В последние дни в крупных поисковиках наблюдается эпидемия утечек информации, в том числе и той, которая считалась секретной. Проштрафились такие гиганты, как "Яндекс" и Google.

Сегодня пришло сообщение о том, что в кэш крупнейшего мирового поисковика - компании Google - попали Минэкономразвития, Федеральной антимонопольной службы, Счетной палаты, специальных программ президента России, а также портала госзакупок, местных органов власти. К расследованию этого инцидента уже .

Однако впоследствии Счетная палата и ФАС заявили: они отрицают, что в свободный доступ попали конфиденциальные документы. "На сайте Счетной палаты информация ограниченного распространения не публиковалась и не публикуется", - такое сообщение появилось в twitter-аккаунте высшего органа финансового контроля РФ. "Результаты поисковых запросов, обнаруживающих т.н. служебные документы СП РФ якобы под грифом ДСП - это материалы официальных бюллетеней СП РФ", - говорилось в "твите".

Несколькими днями ранее серия утечек произошла в "Яндексе". Сначала в кэше обнаружились , посланные с сайта "Мегафона", затем в свободном доступе оказались персональные данные , а вчера поисковики проиндексировали данные с номерами поездов, именами и паспортными данными пассажиров.

Еще одна интернет-неприятность последних дней - трудности с доступом в "Живые Журналы". Сегодня в пресс-службе компании SUP, владеющей социальной сетью, признали, что . Чем можно объяснить утечки, связаны ли между собой эти ЧП?

"То, что за последнюю неделю произошло столько громких происшествий, не означает, что это произошло именно сейчас. Нужно четко понимать, что все эти данные находились в поисковиках уже давно. Просто сейчас все кинулись активно искать и находить эти данные. Однако это не значит, что раньше кто-то не находил и не использовал их в собственных (возможно, криминальных) целях", - отметил в интервью Вестям.Ru главный антивирусный эксперт "Лаборатории Касперского " Александр Гостев.

Утечки свидетельствуют о слабости веб-сайтов

Почему так произошло? Очевидно, началось все с утечки смс "Мегафона", после чего желающие и понимающие, как писать поисковые запросы, стали пробовать свои силы в попытках найти что-то жареное, считает эксперт.

"Если говорить об утечке в Google (якобы он что-то проиндексировал на наших госсайтах), то это довольно скользкая информация. Те документы, которые подпадают под понятие гостайны, не должны храниться на компьютерах, которые подключены к Интернету. То есть они просто физически не могут никем быть проиндексированы", - полагает Александр Гостев.

По его мнению, если среди этих документов действительно есть хоть что-то, что подпадает под определение "совершенно секретно", то эта ошибка - своего рода российский Wikileaks. Если же это документы под грифом "для служебного пользования", то здесь не так все страшно - это обычные внутренние документы, которые автоматически получают некий гриф.

"Но проблема на самом деле гораздо шире. На всех этих примерах мы видим, насколько с технический точки зрения слабы веб-сайты. Причем, не только каких-то интернет-магазинов, а также госорганов, операторов связи и т.д. То есть нет элементарных технических решений, которые способны защищать эти данные", - считает эксперт "Лаборатории Касперского".

Пользователи виноваты сами

Александр Гостев обращает внимание также и на "запредельный", по его словам, объем данных, который пользователи оставляют о себе в Интернете. Причем, не только в социальных сетях, но и на других сайтах. Это и номер паспорта, и домашний адрес, и номер мобильного телефона.

"Что с этим делать? - задается вопросом эксперт. - Можно, конечно, вводить какие-то технические ограничения. Но с другой стороны, можно вспомнить крылатую фразу: "Спасение утопающих - дело рук самих утопающих". То есть люди сами должны осознавать, к чему может привести такая откровенность в Сети".

Может, это заговор?

Таким вопросом после череды утечек задаются некоторые пользователи. Александр Гостев говорит, что не придерживается "теории заговора" во всех этих событиях.

"Я вижу ситуацию так: произошел первый инцидент. Действительно случайный. Вряд ли кто-то это сделал с далеко идущими целями. Просто кто-то нашел эту информацию и выложил для всеобщего ознакомления. Далее же все это начало расти, как снежный ком. Так всегда происходит в Интернете ", - говорит эксперт.

