По данным компании Digital Security, питерского специалиста по аудиту информационной безопасности, все мобильные клиенты российских банков для iOS и Android содержат хотя бы одну уязвимость, позволяющую перехватывать данные при обмене клиента с сервером или напрямую эксплуатировать уязвимости мобильного устройства и самого приложения.

Эксперты в течение года тестировали бесплатные платежные iOS- и Android-приложения сорока российских банков, использующие сетевые средства доступа к счету, и пришли к выводу, что разработчики такого софта не уделяют достаточно внимания вопросам безопасности. Cтатический анализ кода клиентской части приложений, проведенный по методу черного ящика, показал, что 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, т.е. позволяют перехватывать платежные данные по методу «человек посередине». 22% приложений для iOS и 20% для Android потенциально уязвимы к SQL-инъекциям, что создает риск кражи информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android содержат XSS-уязвимости; 45% iOS-приложений уязвимы к XXE-атакам (XML eXternal Entity, уязвимость к XML-инъекциям). Последние особо опасны для разлоченных устройств (подвергнутых столь популярному в России jailbreak’у). Наконец, около 22% Android-клиентов неправильно используют механизмы межпроцессного взаимодействия, позволяя сторонним приложениям обращаться к критичным банковским данным.

Компания IBM опубликовала отчет о тенденциях и рисках информационной безопасности по состоянию на конец 2011 года, отметив успехи в киберобороне и ответные ходы противника.

Эксперты с удовлетворением отметили улучшение качества и безопасности программного кода, ускорение сроков выпуска патчей, а также значительное снижение спамовых потоков. В минувшем году они зафиксировали вдвое меньше нелегитимных посланий, чем в предыдущем, объясняя это, в первую очередь, ликвидацией нескольких крупных ботнетов, использовавшихся для проведения спам-рассылок.

По оценке компании, объемы выпуска эксплойтов к новым уязвимостям сократились на 30% по сравнению со среднегодовыми показателями последних лет. Не исключено, что это следствие массового внедрения в легальное ПО архитектурных и процедурных усовершенствований, позволяющих ограничить негативные последствия эксплойта. Например, системные менеджеры памяти научились обнаруживать нарушение целостности информации и приостанавливать выполнение программы. Многие браузеры и приложения для просмотра документов теперь снабжены «песочницей», предотвращающей удаленное выполнение кода.

Согласно статистике IBM, за год было обнародовано немногим более 7 тыс. уязвимостей ― значительно меньше, чем в 2010 году. 41% из них составили бреши в веб-приложениях, тогда как прежде этот показатель был выше ― около 50%. Количество уязвимостей, провоцирующих SQL-инъекции, сократилось на 46%, хотя они по-прежнему пользуются популярностью у злоумышленников. XSS-уязвимости встречаются в полтора раза реже, чем 4 года назад, но все еще присутствуют в 40% приложений. Число новых уязвимостей, оставшихся к концу года незакрытыми, снизилось с 43 до 36%. 58% брешей, обнаруженных в прошлом году, были пропатчены в день публикации.

Неудачи на проторенных тропах заставляют злоумышленников искать альтернативные лазейки. К концу года IBM зафиксировала более чем 2-кратное увеличение количества кибератак, использующих уязвимости Shell Command Injection. В случае их успешной эксплуатации злоумышленник получает возможность выполнять команды непосредственно на сервере. Во втором полугодии наблюдался также рост активности, связанной с поиском слабых паролей, открывающих доступ к SSH-серверам.

В тот же период появилось много поддельных email-сообщений, распространяемых от имени социальных веб-сервисов и служб доставки почтовых отправлений. Все они под тем или иным предлогом пытались убедить получателя активировать ссылку. Авторы этих рассылок стремились заманить пользователей в интернет-аптеку, на рекламный сайт, владельцы которого оплачивают «партнерам»-спамерам каждый такой визит (click fraud), или засеять зловреда.

Бурное развитие рынка мобильных устройств открыло злоумышленникам новые возможности, и они не собираются их упускать. По данным IBM, в минувшем году число публикуемых эксплойтов для мобильных платформ выросло на 19% ― в основном, за счет тех зловредов, которые обеспечивают злоумышленнику root-привилегии. Наличие незакрытых уязвимостей на многих смартфонах создает благоприятные условия для массового проведения кибератак в этой среде.

По данным Secunia, 78% уязвимостей, обнаруженных в популярном ПО в минувшем году, касались приложений, созданных сторонними разработчиками для платформы Windows. На долю ОС приходилось 12% новых брешей, прочих продуктов Microsoft ― 10%.

