Как опасен этот мир? Версия Symantec

26 март, 2006 - 23:00Александр Макеев

Компания Symantec на днях представила девятый том своего отчета Internet Security Threat Report, который выходит дважды в год и на этот раз охватывает второе полугодие 2005 г. Собранные в нем статистические данные позволяют не только оценить уровень опасности (или безопасности) современного компьютерного мира, но и отметить некоторые интересные тенденции.

Отчет Symantec Internet Security Threat Report содержит анализ сетевых атак, обзор известных уязвимостей и информацию о вредоносном коде и других рисках в Интернете. Используя сеть Symantec Global Intelligence Network, компания выявляет и анализирует новые тенденции в этом сегменте. Стоит сказать, что данная система представляет собой довольно серьезный источник информации. Так, службы Symantec DeepSight Threat и Symantec Managed Security Services объединяют свыше 40 тыс. датчиков, контролирующих сетевую активность более чем в 180 странах. Благодаря собственным антивирусным решениям, развернутым на 120 млн клиентских, серверных и межсетевых систем, Symantec получает оперативные сведения о распространении вредоносного кода. Аналогично компания поддерживает одну из самых полных в мире баз данных уязвимостей программного обеспечения, которая охватывает свыше 13 тыс. ошибок, влияющих более чем на 30 тыс. технологий от 4 тыс. поставщиков.

В дополнение ко всему этому система Symantec Probe Network, содержащая свыше миллиона учетных записей электронной почты в 20 странах, позволяет оценивать уровень спама и фиксировать попытки фишинга. Не следует сбрасывать со счетов и BugTraq – один из самых популярных интернет-форумов для обсуждения различных проблем безопасности, объединяющий более 50 тыс. подписчиков.

Естественно, столь масштабная система сбора информации позволяет делать довольно интересные выводы и заключения. В своем новом отчете специалисты Symantec отмечают, что если еще в недавнем прошлом целью абсолютного большинства атак было нанесение ущерба, то сегодня значительная их часть нацелена исключительно на кражу данных ради последующего извлечения дохода. Как правило, такие атаки осуществляются без каких бы то ни было заметных нарушений в работе систем, которые могли бы насторожить пользователя. Доля вредоносных программ, предназначенных именно для хищения конфиденциальной информации, среди 50 самых распространенных за указанный период выросла с 74 до 80%.

Как опасен этот мир? Версия Symantec

В отчете также констатируется растущее количество атак на Web-приложения и браузеры с использованием бот-сетей и так называемого модульного вредоносного кода. За последние шесть месяцев 69% уязвимостей, о которых стало известно Symantec, были связаны именно с Web-технологиями – это на 15% превышает показатель предыдущего периода. Модульные вредоносные программы сначала обладают лишь ограниченной функциональностью, но впоследствии могут становиться все разрушительнее. За последние полгода на их долю пришлось 88% из 50 самых опасных образцов вредоносного кода, выявленных Symantec (против 77% по результатам предыдущих исследований). При этом специалисты компании прогнозируют использование преступниками все более разнообразных и изощренных методов для осуществления онлайновых афер и кражи информации у потребителей и организаций (так называемое crimeware).

Хотя число бот-инфицированных («зомбированных») компьютеров за шесть месяцев снизилось на 11%, в среднем ежедневно фиксировалось 9163 зараженные системы. При этом, однако, учитывались только некоторые регионы, и в мировом масштабе реальное количество зараженных компьютеров и их доля вполне могут оказаться значительно выше. Подобные сети все интенсивнее используются, например, для такой преступной деятельности, как попытки вымогательства с помощью DoS-атак. Таковых в среднем фиксировалось 1402 в день, что на 51% больше, чем за предыдущий аналогичный период.

Самый интенсивный рост числа бот-инфицированных компьютеров сегодня наблюдается в Китае – там этот показатель составил 37% (т. е. на 24% выше среднего уровня), что выводит эту страну уже на второе место после США в данной категории. КНР продемонстрировала также самое резкое увеличение количества исходящих атак: их стало на 153% больше, чем ранее, что, опять же, на 72% выше средних темпов роста.

Во втором полугодии 2005 г. продолжала усиливаться угроза фишинга, т. е. попытки выведать у пользователей конфиденциальную информацию обманным путем (впрочем, подобные аферы отмечены преимущественно в региональных масштабах). В среднем выявлялось 7,92 млн попыток фишинга в день против 5,70 млн в предыдущем полугодии.

Стоит также упомянуть, что в последнем отчете Symantec зафиксировала 1895 новых уязвимостей программного обеспечения, что является самым существенным показателем с 1998 г. 97% из них был присвоен умеренный или высокий уровень опасности, а 79% считаются простыми в применении. При этом важно отметить, что с момента обнародования информации об уязвимости до появления использующего ее кода в среднем проходило 6,8 суток, а официальное исправление выпускалось только через 49 дней – таким образом, 42 дня (по каждому инциденту) системы оставались уязвимыми.

Чтобы подтвердить важность своевременного обновления операционной системы и распространенных приложений, Symantec также оценила время, необходимое злоумышленникам на взлом свежеустановленных ОС на Web-серверах и настольных ПК. Среди первых худшие результаты оказались у Windows 2000 Server без установленных исправлений, тогда как полностью обновленная Windows Server 2003 Web Edition и RedHat Enterprise Linux 3 (как исправленная, так и нет) за период тестирования вообще взломаны не были. Аналогично в настольном сегменте самые низкие показатели продемонстрировала оригинальная Microsoft Windows XP Professional, однако эта же ОС с последними обновлениями и SuSE Linux 9 Desktop выдержали все атаки.

В заключение отметим, что был зафиксирован совсем незначительный рост числа новых вариантов вирусов и «червей» для Win32-платформы (10 992 за отчетный период против 10 866 за предыдущий), тогда как абсолютно новых программ этих категорий было выявлено на 39% меньше по сравнению с предыдущим периодом (всего 104). При этом количество угроз третьей и четвертой категорий (представляющих умеренную и высокую степень опасности) существенно сократилось, а первой и второй (с низким уровнем опасности) – соответственно увеличилось.