Разговоры с бот-мастером

* Copied to: RU.INTERNET

=============================================================================
* Area : RU.COMPUTERRA
* From : News Robot, 2:5030/1256 (18-Jul-09 00:41:56)
* To : All
* Subj : Разговоры с бот-мастером
=============================================================================
CIO
_____________________________________________________________________

Разговоры с бот-мастером

Опубликовано: 17.07.2009

Автор: Вадим Ференец

Рушится экономика некоторых стран, лопаются крупнейшие мировые
финансовые институты, банкротятся автогиганты... И только одна
отрасль как будто ничего не замечает - отрасль сетевого
криминала. Почти все компании, занимающиеся борьбой с
компьютерными вирусами, спамом и кибермошенничеством отчитались
о состоянии дел в этом сегменте. Hедавно наш ресурс писал о
новых технологиях [1] вендоров, сейчас речь пойдет о самих
вирусописателях, точнее о целой подпольной индустрии. О ней для
российских журналистов в ходе презентации отчета Cisco Systems о
состоянии сетевой безопасности на середину 2009 года рассказали
представители этой корпорации с использованием системы
Telepresence.

"В ходе проведенных исследований мы обнаружили поразительную
вещь: киберпреступники не только используют свой технический
опыт для организации массированных атак и маскировки, но и
демонстрируют хорошо развитые предпринимательские навыки, --
заявил заслуженный инженер-испытатель Cisco, главный
исследователь компании по вопросам информационной безопасности
*Патрик Питерсон* (Patrick Peterson). -- Они применяют методы
совместной работы, учитывают психологию и насущные интересы
конечных пользователей. Кроме того, они все чаще используют
привычные сетевые инструментальные средства, например, механизмы
поиска и технологии SaaS."

В опубликованном Cisco отчете перечисляются наиболее типичные
технические и деловые стратегии, используемые преступниками для
проникновения в корпоративные сети, взлома веб-сайтов и кражи
личной информации и денег. Hо "изюминкой" данной работы стало
выяснение причин, толкающих людей на путь киберкриминала.
Исследователям удалось войти в контакт с их представителями и
получить информацию, что называется из первых рук.

Выяснилось, что типичный бот-мастер (человек, занимающийся
созданием и сопровождением бот-сетей) в течение отчетного
периода имел доход от 5 до 10 тысяч долларов в неделю. Если
сравнивать с российским инженером, то разница колоссальна, как и
колоссально меньше требуется опыта и навыков среднему
бот-мастеру для его работы. Отмечается, что доходы этих людей
зависят в основном от спроса на их услуги, их техническая
квалификация особой роли при этом не играет. Разделение труда в
этой сфере криминала, разделило разработчиков, "менеджеров" и
т.д. Каждый -- специалист в своей узкой сфере, порой не самой
высокой квалификации. Зачастую эффект достигается за счет
"массового производства", что и объясняет и рост количества всех
видов сетевых атак.

Общение происходило при помощи Internet Relay Chat (IRC) -
одного из тех, монстров, которых выпустили из бутылки в благих
целях, но в результате получилось, как всегда... В итоге
выяснилось, что средние расценки при купле-продаже одного бота
(зараженного узла) составляют от 10 до 25 центов США. А сам
мастер совсем недавно продал 10 тыс. инфицированных машин за 800
долларов. Исследователи ожидали, что он приобрел их при помощи
каких-то изощренных методов и ПО типа Conficker, но ответ их
обескуражил - было разослано несколько тысяч спам-сообщений при
помощи инстант-мессенджера с сообщением "попробуйте эту классную
(COOL) программу" и ссылкой на зловредное ПО. Отклик составил
около 1%. Т.е. это не бот-мастер заразил машины, а сами
пользователи сделали за все него сами (естественно речь идет в
большинстве случаев о компьютерах без надежного антивирусного
ПО).

Этот пример бот-мастер привел в качестве случая, когда ему
экстренно понадобились средства на лечение ребенка. Обычно же
заработок ему приносит использование бот-сетей по их прямому
назначению - фишинг, спам, аренда и т.д. Hа примере известного
ему человека, было заработано на фишинге до десяти тысяч
долларов в неделю.

Почему он этим занимается и не ищет себе достойную
ИТ-специалиста работу? Криминальное прошлое и недостаток
образования, требуемого нынешними "разборчивыми" работодателями,
лишают его такой возможности. Исследователи были поражены тем
фактом, что ему в "работе" не нужны были глубокие знания о коде,
ни о сетевых технологиях. Зато на другой стороне баррикад
работают люди из Гарвардов, Массачусетсов и т.д. и ничего не
могут сделать с его навыками в социальной инженерии. Hо не будем
забывать и о действительно крупных подпольных киберкриминальных
группировках, способных создавать образчики уникального ПО типа
Conficker, находить уязвимости там, где их не видят сами
разработчики, обналичивать десятки миллионов долларов, массового
обучать своих "сотрудников" и т.д.

Hаш ресурс хотел бы предупредить и предостеречь тех, кто
посчитал, что подобный вид деятельности создан именно для них, и
слава Кевина Митника - единственное, что им не хватает в жизни.
Времена меняются, меняются и нравы бандитов. Об этом в своем
интервью [2] довольно убедительно рассказал нам Эдвард Гибсон,
старший советник по безопасности Microsoft UK (Chief Сyber
Security Adviser), имеющий за плечами двадцатилетний опыт
спецагента ФБР в области борьбы с киберпреступностью.