В целом эксперты отметили снижение числа уязвимостей по сравнению с предыдущим годом, однако эта тенденция не коснулась Топ 50 программ, используемых конечным пользователем. За год в них было найдено свыше 800 уязвимостей, больше половины из них Secunia определила как очень опасные (highly/extremely critical). Напомним, что рейтинг популярности программных продуктов Secunia формирует на основе данных по пользовательской базе Windows. Согласно статистике компании, в настоящее время на типовом ПК, работающем под Windows, присутствуют 28 программ Microsoft (включая ОС) и 22 продукта других производителей. Однако прирост уязвимостей по списку Топ 50, который ежегодно фиксируют эксперты, происходит, в основном, за счет сторонних приложений. По оценке Secunia, за последние 5 лет их доля в общем объеме брешей увеличилась более чем в полтора раза.

С латанием дыр дела идут намного успешнее. Год назад эксперты отмечали, что выпуск патча в день публикации осуществляется для половины уязвимостей; минувшим летом этот показатель подрос до 65%, а сейчас составляет 72%. Таким образом, шансы удержать оборону растут, надо лишь умело их использовать.

По мнению Secunia, главной проблемой большинства организаций является отсутствие адекватной стратегии установки патчей. Практика показывает, что софт, который считается критичным для бизнес-процессов и латается в первую очередь, далеко не всегда привлекает внимание злоумышленников. Их главной мишенью является оконечное оборудование, на котором хранится уйма слабо защищенной информации, представляющей большую ценность для сетевого криминала. И замена популярных продуктов экзотикой здесь вряд ли поможет: сопоставление доли рынка и наличия экплойтов, проведенное Secunia, показало, что риску подвержены все программы.

Эксперты также предостерегают от статичного подхода к расстановке приоритетов. Если портфолио организации включает 600 программных продуктов, больше половины из них каждый год меняют статус в отношении рисков. Посему необходимо не только провести инвентаризацию по установленной базе, но и тщательно контролировать изменение обстановки, оперативно внося коррективы.

По данным Imperva, в июне-ноябре интенсивность попыток эксплойта уязвимостей в веб-приложениях, осуществляемых с помощью ботнетов, в среднем составляла 130-385 тыс. в месяц. На пике этот показатель взмывал почти до 38 тыс. в час (10 запросов в секунду).

К 30 объектам, отобранным для мониторинга полгода назад, эксперты добавили еще десяток популярных программ и расширили классификацию вредоносного трафика до 7 категорий. Как показывает статистика, хакеры отдают предпочтение «техничным» методикам, основанным на эксплойте типовых уязвимостей, которые, к сожалению, нетрудно отыскать. Наибольшее распространение получили такие техники, как RFI (Remote File Inclusion), SQL-инъекции, LFI (Local File Inclusion), XSS и DT (Directory Traversal). На долю двух последних пришлось больше половины вредоносного трафика, зафиксированного в отчетный период.

В новом отчете Imperva рассматривает также 2 новых разновидности кибератак, которые она называет business logic attacks, BLA ― атаки, использующие логику бизнес-приложения. Данная техника не нарушает функционала атакуемой программы и использует легальные входные значения, поэтому такой абьюз трудно обнаружить. Путем несложных манипуляций атакующий может выудить из приложения приватную информацию, изменить объем совместно используемых ресурсов, исказить данные, находящиеся в общем доступе, и т.п. ― зачастую в обход защитных механизмов.

Эксперты различают две вида BLA: коммент-спам и извлечение email-адресов. Оба легко поддаются автоматизации, а их результаты приносят хакерам материальную выгоду. Внедрение рекламных ссылок в поля комментариев является одним из способов накрутки рейтинга спамерских сайтов в поисковых системах. Согласно статистике Imperva, эти атаки особенно популярны в Восточной Европе. Возможность извлекать из веб-приложений почтовые адреса и прочую личную информацию помогает спамерам формировать списки для грядущих рассылок. Сбором адресов увлекаются африканские хакеры. В минувшем полугодии вклад BLA в зловредный трафик составил 14%.

Veracode опубликовала результаты анализа 9,9 тыс. новых программ, представленных к тестированию в течение последних полутора лет. 80% из них показали неприемлемый уровень надежности при первичной проверке.

В предыдущий период этот показатель был значительно лучше ― 58%. Эксперты объясняют ухудшение результатов введением более жестких критериев оценки безопасности ПО на своем «облачном» сервисе. В частности, новая политика диктует недопустимость ошибок, провоцирующих XSS и SQL-инъекции. Согласно новой статистике, такие дефекты все еще широко распространены: XSS-уязвимости были обнаружены в 68% веб-приложений, изъяны, позволяющие применить технику SQL-инъекций, ― в 32%. В целом ситуация с этими категориями ошибок улучшается, однако борьба с ними не теряет своей актуальности: по данным Veracode, 20% современных кибератак осуществляются посредством SQL-инъекций.

