Якщо ми проаналізуємо інцидент з CardSystem Solutions, грунтуючись на тих даних, що стали доступні засобів масової інформації, то виявимо в цій історії кілька «дивацтв»…

Програма-шпигун, яка нібито була виявлена в мережі CardSystem Solutions, до цих пір не потрапила в руки антивірусних компаній. В аналогічній ситуації з троянцем Hotworld примірники шкідливої програми були протягом двох днів після виявлення додано до бази практично всіх антивірусних програм.
Подібний троянець, очевидно, не був клавіатурним шпигуном навряд чи 40 мільйонів номерів кредитних карт вводилися вручну з клавіатури зараженого комп’ютера.
Щоб отримати доступ до бази даних, де зберігалися номери карт, троянець повинен був бути створений з урахуванням формату бази даних.
Незрозумілий спосіб, за допомогою якого украдена інформація виводилася за межі CardSystem Solutions.
Насправді, за усіма голосними крадіжками даних в цьому році видно нове обличчя кіберзлочинності. Злочинності нового рівня. Це люди, які готові витратити десятки тисяч доларів на отримання «інсайдерської» інформації про атакується об’єкті. Це люди, що володіють знаннями і способами обходу багаторівневих систем захисту від вторгнень. Це люди, які не продають ні троянські програми по 10 доларів за штуку, ні вкрадені з їх допомогою дані через загальнодоступні (хоч і вважаються «андерграундними») форуми і сайти.
Останнім часом ми все частіше чуємо про такі зломи їх стало більше, набагато більше, ніж раніше. І більше їх стало саме тому, що перші спроби подібних атак увінчалися успіхом. Очевидно, що інфраструктура безпеки великих фінансових інститутів найбільш вразлива. Безліч комп’ютерів, різнорідні мережі і права доступу, безліч співробітників все це є додатковими факторами, які полегшують завдання зловмисникам. У великій мережі часто неможливо знайти навіть відомий документ, не кажучи вже про виявлення троянської програми, майстерно маскує свою присутність в системі.
Не варто забувати і про унікальність подібних троянців. Для них практично неможливо створити евристичні методи детектування, а разовость їх застосування дає їм шанс ніколи не потрапити в антивірусні бази на відміну від червів, що розходяться по світу мільйонами копій.
Таким чином, можна зробити висновок про поступову зміну вектора атак з кінцевих користувачів в бік безпосередніх власників і утримувачів цікавить злочинців інформації.

Аналіз

Хоча пролунала у статті заяву про неможливість застосування клавіатурних шпигунів бачиться сумнівним (для розкрадання номерів кредитних карт досить перехопленого з допомогою такої програми імені користувача і пароля для доступу до бази даних), проблема троянських програм, черв’яків і розкрадання конфіденційної інформації на сьогоднішній день стоїть вкрай гостро.
Справді, існуючі способи проникнення шкідливих кодів на комп’ютер користувача дуже різноманітні, і кожен день ми чуємо про виявлення нових вразливостей. Робота з латання виявлених дірок нескінченна і не дає 100% гарантії безпеки чинності реактивності застосовуваного методу.
Набагато більш ефективним методом боротьби з витоками інформації є контроль виконуваних файлів і доступу до пристроїв локального введення/виведення інформації.

Рішення проблеми

Рішення Ефективність захисту* Принцип запобігання загрози Особливості вирішення
Контроль виконуваних файлів 99% Па комп’ютері запускаються тільки дозволені виконувані файли Для дозволених до виконання файлів створюється MD5 хеш, що виключає можливість підміни легітимного файлу аналогічним, але містить шкідливий код, навіть при повній відповідності розміру, імені, дати створення і інших параметрів
Контроль пристроїв введення/виводу 95% Гнучке розмежування повноважень на право користування пристроями введення/виведення інформації (FDD, CD/DVD-RW, USB і т. д.) Засіб контролю дозволяє не тільки видавати дозволи на використання пристроїв, але і контролювати вміст файлів, що копіюються. Таким чином, зловмисник не може маскувати секретну інформацію, вводячи в оману службу безпеки.

* — зазначена ефективність захисту базується на практичному досвіді застосування рішень фахівцями компанії БМС Консалтинг

З питань інформаційної безпеки звертайтеся у відділ Інформаційної Безпеки компанії «БМС Консалтинг»: