Неизменность названия может вводить в заблуждение, однако управляемые вредоносные программы, формирующие бот-сети, обновляются с той частотой и загружают ту функциональность, которые необходимы злоумышленникам.
Другая глобальная тенденция — возникновение новых направлений атаки для виртуализованных и облачных сред. Один из возможных сценариев атаки на облачные сервисы — перегрузка системы массовыми запросами, поступающими из бот-сетей. Злоумышленники могут выводить сервисы из строя или же вымогать деньги, угрожая такими атаками.
Один из основных рисков для виртуализованных сред — атака на гипервизор. Гипервизор контролирует все аспекты работы виртуальных машин, и его защита жизненно важна, подчеркивают в Trend Micro. Главной целью вредоносного кода здесь является программный интерфейс (API), с помощью которого виртуальные машины и гипервизор обмениваются управляющей информацией. Средства виртуализации компаний, опубликовавших свои API (как это сделано в отношении Amazon Web Services), будут более уязвимы, чем тех, которые не раскрывают детали этих интерфейсов.
Постоянной заботой провайдеров станет стабильность и защищенность глобальной инфраструктуры маршрутизации. В 2008 году уже имело место вмешательство в глобальные таблицы маршрутизации на государственном уровне, а в 2009 году по вине небольшого чешского интернет-провайдера была нарушена работа сопредельных маршрутизаторов, что привело к широкомасштабным перерывам в связи. Основным риском в этой области станут, однако, не диверсии, а ошибки в настройках и ПО маршрутизации. Как отмечают в Trend Micro, протоколы BGP и DNS разрабатывались в расчете на меньшие нагрузки, нежели те, которые имеют место сегодня, и рассчитаны на более скромные требования к безопасности.
Обыденностью, как предсказывается, станут такие атаки, когда для заражения будет достаточно одного посещения инфицированного сайта.
Станут более распространенными атаки на мобильные устройства по мере их унификации и увеличения количества обрабатываемой на них ценной информации. В 2009 году была зарегистрирована бот-сеть на платформе Symbian, компоненты которой распространялись по SMS; она была предназначена для копирования информации IMEI; другая сеть развертывалась на аппаратах iPhone со взломанной защитой от установки несертифицированных программ и была нацелена на клиентов банков в Нидерландах; собранная информация передавалась на управляющий сервер в Литве.
Среди прочих новых опасностей — возможность подмены доменных имен с использованием букв национальных алфавитов, имеющих сходное начертание, и появление скрытых каналов передачи данных при использовании IPv6.
Говоря о текущем разнообразии киберугроз, в TrendMicro отмечают, что вредоносные программы меняют свою форму каждые несколько часов, а новые образцы кода появляются с интервалом в полторы секунды. Стопроцентная защита от угроз в таких условиях невозможна, но сочетание различных способов -- например, контроль репутации источников данных и файлов, реализованных, в частности, в системе защиты Trend Micro Smart Protection Network,-- позволяет исключить подавляющее большинство рисков. По данным недавно опубликованного отчета NSS Labs, уровень защиты рабочих станций от угроз загрузки и исполнения вредоносных программ с применением методов социальной инженерии (на реальных примерах) обеспечивался продуктами компании на 96,4%. Этот показатель стал отраслевым рекордом.
Опасные провайдеры
Через провайдеров проходят огромные объемы информации, поэтому такие компании подвержены двум рискам. Во-первых, они представляют значительный интерес для злоумышленников, которые могут подкупать сотрудников провайдерской фирмы, или угрожать им с целью получить доступ к информации, или же сами устраиваться туда на работу; во-вторых, нечестные сотрудники могут пожелать сами извлечь выгоду из ресурсов, к которым имеют доступ. Беседа с Раймундом Генесом, техническим директором Trend Micro, показала, что даже в такой передовой стране, как США, борьба с недобросовестными провайдерами может быть сопряжена с очень большими сложностями, а отсутствие у Интернета государственных границ делает ее почти безрезультатной. В прошлом году, вспоминает Генес, в США действовал провайдер McColo (см. "Главные сюжеты 2008 года: бизнес не как обычно", Computerworld Online, 12 января 2009), поддерживающий, в частности, серверы управления бот-сетями. Об этом было известно всем компаниям информационной безопасности, ФБР и другим компетентным органам, однако McColo продолжал работать.
"Это не Дикий Запад, вы не можете просто взять и перерезать кабели, — говорит Генес. — Нужен обвинительный акт". Если же у ответчика хорошие юристы, как у McColo, он может тянуть, тянуть и тянуть. В конце концов криминальный провайдер все же был закрыт, и некоторое время бот-сети простаивали. Спустя несколько дней, однако, McColo вынудил своего резервного вышестоящего провайдера открыть ему временный доступ и перенастроил сети на работу с новыми серверами управления, размещенными уже в Китае.
Многие провайдеры, по словам Генеса, не принимают мер к борьбе со спамом просто потому, что им это невыгодно. "Они не хотят даже видеть наших списков с IP-адресами [с которых рассылается спам]", — жалуется технический директор Trend Micro. Антивирусным компаниям доступны лишь IP-адреса, которые постоянно меняются, поэтому пользователей, с чьих компьютеров рассылается спам, самостоятельно они установить не могут. Провайдеры отказываются сотрудничать, поскольку им потребуется информировать пользователей, пользователи станут звонить в службу технической поддержки, в результате расходы возрастут. "До тех пор пока правительство не заставит провайдеров бороться со спамом, ситуация, к сожалению, не улучшится", — констатировал Генес.