Веблог

Еврокомиссия объявила, что подвергнет пересмотру политику защиты онлайн-процессов, связанных с торговлей разрешениями на выброс парниковых газов. Причиной послужил недавний инцидент, когда у участников рынка с помощью фишинга были украдены 250 тыс. квот общей стоимостью 3 млн. евро (более 4 млн. долларов).

Как показало расследование, в конце января в Европе, Новой Зеландии, Австралии и Японии прошла волна фишинговых рассылок. Фальшивые уведомления были написаны от имени национального органа по координации торговли квотами на загрязнение окружающей среды. Участников рынка просили обновить регистрационные данные — якобы из-за угрозы хакерской атаки. Пользуясь идентификаторами, которые жертвы ввели на поддельной странице, указанной ссылкой, злоумышленники похитили чужие кредиты и перевели их на счета в Дании и Великобритании, а потом быстро продали на свободном рынке с большой выгодой для себя.

В результате беспрецедентной акции пострадали шесть немецких и несколько чешских компаний. Во избежание дальнейших потерь доступ к девяти национальным реестрам Европы был временно прекращен. Местные транзакции по эмиссиям проводятся через общеевропейскую биржу, а выход на международный рынок закрыт, пока не будут приведены в соответствие внутренние механизмы киберзащиты.

Европейская Комиссия рекомендовала операторам национальных реестров уведомить пострадавших и сменить пароли к скомпрометированным аккаунтам. Германское управление по торговле квотами на эмиссии (Deutsche Emissionshandelsstelle, DEHSt) обратилось в секретариат РКООНИК (Рамочной конвенции ООН по изменению климата) с просьбой дать задний ход мошенническим транзакциям, но надежды на успех мало. Расследование пока ведется на уровне отдельных стран. Если окажется, что мошеннические транзакции выходят за рамки европейской системы квотирования, к расследованию подключится Еврокомиссия.

Торговля сертификатами на выбросы вредных газов была введена в соответствии с Киотским протоколом как мера по ограничению загрязнения окружающей среды. В соответствии с общепринятой схемой, компании, желающие увеличить квоты, могут перекупать разрешения у тех, чье производство менее агрессивно. Объем мирового рынка квот на эмиссии в настоящее время составляет 135 млрд. долларов. Как и любой другой рынок ценных бумаг, он не застрахован от всякого рода махинаций.

По оценке Европола, в некоторых странах Европы до 90% транзакций по эмиссиям являются мошенническими. За последние полтора года европейские налоговые органы недосчитались 5 млрд. евро (свыше 6,8 млрд. долларов) из-за разницы в НДС, которой пользуются недобросовестные участники рынка. Однако это первый случай, когда злоумышленники прибегли к фишинговым рассылкам. По оценке экспертов, страницы-имитации были выполнены на высоком профессиональном уровне. Скорее всего, кибератаку организовали не простые хакеры, а те, кто не желает признавать международные правила добросовестной торговли.

Согласно статистике Lucid Intelligence, количество случаев хищения и продажи персональных данных в Сети за два года увеличилось на 230%.

В минувшем году этот держатель крупнейшей базы по жертвам фишинга, мошенничества и утечек данных обнаружил более 4,1 тыс. веб-сайтов, с которых пользовательская информация попала в открытый доступ. На подпольном рынке были выставлены на продажу 3113 новых банковских счетов, пригодных для отмывания денег.

Эксперты отмечают, что красть реквизиты, обеспечивающие доступ к онлайн-счетам, стали меньше. Объектом охоты в Сети все чаще становятся данные пользователей, не имеющие непосредственного отношения к финансовым транзакциям. С их помощью злоумышленники создают поддельные профили и открывают счета в банках, получают кредиты и займы. Если кредитные организации не примут экстренных мер, масштабы мошенничества в сфере электронной коммерции и онлайн-банкинга будут только увеличиваться.

Lucid полагает, что в текущем году фишеры и «нигерийские» мошенники не уступят своих позиций, а для отмывания «грязных» денег преступники будут выбирать небольшие, плохо защищенные банковские организации.

По прогнозам Gartner, к 2014 году социальные сети станут основным средством электронного обмена в 20% организаций.

Исследователи отмечают, что росту популярности социальных сервисов в деловых кругах будут способствовать повышение их безопасности, создание «белых» сообществ и толерантное отношение к использованию персональных аккаунтов во время работы. В ходе дальнейшего развития принципиальные различия между электронной почтой и социальными сетями постепенно нивелируются, и почтовая служба перестанет играть главенствующую роль в осуществлении деловых операций.