Он также вспоминает, что тот же Google неоднократно и много-много лет назад попадал в истории - причем, гораздо более громкие и с утечкой гораздо более значимой информации, чем та, о которой говорят сейчас. Однако ни тогда, ни сейчас никакого заговора не было и нет, считает Александр Гостев.

Система мониторинга "Лаборатории Касперского" DDoS-атаки в ЖЖ не видит

"Что касается проблем "Живого Журнала", то здесь ситуация полностью противоположная, - говорит эксперт. - Буквально несколько часов назад я общался с Ильей Дроновым (директор по развитию продуктов LiveJournal. - Прим. ред .). Он подтвердил: в компании пришли к выводу, что это все-таки DDoS-атака, хотя ранее предполагали технический сбой. Со стороны "Лаборатории Касперского" я не могу ни подтвердить, ни опровергнуть эту информацию. Поскольку наша система мониторинга, на которой мы видели , на данный момент таких атак не видит".

"Точнее, видим, но это - единичные атаки, которые происходят постоянно, - уточняет Александр Гостев. - И они - не того масштаба, чтобы вызвать полное отключение сервиса, которое мы сейчас наблюдаем. Впрочем, это не исключает того, что действительно есть какой-то мощный ботнет вне нашего поля зрения, который действительно эти атаки проводит".

Вообще же атаки на различные блоги в "Лаборатории Касперского" видят постоянно. "И ботнетов, которые ведут эти атаки, - множество. То есть периодически кому-то, видимо, нужно прекратить работу того или иного блога в ЖЖ", - говорит эксперт.

Скриншот с сообщением WCry

Компании по меньшей мере из 12 стран мира подверглись атаке вируса-вымогателя WannaCrypt, также называемого WCry. Как пишет Meduza со ссылкой на директора по связям с общественностью «Мегафона» Петра Лидова, часть компьютеров компании оказалась заражена. В России от вируса также уже пострадали компьютеры Министерства внутренних дел. В «Билайне» утверждают, что специалистам удалось отбить атаку.

К настоящему времени WCry поразил более 123 тысяч компьютеров по всему миру. При этом специалисты отметили резкий спад темпов распространения вируса. Дело в том, при заражении вирус проверял наличие в сети некоего домена, не найдя который, включал шифрование. Специалисты по безопасности зарегистрировали в сети домен, который ищет вирус, что и стало причиной замедления темпов заражения.

WannaCrypt представляет собой программное обеспечение, блокирующее компьютер пользователя и шифрующее все данные, находящиеся на нем. После поражения на экран выводится сообщение с требованием денег для разблокировки, причем заставка имеет функцию выбора языка, на котором отображается сообщение. Размер требуемого выкупа составляет 300 долларов в биткоинах.

Вирус-вымогатель отводит пользователю три дня на перечисление средств на счета злоумышленников. Если пропустить этот срок, сумма требуемого выкупа удвоится.

Распространение вируса WCry, первая версия которого появилась еще в феврале текущего года, началось взрывными темпами 12 мая 2017 года. Новая версия вируса, предположительно, использует SMB -эксплоит, разработанный Агентством национальной безопасности США, похищенный и опубликованный в апреле текущего года хакерской группой The Shadow Brokers.

Для заражения вирус использует сетевой протокол SMB, реализующий удаленный доступ к файлам и устройствам в одной сети. Сегодня этот протокол используется системами семейства Windows, которые стали уязвимыми для WCry. Как сообщает Engadget, американская компания Microsoft уже выложила патч для операционной системы Windows XP и рекомендации по защите компьютера от вируса-вымогателя.

В качестве первых шагов защиты от нового вируса Microsoft предлагает отключить протокол SMBv1 , а также заблокировать на роутере (если оборудование это позволяет) порт 445 для входящего SMB-трафика. Если операционная система Windows (кроме XP, 8 и Windows Server 2003) получила обновление (выпущено еще в марте текущего года), то она не уязвима для WCry.

