Различные факты о защите персональных данных

Цель лекции: Расширить кругозор читателя в области защиты персональных данных, а также дать дополнительные знания в области защиты персональных данных.

В прошлых лекциях были приведены понятия в области защиты персональных данных, способы и методы защиты персональных данных, а также были представлены различные опасности, которые могут угрожать персональным данным пользователя. Но читателю необходимо знать не только общие азы защиты персональных данных, он должен уметь оперировать некоторыми фактами в области защиты персональных данных, чтобы наиболее эффективно обеспечить защиту своих персональных данных.

Самые нашумевшие зловредные программы

Несомненно, многообразие различных зловредных программ очень велико, и зачастую оно заставляет задуматься о правильной защите компьютера. Но есть зловредные программы (вирусы, троянские программы и т.д.), которые оставили значительный отпечаток в истории компьютерного malware.

Одним из самых опасных вирусов, по мнению различных антивирусных лабораторий, является вирус Friday 13, который был создан в 1988 году в Израиле. Суть этого вируса заключалась в том, что он пытался уничтожить абсолютно все активные программы, которые были запущены на пятницу 13-го числа в каком-либо месяце.

Многие компьютерщики, которые работают достаточно давно, помнят в свое время про страшный вирус Loveletter. Он получил свое название из-за того, что содержал в заголовке своего письма ILOVEYOU. Письма с таким вот заголовком сыпались на пользователей градом. Пользователи, в свою очередь, открывали подобное письмо в надежде обнаружить в нем что-либо интересное (всем же интересно, кто мог послать письмо с таким красноречивым заголовком). Но в самом письме текста не было, зато был прикрепленный файл с исполняемым скриптом, который был написан на Visual Basic и замаскирован под обычный текстовый документ. Все это было сделано с той целью, чтобы пользователь открыл этот псевдотекстовый документ. После того, как пользователь все-таки открывал текстовый документ, происходила установка троянской программы на компьютер пользователя, а сам электронный почтовый ящик пользователя находился под контролем зловредной программы, которая по всему контакт-листу пользователя отправляла все то же электронное письмо с заголовком ILOVEYOU. В результате злоумышленник получал пароли пользователей к себе на компьютер, а вирус ходил себе дальше по компьютерам пользователей. Эффект от этого вируса во многом был достигнут с помощью трюка социальной инженерии. Ведь заголовок письма был достаточно любопытен, и пользователи горели желанием узнать содержимое этого письма.

Один из вирусных монстров стал известен в 2001 году под названием Nimda. Это действительно был своеобразный вирусный комбайн, с помощью которого были заражены множество различных пользовательских машин. Деятельность этой зловредной программы журналисты сразу же связали с деятельностью Алькайды, хотя никаких фактов, которые абсолютно подтверждают это, не было. Вирус использовал различные уязвимости в браузерах пользователей, а также мог быть послан по электронной почте и быть замаскированным под что-то безобидное. Также стоит добавить то, что зловредная программа добавляла в операционную систему пользователя с именем "Guest" (гость) в административную группу пользователей. Это позволяло осуществлять полный контроль над зараженной машиной, не вызывая при этом сильных подозрений со стороны пользователей (все же привыкли к тому, что гостевые аккаунты обладают ограниченными привилегиями). Автор этого вируса не был официально найден, но в теле зловредной программы есть строчка, которая указывает на то, что, возможно, создатель может быть из Китая.

Однажды, благодаря одной зловредной программе под названием Slammer многие банкоматы в Северной Америке перестали работать. Во всем же мире с различными сбоями работали службы по заказу и резервированию авиабилетов. Активность вируса была высока, и каждые 8.5 секунд количество зараженных машин становилось вдвое больше. В основе этой зловредной программы лежала уязвимость в Microsoft SQL Server. К тому времени вирус практически невозможно было обнаружить, так как он не проявлял каких-либо действий на зараженной машине. Зато его последствия были колоссальными: В различных местах не было Интернета и телефонной связи, некоторые роутеры и маршрутизаторы активно выбивали друг друга из-за большого количества трафика. Причем в заражении от вируса по большей части сами пользователи были не виноваты.

