На сегодняшний день соревнование «снаряда и брони» между вредоносным ПО (сюда входит широчайший ассортимент самого разного кода, начиная от старомодных вирусов и заканчивая современными хитрыми скриптами, которые вообще не записываются на жесткий диск, работая только в оперативной памяти – так их сложнее обнаружить) и антивирусной защитой активно продолжается.
Антивирусное ПО обзаводится все новыми функциями, которые позволяют ему реагировать на очень широкий спектр угроз, не обязательно связанных со взломом компьютера, но угрожающих безопасности данных пользователя.
Также операционные системы и приложения становятся все более защищенными, причем это касается как качества кода, так и специализированных защитных механизмов. Уязвимости по-прежнему находят, но зачастую (если не брать «детских» ошибок при создании новых технологий) искать их становится все сложнее и затратнее.
Вредоносное ПО тоже становится все совершеннее. Лучшие образцы представляют собой хорошо написанные, замаскированные, аккуратно и незаметно действующие системы, способные обмануть и сложную современную защиту. Встречаются также мощные платформы с большим количеством модулей – одни занимаются проникновением в систему и ее взломом, другие закрепляются в ней и устанавливают нужные функциональные модули, которые, в свою очередь уже делают то, что задумал хозяин такого ПО.
Продолжает активно действовать черный рынок, где можно купить информацию об уязвимости, заказать разработку или доработку вредоносного кода и много чего еще.
Например, создатели одного из самых коварных шифровальщиков Petya сдают свой код (напомним, Petya – это шифровальщик, он шифрует данные пользователя, и за их обратную расшифровку нужно заплатить немаленький выкуп) другим злоумышленникам для распространения за долю от полученного выкупа.
Впрочем, зачастую встречаются и довольно простые, сделанные чуть ли не «на коленке» образцы вредоносных программ, которые иногда оказываются удивительно эффективными, потому что многие пользователи не устанавливают обновления безопасности, не используют защитных решений, а иногда даже умудряются сами запустить их на своем компьютере.
Охота на пользователей (банковские трояны, блокировщики, вымогатели, шифровальщики)
В настоящее время вирусов, которые «просто так», практически не осталось. Современное вредоносное ПО – это продукт сложного рынка, требующий серьезных трудозатрат для разработки. Поэтому он должен иметь свой бизнес-план и как-то окупаться.
Для примера, самые безобидные из всех вредоносных программ – это рекламные модули. Они устанавливаются в систему без согласия пользователя либо обманом и занимаются тем, что подменяют «чужую» рекламу на интернет-страницах на «свою», либо показывают пользователю свою дополнительную рекламу.
На фоне других, действительно опасных вариантов вредоносного ПО, это мелочь. Но они тоже могут замедлять работу компьютера, вызывать ошибки, а иногда через них в компьютер попадают другие, более опасные вредоносные программы.
Банковские трояны – остаются одним из наиболее популярных видов угроз. Его цель – украсть или подменить учетные данные для входа в интернет-банк и вывести деньги. В связи с распространением двухфакторной аутентификации им стало сложнее, но банковские трояны успешно эволюционируют: либо они включают в себя версию для мобильного устройства, которая должна перехватывать SMS с подтверждением и отправлять их злоумышленнику, либо полностью написаны под мобильное устройство.
«Настольные» банковские трояны способны заражать подключенное к компьютеру мобильное устройство (обычно – на базе Android). Другим способом работы является перехват соединения, когда вредоносное ПО встраивается между пользователем и сайтом банка, перехватывая вводимую информацию. В этом случае пользователь вводит данные нужной транзакции, получает одноразовый код, вводит его… только этот код подтверждает совсем не ту транзакцию, что он планировал.
Блокировщики блокируют компьютер и предлагают жертве заплатить за разблокировку. Расчет их авторов на то, что пользователь испугается и заплатит деньги вместо того, чтобы обратиться к специалистам. Поэтому большинство из них маскируются под уведомления от правоохранительных органов и пишут что-то типа «ваш компьютер заблокирован за распространение детской порнографии» – многие стыдятся обращаться за помощью, если их обвиняют в таком преступлении, пусть и безосновательно.
Как правило, блокировщики работают поверх системы, поэтому их относительно легко «вычистить». Под Windows они не доставляли особо серьезных проблем (если их функциональность ограничивалась только блокировкой), а вот для Android было несколько вариантов, которые настолько глубоко встраивались в систему, что ее невозможно было удалить даже сбросом ОС.
