Компания Symantec обнародовала отчет о безопасности в Сети

Крупные производители средств защиты постоянно следят за активностью хакеров. Собранная ими информация анализируется и публикуется в виде аналитических отчетов. Так, «Лаборатория Касперского», Sophos и PandaLabs выпускают свои отчеты ежемесячно, а Symantec анализирует более обширные пласты информации за полгода.

Свои исследования Symantec основывает на данных, полученных с помощью сети из 40 тыс. сенсоров, расположенных в самых разных «уголках» Internet. Дополнительно у компании заведено более 2 млн. адресов электронной почты, которые улавливают рассылку вредоносных почтовых сообщений. Система анализирует Internet-атаки, собирает информацию о найденных уязвимостях, ищет вредоносный код и контролирует общее состояние Internet. Результаты работы оперативного анализа можно увидеть с помощью сервиса Symantec Internet Threat Meter — это Web-информер, который показывает текущее глобальное состояние электронной почты, Web, систем передачи мгновенных сообщений и обмена файлами.

В марте Symantec обнародовала результаты анализа угроз безопасности за период с 1 июля по 31 декабря 2005 года. Как показало исследование, основные проблемы информационной безопасности — мошенничество и кража конфиденциальной информации. При этом для проведения атак использовались сети из зомбированных компьютеров, а также модульные троянские программы, которые в любой момент могут подгрузить дополнительный функционал. Основной целью атак являются Web-приложения и браузеры. Количество массовых атак продолжает снижаться, но увеличивается общее число целенаправленных нападений, которые пользователи могут просто не заметить. Три основные индустрии, против которых велись атаки во второй половине 2005 года, это финансовые институты, образовательные учреждения и малый бизнес.

За рассматриваемый период компания фиксировала в день от 39 до 57 атак. Причем 31% из них проводилось из США, Китай был на втором месте с 7% инициированных нападений. Как оказалось, в США также самый большой процент зомбированных компьютеров — 26% (на втором месте Великобритания с 22%), поэтому точно установить источники атаки не представляется возможным, поскольку они очень часто проводятся с захваченных машин. Также в течение всего 2005 года фиксировалось резко возросшее, по сравнению с 2004-м, количество атак типа «отказ в обслуживании». Это, скорее всего, говорит об отработке бизнес-моделей этих атак и переходе одиночных нападений в стадию «промышленного» их проведения.

Вредоносный код сейчас все более направлен на кражу конфиденциальной информации — 40 из первых по популярности 50 вредоносных кодов воруют те или иные чувствительные для пользователя данные. Но учитывая, что 44 из той же выборки являются модульными кодами, которые могут подгружать дополнительный функционал, возможно, процент воровства информации еще выше. Восемь из первой десятки вирусов распространяются при помощи электронной почты, и все они могут служить для мошенничества и других преступлений. Вообще же почтовый протокол SMTP используется для распространения 46 вирусов из наиболее часто применяемых 50, что говорит о недостаточном внимании к его защите со стороны провайдеров и корпоративных пользователей. Отмечается также снижение количества семейств вредоносного кода — со 170 в начале 2005-го до 104 в конце. Это, похоже, говорит о начале консолидации «индустрии» вредоносных программ и разделе сфер влияния в ней.

Количество найденных уязвимостей программного обеспечения продолжает увеличиваться, правда, за отчетный период этот показатель вырос всего на 1% — до 1896. Более чем в двух третях случаев это уязвимости Web-приложений, то есть различные SQL- и PHP-инъекции, которые возникают из-за плохой подготовки Web-разработчиков. Однако эти «инъекции» редко можно использовать для организации массовых атак.

Доля уязвимостей Web-приложений увеличилась на 15%, что позволяет говорить о снижении количества всех остальных, что хорошо для пользователей, поскольку на их рабочих местах обычно Web-приложения не устанавливаются. В то же время количество ошибок в браузерах сокращается — в IE за полгода было найдено 24 ошибки (как и за год до того), а число уязвимостей в Firefox уменьшилось с 32 до 17. К тому же увеличилось среднее время подготовки эксплойта к нанесению реального вреда — с 6 дней в начале 2005 года до 6,8 дня в его конце. Время латания дыр хоть и уменьшилось с 64 дней до 49, но все еще остается слишком большим. Однако за прошедший период отмечались факты продажи информации об уязвимых местах в защите и фактически о создании рынка услуг по поиску неизвестных дыр, что, скорее всего, приведет к ухудшению состояния дел в области защиты. В целом же ситуация с Internet-угрозами стабилизировалась и пока не видно факторов, которые вывели бы ее из равновесия.


Источники угроз

В отчете Symantec указаны доли стран — источников угроз. Однако в нем указаны только прямые атаки, хотя хакеры в большинстве случаев прячутся за промежуточными зомби-машинами