Со зловредной программой Sasser были знакомы многие люди, ведь благодаря ей многие увидели в своих операционных системах сообщение о том, что произойдет принудительная перезагрузка компьютера. Многие пользователи к тому времени не могли понять причину этой странной ошибки, которая была непонятно чем вызвана. Хотя на поверку такая ошибка оказалась именно деятельностью вируса Sasser, который в результате своих действий вызывал ошибку в системе пользователя. Потом этот факт был обнародован, и пользователи узнали причину такой ошибки в своей системе.

Другой фурор в выпуске зловредной программы произвела известная компания Sony. Вместе с защитой своих аудиодисков распространялся их руткит. Причем, руткит был частью этой системы защиты. В начале своего распространения руткит не нес никакой опасности. Вся его суть заключалась в том, чтобы маскировать работу некоторых сервисов и компонентов в системе. При этом сам руткит устанавливался автоматически после установки аудиодиска в дисковод. Но через некоторое время после выхода руткита стало известно, что в собственной защите аудиодисков фирмы были допущены некоторые пробелы. Этим сразу же начали пользоваться злоумышленники, чтобы приспособить руткит под свои нужды. В результате вполне безопасный руткит превратился в опасную программу, которую очень сложно убрать из системы самостоятельно. Плюсом к этому являлось и то, что такой новый руткит сам по себе приводил к нестабильности системы и ее компонентов, к зависаниям компьютера и потере данных. Причем положение дел не было исправлено даже после того, как компания Sony выпустила специальный инструмент, который помогал полностью удалить руткит из системы.

Несмотря на эти нашумевшие зловредные программы, а также предупреждения пользователей о том, что не стоит открывать подозрительные вложения в письмах, пользователи все равно попадались на элементарные удочки злоумышленников. Одной из таких удочек стало распространение червя Storm, который рассылался в виде вложений в письмах. Причем, если пользователь открывал такое вложение, то его машина становилась частью зомби-сети (сеть, состоящая из зомбированных компьютеров). При этом каждый компьютер был подключен к своему закрепленному хосту, а хосты обменивались информацией между собой. Такой механизм управления являлся децентрализованной P2P-сетью, в которой некоторые хосты ждут своих указаний. Точные размеры такой сети так и не были выяснены. По примерным расчетам размер сети варьировался от одного до нескольких миллионов машин, что в любом случае составляло мощную сеть. Кроме того, сам Storm мог установить в системе руткит, с помощью которого злоумышленник мог взять с компьютера пользователя любые персональные данные, а также рассылать спам любого рода. Сама эпидемия червя пришлась на 2008 год.

Одним из нашумевших червей является червь Conficker, которому в свое время буквально за несколько дней удалось заразить миллионы компьютеров, образуя при этом достаточно опасную зомби-сеть. Причем, зобми-сеть, возможно, действует и по настоящее время. При этом данная зловредная программа практически является монстром, который использует различные методики заражения компьютера пользователей. Conficker может попасть на компьютер пользователя через внешние носители, используя автозапуск этих носителей, через уязвимость операционной системы Windows, а также через сетевое окружение пользователя. Попадая на компьютер пользователя, червь скачивает на зараженную машину программу-троян. Но делает он это интересным образом, получая текущую дату и по ней генерируя список из доменов, с которых впоследствии и загружается троян. Такой хитрый алгоритм был придуман разработчиками червя не случайно – это было сделано с целью отказа размещения файла на сервере. При этом, естественно, достигалась множественность мест, откуда можно было скачать троян, что доставляло трудности при борьбе с этим червем. Все это сделало Conficker достаточно опасным червем, а по данным от некоторых сетевых порталов за информацию о создателях этого червя предлагалась награда в 250 тысяч долларов. Однако официально выйти на след злоумышленников никто не смог.

