера информации, на получение которой были направлены атаки, позволяет предположить, что основной целью создателей троянца была кража информации об автоматизированных системах управления, используемых в различных отраслях промышленности, а также сбор данных о коммерческих связях ряда иранских организаций.
Одним из важнейших нерешенных вопросов, связанных с Duqu, является то, как эта троянская программа обменивалась информацией со своими командными серверами (C&C) после заражения компьютера-жертвы. Модуль Duqu, отвечающий за коммуникацию с командными серверами, является частью его библиотеки с основным кодом (Payload DLL). При детальном изучении данной библиотеки эксперты "Лаборатории Касперского" обнаружили, что часть ее кода, отвечающая за коммуникацию с командным сервером, написана на неизвестном языке программирования, и назвали этот участок "Фреймворк Duqu".
В отличие от остального кода Duqu, Фреймворк Duqu не написан на языке C++ и скомпилирован не при помощи Microsoft's Visual C++ 2008. Возможно, авторы использовали собственные средства разработки для генерации промежуточного кода на C, либо они использовали совершенно иной язык программирования. В любом случае, эксперты пришли к выводу, что язык является объектно-ориентированным и оптимально подходит для разработки сетевых приложений.
Язык, использованный в Фреймворке Duqu, является высокоспециализированным. Он позволяет Payload DLL работать независимо от остальных модулей Duqu и обеспечивает подключение к выделенному командному серверу несколькими способами, в т.ч. через Windows HTTP, сетевые сокеты и прокси-серверы. Он также позволяет библиотеке обрабатывать прямые HTTP-запросы от командного сервера, незаметно пересылает копии украденных данных с зараженной машины на командный сервер и даже может доставлять дополнительные вредоносные модули на другие компьютеры в составе сети, т.е. создает возможность контролируемо и скрытно распространять заражение на другие компьютеры.
Принимая во внимание чрезвычайно высокий уровень кастомизации и эксклюзивности, имевший место при создании языка программирования, можно предположить, что он был разработан с целью не только затруднить понимание сторонними лицами особенностей операции по кибершпионажу и взаимодействия с командными серверами, но и отделить этот проект от работы других групп, участвовавших в создании Duqu и отвечавших за написание дополнительных элементов вредоносной программы.
Проанализировав большое количество сообщений, полученных от программистов со всего мира, эксперты "Лаборатории Касперского" пришли к выводу, что Фреймворк Duqu состоит из исходного кода, написанного на языке C, скомпилированного и оптимизированного с помощью MS Visual Studio 2008. Кроме того, при разработке использовалось объектно-ориентированная надстройка С (ОО С). Подобный стиль программирования присущ серьезным "гражданским" программным проектам и не встречается в современном вредоносном ПО.
Точный ответ на вопрос, почему для Фреймворка Duqu использовали OO C, а не С++, пока не найден. Однако, по мнению экспертов "Лаборатории Касперского", наиболее вероятными причинами могут являться следующие:

Подробный анализ Фреймворка Duqu доступен в блоге Игоря Суменкова на сайте http://www.securelist.com/ru/blog/207763871/Freymvork_Duqu_zadacha_reshena.
В марте 2012 был обнаружен новый драйвер, практически аналогичный тем, которые ранее использовались в Duqu. Это означает, что после четырех месяцев перерыва авторы троянца вновь вернулись к работе.



Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка

Рассылка анонсов газеты по электронной почте

Главная страница

Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.

Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru