„Kaspersky Lab“ specialistai anoniminiame „Tor“ tinkle aptiko beveik 900 paslėptų paslaugų realiuoju laiku. Detaliai ištyrę šį tinklą, veikiantį vadinamajame pogrindžio internete, ekspertai priėjo išvadą, kad toks anonimiškumas kuriant įvairias interneto paslaugas vis labiau traukia nusikaltėlius.

Tinklas „Tor“ – laisva programinė įranga, veikianti internete. Kaip ir kiekvienoje internetinėje erdvėje, jos vartotojai lankosi tinklalapiuose, dalijasi informacija forumuose, naudojasi įvairiomis paslaugomis. Nuo įprasto interneto iš principo skiriasi tik tuo, kad „Tor“ užtikrina visišką vartotojų anonimiškumą taikydamas specifinį maršrutizavimą – daugiasluoksnę tarpinių (angl. „Proxy“) serverių sistemą, šifruojančią kiekvieną duomenų perdavimą. Tradiciniame interneto segmente kiekvienas tinklalapis ir paslauga turi domeno vardą, leidžiantį sužinoti, kas yra resurso savininkas, o „Tor“ naudoja netikrus domenus, todėl bet kokie bandymai gauti informacijos apie savininką yra bergždi.

Visi šie „Tor“ tinklo ypatumai, žinoma, traukia ne tik įstatymus gerbiančius vartotojus, norinčius išsaugoti savo kontaktų ir duomenų konfidencialumą. Kibernetiniai nusikaltėliai pradeda vis aktyviau naudotis šiuo anoniminiu tinklu kurdami savo kenkėjišką infrastruktūrą. Kol kas „Kaspersky Lab“ aptiko kelis virusus, vienaip ar kitaip išnaudojančius „Tor“ galimybes. Tarp jų – 64 bitų „Trojos“ virusas „ZeuS“ su valdymo centru per „Tor“ tinklą, kenkėjiška programa „ChewBacca“ su duomenų apsikeitimo funkcionalu per „Tor“, taip pat pirmasis „Tor“ „Trojos“ virusas „Android“ valdomiems įrenginiams.

Be anonimiškumo, kuris, žinoma, labai padeda kibernetiniams nusikaltėliams, šis tinklas turi daugybę resursų, palengvinančių kenkėjiškos programinės įrangos kūrimą ir plėtrą: tai komandiniai kontrolės serveriai, administratoriaus skydas ir pan.

„Į tinklą „Tor“ įkeltus komandinius kontrolės serverius sunkiau identifikuoti, blokuoti ar visiškai išjungti. Nors kibernetiniams nusikaltėliams tenka įdėti daugiau pastangų šiame tinkle kuriant komunikacijos centrą su visais virusais, mes manome, kad kenkėjiškos programinės įrangos, išnaudojančios anoniminio tinklo galimybes, daugės“, – pažymėjo Sergejus Ložkinas (Sergey Lozhkin), „Kaspersky Lab“ antivirusų ekspertas.

Išsamiau apie kibernetinių nusikaltėlių susidomėjimą anoniminiu tinklu „Tor“, skaitykite oficialiame analitiniame „Kaspersky Lab“ resurse:
http://www.securelist.com/en/blog/8187/Tor_hidden_services_a_safe_haven_for_cybercriminals.

„Kaspersky Lab“ nustatė, kad netobulas tinklinio protokolo, bendrovės „Absolute Software“ naudojamo produkto „Absolute Computrance“, įgyvendinimas gali tapti savotiška „Archimedo svirtimi“ ir naudingą programinę įrangą paversti galingu apgavikų ginklu.