Но не только через вложения может происходить заражение различными вирусами. Этот факт могут смело подтвердить пользователи различных социальных сетей. Однажды, пользователи социальной сети "Одноклассники.ру" подверглись необычной вирусной атаке. В атаке была выявлена рассылка писем, имитирующих реальные сообщения пользователей. Письма при этом содержат ссылку на фиктивный сайт, с которого пользователю загружается троянская программа. В качестве отправителей таких сообщений, в основном, фигурируют женские имена. Это является тонкой уловкой социальной инженерии, так как известно, что женщины вызывают доверие гораздо больше, чем мужчины, причем не только у мужского населения, но и у женского. Злоумышленники незамедлительно воспользовались данным фактом и стали распространять сообщения от женских аккаунтов. И хотя сама атака имела лишь частичный успех, этот инцидент является одним из самых примечательных инцидентов с вирусными атаками в социальных сетях. Также и знаменитая социальная сеть "Вконтакте" часто подвергалась вирусным атакам на своих пользователей. Одним из таких вирусов являлся вирус, который с помощью ссылки заражал пользователей троянской программой, а потом уже дальше по цепочке заражал пользователей троянскими программами.

Некоторые вирусы писались с искрометным юмором. Так, например, однажды, ICQ сообщество содрогнулось от компьютерного вируса H1N1, который, как можно догадаться по названию, изображал вирус свиного гриппа H1N1. При этом пользователям приходило сообщение о том, что в прикрепленном файле piggy.zip содержалась какая-либо информация, а сам же прикрепленный файл, естественно, необходимо скачать. При этом пользователь скачивал подобный файл, и с этого момента его компьютер был заражен вирусом. Сам же вирус подбирал логин и пароль к системе ICQ и рассылал себя дальше по контакт-листу пользователя. На самом же зараженном компьютере выводилось изображение свиньи и надписью о том, что компьютер заражен вирусом H1N1. Также, подобный вирус получил другую форму, распространяясь через электронную почту. Причем, на электронные ящики пользователей попадало письмо якобы от имени Государственного института эпидемиологии страны Японии. При открытии же вложения в письме вирус поражал компьютер и давал возможность для похищения персональных данных пользователя. При этом Государственный институт эпидемиологии Японии предупреждал, что не распространяет официальную информацию по электронной почте, и он также призывал пользователей удалять само письмо, не открывая файла, который был прикреплен в этом письме. И, несмотря на эти предупреждения, множество пользователей стало инфицировано и такой разновидностью компьютерного вируса H1N1.

Одним из опасных вирусов стали вирусы, которые блокируют операционную систему пользователя и призывают пополнить счет пользователя неизвестному ранее абоненту, либо отправить смс на короткий номер. После этих действий злоумышленники обещают убрать с компьютера зловредную программу. Такие зловредные программы получили общее название - винлокеры, и некоторые их модификации блуждают в сети Интернет до сих пор. Не все пользователи понимают, как защититься от винлокера, как избежать заражения им, а также что делать в случае того, если винлокер все-таки захватил компьютер пользователя. Стоит отметить, что ни в коем случае не надо отправлять смс на короткий номер, ведь это будет стоить большой суммы денег. К тому же нигде нет гарантии того, что винлокер, действительно, исчезнет с системы пользователя (впрочем, есть случаи, когда винлокеры действительно исчезали после отправки смс, но такие случаи не часты). Следует отметить, что основной защитой от винлокера является хорошая антивирусная защита на стороне пользователя. Также пользователь должен соблюдать элементарные меры предосторожности во избежание заражения через сеть Интернет. Также пользователь должен помнить, что избавиться от винлокера - крайне затруднительная задача. Ведь механизм действия современных винлокеров достаточно сложен, и не всегда можно вызвать даже диспетчер задач, чтобы уничтожить процесс винлокера в системе. Одним из методов лечения винлокера является метод обращения к антивирусным сайтам с другого компьютера. Многие производители антивирусов стали исследовать винлокеры и добывать их пароли универсального доступа к ним. После того, как пользователь узнает с помощью антивирусного сайта пароль к винлокеру, он сможет ввести его в сам винлокер и разблокировать свою систему. После этого настоятельно рекомендуется сделать полную проверку системы одним из популярных антивирусов. Иногда могут возникнуть случаи, когда подобранный код не подходит, и винлокер не хочет прекращать свою работу (возможно, сам код неправильный, а возможно винлокер настроен на то, чтобы удерживать свои позиции на компьютере пользователя). В этом случае пользователь должен создать загрузочный диск с одним из популярных антивирусов и с помощью такого диска проверить свою зараженную систему. В крайнем случае, после заражения от винлокера придется отформатировать все жесткие диски и установить операционную систему заново, что может оказаться затруднительным для пользователя.