В ноябре прошлого года в сети распространение получил вирус-вымогатель HDDCrypto. В частности, он автоматы по продаже билетов трамвайной системы Muni Metro в Сан-Франциско. В результате автоматы по продаже билетов не работали почти сутки, и все это время трамваями Сан-Франциско можно было пользоваться бесплатно. За снятие блокировки вирус требовал сто биткойнов.

Василий Сычёв

Червь Win32/Stuxnet, обнаруженный на днях в компьютерах на промышленных предприятиях США, Ирана и ряда других стран, продолжает доставлять неприятности специалистам по сетевой безопасности. Активное распространение угрозы может спровоцировать эпидемию.

О черве Win32/Stuxnet стало известно несколько дней назад. Он распространяется через USB-накопители, «притворяясь» легальным ПО с помощью настоящих цифровых подписей. Предполагается, что основная цель вируса – кража промышленной информации, поскольку Win32/Stuxnet заражает компьютерные системы промышленных предприятий. Основными очагами заражения продолжают быть США и Иран.

Угроза эпидемии

Легальные цифровые подписи компаний Realtek и JMicron, которые использовались Win32/Stuxnet и его разновидностями, чтобы пройти мимо защитных технологий, уже отозваны компанией-регулятором Verisign, но вирусы продолжают успешно использовать подписи и продолжат еще какое-то время.

«Это связано с обновлением списка отозванных сертификатов -- это процедура не быстрая, а пока большинство пользователей его обновят, может пройти много времени», -- пояснил Infox.ru руководитель Центра вирусных исследований и аналитики компании ESET Александр Матросов.

Новые разновидности червя, использующие «уязвимость нулевого дня» в Windows Shell, попадая в компьютер, загружают из сети программы для похищения паролей. По данным аналитиков, сервер, с которого производятся эти атаки, находится в США, но ip-адрес принадлежит компьютеру китайского пользователя.

Специалисты отмечают, что в данный момент наблюдается классический процесс развития новых угроз: через несколько дней после обнародования информации о новой уязвимости, появляются самые разные варианты программ от разных авторов. «Популярность» уязвимости среди хакеров несет серьезную угрозу потенциальным жертвам подобных атак.

«Вирусные аналитики ESET фиксируют постоянный рост инфекций Win32/Stuxnet, но речь уже не идет только об одном черве, -- пояснил Александр Матросов. – Дело в том, что, как мы и прогнозировали, вектор заражения с использованием уязвимости в обработке Lnk-файлов стали использовать другие вредоносные программы. Для обнаружения подобных угроз ESET выделил отдельный класс сигнатур - LNK/Autostart. При этом ежедневно мы сталкиваемся с несколькими тысячами новых жертв этого вируса. Но на данный момент речь не идет об эпидемии, так как процент проникновения этой угрозы от общего числа вредоносных программ, обнаруживаемых нами каждый день, пока не так высок. Но если говорить непосредственно о цели злоумышленников, то для промышленных предприятий такой прирост может оказаться критичным».

Эксперт также отметил, что ранее неизвестная уязвимость, которая используется в механизме заражения этим червем, может вызвать лавинный эффект инфицирования при большом проценте проникновения в отдельных регионах. «Именно такую ситуацию мы наблюдаем в тех регионах, где активность этой угрозы наиболее велика», -- сообщил он.

Вирусный эффект

Как и раньше, эксперты полагают, что первые атаки Win32/Stuxnet имели в качестве своих целей промышленный шпионаж. Факт, что новые версии червей стремятся захватить пароли, пожалуй, только подтверждает данную версию. Однако заражение промышленных систем чаще приводит к другим неприятным последствиям.

Во вторник компания Dell распространила информацию о том, что в небольшой партии материнских плат PowerEdge R410, отправленной клиентам компании, содержался вредоносный код, внедренный во встроенное ПО для управления сервером. Представители компании отметили, что предупреждение касается лишь тех материнских плат, которые отгружались для замены старых или вышедших из строя экземпляров.

«Вероятнее всего, речь не идет о злом умысле, но исключать такую возможность не стоит, -- рассказал Александр Матросов. – По всей видимости, вредоносный код оказался в прошивке случайно. Говорить о какой-либо монетизации сложно, так как непонятны цели злоумышленников и были ли они вообще связаны с таким способом распространения».