Можно ожидать, что через пару лет больше половины бизнес-структур будут поддерживать связь друг с другом через подобие микроблогов, с улучшенной системой контроля и защиты. Появятся также адекватные инструменты для поддержки групповой работы на мобильных платформах.

Тем не менее, по оценке Gartner, использование корпорациями систем, подобных Twitter, для внутреннего обмена составит менее 5%. И лишь четверть организаций к 2015 году будут обращаться к социальным механизмам анализа на регулярной основе, чтобы повысить эффективность бизнес-процессов и производительность труда.

Французское правительство предполагает заменить пользовательские пароли единым цифровым сертификатом, обеспечивающим доступ ко всем национальным веб-сервисам.

По замыслу авторов проекта, введение универсального идентификатора IdeNum должно покончить с утомительной необходимостью хранить в памяти целый набор замысловатых сочетаний символов, призванных обеспечивать безопасность во время виртуальных путешествий. Согласно статистике [PDF 164 Кб] Trusteer, 73% пользователей по этой причине используют банковские пароли для входа и на другие сервисы.

Внедрение IdeNum позволит сократить процесс авторизации пользователя на любом частном или публичном ресурсе, участвующем в проекте, и автоматизировать процесс заполнения онлай-форм. Предполагается, что многоцелевой идентификатор будет храниться на отдельном устройстве, каковым может стать флэш-, смарт- или SIM-карта.

Пока готовность присоединиться к разработке выразили более 20 национальных институтов, в том числе Союз французских банкиров, Ассоциация страховых агентств и Почтовая служба Франции. Прототип механизма аутентификации планируется представить к середине текущего года, а ввод полнофункциональной системы запланирован на 2011 год. Срок действия цифрового сертификата предположительно будет ограничен 3-5 годами.

Безусловно, реализация столь сложного проекта потребует немалых усилий и финансовых затрат. Ведь система аутентификации должна не только удостоверять личность пользователя, но и обеспечивать целостность данных. Последнее качество приобретает все большую актуальность ввиду появления банковских троянцев, способных перехватывать транзакции и на лету подменять информацию без ведома участвующих сторон. Серьезным вызовом являются вопросы защиты цифрового сертификата от хищения: такой «ключ от королевства» станет предметом особых вожделений сетевых охотников за чужими сокровищами.

Исследования → Пора совершенствовать методики тестирования! Магнус Калкул опубликовано 5 фев 2010, 17:29  MSK Сюжеты: Ошибки в работе security-программ рейтинг постинга 0.7

Приходилось ли вам сталкиваться с ложными срабатываниями при загрузке файлов на такие сайты, как VirusTotal? Бывает, что файл неверно определяется как вредоносный не одним сканером, а несколькими. В результате возникает абсурдная ситуация, когда каждый продукт, не детектирующий такой файл, автоматически предстает в невыгодном свете перед пользователями, не понимающими, что дело не в пропуске вредоносного файла одним продуктом, а в ложном срабатывании других.

Как это ни печально, с подобной ситуацией зачастую приходится сталкиваться и при тестировании антивирусных продуктов, особенно в статических тестах, основанных на проверке по требованию. Коллекции вредоносных программ, используемые в подобных тестах, могут насчитывать сотни тысяч файлов. Естественно, валидация такого большого числа образцов требует значительных ресурсов. Поэтому большинство тестовых лабораторий имеют возможность проверить лишь часть файлов. А что же остальные? Единственный способ разделить файлы на категории — это сочетать репутационную оценку источника и проверку несколькими антивирусными решениями. Как и в приведенном выше примере с VirusTotal, это означает, что любая компания, решения которой не детектируют образцы, детектируемые продуктами других компаний, будет выглядеть неубедительно — даже если на самом деле образцы испорчены или совершенно чисты.

Значимость хороших результатов тестирования продуктов для антивирусных компаний трудно переоценить. Поэтому в нынешней тенденции добавлять обнаружение файлов на основе результатов проверки несколькими антивирусными сканерами нет ничего удивительного. Конечно, антивирусные компании, в том числе и «Лаборатория Касперского», уже не первый год проверяют подозрительные файлы и продуктами других вендоров. Несомненно, знать, каковы результаты проверки файлов чужими сканерами, полезно. Например, если продукты десяти антивирусных компаний определяют подозрительный файл как троянец-загрузчик, это дает вам отправную точку при анализе этого файла. Но сейчас мы видим вовсе не это: подстегиваемые необходимостью добиваться хороших результатов в тестах, антивирусные компании последние годы стали все чаще прибегать к проверке файлов сканерами от разных вендоров для определения вредоносности. Конечно, никому эта ситуация не нравится: в конечном счете, наша задача — защищать пользователей, а не использовать слабые места методик тестирования себе во благо.

