Целевые атаки (targeted)

Практически все средства сетевой защиты ориентированы на атаки общего типа, ненацеленные на конкретную жертву. Именно неспецифические атаки составляют более 90% всех разновидностей сетевых атак, например, атаки, целью которых является создание botnet. Если же хакер готовит атаку на конкретную сеть, сервер или рабочую станцию, такая атака может быть несравненно более вредоносной по сравнению с атаками общего типа. Многое зависит от конечной цели хакера. Он в начале тщательно изучает объект-жертву, определяет используемый тип ОС, список работающих сетевых приложений (сканирование портов), перечень посещаемых WEB-узлов, список клиентов, с которыми жертва поддерживает переписку и т.д. Это может занять достаточно много времени и может быть выявлено с помощью IDS. После этого хакер создает копию такого сервера или сети и подбирает средства вторжения. При этом им могут быть написаны и отлажены специфические программы для вторжения в систему. Могут быть посланы письма, содержащие вредоносные коды или ссылки на зараженные сайты, от имени легальных партнеров жертвы (в надежде, что жертва окажет содействие атакеру), сформированы копии WEB-сайтов посещаемые жертвой. Но могут быть предприняты и прямые атаки с привлечением техники SQL-injection, подбора пароля (хотя это надо признать не слишком профессиональным, так как легко детектируется) и пр.

Если эти меры окажутся недостаточными и оператор машины-жертвы не попадет в расставленные ловушки, хакер предпринимает атаку непосредственно на машину-жертвы. Обычно атака предпринимается с другой машины, взломанной ранее в результате неспецифической атаки. Причем хакер и жертва могут быть разделены целой цепочкой таких взломанных машин, что делает вероятность детектирования исходного адреса хакера ничтожно малой. Успех хакера при такой атаке практически гарантирован, а сама процедура взлома занимает от 30 до 200 секунд. Хакер может установить на машине жертвы rootkit, скопировать интересующие его файлы и выполнить любую другую вредоносную работу. Им могут быть отредактированы журнальные файлы машины-жертвы, что сделает трудным даже установление самого факта взлома. Смотри Tageted cyber attacks (GFI Security Ebook).

Тенденции сетевой безопасности в 2008 году

Смотри Top 10 Security Trends for 2008.

· Хакеры активно используют атаки типа SQL и iframe injection для заражения популярных WEB-сайтов вредоносными кодами.

· Web-сайты будут оставаться уязвимыми до тех пор, пока обучение безопасным методам работы и тестирование не станет обязательным для всех разработчиков WEB приложений, хакеры продолжают разрабатывать программы для преодоления Firewall и проникновения в HTTP-приложения и вторжения в SSL коммуникации.

· Объектами для атак станет передачи видео в реальном масштабе времени. Cisco откорректировала свой протокол VOIP, чтобы убрать уязвимости, но дырки сохранились в видео форматах.

· Черный рынок персональных данных при расценках (около $14/имя) делает крайне привлекательными объектами лэптопы (машина, содержащая данные о 10000 сотрудниках может стоить около $140,000.

· В феврале продавцы электронных средств предупредили клиентов, что многие средства для просмотра цифровых фотографий, подключаемые к машинам через USB-порт небезопасны (могут быть заражены, например, тороянским конем Mocmex).

· Botnet ответственны за большую часть SPAM (20%) и за большую долю случаев заражения вредоносными кодами. Появились более вредоносные версии botnet (например, MayDay). К 2008 году число машин в botnet достигнет 10 миллионов. Предсказывается, что это число может составить 150 миллионов (смотри "FireEye: Taking the Botnet Threat Seriously" - компания EMA). Для формирования botnet все чаще используются методы социальной инженерии и фишинга. В 2005 году была арестована группа хакеров из Голландии, которые создали botnet, число машин в которой достигало 1,5 миллиона.

· Facebook и MySpace продолжают предлагать пользователям впечатляющие клипы, но эти сайты с мириадом приложений уязвимы для атак. Например, эксперты по безопасности идентифицируют загрузчик изображений Facebook, как существенную угрозу безопасности для конечных пользователей.