Эксперт также отметил, что таких случаев заражения, как с материнскими платами Dell, в последнее время становится все больше.

«Чаще всего по какой-либо причине оказывается инфицированным какой-то элемент инфраструктуры предпродажной подготовки продукта, с которого происходит случайно заражение, -- сообщил Александр Матросов. – В частности, в начале нынешнего лета вредоносные программы были обнаружены на фотоаппаратах Olympus и смартфонах Samsung. А весной этого года троян был обнаружен в зарядном устройстве для пальчиковых батареек».

Несмотря на то что вредоносное ПО, поставляющееся «в комплекте» с продуктом, чаще всего не представляет особенной угрозы для пользователей и легко уничтожается, для производителя наличие вирусов – не только удар по собственной репутации, но и серьезные финансовые издержки, связанные с отзывом и обменом зараженных устройств.

Например, как в случае с USB-зарядным устройством Energizer, продажи которого приостановили из-за того, что никаким иным образом, кроме как заменой, «вирусную» проблему нельзя было решить: специальное приложение, отображавшее уровень заряда батареек, вместе с троянцем было предустановленно на флэш-память зарядного устройства. Возможность его перепрошивки не предполагалась.

Основная отличительная характеристика компьютерного вируса - способность к самораспространению. Подобно биологическому вирусу для жизни и размножения он активно использует внешнюю среду - память компьютера, операционную систему.

Увеличение скорости передачи информации, объемов и значимости обрабатываемых в вычислительных сетях данных открывает перед вирусописателями все более широкие возможности - распространение по всему миру написанных программ занимает считанные дни или даже часы. Сотни мегабайт оперативной памяти позволяют выполнять практически любые действия незаметно от пользователя. Спектр возможных целей, таких как пароли, карточные счета, ресурсы удаленных компьютеров представляет огромное поле для деятельности. Усложнение операционных систем ведет к появлению все новых дыр, которые могут быть использованы для проникновения на удаленный компьютер .

Однако изначально компьютерные вирусы были придуманы с совершенно иной целью.

История начинается в 1983 году, когда американский ученый Фред Коэн (Fred Cohen) в своей диссертационной работе 1F. Cohen. Computer Viruses // ASP Pittsburgh, 1985 (текст диссертационной работы на получение степени PhD) , посвященной исследованию самовоспроизводящихся компьютерных программ впервые ввел термин компьютерный вирус . Известна даже точная дата - 3 ноября 1983 года, когда на еженедельном семинаре по компьютерной безопасности в Университете Южной Калифорнии (США) был предложен проект по созданию самораспространяющейся программы, которую тут же окрестили вирусом . Для ее отладки потребовалось 8 часов компьютерного времени на машине VAX 11/750 под управлением операционной системы Unix и ровно через неделю, 10 ноября состоялась первая демонстрация. Фредом Коэном по результатам этих исследований была опубликована работа "Computer Viruses: theory and experiments" 2F. Cohen. Computer Viruses : theory and experiments // DOD / NBS 7th Conference on Computer Security (1984). Также опубликована в ряде изданий, в том числе в Computers and Security, 1987 - vol. 6#1 - p. 22-35 с подробным описанием проблемы.

Теоретические же основы самораспространяющихся программ были заложены в 40-х годах прошлого столетия в трудах по изучению самовоспроизводящихся математических автоматов американского ученого Джона фон Неймана (John von Neumann ), который также известен как автор базовых принципов работы современного компьютера. В 1951 году фон Нейманом был разработан метод, который демонстрировал возможность создания таких автоматов, а в 1959 журнал " Scientific American" опубликовал статью Л. С. Пенроуза (L. S. Penrose) "Self- Reproducing Machines", посвященную самовоспроизводящимся механическим структурам. В отличие от ранее известных работ , здесь была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Позднее, по следам этой статьи другой ученый Ф. Ж. Шталь (F. G. Stahl) реализовал модель на практике с помощью машинного кода на IBM 650.

