Вы получили от знакомого короткую ссылку на «зачотное видео» и смело открыли ее в обновленной версии браузера. Однако после визита на сайт, где был размещен ролик, посещение любой страницы стало сопровождаться рекламой в половину окна, которая никак не отключается. Как такое могло произойти?
Вы попали под атаку с труднопереводимым названием drive-by download. Это скрытое выполнение вредоносного кода, которое становится возможным за счет эксплуатации уязвимостей браузеров и дополнений к ним.
Если в 2009 году было зафиксировано 73 619 767 атак на пользователей Kaspersky Security Network, то в 2010 году это число составило 580 371 937. Такой рост количества инцидентов связан с широким распространением наборов эксплойтов, позволяющих осуществлять атаки по технологии drive-by-download.
Уязвимости в дополнениях
Закрытие собственных уязвимостей браузеров – это лишь половина дела. Множественные угрозы при веб-серфинге таятся в их дополнениях и расширениях, где в печальном рейтинге помимо надстроек ActiveX традиционно лидируют Adobe Flash Player, Adobe Reader и платформа Java.
Если браузер — ваше окно в мир Интернета, то дополнения — это форточки, в которые проникает вредоносный код. Последствия такого проникновения могут быть намного более тяжелыми, чем постоянный рекламный баннер. Некоторые уязвимости дополнений браузеров позволяют удаленно выполнять произвольный код, что чревато попаданием в руки злоумышленников полного контроля над системой.
ActiveX
Больше всего уязвимостей второй год подряд обнаружилось в дополнениях ActiveX — эта технология воистину является троянским конем браузера Microsoft. Однако количество обнаруженных уязвимостей в ней снизилось в 2010 году, что можно связать как с потерей доли рынка IE, так и с лучшей защищенностью IE8, доля которого выросла относительно предыдущих версий браузера.
Вне зависимости от количества уязвимостей, пользователи IE9 находятся в более выгодной ситуации, благодаря фильтрации содержимого ActiveX.
Adobe
Специалисты продолжают обнаруживать изъяны в защите продуктов Adobe. По данным Symantec, четыре уязвимости 0-day относились именно к Adobe Reader и Adobe Flash Player. Заметьте, что вместе с уязвимостями 0-day в браузерах – это уже 8 таких уязвимостей из 14 найденных во всех программных продуктах. Однако аналитики Microsoft отмечают относительно небольшое количество эксплойтов этих двух программ по сравнению с другими технологиями (как вы увидите чуть ниже).
За безопасность Adobe Reader первым из браузеров взялся Google Chrome, создав защищенный контейнер, в котором выполняется просмотр PDF, а также договорившись о совместном обновлении браузера и вездесущей программы для чтения документов. Плоды этого сотрудничества пожал Adobe Reader X, в котором появился собственный защищенный режим. В нем используются механизмы безопасности Windows, в т.ч. низкий уровень целостности (как и в IE) и маркеры ограниченного доступа, а также технологии Google Chrome.
Кстати, приверженцам более легких программ для чтения PDF тоже не стоит забывать об их обновлении. Например, популярный Foxit Reader за последние 12 месяцев закрыл четыре уязвимости.
Java
Прорехи в безопасности платформы Java особенно неприятны своей кросс-платформенностью и дополнительной сложностью обнаружения уязвимостей, поскольку код выполняется в отдельной среде.
Аналитики в один голос утверждают о росте эксплуатации уязвимостей Java. Но в то время как специалисты Symantec лишь прогнозируют рост атак на эту платформу, в Microsoft его уже зафиксировали! В третьем квартале 2010 года количество эксплойтов Java увеличилось в 14 раз (!) по сравнению со вторым кварталом, после чего не сильно снизилось в четвертом. Причем 85% эксплойтов использовали лишь две уязвимости.
Наборы для атаки
Сейчас уязвимости Java эксплуатируются практически во всех хакерских наборах, объединяющих в один пакет атаки на бреши в защите различных программных продуктов. А попав на зараженный сайт, вы с большой вероятностью подвергаетесь атаке сразу по нескольким направлениям. Чуть ли не 2/3 вредоносных сайтов применяют такие наборы.