Шифровальщики – самый опасный и неприятный вид современного вредоносного ПО. Попав в систему, эти программы шифруют данные на дисках пользователя (либо целиком, либо пользовательские, специально выискивая документы, фотографии и пр.). А потом требуют за это выкуп.
Расчет прост: если ПК можно достаточно легко и относительно недорого восстановить (даже если потребуется переустановка операционной системы), то личные данные – это то, что для пользователя ценнее всего, поэтому за них он готов будет раскошелиться. Сумма выкупа варьируется около 300-500 долл., но иногда подскакивает и выше.
Многие шифровальщики содержали или содержат ошибки в реализации шифрования, которые позволяют антивирусным компаниям разработать средства для расшифровки файлов пострадавших пользователей.
Такие утилиты обычно распространяются бесплатно, либо антивирусные компании вам помогут в создании утилиты или ключа, поэтому если вы все-таки заразились, стоит узнать – вдруг можно не платить.
В других шифровальщиках, наоборот, из-за ошибок разработчиков расшифровка невозможна. Или не планировалась изначально, ведь главное для преступника – получить деньги.
Иногда, впрочем, вымогатели оказываются джентльменами – получив выкуп, оказывают техподдержку в расшифровке, а кто-то даже присылал ключ бесплатно человеку, который пожаловался на материальные трудности у его большой семьи.
На мой взгляд, на сегодня шифровальщики – самая неприятная угроза, поскольку лишает пользователя дорогих ему файлов и заставляет платить унизительный выкуп за их возврат.
Надо отметить, что всплеск активности шифровальщиков последних месяцев (шифровальщики Wannacry, Petya, позднее переименованный в ExPetr) вызван отнюдь не активностью вирусописателей. Эпидемии стали возможны из-за того, что совсем другими хакерами были украдены и выложены в открытый доступ уязвимости Windows и других систем, которые использовали в своих целях спецслужбы США (в первую очередь, АНБ и ЦРУ).
В частности, эпидемии указанных шифровальщиков начались из-за того, что в современных системах (и Windows, и Linux) сохраняется поддержка старых версий протокола SMB (он служит для передачи файлов по сети), которым больше 20 лет и которые совершенно не соответствуют современным требованиям безопасности.
После того, как хакеры взломали и американские спецслужбы и выложили их арсенал кибероружия в свободный доступ, появление новых видов вредоносного ПО, использующих эти дыры, было вопросом времени. Однако к моменту эпидемии шифровальщиков эти уязвимости в Windows уже несколько месяцев как были закрыты обновлениями безопасности, поэтому заразились только те системы, где обновления отключены. При этом большинство антивирусов оказались бесполезными и не смогли остановить эпидемию.
Исследователи Google недавно посчитали, проанализировав движение криптовалюты Bitcoin, что общий доход от всех вирусных эпидемий за последнее время составил 25 млн долларов.
Впрочем, эксперты предполагают, что крупнейшие эпидемии Wannacry и ExPetr – это не действия вымогателей с целью получить деньги, а политический саботаж, направленный на уничтожение информации и нанесение максимального ущерба предприятиям и госструктурам, а частные пользователи – «побочный ущерб».
Новые направления атаки: интернет вещей (IoT)
Однако, как мы уже говорили, взламывать современные ОС злоумышленникам становится все сложнее, потому что уровень защиты постоянно растет, а использованные уязвимости практически мгновенно закрываются.
В этой связи очень перспективным выглядит другое направлений атак – это интернет вещей.
Всевозможные камеры, сетевые и бытовые устройства, исполнительные механизмы с электронной начинкой и многие другие устройства, подключенные к интернету – лакомый кусок для взлома.
Этот рынок сейчас активно развивается и скорость вывода новинки на рынок – критически важная, а иногда и основная характеристика продукта. Поэтому ПО делают по принципу «тяп-ляп – и быстрее в производство!» Никто не следит за безопасностью, надежностью, проверками и т.д.
В результате под современные «умные» устройства сделать вредоносное ПО очень просто. При этом «вылечить» их и закрыть уязвимости сложно: как правило, в устройствах интернета вещей не предусмотрено автоматическое обновление, а вручную их обновлять никто не будет, пока они работают.