Первые самораспространяющиеся программы не были вредоносными в понимаемом ныне смысле. Это были скорее программы-шутки либо последствия ошибок в программном коде, написанном в исследовательских целях. Сложно представить, что они были созданы с какой-то конкретной вредоносной целью.

Первые вирусы

Pervading Animal (конец 60-х - начало 70-х) - так назывался первый известный вирус - игра для машины Univac 1108. С помощью наводящих вопросов программа пыталась определить имя животного, задуманного играющим. Благодаря наличию функции добавления новых вопросов, когда модифицированная игра записывалась поверх старой версии плюс копировалась в другие директории, через некоторое время диск становился переполненным.

Первый сетевой вирус Creeper появился в начале 70-х в военной компьютерной сети Arpanet 3По другим данным - в сети Telenet, коммерческом аналоге Arpanet , прототипе Интернет . Программа была в состоянии самостоятельно выйти в сеть через модем и сохранить свою копию на удаленной машине. На зараженных системах вирус обнаруживал себя сообщением: "I"M THE CREEPER: CATCH ME IF YOU CAN ". Для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper. По сути это был вирус , выполнявший некоторые функции, свойственные антивирусу: он распространялся по вычислительной сети и в случае обнаружения тела вируса Creeper уничтожал его.

Первые вирусные эпидемии

Возможности первых вирусов были сильно ограничены малой функциональностью существующих на тот момент вычислительных машин. Только в конце семидесятых, вслед за выпуском нового поколения персональных компьютеров Apple (Apple II) и впоследствии IBM Personal Computer (1981 год), стали возможны вирусные эпидемии. Появление BBS (Bulletin Board System ) обеспечило быстрый обмен информацией между даже самыми отдаленными точками планеты.

Elk Cloner (1981 год) изначально использовал для распространения пиратских копий компьютерных игр. Поскольку жестких дисков тогда еще не было, он записывался в загрузочные сектора дискет и проявлял себя переворачиванием изображения на экране и выводом текста:

ELK CLONER: THE PROGRAM WITH A PERSONALITY IT WILL GET ON ALL YOUR DISKS IT WILL INFILTRATE YOUR CHIPS YES, IT"S CLONER IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM, TOO SEND IN THE CLONER!

Первые антивирусные утилиты (1984 год) были написаны Анди Хопкинсом (Andy Hopkins). Программы CHK4BOMB и BOMBSQAD позволяли производить анализ загрузочного модуля с помощью контекстного поиска и перехватывать операции записи и форматирования, выполняемые через BIOS . На то время они были очень эффективны и быстро завоевали популярность.

Brain (1986 год) - первый вирус для IBM -совместимых компьютеров, вызвавший глобальную эпидемию. Он был написан двумя братьями-программистами Баситом Фарук и Амжадом Алви (Basit Farooq Alvi и Amjad Alvi) из Пакистана с целью определения уровня пиратства у себя в стране: вирус заражал загрузочные сектора, менял метку диска на "(c) Brain" и оставлял сообщение с именами, адресом и телефоном авторов. Отличительной чертой его была функция подмены в момент обращения к нему зараженного сектора незараженным оригиналом. Это дает право назвать Brain первым известным стелс-вирусом. В течение нескольких месяцев программа вышла за пределы Пакистана и к лету 1987 года эпидемия достигла глобальных масштабов. Ничего деструктивного вирус не делал.

В этом же году произошло еще одно знаменательное событие. Немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS -файлам формата COM . Опытный образец программы, получившей название Virdem , был продемонстрирован на форуме компьютерного андеграунда - Chaos Computer Club (декабрь 1986 года, Гамбург, ФРГ). По результатам исследований Бюргер выпустил книгу " Computer Viruses . The Disease of High Technologies", послужившую толчком к написанию тысяч компьютерных вирусов, частично или полностью использовавших описанные автором идеи.

Lehigh (1987 год) - первый по -настоящему вредоносный вирус , вызвавший эпидемию в Лехайском университете (США), где в то время работал Фред Коэн. Он заражал только системные файлы COMMAND . COM и был запрограммирован на удаление всей информации на текущем диске. В течение нескольких дней было уничтожено содержимое сотен дискет из библиотеки университета и личных дискет студентов. Всего за время эпидемии было заражено около четырех тысяч компьютеров. Однако за пределы университета Lehigh не вышел.

