Любой специалист по безопасности понимает, что стоимость атаки должна в разы превышать стоимость защищаемого объекта, иначе от системы защиты нет смысла. На «войне», или, что то же самое, в ситуации жесткой конкуренции, в формулу также включается стоимость самой защиты (потому что война за место под солнцем не выгодна обеим сторонам), но к домашнему/офисному пользователю это не относится, поэтому ограничимся пока простой формулой.

Однако если атака рассчитана на миллионы пользователей, то ее стоимостью можно вообще пренебречь, поскольку в случае успеха выгода несоизмеримо высока. К таким атакам относятся всевозможные вирусы, трояны, программы-шпионы. Как же простому пользователю на 100% уберечь себя от всех этих напастей?

Считается, что на 100% нельзя. На самом деле — можно, если подойти к проблеме, как настоящий параноик.

Начиная с 12 августа на серверах kernel.org находился троян, который записывал пароли, действия пользователей, предоставлял root-доступ и модифицировал ПО на сервере.

В экосистеме Android'а появилось интересное творение неизвестных рук, способное записывать исходящие разговоры с устройства, сохраняя их в .amr формате на SD-карту аппарата. Названный Golddream.A и обнаруженный специалистом по безопасности (Dinesh Venkatesan) из компании CA Technologies.

Процесс по которому все происходит прост до банальности — как только вы устанавливаете на устройств зараженное приложение, оно сбрасывает конфигурационный файл на девайс, немного уточняющий параметры «удаленного сервера» и работы приложения. Как только это сделано — докачивается небольшой функционал, собственно, автоматической записи голосовых звонков с последующим сохранением. Венкасетан протестировал вредоносное ПО в двух мобильных эмуляторах и результат был одинаковым — на карте появялась папка callrecord с файлами записи каждого «разговора». Особенно интересно что у Golddream есть конфигурация для загрузки этих файлов на удаленный сервер.

Строго говоря — вирусное и прочее подобное ПО начало расти в Android Market'е как грибы после дождя в феврале 2011 года, когда впервые появился DroidDream. Было удалено более 50 приложений содержащих код трояна, но их создатели не успокаивались — вслед пришли GGTracker и DroidDream Light, работающие по одному и тому же принципу.

Немецкая криминальная полиция BKA (Bundeskriminalant) сообщила об обнаружении «нового трояна». Он не ворует логин и пароль от счёта онлайн-банкинга, а использует более хитрую схему, заставляя пользователя самостоятельно перечислить деньги на чужой счёт.

Схема такая. Троян ждёт, пока пользователь войдёт в свой аккаунт, после этого выводит на экран сообщение, что якобы на счёт пользователя по ошибке были зачислены средства, и счёт будет заморожен до тех пор, пока пользователь не вернёт деньги обратно. Когда пользователь заходит на страницу с балансом, троян показывает ему страницу изменённого содержания, в которой действительно присутствует приход крупной суммы. Пользователю предлагают немедленно совершить перевод, показывая уже заполненную форму перевода денежных средств.

Поскольку пользователь самостоятельно совершает перевод, стандартные средства защиты от мошенничества тут не срабатывают.

Обычно я не обнаруживаю вирусов в своем ящике на Gmail, но сегодня кое-что нашлось.

Пришло уведомление от USPS о неудавшейся доставке с предложением распечатать инвойс из аттача и прийти в отделение. В аттаче файл «usps invoice», без расширения, но с «Content-Type: application/x-msdos-program;». Возможно некоторые почтовые клиенты предложили бы сохранить этот файл с расширением EXE, а вот gmail над такими мелочами не думает и файлы без расширения антивирусом не сканирует.

Примерно такое письмо недавно получили некоторые пользователи из Португалии. Это письмо является поддельным приглашением в социальную сеть Google+, массовую рассылку которых недавно зафиксировали эксперты «Лаборатории Касперского». В письме содержались две ссылки: на сайт google*****.redirectme.net и на документ в Google Docs. Перейдя по первой начиналась загрузка уже ранее известной программы Trojan Banker, предназначенной для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. По второй ссылке лежал документ, в котором находилась поддельная форма, предлагающая ввести адреса почты своих друзей и пригласить их. Таким образом, троян снабжён надёжным каналом распространения.
Так ситуацию комментирует Фабио Ассолини, эксперт Лаборатории Касперского:
«Злоумышленники часто играют на человеческом любопытстве и доверчивости. В данном случае жертва сама переходит по зловредной ссылке, заражая свой компьютер. Если вы хотите присоединиться к сети Google+, будьте начеку и открывайте письма только от своих знакомых, с которыми вы заранее договорились о таком приглашении»
К счастью, в России пока подобных случаев не зарегистрировано. Но осторожность никогда не мешает.

Продолжение «опытных мелочей». Предыдущие части можно почитать тут.

Время от времени у каждого системного администратора возникает необходимость проверить «подозрительный» компьютер на предмет вредоносного ПО. Или странный трафик с него идет, или странные окошки вылезают, или того хуже какой-нибудь WinLock словили. Я расскажу о простой, почти пошаговой экспресс-методике, которую мы предлагаем нашим саппортерам-новичкам. Кому-то, возможно, она покажется неполной или слишком простой, тем не менее многие проблемы с ее помощью определить можно. А понять проблему — уже половина решения. В любом случае, буду рад прочитать в комментариях ваши дополнения и полезные советы по этому вопросу.

Не так давно в «Часкоре» была опубликована статья «Воспоминания экс-спамера». В ней один из интернет-предпринимателей, зарабатывавших на спаме во «В Контакте», объявил о том, что у такого бизнеса очень скоро почти не останется воздуха.

В какой-то мере с ним можно согласиться — сейчас спама действительно ощутимо меньше, чем было даже в прошлом году. Но оставшиеся спамеры прибегают ко всё более изощрённым методам. Сейчас я хочу рассказать об одном из таких методов, встретившихся мне сегодня.