Будет ли сервис Bouncer эффективным инструментом в борьбе с вредоносным ПО в приложениях на базе Android?

Компания Google приняла правильные и, безусловно, необходимые меры, однако полностью проблема пока не решена. Судя по опубликованным об этом сервисе данным, все приложения будут проверяться на наличие уже известного вредоносного ПО. Другими словами, будет применяться система мультисканирования или нечто подобное, а значит, качество детектирования будет напрямую зависеть от того, какой антивирусный движок для анализа приложений будет использовать Google. Качество у всех движков очень разное, поэтому существует вероятность того, что некоторые вредоносные приложения не будут квалифицированы как вредоносные. Еще одним шагом Google станет эмуляция. Прием хороший, однако и его можно обойти: с помощью «обмана» эмулятора или запрограммировав приложение «вести себя» во время эмуляции как невредоносное. Короче говоря, те же приемы, которые используются для преодоления защиты Windows, теперь могут применяться и на Android.

Наверное, самая плохая ситуация — когда веб-сайт банка содержит вредоносную рекламу: неизвестно, какие программы и когда будут установлены на ваш компьютер, если кликнуть на рекламный баннер.

Нечто похожее происходит и с веб-сайтами, посвященными IT-безопасности, на которых размещена вредоносная реклама. Предполагается, что подобные сайты предоставляют сведения о том, как защитить свой компьютер от IT-угроз. Заходя на такой сайт, пользователи уверены в том, что его содержимое полностью безопасно, однако на деле из-за рекламных баннеров этим ресурсам нельзя доверять.

Недельный опрос, проведенный российским регистратором REG.RU среди владельцев доменных имен, показал хорошую осведомленность об интернет-угрозах и способах самозащиты в этой сфере.

В качестве главных угроз респонденты отметили размещение дезинформации, фишинговых и мошеннических сайтов на домене или его двойнике; рассылку спама с домена; потерю технического контроля над доменом, прекращение работоспособности ресурса, незаконную смену администратора, дефейс. Как оказалось, около половины владельцы доменов никогда не сталкивались с такими угрозами. Четверть опрошенных знакомились с ними от 1 до 5 раз, 19% — лишь однократно, 7% более 5 раз.

Среди неприятных инцидентов на домене, пережитых участниками опроса, были названы размещение недостоверного или поддельного контента (совокупно 21% ответов), отказ ресурса (18%), потеря технического контроля над доменом (13%), дефейс и потеря административного доступа (по 3%). Пострадавшие также отметили кибератаки, подрывающие доверие к брэнду или доменному имени: киберсквоттинг и тайпсквоттинг (совокупно около 20% ответов), рассылку спама с именем домена (16%), размещение фишинговых и мошеннических сайтов на схожем домене (15%). (Все цифры в этом абзаце указаны в соответствии с текстовой частью новости на REG.RU и несколько отличаются от статистики, представленной в виде диаграмм.)

Судя по результатам опроса, наиболее распространенными мерами безопасности являются системы email- или SMS-уведомлений об операциях с доменом/аккаунтом (57% респондентов), практика подтверждения операций по SMS-каналу (56%), а также использование HTTPS-протокола и SSL-сертификатов подлинности (44%). Эти варианты защиты и профилактики зачастую применяются комплексно и в комбинациях с другими средствами: привязкой к аккаунту «секретного вопроса», ограничением входа в личный кабинет по IP-адресу, усилением защиты почтовых систем, запретом операций с доменами на стороне реестра, регистрацией доменов-двойников.

В минувшем году REG.RU обработал более 2,5 тыс. жалоб на спам, размещение противоправного контента и прочие абьюзы, связанные с доменными именами. Владельцам доменов рекомендуется внимательней относиться к безопасности почтовых сервисов и личного кабинета, при регистрации указывать корректные данные администратора, а также дублировать регистрацию в популярных доменных зонах и выкупить схожие имена.