Šis programinis defektas gali kibernetiniams nusikaltėliams atversti prieigą prie milijonų kompiuterių visame pasaulyje – tokiu atveju raktu taptų programinis agentas „Absolute Computrance“, saugomas šiuolaikinių kompiuterių ir nešiojamųjų kompiuterių BIOS mikroprogramoje.
„Kaspersky Lab“ specialistai pradėjo tirti šios „Absolute Software“ apsaugos programinės įrangos ypatumus, kai išsiaiškino, kad programinis agentas „Absolute Computrace“ veikia daugybėje kompiuterių be išankstinio leidimo. Nors šis produktas yra legalus, kai kurie vartotojai teigė, kad niekada jo nediegė ir neaktyvino, o kai kurie visiškai nežinojo apie šią programinę įrangą savo kompiuteriuose. Dauguma iš anksto nustatytų programų gali būti lengvai pašalinamos arba išaktyvinamos vartotojo, o kompiuterio mikroprogramoje esantis „Absolute Computrace“ tęsia darbą netgi kruopščiai išvalius sistemą arba pakeitus diską.
Tačiau ne tik šis „Absolute Computrace“ ypatumas vartotojui gali sukelti įtarimų. Minėta programinė įranga taiko technologijas, apsunkinančias ardymą ir analizę, taip pat kitus populiarius virusų kūrėjų instrumentus, pavyzdžiui, injekciją į kitų procesų atmintį, paslėptų ryšio kanalų organizavimą, sisteminių failų keitimą diske, konfigūracinių duomenų šifravimą ir vykdomųjų „Windows“ failų kūrimą tiesiogiai iš BIOS mikroprogramos kodo.
„Taikydami šiuos galingus programinius agentus kibernetiniai nusikaltėliai gauna potencialią galimybę kontroliuoti kompiuterius, kuriuose įdiegtas „Absolute Computrace“ sprendimas. Teoriškai ši programinė įranga gali būti panaudota dislokuojant apgavikų šnipinėjimo modulius, – aiškina Vitalijus Kamliukas (Vitaly Kamluk), „Kaspersky Lab“ vyriausiasis antivirusų ekspertas. – Kad toks galingas instrumentas kaip „Absolute Computrace“ tarnautų naudingai, jame turi būti naudojami autentifikavimo ir šifravimo mechanizmai. Akivaizdu, kad „Absolute Software“, populiarios programinės įrangos kūrėja, turėtų vartotojus informuoti, kaip išaktyvinti programą. Priešingu atveju jie taps kenkėjų, naudojančių silpnąsias vietas, taikiniu.“
Remiantis debesų paslaugos „Kaspersky Security Network“ duomenimis, programinis agentas „Absolute Computrace“ šiandien veikia apie 150 tūkst. vartotojų sistemose. Bendras vartotojų su aktyvintu agentu skaičius gali viršyti 2 mln., ir nežinoma, kiek jų žino apie šią savo konpiuteriuose įdiegtą programinę įrangą. Taip pat ekspertai nustatė, kad dauguma kompiuterių su aktyviai veikiančiu agentu „Absolute Computrace“ yra JAV ir Rusijoje.
Tinklinis protokolas „Computrance“ suteikia bazines nuotolinio kodo atlikimo galimybes. Jis nereikalauja naudoti jokių kriptografinių mechanizmų duomenims šifruoti arba nutolusiam serveriui tikrinti, o tai suteikia apgavikams galimybę vykdyti nuotolines atakas neapsaugotoje tinklo aplinkoje.
Šiuo metu nėra įrodymų, kad „Absolute Computrace“ naudojamas kaip atakų vykdymo platforma. Tačiau daugelio bendrovių ekspertai mato tokią galimybę – ir tai netiesiogiai patvirtinama šiuo momentu nepaaiškinamais neautorizuoto šios programos aktyvinimo atvejais.
Tuo tarpu dar 2009 m. „Core Security Technologies“ specialistai publikavo „Absolute Computrace“ programos tyrimus. Jie papasakojo apie joje taikomų technologijų pavojų ir apie tai, kaip apgavikai gali modifikuoti sistemos rejestrą siekdami perimti programos valdymą. Anksčiau įvairūs saugumo atžvilgiu dviprasmiški programinio agento „Absolute Computrace“ darbo mechanizmai priversdavo suveikti antivirusus. Remiantis tam tikromis ataskaitomis, „Microsoft“ saugos sprendimas kadaise klasifikavo „Absolute Computrace“ kaip „VirTool:Win32/BeeInject“. Tačiau vėliau „Microsoft“ ir kitos saugos produktus gaminančios bendrovės nebeskyrė šios programos agento kaip kenkėjiškos programinės įrangos. Šiuo metu vykdomieji failai „Absolute Computrace“ įtraukti į daugumos antivirusių bendrovių baltuosius sąrašus.
Išsamiai su tyrimo ataskaita apie programinio agento „Absolute Computrace“ darbo ypatumus galima susipažinti oficialiame analitiniame „Kaspersky Lab“ šaltinyje pagal nuorodą:
http://www.securelist.com/en/analysis/204792325/Absolute_Computrace_Revisited