В 2009 году был обнаружен необычный вирус Induc, который распространялся необычным методом. Вирус заражал служебные файлы среды программирования Delphi. В результате этих действий вирус мог быть внедрен в любое программное средство, которое было скомпилировано при помощи Delphi. Этот метод размножения стал достаточно эффективным методом. Ведь именно благодаря ему вирус оставался незамеченным более 9 месяцев, а среди программ, которые переносили этот вирус, оказались достаточно популярные программы, которые были составлены в среде программирования Delphi. Сам по себе вирус не принес огромных разрушений, но он был вирусом с оригинальной формой размножения, и это, несомненно, позволило остаться ему в истории нашумевших компьютерных вирусов.

Настоящим громом среди ясного неба стал новый вирус (троянская программа) Zeus, который нацелен на атаки системы онлайн-банкинга. Этот монстр настолько силен, что ни одна антивирусная лаборатория не может осуществить стопроцентную защиту от него (хотя по заверениям самих лабораторий, безусловно, они могут обеспечить защиту). До конца история самого Zeus остается неясной, по одной из версий есть некий инструментарий злоумышленников, который позволяет создавать все новые и новые версии этой троянской программы. В любом случае обычным людям от этого легче не становится, и последствия Zeus огромны. Благодаря различным модификациям этой троянской программы, ее практически невозможно остановить. К тому же авторы (или автор) Zeus являются, видимо, общительными людьми, так как с помощью своего детища посылались различные сообщения общественности. Например, в одной из модификаций банковской троянской программы было "вшито" сообщение о том, что Zeus выражает благодарность одним антивирусным компаниям за то, что они создают различные преграды, а другим антивирусным компаниям Zeus посылает оскорбление. Также были различные случаи и других сообщений. Впрочем, Zeus оказался не единственной программой, которая стала терроризировать онлайн-банкинг. У него со временем появился конкурент под именем SpyEye. Конкурент также являлся зловредной программой, которая направлена на кражу паролей, но с одной поправкой – если SpyeEye видела на компьютере присутствие Zeus, она уничтожала Zeus. В результате получалась война между зловредными программами, полем битвы которой являлся компьютер пользователя. Потом исходные коды Zeus начали продаваться различными умельцами на черных рынках (причем, цена такого инструментария была от 2000$). Некоторые лица, естественно, воспользовались таким положением дел и пытались, впоследствии, выгодно перепродать исходные коды инструментария Zeus. Были и такие люди, которые продавали ложный инструментарий, пытаясь выдать его за настоящий инструментарий Zeus, а со временем и вовсе появились в открытом доступе для всех желающих. Это всколыхнуло различные сообщества в сети Интернет, так как теперь каждый мог попробовать использовать легендарный Zeus под свои нужды. Естественно, все это вызывало опасения. Но еще большие опасения появились, когда стала известна новость о том, что стал продаваться смешанный инструментарий SpyEye/Zeus , который, естественно, по своему названию являлся смесью двух опаснейших зловредных программ. В результате появился настоящий монстр зловредных программ с множественными функциями, о которых ранее было неизвестно. Последствия от таких инструментариев можно только пытаться предугадать. В будущем ожидаются (достаточно обосновано) опасные эпидемии компьютерных вирусов, которые будут построены с помощью Zeus/SpyEye. Обычным же пользователям остается только обновлять свои антивирусные программы, а также внимательно следить за новостями, чтобы вовремя узнавать о различных угрозах новых вирусов.