Неутомимый исследователь Брайан Кребс взял на мушку еще один ботнет, используемый для рассылки спама. В темных аллеях интернета нашлись зацепки, позволившие распознать оператора Grum среди участников фармпартнерок.

Grum, он же Tedroo, появился на спам-арене три года назад и специализируется, в основном, на рассылке рекламы фармпрепаратов. Зловред, лежащий в основе ботнета, распространяется посредством эксплойта уязвимости в браузере и использует руткит режима ядра. В начале прошлого года Grum насчитывал порядка 65 тыс. зараженных машин с совокупной производительностью свыше 1 млрд сообщений в сутки. По данным M86 Security, в настоящее время этот ботнет опережает всех конкурентов и ответственен за четверть спам-трафика в интернете.

Среди наиболее удачливых участников почившей SpamIt числился некий GeRa, владелец нескольких аккаунтов и активный покупатель эксплойт-трафика. Из фрагментов приватных чатов, слитых конкурентами одиозной фармпартнерки, Кребс узнал, что благодаря спам-рассылкам, проводимым этим подрядчиком и его протеже, SpamIt за 3 года осуществила не менее 80 тыс. продаж через интернет-аптеки, выручив свыше 6 млн. долларов. Общая сумма комиссионных по ним составила более 2,7 млн. долл. Как удалось установить, GeRa получал свои комиссионные на электронный кошелек WebMoney, открытый в 2006 году в московском офисе по паспорту некого Николая Алексеевича Костогрыза.

GeRa часто обращался к администраторам SpamIt, жалуясь на неадекватное поведение хостинг-провайдеров или проблемы с серверами. Названные им IP-адреса были опознаны экспертами как центры управления Grum. Со временем GeRa покинул SpamIt и переметнулся к ее конкуренту, партнерке Rx-Promotion, которую Кребс ассоциирует с именем экс-главы ChronoPay Павла Врублевского. По данным университетских исследователей из Сан-Диего, Rx-Promotion перечисляла все комиссионные за спам, генерируемый Grum, на один и тот же номер счета, открытого пользователем «gera».

Barracuda Networks опубликовала результаты статистического исследования, позволившего выявить ключевые различия реальных и поддельных профилей на Facebook.

Основой для исследования послужили данные о зловредной активности на Facebook и Twitter, собранные с помощью Barracuda Profile Protector, а также открытая информация о типовом поведении пользователей в Сети. Эксперты проанализировали тысячи подставных профилей на Facebook, созданные спамерами и мошенниками, чтобы определить характерные особенности, отличающие их от рядовых участников социальной сети. По результатам этого анализа была написана эвристическая подпрограмма, способная выявить имитаторов, примкнувших к социальному сообществу с недоброй целью.

Согласно итоговой статистике, собранной Barracuda по случайной выборке из 2884 активных Facebook-профилей, почти все подставные участники этой соцсети (97%) представляются дамами, тогда как у рядовых пользователей этот показатель составляет 40%. Около 60% имитаторов именуют себя бисексуалами ― в 10 раз больше, чем в реальности. Дружеских контактов у них почти в 6 раз больше, чем у обычных «фейсбукеров», они чаще причисляют себя к выпускникам колледжей и не делают легкомысленных записей в графе «Интересы». Интересно, что в фейковых профилях тэги к фотографиям проставляются в 100 раз чаще, чем это делают реальные пользователи. Все эти ключевые моменты в наглядной форме представлены на сайте компании.

Зима – время морозов, горнолыжных курортов и распродаж. Самое время для того, чтобы утеплиться, купить новую горнолыжную куртку или же просто обновить гардероб.

Предприимчивые мошенники активно пользуются интересом покупателей к распродажам и создают поддельные онлайн-магазины, которые якобы продают зимнюю одежду топовых брендов. На сайты таких «магазинов» покупателей заманивают скидками на товары.