При этом та же IP-камера – это полноценный маленький компьютер, включенный в домашнюю или корпоративную сеть. В некоторых случаях, получив к нему доступ, можно дальше сломать защиту всей сети изнутри – либо даже просто использовать саму камеру, как узел в сети для взлома или DDoS-атак.
Уже обнаружено довольно много ботнетов, состоящих из таких устройств – так, недавно выявлен ботнет из 25 000 камер наблюдения.
Кстати, новые «умные» устройства от производителей из стран Азии – не единственная опасность. В последнее время выяснилось, что очень многие сетевые устройства, включая интернет-роутеры от известных производителей, имеют уязвимости, позволяющие взять устройство под контроль, а дальше делай с ним, что хочешь.
Причем такие устройства либо совсем не обновляются, либо обновляются «вручную», что требует высокой квалификации пользователя, а это значит, что уязвимости будут оставаться открытыми годами. Иногда речь идет не об ошибках в ПО, а об игнорировании требований безопасности – так, то там то там всплывает, что в сетевых устройствах (включая лидирующих мировых производителей) есть, например, неотключаемая учетная запись администратора с зафиксированным паролем типа 000000.
Взломав роутер, злоумышленник получает контроль над обменом данных с сетью интернет (поэтому так важно шифрование – оно позволяет исключить хотя бы чтение проходящих через роутер данных) и может, например, перенаправить пользователя на поддельный сайт без возни со взломом его компьютера, а также сделать много чего еще интересного.
Android под ударом
Наконец, последнее, на что хотелось бы обратить внимание – это мобильные ОС, а точнее – самая популярная из них, Google Android. Она работает на миллиардах смартфонов по всему миру, а с защитой у этой экосистемы… не все хорошо. Для понимания, 95-98% всех мобильных вредоносных атак направлены именно на нее.
Во-первых, уделять внимание защищенности этой системы начали относительно недавно, но до сих пор в ней большое количество устаревшего кода, доставшегося от предыдущих версий. Плюс, против Android играет открытость системы – в ней относительно легко получить доступ ко всей файловой системе или права администратора, что ставит ее полностью под контроль злоумышленника.
Большая проблема Android в том, что выявленные уязвимости не закрываются из-за неразберихи с обновлениями.
В отличие от Windows, где обновления централизованно выпускает корпорация Microsoft, в мобильной экосистеме эта обязанность возложена на производителей устройств, а им не хочется или слишком трудозатратно заниматься бесплатным обновлением старых устройств – куда выгоднее продавать новые.
Поэтому надо стараться обновлять систему, а если вашему устройству более 1,5 лет – серьезно задуматься о дополнительной защите. Ведь уязвимости (особенно – в браузере) находят постоянно, а исправлений для них уже не будет.
Еще одна проблема – зачастую недостаточный контроль за приложениями. Android допускает установку приложений не из официального магазина (и заразить их – пара пустяков), однако и тем, кто использует приложения только из Google Play рано расслабляться – оттуда регулярно вылавливают банковских троянов, вымогателей и другую нечисть, сумевшую обойти проверку специалистов Google.
Речь может идти как об изначально поддельных приложениях с замаскированным вредоносным ПО, так и о вполне легитимных, но зараженных. Иногда бывает, что заражение происходит еще на уровне разработки, с зараженного ПК разработчика.
При этом надо помнить, что смартфон – куда более персональное устройство, чем ПК. В нем хранится гораздо больше информации о хозяине, смартфон может использоваться для работы с банком, и именно на него приходят одноразовые подтверждения.
Хотелось бы еще отметить вот что. На сегодня основное поле битвы перешло на другой уровень – одни хакеры заняты в «коммерческих взломах» предприятий и корпораций с целью вывода денег или кражи информации, другие – занимаются поиском уязвимостей, взломами, похищением информации и уничтожением ПО и данных от лица государств. Соответственно, в значительной степени техники и технологии взлома приходят на уровень частных пользователей оттуда. И во многих случаях закрыть уязвимости в системах безопасности удается на дальних подступах.
Стоит внимательнее относиться к мобильному устройству, так как опасностей для него с каждым днем все больше, да и риски выше – в нем уже больше важной и нужной для нас информации, чем на наших десктопных компьютерах и ноутбуках. А также не забывайте о периферийных устройствах: времена, когда те же роутеры никто не взламывал, уже в прошлом. Поэтому проверяйте наличие обновлений для прошивок этих устройств и старайтесь их устанавливать – сегодня это уже не так сложно, как раньше.