Но не только для грабежа персональных данных обычных пользователей создаются вирусы. Иногда их действия могут распространяться гораздо шире. Одним из таких вирусов был червь Stuxnet, который был обнаружен не только на компьютерах рядовых пользователей, но также и на различных промышленных системах, которые управляли производственными процессами. Обнаружение червя произошло впервые в июне 2010 года. Эта зловредная программа является одной из самых первых и самых опасных для предприятий в целом. Ведь только этот червь мог перехватывать, а также модифицировать информационный поток между программируемыми логическими контроллерами и рабочими станциями SCADA системы. Таким образом, это предоставляет возможность червю быть внедренным в различные АСУ ТП, а также собирать различные данные с АСУ ТП и устраивать диверсии. Шел некоторый слух, который говорил о том, что Stuxnet может представлять собой разработку Израильских служб, направленную против ядерных проектов Ирана. В качестве доказательств являются различные фрагменты кода червя. При этом сам червь использует различные уязвимости операционной системы Microsoft Windows и остается длительное время незамеченным, потому что он имеет наличие действительных цифровых подписей нескольких фирм. При этом упоминается о том, что наличие цифровых подписей позволяло зловредной программе маскироваться под различные безобидные драйвера. Причина наличия самих цифровых подписей пока остается неизвестной. Объем исходного кода текста вируса составляет около 500 килобайт, что является достаточно большим размером для вируса. Самому же вирусу удалось проникнуть в компьютеры иранской атомной станции в Бушере, что вызвало действительную опаску по поводу того, что кибервойны, возможно, уже не за горами, и вскоре всех ожидает будущее, в котором от компьютеров и компьютерных злоумышленников может зависеть практически все.

Еще одна троянская программа, которая получила огромное распространение, называется Pinch. Она была разработана в 2003 году, но до сих пор остается достаточно распространенной из-за того, что появляется великое множество различных модификаций, которые создаются новичками в вирусостроении или уже профессионалами. Pinch состоит из двух элементов: клиента и сервера. После того, как клиентская часть попадает на компьютер пользователя, она может украсть пароли из множественных мест на компьютере пользователя. Потом создается временный файл, который незаметно может быть передан злоумышленнику посредством электронной почты или с помощью HTTP-соединения. При этом сам пользователь остается в неведении, каким именно образом он лишился своих персональных данных. Со временем стали появляться модификации этой троянской программы, которые могли не только воровать пароли пользователя, но также и делать скриншоты с монитора пользователя, а также узнавать полную информацию об аппаратной части пользовательского компьютера. Потом злоумышленники, чтобы предотвратить обнаружение этой троянской программы антивирусами, стали специально переделывать выполняемую часть троянской программы. Естественно, все это только увеличивало мощность Pinch, и он стал большой угрозой, особенно в русской части сети Интернет. В настоящее время есть некоторые сборки Pinch, которые продаются в сети Интернет за деньги, а есть и такие, которые можно взять бесплатно, чтобы посмотреть на внутренний механизм работы Pinch.

TDSS также является довольно распространенной зловредной программой, которая атакует машины пользователей на протяжении долгого промежутка времени. Основной способ заражения TDSS заключается в заражении с помощью съемных носителей. Такой вид заражения сам по себе не является новым, но благодаря ему можно заразить множественное количество пользователей, не прибегая при этом к большим усилиям. Ведь почти у каждого пользователя есть флэшка, на которой он хранит свои данные, а также вставляет эту флэшку в разные компьютеры. Именно этот простой механизм стал основной угрозой для пользователей, ведь вирусы, которые передаются на сьемных носителях, теперь не редкость, и TDSS является ярким примером этого вируса. Сам TDSS также запомнился и тем, что он умеет заражать 64 разрядные версии Windows, что уже является новшеством в вирусостроении. С помощью TDSS злоумышленник может загрузить на компьютер пользователя любое программное обеспечение, причем, пользователь не сможет распознать подобную загрузку, так как она будет скрыта от него. Все это делает TDSS довольно опасной зловредной программой.