· В ответ на кражи индивидуальных данных компании для идентификации людей начинают использовать специальные коды идентификации вместо номеров социального страхования (стандарт Open ID), что минимизирует кражи индивидуальных данных.

В настоящее время выделяются пять основных угроз для VoIP (телефония, Skype):

1. Наиболее серьезной угрозой для предприятий, использующих каналы SIP и UC для мобильных коммуникаций, является DoS (Denial of Service) и DDoS -атаки сетей VoIP.

2. Объектами атак становятся HTTP или иные информационные службы, реализующие VoIP для конечных пользователей.

3. Хакерское сообщество, имеющее опыт в использовании уязвимостей в других продуктах Microsoft, может обратить внимание на Microsoft OCS (Office Communication Server), используя преимущество своего UC-доступа к общедоступной системе IM, почте и спискам общения, чтобы сформировать botnet и начать атаки.

4. Хакеры могут установить больше IP PBX для vishing/phishing. Из-за простоты и легкости заработка атаки следует ожидать увеличения vishing-атак на банки. Этому способствует относительная безопасность таких атак.

5. Следует ожидать увеличения VoIP-атак против сервис-провайдеров с помощью доступных анонимных SIM-карт. С помощью UMA (Unlicensed Mobile Access), достаточно широко используемых в последнее время, клиенты получают прямой IP-доступ к сети мобильной связи, что упрощает фальсификация идентификационных параметров и создание нелегальных акаунтов, позволяющих реализовать различные атаки.

Vishing

Vishing представляет собой криминальное действие, использующие социальную инженерию и VoIP (Voice over IP), с целью получения доступа к персональным и финансовым данным для достижения личного обогащения. Термин представляет собой комбинацию слов "voice" и phishing. Vishing эксплуатирует общественное доверие к публичным телефонным сервисам, которые предполагают в качестве терминальных пользователей клиента и сервис провайдера. Жертва часто даже не предполагает, что VoIP позволяет фальсифицировать ID клиента, и нарушить анонимность. Vishing часто используется для кражи номеров кредитных карт и другой информации, которая используется в различных схемах кражи идентификационных частных данных.

Vishing достаточно сложно отслеживать различным официальным службам, призванным обеспечивать безопасность. Для защиты от потерь клиентам настоятельно рекомендуется быть крайне подозрительными, когда они получают адресованное им сообщение с просьбой сообщить номер кредитной карты или номер счета. Клиентам рекомендуется в таких случаях немедленно связаться со своей кредитной или банковской компанией, чтобы проверить легальность подобного сообщения.

Существует технология мониторинга всего PSTN-трафика, которая позволяет выявить vishing-попытки путем распознавание некоторых сигнатур и аномалий активности запросов. Примером может служить многократные запросы с ограниченного числа skype-номеров в коммуникационный центр. Преступник программирует свою систему так, чтобы она осуществляла телефонные вызовы для определенной зоны или контактировала с легальным центром голосовой связи согласно списку телефонных номеров, украденных в финансовом учреждении.

Когда жертва отвечает на вызов, ему воспроизводится текст, генерируемый часто голосовым синтезатором, и предупреждающий клиента о подозрительных и необычных операциях с его счетом. Сообщение инструктирует клиента позвонить немедленно по предлагаемому номеру, который может быть похож или совпадать с номером финансовой организации.

Когда клиент-жертва звонит по указанному номеру, ему отвечает программа-робот, которая инструктирует клиента сообщить номер своего счета и кредитной карты. Эта информация записывается и используется в дальнейшем для получения средств со счета жертвы. Во время такого вызова клиента могу попросить указать дату своего рождения, адрес, время истечения срока действительности кредитной карты и ее PIN-код. В таком вызове обычно требуется осуществить все указанные действия немедленно, чтобы минимизировать влияние указанных подозрительных операций, а на самом деле, чтобы исключить возможность каких-либо проверок легальности запроса.