Неплохие скидки на куртки “The North Face” на фальшивом сайте

Огромные скидки на товары модного бренда «Burberry» на фальшивом сайте

Цель мошенников – заполучить персональные данные пользователей. Если на таком сайте ввести всю необходимую для оплаты кредитной картой информацию (номер кредитной карты, фамилию и имя держателя карты, срок действия карты и секретный номер cvv), она попадает к злоумышленникам, а покупатель останется не только без оплаченного товара, но и без средств на счете.

Напомним, что мошенничество такого рода называется фишингом.

Сайтов фальшивых онлайн-магазинов в Сети много, и сделаны они качественно.

Фальшивые сайты

Нередко их дизайн в точности повторяет дизайн настоящих магазинов мировых брендов. Поэтому отличить поддельный сайт от официального очень нелегко.

Официальный сайт бренда «Burberry»

Сайт-подделка под «Burberry»

Как распознать фальшивки?

По данным компании Internet Identity (IID), специализирующейся на защите сетевых ресурсов, в начале нового года DNS Changer был обнаружен в сетях половины Fortune-500 компаний и ключевых федеральных служб США.

Одноименный ботнет, использовавшийся операторами для перенаправления трафика на рекламные сайты заказчиков, был обезврежен в минувшем ноябре. Американские власти при поддержке зарубежных коллег временно отключили основные DNS-серверы ботнета, заменив их подставными. Однако процесс идентификации и очистки зараженных машин далек от завершения, а срок поддержки альтернативных DNS-каналов истекает 8 марта. После этой даты владельцы инфицированных ресурсов рискуют остаться без интернета. Кроме того, резидентный DNS Changer препятствует обновлению ОС и антивирусных баз на зараженной машине, лишая жертву защиты от других зловредов.

Чтобы не повторилась история с Conficker, который до сих пор обитает на миллионах пользовательских ПК, представители ИТ-индустрии и федеральные власти создали специализированную рабочую группу, к которой присоединилась и IID. Подробные инструкции по локализации и очистке DNS Changer можно получить у любого участника рабочей группы, их список опубликован на общем веб-сайте. Корпоративные пользователи могут напрямую связаться с IID, обратившись к разделу «Контакты» на сайте компании.

Компания Adobe объявила о выпуске бета-версии Flash Player, снабженной «песочницей», для Mozilla Firefox.

Flash Player Protected Mode использует тот же механизм, который был реализован больше года назад в Adobe Reader X. Загружаемый объект (в данном случае swf-файл) обрабатывается в изолированной среде; все запросы на действия, требующие повышения привилегий, подаются через посредника («брокера»), реакция которого определена жестким набором правил и корректируется белыми списками.

Такой подход не избавляет от попыток эксплуатации брешей в популярном приложении, но помогает существенно ограничить неприятные последствия таких кибератак, усложняя задачу вирусописателям. С момента взятия «песочницы» на вооружение Adobe не зафиксировала ни одной успешной itw-атаки на Reader X. Работа Flash Player в безопасном режиме тоже доказала свою эффективность ― в этом уже имели возможность убедиться пользователи Google Chrome. Разработчики надеются, что интеграция Flash Player Protected Mode в Firefox окажется не менее полезной, и обещают перенести опыт на другие браузеры.

Безопасный режим Flash Player доступен для версий Firefox 4.0 и выше, работающих под Windows Vista или Windows 7. Пробная сборка пока предлагается для скачивания лишь сообществу разработчиков, актуальная информация уже опубликована на сайте компании. Результаты бета-тестирования будут учтены при подготовке финальной версии, выпуск которой запланирован на текущий год.

Google объявила о запуске нового защитного сервиса, который будет автоматически проверять Android Market на наличие вредоносного контента.

Система Bouncer подвергает анализу новые и уже загруженные приложения, а также учетные записи разработчиков. Как только продукт появляется на сайте, он подвергается проверке по антивирусной базе. Bouncer также прогоняет новую программу на симуляторе, отслеживая признаки потенциальной угрозы, и производит сравнение с проанализированными ранее приложениями. Проверка репутации разработчиков введена с целью пресечения нежелательных рецидивов.