Именно поэтому один немецкий компьютерный журнал провел эксперимент, результаты которого были объявлены на конференции по безопасности, прошедшей в прошлом октябре. Суть эксперимента заключалась в следующем: был создан чистый файл, нас попросили добавить в базы запись, позволяющую детектировать (неверно) этот файл. Затем файл был загружен на VirusTotal. Спустя несколько месяцев этот файл детектировался на VirusTotal более чем 20 сканерами. После этого сообщения представители нескольких антивирусных компаний, присутствовавшие на мероприятии, согласились, что необходимо найти решение этой проблемы. Но детектирование на основе проверки несколькими сканерами — лишь симптом: корень проблемы лежит в самой методике тестирования.

К сожалению, в этой области у антивирусных компаний чрезвычайно ограниченные возможности. Ведь тесты заказывают журналы. Если есть выбор между дешевым статическим тестом на коллекции из миллиона образцов (звучит внушительно, но некоторым образцам уже несколько месяцев) и дорогим динамическим тестом с меньшим числом образцов, прошедших валидацию и еще не включенных в антивирусные базы, большинство журналов выберут первый вариант.

Как я уже говорил, антивирусные компании, как и большинство тестовых лабораторий, знают о проблеме, и она их совсем не радует. Именно в целях совершенствования методик тестирования два года назад несколько антивирусных компаний (в их числе и наша), а также независимых исследовательских и тестовых организаций создали — Организацию по стандартам тестирования антивирусных решений (Anti-Malware Testing Standards Organization — AMTSO). И все же ключевая роль принадлежит журналистам. Вот почему мы решили проиллюстрировать проблему на нашем недавнем пресс-туре в Москве, на который были приглашены журналисты со всего мира. Конечно же, нашей целью было не дискредитировать другие антивирусные компании (приводились, в частности, примеры того, как наши продукты детектировали файл только потому, что его детектировали решения других компаний), а продемонстрировать негативные последствия проведения дешевых тестов, основанных на проверке по требованию.

То, что мы сделали, в большой степени повторяло прошлогодний опыт немецкого журнала, только на большем числе образцов. Мы создали 20 чистых файлов и добавили ложное детектирование для десяти из них. В течение следующих нескольких дней мы неоднократно загружали эти двадцать файлов на VirusTotal. Через десять дней все 10 детектируемых нами (но не вредоносных) файлов детектировались решениями максимум 14 других антивирусных компаний. В некоторых случаях это можно было объяснить настроенными на обнаружение максимального числа файлов эвристиками, но практика добавления в базы образцов, детектируемых несколькими антивирусными решениями, несомненно, повлияла на результат. Мы раздали журналистам использованные нами образцы, чтобы дать им возможность самим провести тесты. Мы понимали, что это может быть связано с определенным риском: поскольку в своем отчете мы также касались вопросов интеллектуальной собственности, существовала опасность, что журналисты сосредоточатся на том, кто у кого копирует данные, а не на главной проблеме (добавление в базы файлов, детектируемых несколькими антивирусными решениями, — это симптом болезни, а не причина ее). Но, в конце концов, именно журналисты имеют возможность заказывать более совершенные тесты, так что с чего-то надо было начать.

Итак, каковы перспективы? Хорошая новость состоит в том, что в последние несколько месяцев некоторые тестовые лаборатории приступили к разработке новых методик тестирования. Вместо статических тестов, основанных на проверке по требованию, они пытаются тестировать всю цепочку защитных компонентов: модуль антиспама -> «удаленная» (in the cloud) защита -> сигнатурная защита -> эмуляция -> поведенческий анализ в режиме реального времени и т.д. В конечном счете, дело за журналами: им следовало бы заказывать подобные тесты и отказываться от устаревших подходов.

Если удастся избавиться от статических тестов, основанных на проверке по требованию с применением массы не прошедших валидацию образцов, копирование чужой классификации файлов как минимум значительно сократится, а результаты тестов станут больше соответствовать действительности (даже если это означает, что придется попрощаться с уровнями обнаружения 99,x%). В конечном счете, это принесет пользу всем: прессе, пользователям и, конечно, антивирусным компаниям.