Programinės įrangos, naudojamos bendrovių darbuotojų darbo užduotims atlikti, pažeidžiamos vietos – pagrindinė bendrovių vidinių kibernetinio saugumo incidentų priežastis. Tokias išvadas padarė autoritetingos analitinės agentūros „B2B International“ specialistai kartu su „Kaspersky Lab“ atlikę 24 pasaulio šalių verslo atstovų apklausą „Global corporate IT security risks 2013“.

Silpnosios vietos teisėtoje programinėje įrangoje labai dažnai tampa korporatyvinių kompiuterių užkrėtimo kenkėjiška programine įranga priežastimi, to rezultatas – svarbių duomenų nutekėjimas. 39 proc. apklausos dalyvių visame pasaulyje pranešė, kad per pastaruosius 12 mėnesių jų bendrovėse buvo įvykęs mažiausiai vienas tokio tipo incidentas.

Nuo 2011 m. šių incidentų dalis ryškiai sumažėjo – nuo 47 proc. iki 39 proc., tačiau ji vis dar didelė. Iš viso apie 85 proc. bendrovių pranešė apie vykusius vidinius IT saugumo incidentus, daugiausia jų kilo dėl pažeidžiamų programinės įrangos vietų.

Didžiausias tokių incidentų procentas užfiksuotas Rusijoje – tai patvirtino 51 proc. apklausos dalyvių. Bendrovėse iš Azijos ir Ramiojo vandenyno regiono šis rodiklis yra 43 proc., bendrovėse iš Šiaurės Amerikos – 38 proc. Mažiausiai dėl pažeidžiamų korporatyvinės programinės įrangos vietų nukentėjo apklausos atstovai, dirbantys Japonijos bendrovėse, – 29 proc.

Dar apie su bendrovės verslu susijusių duomenų nutekėjimą, įvykusį dėl pažeidžiamų korporatyvinės programinės įrangos vietų, pranešė 25 proc. apklausos dalyvių, o 10 proc. bendrovių nutekėjo svarbūs korporatyviniai duomenys, dėl ko vėliau buvo patirta finansinių nuostolių.

Už patį faktą dėl pažeidžiamų vietų atsako programinės įrangos kūrėjai, o ne šią įrangą naudojančios bendrovės. Tačiau kad ir kas būtų kaltas, be papildomų apsaugos priemonių organizacijos IT infrastruktūra lieka pažeidžiama tol, kol įrangos kūrėjas nesukurs atnaujinimo, apsaugančio pažeidžiamas vietas.

Todėl bet kuriai bendrovei svarbu taikyti apsaugos sprendimą su inovatyviomis technologijomis, kurios leidžia aptikti ir sustabdyti atakas per pažeidžiamas programinės įrangos vietas ir maksimaliai greitai atnaujinti programas, kuriose yra pavojingų pažeidžiamų vietų.

Būtent tokios technologijos kartu su inovatyvia apsauga nuo kenkėjiškų programų ir kitų kibernetinių pavojų taikomos profesionaliame apsaugos sprendime „Kaspersky Endpoint Security For Business“. Technologija „Automatic Exploit Prevention“ leidžia aptikti ir blokuoti bandymus išnaudoti pažeidžiamas populiarių priedų vietas, o sprendimas „Systems Management“ – efektyviai valdyti bendrovės darbo stotelės, taip pat centralizuotai įdiegti priedų saugumo atnaujinimus.

„Kaspersky Lab“ sprendimas užtikrina aukštą bendrovės IT infrastruktūros saugumo lygį, turint omenyje tai, kad populiarių programinių įrangų kūrėjai ne visada greitai išleidžia savo produktų saugumo atnaujinimus, ir dažnai šie atnaujinimai turi naujų pažeidžiamų vietų vietoj jau užblokuotų.