Трояны крадут секреты компаний
admin
🕛 26.07.2005, 07:36
Эксперты в сфере компьютерной безопасности отмечают резкое увеличение случаев использования троянских программ в промышленном шпионаже.<more>Подобно вирусам и почтовым червям, шпионское ПО стало еще одним бичом крупных компаний. Значительный потенциал троянских программ в области промышленного шпионажа представляет существенную угрозу для организаций.
Возможности троянских программ были во всей красе продемонстрированы в конце мая. Тогда израильский писатель Амнон Яконт (Amnon Jackont) наткнулся в интернете на фрагменты своей незаконченной книги. Так как до этого он никому книгу не показывал, он обратился в полицию, которая выяснила, что его бывший зять выкрал книгу с помощью трояна Rona.
В процессе расследования выяснилось, что преступник сумел заразить своим трояном множество других компьютеров, от личных ПК руководителей телекоммуникационных компаний страны до машин местного отделения Hewlett-Packard.
В результате инцидента, уже прозванного «троянгейтом», арестовано почти 20 подозреваемых. По некоторым данным, из различных израильских фирм были украдены сотни и тысячи документов. Для проведения расследования изъято около 100 серверов.
Обнаружить факт промышленного шпионажа, проводимого с помощью шпионского ПО, очень непросто. Пораженные компании могут долго оставаться в неведении, а, обнаружив шпионские программы, - скрывать факт заражения.
Однако некоторые инциденты уже получили широкую огласку. По информации компании Webroot Software, ряд нью-йоркских банков прошлой осенью были атакованы программой, заражавшей только конкретные финансовые учреждения с целью получения паролей. Также в 2004 году компания MessageLabs обнаружила программу-троян, атаковавшую только ПО, используемое в проектировании самолетов.
Хотя такие инциденты пока встречаются не слишком часто, рост активности в этой сфере уже вызывает опасения экспертов в области безопасности. «Я считаю преступной наивностью полагать, что атакам подверглись лишь те компании, о поражении которых стало известно общественности», - говорит Роджер Томпсон (Roger Thompson), директор отделения по изучению вредоносного ПО в компании Computer Associates.
Хотя шпионское ПО можно обнаружить с помощью ряда имеющихся в продаже программных пакетов, сложно понять, установлена ли отдельно взятая следящая программа с целью промышленного шпионажа. «В Израиле троян был обнаружен лишь по счастливой случайности»", - говорит Чарльз Колоджи (Charles Kolodgy), аналитик IDC.
Процесс поиска программ-шпионов осложняется еще и тем, что хакеры научились обходить методы сканирования, применяемые для их обнаружения. Это означает, что для противодействия атакам теперь приходится применять многоуровневые системы защиты.
Однако также весьма вероятен шпионаж изнутри. «Уже известен ряд случаев, когда компьютеры компаний заражались злонамеренными сотрудниками, шпионящими за руководством или крадущими важную информацию в пользу конкурентов», - говорит Рик Карлсон (Rick Carlson), глава компании-разработчика антивирусного ПО Aluria Software.
«Хотелось бы отметить следующее - трояны и кража информации с помощью этих программ это вторично, - отметил в интервью Stfw.Ru Дмитрий Кузин, глава представительства Radware в России. - Если строить аналогию с ядерным оружием, то иметь ядерную бомбу хорошо, но чтобы это предоставляло реальную угрозу, надо иметь средство доставки до цели. В нашем случае троянская программа и есть тот ядерный заряд. Но, не имея средства доставки, применить его можно только в ограниченных случаях. Современное средство доставки троянских программ - сетевые черви. При этом почтовые черви это, на мой взгляд, самая безопасная разновидность».
Как подчеркивает г-н Кузин, наиболее опасными являются черви, которые распространяются не через e-mail, а просто по Сети, в частности, Sasser, Glieder, Codbot. «Атака на жертву происходит на сетевом уровне, причем пользователь может и не знать, что он подвергся нападению, - говорит эксперт. - После первичного проникновения на компьютер жертвы червь начинает блокировать программы защиты (межсетевые экраны, антивирусы и т.п.), и самое интересное, что червь может начать защищать машину от известных уязвимостей (это эхо хакерских воин, чтобы черви других хакеров не захватили инфицированную машину). При этом с каждым днём черви становятся всё более разумными, и зачастую атака идёт не на одну уязвимость, а сразу на несколько. Что будет делать инфицированная жертва дальше, зависит только от воображения и потребностей "хозяина" червя. Это может быть и промышленный шпионаж, или же зараженная машина станет "рядовым" в сетевой армии хакера, так называемых botnet-сетях. Задачи таких сетей - генерация DoS/DDoS-атак, рассылка спама и так далее. В ходе одного из проектов нам пришлось столкнуться с botnet-сетью в 130 тыс. компьютеров, думаю не надо пояснять, что может устроить такая армия».
Как же с этим бороться? Стандартные межсетевые экраны и антивирусы не могут обеспечить необходимой защиты, уверены в Radware. Тут необходимы системы защиты на уровне сети - IPS (Intrusion Prevention System). При этом данные системы должны не только блокировать известные атаки, но и иметь интеллект для определения аномалий в поведении компьютеров в сети. «Надо отметить, что для корпоративных сетей крайне желательна сегментация с помощью IPS, это позволит контролировать передаваемые данные из одного сегмента в другой, избежать большинства проблем, связанных с инсайдерами, и определить местонахождение злоумышленника», - говорит глава представительства Radware в России.
stfw.ru