«Призрак» Opera: злоумышленники подписали троян украденным сертификатом

Бизнес

19 июня Opera Software, компания-разработчик одного из популярных интернет-браузеров (теперь, правда, сосредоточившаяся, главным образом, на браузерах для мобильных устройств), стала жертвой серьёзной атаки на свою корпоративную сеть. В результате нападения был украден сертификат подписи программного обеспечения.

Приведём обширную цитату из заявления представителей самой Opera:

По нашим текущим данным, последствия атаки весьма ограничены. Нападающим удалось получить как минимум один старый и уже недействительный сертификат подписи Opera, которым они воспользовались, чтобы подписать некоторое количество вредоносного ПО, так что оно выглядит, будто его выпустила Opera Software, или притворяется браузером Opera.

Возможно, несколько тысяч пользователей, запускавших браузер Opera между 1:00 и 1:36 по Гринвичу 19 июня, автоматически скачали и установили вредоносное ПО. Из соображений безопасности мы выпускаем новую версию Opera, которая будет использовать новый подписной сертификат.

Далее следовала ссылка на Virustotal с описанием вредоносного ПО, которое злоумышленники вроде бы подписали с помощью сертификата от Opera, – трояна семейства Tepfer, крадущего логины и пароли.

Конечно, «несколько тысяч пользователей» по нынешним временам действительно можно считать «ограниченным ущербом»; точной информации о количестве реально пострадавших на данный момент нет. Масштабы бедствия в случае с Adobe в конце прошлого года были куда серьёзнее: тогда хакеры успели снабдить украденным сертификатом 5100 вредоносных программ. Тем не менее, происшествие с Opera однозначно является чрезвычайным, если не по реальным последствиям, то по масштабам репутационного ущерба.

Потому что в таких случаях пользователи задаются совершенно закономерным вопросом: какие меры предпринимались для сохранности столь важных данных, и почему их оказалось недостаточно?

Вообще говоря, можно ли полностью защитить компанию от кражи данных, так чтобы никто и никогда? Абсолютная защита едва ли достижима, а вот минимизировать шансы злоумышленников на успех можно и нужно. Что для этого требуется? «Политическая воля» — воля руководства компании ввести адекватную систему безопасности. А что же она должна включать в себя?

Для этого нужно оценить основные векторы атаки. Взломщики могут попытаться влезть удалённо, задействовав эксплойты для уязвимостей в программном обеспечении. Снизить вероятность такой атаки можно, обеспечив регулярное и централизованное обновление программ и системных файлов. Но необходимо учитывать возможность эксплойтов нулевого дня. Следовательно, возникает необходимость в средствах автоматической блокировки вредоносного ПО и несанкционированных действий легитимных программ, таких как технология Automatic Exploit Prevention.

Кроме того, необходима изоляция критически важных данных: атака на компьютер сотрудника, не работающего в бухгалтерии, не должна приводить к краже финансовых документов.

Могут ли злоумышленники попытаться взломать личный компьютер или мобильное устройство кого-либо из работников компании, чтобы добраться до её данных? Разумеется, и такое неоднократно уже происходило. Что с этим делать? Обеспечивать многоуровневую антивирусную защиту, по возможности ограничивать возможность запуска неавторизованного программного обеспечения, в том числе и легитимного.

Как известно, самый популярный софт, использующийся на великом множестве устройств во всём мире (офисные пакеты, Java, Adobe Reader, Adobe Flash), как ни печально, оказывается ещё и самым уязвимым. К тому же, сами пользователи не торопятся его обновлять. Ну, а хакеры испытывают такие программы на прочность чаще всего. Что делать? Вариант с белыми списками (режимом Default Deny) не относится к числу особо популярных в IT-сфере, но вряд ли уже кто-то будет отрицать, что этот подход предельно эффективен.

Мобильные устройства также могут быть той самой щелью, через которую попытаются пролезть злоумышленники. Если в компании принята на вооружение парадигма Bring Your Own Device, то в первую очередь необходима изоляция пользовательских данных от корпоративных. Кроме того, необходимо исключить, чтобы пользовательские программы, установленные на личных устройствах, могли обращаться к критически важным данным в каком бы то ни было сегменте корпоративной сети и вносить в них несанкционированные изменения.

Наконец, помимо разграничения доступа, критически важные данные можно и нужно шифровать, чтобы, если они и попадут не в те руки, шансы воспользоваться ими у злоумышленников стремились к нулю. Если бы украденный у Opera сертификат хранился в зашифрованном виде, подписать им вредоносный софт было невозможно.

Как реализуются подобные общие рекомендации на практике?

Совсем недавно у нас вышло новое исследование Global Corporate IT Security Risks: 2013 («Риски безопасности в корпоративной IT-структуре по всему миру»). Хотелось бы обратить внимание вот на этот график: это ответ на вопрос, какие меры принимались для снижения рисков. Опрошены были почти три тысячи IT-профессионалов, работающих в компаниях во всём мире.

stepstaken

Как видим, лишь 71% из опрошенных полностью внедрили в своей компании систему защиты от вирусов и других вредоносных программ (небезосновательно полагая, что хотя бы базовые меры применять необходимо), лишь немногим менее половины наладили регулярное обновление ПО, разграничили доступ к разным системам и лишь половина осуществили разграничение сегментов корпоративных сетей, с тем чтобы изолировать критически важные данные от всего остального.

Контроль над приложениями, контроль над устройствами в корпоративной сети и шифрование данных реализовали у себя значительно меньше половины опрошенных. Средства контроля над мобильными устройствами внедрили менее четверти.

При этом, как следует из недавнего исследования агентства Ovum, на развивающихся рынках около 75% работников коммерческих компаний используют личные устройства; на развитых рынках цифра значительно ниже — 44%, но, в любом случае, в среднем по миру лишь 20% работников поставили свои подписи на документах, регулирующих использование личных устройств на рабочем месте. В США и Индии эта цифра приближается к 50%, но так или иначе пренебрежение этой проблемой со стороны IT-департаментов очевидно.

Любая система надёжна настолько, насколько надёжным оказывается её слабейшее звено. Если в оборонительных рубежах есть слабое место, им рано или поздно попытаются воспользоваться. Наши технологии и решения как раз предназначены для того, чтобы обеспечить комплексную, «глубоко эшелонированную» и равномерно распределённую защиту корпоративной инфраструктуры, которая позволит минимизировать её уязвимость от внешних угроз, чреватых, как показывает случай с Opera, тяжёлым репутационным ущербом.