Продукты, представленные правительственными разработчиками, показали худшие результаты. 40% из них содержали ошибки, чреватые SQL-инъекциями, тогда как в финансовом секторе этот показатель составил лишь 29%, а у профессиональных разработчиков софта ― 30%. К счастью, авторы приложений научились быстро устранять выявленные дефекты. Veracode отмечает, что 80% приложений, проваливших первичные тесты, уже через неделю показывали приемлемые результаты.

Отчет Veracode впервые содержит заключение по продуктам, разработанным для платформы Android. Оказалось, что около трети таких приложений могут отдавать на сторону конфиденциальную информацию. Правда, в некоторых случаях эксперты не смогли точно определить, обусловлено это заложенным функционалом или вызвано программной ошибкой. В 42% Android-приложений криптографический ключ был жестко прописан в коде, тогда как в Java-программах для других мобильных платформ этот показатель составил лишь 17%.Такое упущение позволяет злоумышленникам легко завладеть шифроключом и одним ударом поражать все устройства, на которых установлено соответствующее приложение.

С полной версией отчета Veracode можно ознакомиться на сайте компании (для просмотра требуется регистрация).

Согласно статистике IBM, с января по июнь доля критических уязвимостей в общем объеме найденных брешей увеличилась в 3 раза. Вклад веб-приложений в новые публикации, напротив, сократился с 49% до 37%. По наблюдениям экспертов, это первый положительный сдвиг за последние 5 лет.

Число опасных и критических уязвимостей, обнаруженных в веб-браузерах, тоже пошло на убыль. Если тенденция сохранится, к концу года их наберется от силы 130, что будет самым низким показателем за последние 4 года. Исследователи отметили также, что поставщики ПО стали уделять больше внимания латанию дыр в своих продуктах. Если в прошлом году незакрытыми остались 44% уязвимостей, преданных огласке, то в текущем ― рекордные 37%. Для 58% новых брешей патч был выпущен в день публикации.

Тем не менее, почивать на лаврах пока рано. С начала года в Сети идет активная охота за ценной информацией, почти каждый день интернет-сообщество узнает о новых изощренных адресных атаках, дерзких взломах и катастрофических утечках. Оживились и «хактивисты», учиняющие акты вандализма на чужих сайтах в знак протеста. Согласно статистике IBM, приоритетным объектом хакерских атак в первом полугодии являются базы данных, а основными методами взлома ― подбор паролей и SQL-инъекции. Исследователи протестировали около 700 популярных веб-сайтов, включая сетевые ресурсы организаций из списка Fortune 500, и обнаружили, что 40% из них уязвимы к XSS-атакам.

Расширение использования мобильного доступа к корпоративным сетям, большой выбор и доступность сторонних приложений, а также отсутствие надлежащих политик в отношении безопасности рабочих смартфонов и планшетных ПК создают благоприятную почву для проведения кибератак в новом пространстве. Последние пару лет IBM наблюдает устойчивый рост числа уязвимостей, выявляемых на мобильных платформах. По прогнозам экспертов, в этом году их окажется вдвое больше, чем в предыдущем.

По оценке датской компании CSIS, 85% заражений происходят в результате зловредных drive-by загрузок, проведенных с участием готового набора эксплойтов. В 99,8% случаев такие атаки, реализованные на платформе Windows, завершаются успехом по вине пользователя, забывшего закрыть брешь в Java, Adobe Reader/Acrobat, Adobe Flash или Internet Explorer.

Эти неутешительные результаты были получены по итогам анализа сетевой активности 50-ти разных эксплойт-китов, размещенных злоумышленниками на 44 серверах и IP-адресах. За 3 месяца непрерывного мониторинга исследователям удалось идентифицировать свыше полумиллиона drive-by атак. В 31,3% случаев зловред успешно проникал в систему через дыру, которую жертва не удосужилась вовремя залатать. Более 80% drive-by загрузок были нацелены на кражу конфиденциальной информации, персональных данных или на отъем денег с помощью поддельных security-программ.

Разделение попыток эксплойтов по версии Windows выглядело следующим образом: 41% были ориентированы на уязвимости в XP, 38% ― в Vista, 16% в Windows 7. Из веб-браузеров повышенным вниманием злоумышленников пользовался IE (66% drive-by атак), много меньше ― Firefox (21%), в 8% случаев Google Chrome. Среди приложений, установленных под ОС Windows, безусловным лидером по абьюзам вполне ожидаемо оказалась платформа Java JRE (37%). За ней с небольшим отрывом следовала пара Adobe Reader/Acrobat (32%), и лишь потом Adobe Flash (16%) и MS Internet Explorer (10%).