Семейство резидентных файловых вирусов Suriv (1987 год) - творение неизвестного программиста из Израиля. Самая известная модификация, Jerusalem , стала причиной глобальной вирусной эпидемии, первой настоящей пандемией, вызванной MS- DOS -вирусом.

Действие вирусов Suriv сводилось к загрузке кода в память компьютера, перехватывании файловых операций и заражении запускаемых пользователем COM - и/или EXE-файлов. Это обстоятельство обеспечивало практически мгновенное распространение вируса по мобильным носителям. Jerusalem отличался от своих предшественников дополнительной деструктивной функцией - уничтожением всех запускаемых программ в пятницу, 13. Такой черной датой стало 13 мая 1988 года, когда в одночасье перестали работать компьютеры многих коммерческих фирм, государственных организаций и учебных заведений, в первую очередь Америки, Европы и Ближнего Востока.

Примечательно, что в том же 1988 году известный программист Питер Нортон (Peter Norton) высказался резко против существования вирусов. Он официально объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Это показывает сколь низка была культура антивирусной безопасности в то время.

Mike RoChenle - псевдоним автора первой известной вирусной мистификации . В октябре 1988 года он разослал на станции BBS большое количество сообщений о вирусе, который передается от модема к модему со скоростью 2400 бит/с. В качестве панацеи предлагалось перейти на использование модемов со скоростью 1200 бит/с. Как это ни смешно, многие пользователи действительно последовали этому совету.

Червь Морриса (ноябрь 1988) - с ним связана первая эпидемия, вызванная сетевым червем. 60000-байтная программа , написанная 23-летним студентом Корнельского университета (США) Робертом Моррисом, использовала ошибки в системе безопасности операционной системы Unix для платформ VAX и Sun Microsystems. С целью незаметного проникновения в вычислительные системы, связанные с сетью Arpanet, использовался подбор паролей (из списка, содержащего 481 вариант). Это позволяло маскироваться под задачу легальных пользователей системы. Однако из-за ошибок в коде безвредная по замыслу программа неограниченно рассылала свои копии по другим компьютерам сети, запускала их на выполнение и таким образом забирала под себя все сетевые ресурсы.

Червь Морриса заразил по разным оценкам от 6000 до 9000 компьютеров в США (включая Исследовательский центр NASA ) и практически парализовал их работу на срок до пяти суток. Общие убытки были оценены в минимум 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов. Ущерб был бы гораздо больше, если бы червь изначально создавался с разрушительными целями.

4 мая 1990 года впервые в истории состоялся суд над автором компьютерного вируса , который приговорил Роберта Морриса к 3 годам условно, 400 часам общественных работ и штрафу в 10 тысяч долларов США.

Эпидемия червя Морриса стала причиной создания организации CERT ( Computer Emergency Response Team ), в функции которой входит оказание содействия пользователям в предотвращении и расследовании компьютерных инцидентов, имеющих отношение к информационным ресурсам. На сайте этой организации (http://www.cert.org) оперативно публикуются самые последние сведения о новых вредоносных программах, обнаруженных уязвимостях в ПО , методах защиты корпоративных сетей, аналитические статьи, а также результаты различных исследований в области компьютерной безопасности.

Dr. Solomon"s Anti-Virus Toolkit (1988) - первая широко известная антивирусная программа . Созданная английским программистом Аланом Соломоном (Alan Solomon), она завоевала огромную популярность и просуществовала до 1998 года, когда компания Dr. Solomon была поглощена другим производителем антивирусов - американской Network Associates (NAI).

Кроме официального переименования Arpanet в Интернет , следующий год ознаменовался выходом в свет первого номера Virus Bulletin (июль 1989) - самого популярного на сегодняшний день издания, содержащего последние новости в сфере вирусных и антивирусных технологий: подробную информацию о новых вредоносных программах, методах защиты от вирусов и устранения последствий заражения. Основателями журнала выступили руководители английской антивирусной компании Sophos Ян Храске (Jan Hruska), Питер Лэммер (Peter Lammer) и Эд Уайлдинг (