Так, некоторые версии набора Phoenix содержат средства для эксплуатации уязвимостей в Sun Java SE, Microsoft Windows Media Player, Internet Explorer, Adobe Flash Player и Adobe Reader. Если вас интересует тема наборов для атаки, рекомендую к прочтению исследование специалистов Symantec (англ.), включающее исторический экскурс.
Не ходите, дети, в Африку гулять!
Вы, наверное, слышали, что порносайты – это источники повышенной опасности в Интернете. А вы знаете, в чем заключается угроза? В контексте сегодняшнего разговора – это технологии, используемые для показа видео. Для просмотра нередко требуется Flash Player, отметившийся в 2010 году двумя 0-day уязвимостями, или Windows Media Player, в котором не далее как в октябре 2010 года закрыли важную уязвимость.
Старые версии проигрывателей весьма распространены, т.е. злоумышленникам достаточно поставить ловушку на сайте и ждать, пока в нее попадутся любители клубнички. И в них нет недостатка! По этим данным 12% сайтов в Интернете связаны с развлечениями для взрослых, а каждую секунду порно смотрит 28 тысяч человек (по-моему, эта оценка занижена с учетом первой цифры :)
В Symantec проанализировали 100 наиболее популярных поисковых запросов, приводящих на зараженные сайты, и поделили их на категории. Почти половина переходов пришлась на сайты с порно-контентом.
Обратите внимание, что общая доля вредоносных видеосайтов составляет 60%. Да и многие другие категории веб-ресурсов содержат большое количество интерактивного содержимого, поэтому изъяны в безопасности проигрывателей там легче эксплуатировать.
Кстати, атаки типа drive-by не единственный бич мультимедийный сайтов, и разговор о втором типе угроз пойдет в третьей части статьи.
Обновите дополнения и проверьте автозагрузку!
Я предлагаю вам проверить актуальность распространенных (и наиболее любимых злоумышленниками) дополнений и установить их новые версии при необходимости. Это очень удобно сделать с помощью сервиса Qualys Browser Check.
Вы можете также воспользоваться похожим сервисом от Mozilla, но он не полностью совместим с Internet Explorer. Учтите, что проверять дополнения нужно отдельно в каждом браузере, которым вы пользуетесь (надстройки Adobe Flash Player отличаются, скажем, для Opera и IE).
Если же говорить об автоматическом обновлении дополнений, то Adobe Flash Player обновляется раз в неделю, что можно проверить, посетив эту страницу. Приложения Adobe Reader, Apple QuickTime и платформа Java имеют механизмы автоматического обновления, которые прописываются в автозагрузку и самостоятельно проверяют наличие новых версий. Поэтому очень важно не убирать их оттуда, когда вы наводите порядок в системе.
Убедитесь, что эти программы запускаются автоматически с помощью утилиты msconfig. Если вы ускоряете загрузку системы, распределяя автозагрузку программ по времени, проверьте правильность отработки заданий в планировщике.
А как у вас обстоят дела с актуальностью дополнений браузеров? Расскажите о результатах проверки – нашлись ли у вас устаревшие дополнения, и если да, то какие?
Olorin, спасибо! Мне нравится помогать людям, и ваш отклик служит подтверждением того, что я на правильном пути :)
Morpheus , вы лирику развели, а если у меня жигули, а если у меня иномарка, пристегиваться не пристегиваться — вопрос был в том, что если есть два варианта (пути) и вы знаете конечный итог по этим путям, то какой вы выбираете. Что вы прицепились:
Это из серии «я не предохраняюсь, но заразился гонореей за год всего 1 раз» или «я не пристёгиваюсь, но улетел через лобовое стекло за год всего 1 раз»
Если речь бы шла как вы говорите о гонореи то предохранение было бы совсем другое.
Olorin , удобно что??????
А вы знаете хоть через сколько или как часто выходят обновления например броузер и что в них было.
Я прошу господ Morpheus и Valeant воздержаться от дальнейшей перепалки в комментариях, поскольку она перешла в плоскость, не имеющую отношения к теме обсуждения.
Конкретно же для Valeant я повторяю просьбу не задавать своих вопросов, пока он не озвучит ответы на вопросы, поставленные ему ранее.