По данным компании Imperva, в 83% случаев кражи конфиденциальной информации, осуществляемой путем взлома, повинны SQL-инъекции.

Чтобы определить специфику этого способа незаконного проникновения и степень угрозы, исследователи в течение трех кварталов наблюдали работу 30-ти популярных веб-приложений. Полгода интенсивность кибератак по методу SQL-инъекций в среднем составляла 53 запросов в час, а с июля возросла до 71. На пике этот показатель для некоторых приложений увеличивался в 10-20 раз.

Как выяснилось, хакеры постоянно совершенствуют технику проведения SQL-инъекций и научились с успехом обходить простейшие средства защиты, основанные на сигнатурном анализе. Они используют готовые инструменты для автоматизации процесса ― Sqlmap, Havij, а также ботнеты. 58% атак с применением SQL-инъекций проводятся с территории США, 11% ― из Швеции, 8% из Китая. Большинство плацдармов служат нескольким хозяевам, но их единственным назначением является осуществление массовых SQL-инъекций. Среднее время активности веб-узла, контролируемого хакерами, ― 12 часов, медианное значительно короче. Примечательно, что 40% кибератак по методу SQL-инъекций проводятся с участием лишь 10-ти хостов.

Проведенное Imperva исследование показало, что уязвимости, провоцирующие SQL-инъекции, сохраняют свою актуальность. Они весьма опасны, так как их эксплуатация нередко бывает успешной и грозит потерей важной информации. По оценке экспертов, в общее число роковых дефектов на местах приближается к 115 миллионам. Во избежание серьезных неприятностей бизнес-структурам рекомендуется использовать адекватные средства обнаружения попыток SQL-инъекций, защиту от программ-роботов, а также возможно чаще обновлять списки источников угрозы.

По данным компании Imperva, специалиста по информационной защите, в минувшем полугодии интенсивность кибератак на корпоративные сети, осуществляемых путем эксплуатации веб-приложений, на пике достигала 7 запросов в секунду. Таких результатов можно достичь лишь автоматизированными средствами.

С декабря по май эксперты проанализировали свыше 10 млн. подозрительных инцидентов, обнаруженных при мониторинге веб-трафика, включая TOR. Количество объектов атаки было ограничено 30 популярными веб-приложениями, которые широко используют бизнес-структуры и правительственные организации. В итоговый отчет включена информация о типах кибератак, их интенсивности и географическом местоположении источников (ботов) [PDF 3,46 Мб].

Как показало исследование, наибольшей популярностью у злоумышленников пользуются такие методики, как Directory Traversal (несанкционированный доступ к объектам файловой системы за пределами корневой директории, 37% кибератак), XSS (36%), SQL-инъекции (23%) и Remote File Include (динамическое подключение произвольных файлов с других серверов, 4%). Нередко они используются в комбинации: поиск уязвимостей осуществляется одним способом, их эксплуатация ― другим. Большинство кибератак, нацеленных на кражу конфиденциальной информации, проводятся с помощью ботнетов. В отчетный период их интенсивность в среднем составляла 27 запросов в час (примерно 1 запрос за 2 минуты). Длительные периоды затишья чередовались мощными всплесками, когда сайт-мишень получал до 25 тыс. запросов в час (7 в секунду).

В 61,3% кибератак были задействованы зараженные компьютеры, прописанные в США. Вклад Китая в этот зловредный трафик составил 9,4%, Швеции ― 4,4%, Франции 2,1%. 29% атак были проведены при участии лишь 10 источников, отличавшихся наибольшей активностью. Географию центров управления этих ботнетов выявить пока не удалось: современный уровень самозащиты этих средств нападения достаточно высок.

Американец, зарабатывавший на жизнь куплей-продажей краденых банковских реквизитов, приговорен к 10 годам тюремного заключения и штрафу в размере 100 тыс. долларов.

Как мы уже писали, Рохелио Хэкет-младший (Rogelio Hackett Jr.) добывал идентификаторы чужих счетов путем взлома корпоративных сетей или приобретал их на специализированных онлайн-форумах. Следствие установило, что хакер получал доступ к чужим базам данных, используя SQL-инъекции. Он выставлял украденную информацию на продажу, а также занимался изготовлением фальшивых кредиток в целях сбыта и для собственных нужд.

При обыске у Хэкета обнаружили более 657 тыс. номеров кредитных карт, которые засветились в десятках тысяч незаконных транзакций. Его осудили за торговлю крадеными кредитками и хищение персональных данных при отягчающих обстоятельствах. По оценкам экспертов, совокупный ущерб от деятельности профессионального кардера превышает 36 млн. долларов.