По словам Google, новый сканер был запущен в тестовом режиме в прошлом году и уже позволил сократить число зловредных загрузок на 40%. В условиях роста интернет-угроз, ориентированных на платформу Android, это можно считать серьезным достижением, если только этот спад не является следствием низкой эффективности нововведения. Последняя авральная чистка Android Market от зловредов была проведена в середине декабря, и SMS-троянцев в магазине Google обнаружил не Bouncer, а сторонние эксперты.

Справедливости ради стоит отметить, что разработчики Android снабдили свое детище средствами самозащиты. Они реализовали на этой платформе «песочницу» и встроили систему запроса привилегий для приложений. К сожалению, практика показывает, что при установке новых программ многие пользователи игнорируют этот список, выводимый на экран, и бездумно соглашаются со всеми требованиями.

Безусловно, введение нового уровня защиты на Android Market можно только приветствовать, хотя более настоятельная проблема пока не решена. С нетерпением ждем от Google новостей об исправлении ситуации с обновлениями и о сокращении сроков закрытия уязвимостей по клиентской базе.

Группа организаций-участниц проекта DMARC.org опубликовала спецификации нового механизма, призванного повысить эффективность процесса аутентификации источников электронных сообщений и уменьшить риски в отношении абьюзов.

Существенным недостатком существующих технологий аутентификации, таких как SPF и DKIM, является отсутствие обратной связи между получателем и легальным отправителем. В такой ситуации почтовый провайдер, применяющий эти механизмы, достоверно не знает, в каком объеме ими пользуется отправитель. Посему он вынужден полагаться на сложные и далекие от совершенства методики, чтобы как-то различать мошеннические подделки и легитимные сообщения, не обеспеченные средствами проверки на подлинность.

Протокол DMARC (Domain-based Message Authentication, Reporting and Conformance) призван освободить оператора почтового сервиса от игры в «угадайку», помогая ему поддерживать тесную взаимосвязь с массовым отправителем. Он определяет интеграцию техник аутентификации в инфраструктуру отправителя и позволяет сигнализировать интернет-провайдерам о наличии таких средств защиты, а также публиковать политику в отношении писем, не прошедших проверку на аутентичность (например, отправлять их в спам-карантин или блокировать). DMARC предусматривает также получение от провайдера подробной статистики, позволяющей корректировать возможные упущения.

Разработчики новой технологии надеются, что ее освоение ускорит повсеместное развертывание систем аутентификации и создание доверенной среды. Безусловно, DMARC предполагает поддержку как на стороне отправителя, так и на стороне получателя, однако у этого протокола уже есть солидная база: его полтора года активно используют 15 участников проекта. Среди них ― ведущие почтовые сервисы (AOL, Gmail, Hotmail, Yahoo), финансовые организации (Bank of America, Fidelity Investments, PayPal), социальные службы (American Greetings, Facebook, LinkedIn), поставщики защитных решений (Agari, Cloudmark, eCert, Return Path, Trusted Domain Project). По оценке Google, в настоящее время около 15% легитимных писем на ее почтовом сервисе приходит с доменов, поддерживающих DMARC.

Возможно, внедрение новшества потребует дополнительных усилий по обеспечению приватности, а также финансовых затрат. Последние, по мнению участников проекта, не должны оказаться обременительными, так как новый протокол предполагает использование действующих стандартов и технологий. Разумеется, DMARC не гарантирует 100%-ную защиту от фишинга, но поможет оперативно отсеивать явные подделки. Авторы разработки предлагают использовать новую технологию в дополнение к существующим механизмам аутентификации. Заинтересованные организации могут ознакомиться с рабочим вариантом спецификаций на сайте DMARC.org. Новый протокол будет представлен на февральских конференциях MAAWG и RSA. После его обкатки в полевых условиях участники проекта планируют обратиться в IETF для утверждения DMARC в качестве отраслевого стандарта.