Если моя просьба будет проигнорирована, мне придется закрыть обсуждение в этой записи, либо заблокировать комментарии особо непонятливых.
Странно, что диспут об автообновлениях перешёл в какую-то … ммм .. странную (виртуальную) плоскость …
Иметь голову и руки (абстрактные понятия), совершенно не исключает имеет приключение на филейную часть организма (конкретные понятия)…
Есть OS, браузер, дополнения, плагины … Есть производитель/разработчик (OS, браузеры, дополнения, плагины …) , который рекомендует «автообновление» ….
Когда я что-то не понимаю, я читаю «эту чёртову инструкцию»…
Если рекомендует — да ради бога! Это же рекомендует разработчик, а не безымянный «дядя Петя» из соседнего подъезда …
Нужно чётко представлять для кого этот блог. imho, для людей которые видят в компьютере «более», чем просто инструмент, телевизор («В Контакте» или ArchiCAD — не суть важно); я, например, хочу понять некие приципы безопасности отностильно OS, браузеров, дополнений, плагинов…
Профессионалы, которые работают в сфере IT (OS, браузеры, дополнения, плагины …) думаю, и так отдают себе (и руководству) отчёт о своих действиях … и вряд ли будут вступать «в научный диспут» со мной, правильно ли я сделал, что отключил автообновление Java, потому что сын в этот момент играет в онлайн игру (и лаги в игре для меня более критичны, чем критичное автообновление Java…) Это мой выбор и я за него отвечаю. И чётко осознаю, что безопасность — это не всегда удобство пользования … и наоборот.
Я же пользуюсь Java и всё равно, поставлю как можно быстрее это обновление… Просто в данный момент я не могу «авто», а мог бы — поставил «авто»…
Потому, что «производитель рекомендует».
А по большому счёту — какая разница «как часто.. и что в них было ..», приминительно к обновлениям OS, браузерам, дополнениям, плагинам …??
Если я это использую и если производитель рекомендует в кратчайший срок обновить — то приходится верить (смотреть выше про профессионалов …).
Для контр примера: обновление драйверов к видеоадаптеру совершенно не «крайне рекомендуется» производителем; он пишет, что изменил, а пользователь решает сам.
То же самиое и с BIOS материнской платы — нужно смотреть по обстоятельствам …
В общем примерно так ))
С Уважением..,
Serge, спасибо за развернутый ответ! Совершенно согласен с этим:
Тот же Chrome вообще обновляется в фоне и ничего не сообщает — это рутина, нечего дергать пользователя.
Ну наконец то про то и речь, что еще десятка два программ висят в фоне и при загрузке ПК что, то там делают даже не сообщая о том, что произошло обновление, только потом какие то проблемы после перезагрузки иногда бывают, а так все нормально.
Особенно у Chrome мне обновления ну очень нравяться.
Не чего с ПК не произойдет если обновление будет установлено например спустя месяц и «скопом» хотя за этот месяц его и не было.
Мне понравилось выражение — которое рекомендует разработчик.
Про JAVA ну обновил я его спустя пол года, не вижу разницы между полученным мной и вами результат, у вас все работает и у меня, только у вас стоит в атомате запуск и обновление, а у меня в ручную.
Да и месяца 3 их например вообще не было.
Я рад за вас что вы хотите понять некие принципы безопасности, но может лучше почитать в другом направление если есть время.
Я, вроде, объяснял, но повторю. Разница в том, что вы дольше работаете с известными уязвимостями без антивируса. При этом риск заражения выше, и не надо быть Эйштейном, чтобы это понять.
Конкретные вопросы вы игнорируете, а свою точку зрения поддерживаете простой, незайтеливой и железобетонной аргументацией:
В моем блоге такой аргумент неприемлем. Вы находитесь у меня в гостях, и такое поведение оскорбительно не только для меня, но и для других читателей. Выгонять гостя невежливо, и я тем более не буду это делать, потому что вы воспримете это как свидетельство своей правоты. Поэтому я просто закрываю комментарии к этой записи — считайте, что вы лишили других людей возможности выразить свое мнение.
Аминь!