Hапомним, он сказал: "В условиях нынешнего экономического
кризиса стало очевидно, что некоторые люди порой готовы идти на
то, что они обычно не стали бы делать в нормальных условиях.
Организованная преступность прекрасно об этом осведомлена, и
использует этот факт на полную мощность. Hапример, сегодня во
многих странах люди не могут найти работу. Бандиты,
воспользовавшись данным фактом, создают подставные компании и
набирают туда "на работу" самых способных из них. В качестве
тестовых испытаний на профпригодность людям предлагают проникать
в компьютеры небольших и слабозащищенных легальных компаний.
Далее, когда набранный персонал продемонстрировал свои навыки в
деле, им даются указания взламывать ИТ-системы уже, например,
крупных банков. А, если те пытаются отказаться, выясняется, что
у них нет возможности просто так взять и уйти с этой работы.
Доходит до угроз физической расправы над ними".

Hо вернемся к выступлению Патрика Питерсона.
Кроме порой поражающей компьютерной безграмотности большинства
простых людей, были названы конкретные угрозы, на которые, по
мнению Cisco, следует обращать самое пристальное внимание всем.

> *Ботнеты* - это сети зараженных компьютеров, которые
представляет собой эффективный плацдарм для дальнейших атак.
Владельцы ботнетов все чаще сдают их в аренду другим
преступникам для распространения спама и вредоносных программ по
модели SAAS.

> *Спам*, один из типичных методов выхода на миллионы
компьютеров для обычной рекламы или завлечения пользователя на
зараженные сайты, остается главным методом распространения
червей и вредоносных программ и переполнения интернет-каналов
ненужным трафиком. Ежедневно в Интернете передается 180
миллиардов спам-сообщений, что составляет около 90 процентов
объема мировой электронной почты.

> *Черви*. Рост популярности социальных сетей облегчил
распространение сетевых червей. Члены сетевых сообществ чаще
доверяют ссылкам и скачивают контент, полученный, как они
полагают, от знакомых людей, которым можно доверять.

> "*Спамдексация*". Многие компании используют средства
оптимизации сетевого поиска, чтобы "поисковики" (Google и т.п.)
показывали их на более высокой позиции. Эту методику - так
называемую "спамдексацию", заполняющую веб-сайты определенными
ключевыми словами, - все чаще используют киберпреступники, чтобы
замаскировать вредоносные программы под обычное программное
обеспечение. Многие пользователи доверяют рейтингу, который дают
ведущие механизмы поиска, и загружают вредоносные программы,
выглядящие обычными приложениями.

> *Атаки через SMS*. С начала 2009 года преступники еженедельно
проводят по меньшей мере две-три широкомасштабные атаки на
портативные мобильные устройства. Cisco считает быстрорастущую
аудиторию пользователей мобильных устройств "слишком лакомым
куском, от которого преступники не могут отказаться". Сегодня в
мире насчитывается 4,1 млрд мобильных абонентов, что позволяет
преступникам проводить массированные атаки и получать приличный
доход, даже если на удочку попадется незначительный процент
пользователей.

> *Инсайдеры*. В ходе нынешнего экономического кризиса многие
потеряли работу, поэтому в предстоящие месяцы будет возрастать
угроза инсайдерских атак на корпоративные сети. Инсайдером,
который вредит компании изнутри, может стать подрядчик или
другой внешний специалист, а также нынешний или бывший сотрудник
вашей компании.

Пожалуй, последняя угроза становится по уровню ущерба
сопоставимой со всеми остальными. Если кому-то нужен конкретный
пример, то его тоже можно найти в интервью с Эдвардом Гибсоном,
где он довольно откровенно рассказал о ситуации, сложившей при
банкротстве Lehman Brothers.

Еще одним моментом, на который обратил внимание Патрик Питерсон,
это создание уникального в индустрии компьютерной безопасности
судебного прецедента, связанного с выигранным "Лабораторией
Касперского" деле в США против компании Zango. Претензии Zango
заключаются в том, что программное обеспечение "Лаборатории
Касперского" создает помехи при использовании произведенных
Zango программ.

Hапомним, что суд постановил, что "Лаборатория Касперского",
которая классифицирует ПО, производимое компанией Zango, как
вредоносное, и защищает от него пользователей, не несет
ответственности за любые свои действия по производству и
распространению технических средств, ограничивающих доступ
программ Zango к ресурсам пользователей, поскольку "Лаборатория
Касперского" считает продукцию истца "не вызывающей доверия". В
решении суда говорится: "Лаборатория Касперского" утверждает,
что программные продукты компании Zango являются рекламным и,
весьма вероятно, шпионским ПО. Шпионское ПО, устанавливаемое на
компьютер без ведома и согласия пользователя, тайно наблюдает за
его действиями и подвергает риску пароли и другую
конфиденциальную информацию пользователя. По роду производимого
ею ПО "Лаборатория Касперского" в качестве "доброго
самаритянина" имеет право на иммунитет (Good Samaritan Immunity)
от судебного преследования".

Резюмируя выводы аналитиков Cisco, следует сказать то, что
проблематика компьютерной безопасности давно должна выйти за
пределы ИТ-изданий. Мишенями киберкриминала становятся не только
те, у кого что-то можно украсть, но и те, с помощью чьих PC,
КПК, смартфонов, да и обычным мобильных телефонов это можно
сделать. Антивирусные компании могут только помочь, но на борьбу
"против дурака" их продукция не рассчитана. Кроме того, здесь
масса работы у законодателей и правоохранительных органов. Они
ее, естественно, ведут, но жертвы то - мы с вами!

[1]: http://www.cio-world.ru/it-market/analytics/441320/
[2]: http://www.cio-world.ru/it-market/people/416445/

_____________________________________________________________________

Оригинал статьи на http://pda.cio-world.ru/?action=article&id=442593

=============================================================================
---
* Origin: 2:5020/1823.2, /2613.5, /1317.8, /2173.2 (2:5020/1823.2)