 |
Обзор уязвимостей, некоторых видов атак и средств защиты
|
|
|
|
Семенов Ю.А. (ИТЭФ-МФТИ)
| Эволюция угроз | ||
| Вирусы | ||
| Черви | ||
| Khobe (обход антивирусной защиты) | ||
| DoS-атаки | ||
| MAC-flooding | ||
| USB-флэш атака | ||
| Phishing | ||
| Подмена субдомена DNS | ||
| Сокращения названий субдоменов DNS | ||
| Троянский конь | ||
| SPAM | ||
| Scam | ||
| Instant Messaging | ||
| Основные уязвимости | ||
| Badware | ||
| Атака через прокси-серверы | ||
| Potentially Unwanted Program (PUP - потенциально нежелательная программа) | ||
| Атаки через WEB-серверы | ||
| Path Traversal (slash-атаки) | ||
| Spyware | ||
| Атаки нулевого дня | ||
| Adware (Madware) и Grayware | ||
| Взломщик паролей | ||
| Dialer | ||
| Browser Hijackers | ||
| Bot-коды | ||
| Ransomware, Scareware и Rouge Security (rogueware) | ||
| Rootkit | ||
| Crimeware | ||
| Cross-Site Scripting (CSS) | ||
| Взлом WEB-приложений с помощью "отравленных" Cookie | ||
| Email bombing | ||
| Clickjacking и likejecking | ||
| Атаки Salami | ||
| XML-бомба | ||
| Pharming | ||
| BHO | ||
| Целевые атаки | ||
| Тенденции сетевой безопасности в 2008 году | ||
| Vishing | ||
| Вредоносные программы, сопряженные с Web | ||
| Службы новостей RSS/ATOM | ||
| XSS Scripting | ||
| SQL Injection (SQLi) | ||
| ARP-spoofing | ||
| Фальсификация межсайтовых запросов CSRF | ||
| Обход фильтра XSS | ||
| Экспоненциальные атаки XSS | ||
| Использование фальсификации заголовков запросов | ||
| Черные ходы в медиа-файлах | ||
| Атаки "Drive-by Download" | ||
| Человек посередине (Man-In-The-Middle) | ||
| SideJacking | ||
| Атака Man-In-The-Browser | ||
| Обзоры компаний Symantec, McAfee, Sophos, лаб Касперского, Cenzic и др. об угрозах безопасности с 2006 до наших дней | ||
| Атаки финансовых объектов | ||
| Crapware | ||
| Grayware | ||
| Скрытые угрозы безопасности | ||
| Фальсификация имен файлов | ||
| Атаки APT | ||
| RFI-атака. Вставление удаленного файла | ||
| Несанкционированный доступ в машины, отключенные от Интернет | ||
| Полезные ссылки | ||
| Помните, вы постоянно являетесь мишенью сетевой атаки. Возможно именно сейчас, когда вы читаете эти строки, кто-то пытается или уже взломал вашу машину... | ||
Введение
В двадцать первом веке движущей силой и главным объектом всех отраслей человеческой деятельности становится информация, и состояние каналов, сетей и безопасность серверов станут основой экономического развития. По мнению некоторых экспертов, информация становится главной международной валютой. К сожалению, сложные сетевые технологии достаточно уязвимы для целенаправленных атак. Причем такие атаки могут производиться удаленно, в том числе и из-за пределов национальных границ. Все это ставит новые проблемы перед разработчиками и строителями информационной инфраструктуры. Некоторые современные формы бизнеса полностью базируются на сетевых технологиях (электронная торговля, IP-телефония, сетевое провайдерство и т.д.) и по этой причине особенно уязвимы. В 2009 году на повестку дня встала проблема унификации методики названия различных видов вредоносных кодов. Потребуется здесь и международное сотрудничество в сфере законодательства и установления барьеров для сетевых террористов. Не исключено, что придется со временем модифицировать с учетом требований безопасности некоторые протоколы и программы. Аргументом в пользу актуальности проблем безопасности может стать карта мира, отображающая число атак сети Межведомственного Суперкомпьютерного центра РАН. Цифры на карте отмечают число атак сети за час из соответствующей страны. Время от времени интенсивность атак возрастает в несколько раз.
|
|
|
58% всех приложений обречены быть “неприемлемыми” с точки зрения сетевой безопасности. Большая часть таких программ написана не профессионалами. При этом практика показала, что программы с открытыми кодами безопаснее, чем самодельные.
Нужно иметь в виду, что в современной машине вредоносные коды могут находиться не только на дисках или в оперативной памяти, на флэшках или CD, но и в чипах управления внешних устройств, в BIOS и т.д..
| Следует учитывать, что современные киберпреступники лучше вооружены, лучше подготовлены и организованы |
|
|
|
Сетевые угрозы исходят не только от хакеров. Проблемы может вызвать вполне добросовестный сетевой администратор. Например, в окрябре 2009 года весь шведский Интернет (зона.se) на целый час перестал работать из-за опечатки администратора, который редактировал записи DNS-сервера.
Число атак сети МСЦ РАН за один час. На нижней диаграмме показано географическое распределение атак. Самые большие красные квадратики соответствуют более 1000атак/час.
| Если в 2005 году было зарегистрировано 333000 новых угроз (вирусы, черви, троянские кони и др.), то в 2009 году число таких угроз из расчета на год составило 16495000. Это означает, что каждый час создается 1883 вредоносных кода! (Работа идет без выходных, отпусков и без скидок на кризисы). (Mike Chapple, "Endpoint Security") |
Основным источником сетевых уязвимостей являются дефекты программ и особенности каналов связи:
· Коды операционной системы (например, уязвимость для переполнения памяти, некорректная работа с блокирующими сокетами, управление обновлениями ОС и т.д.)
· Транспортные протоколы (правила написания кодов), например, протокол IM, ТСР, DNS, SMTP или ICMP.
· Дефекты прикладных программ (firmware, например, Apache)
· Ошибки в программах пользователя (они встречаются чаще всего, но так как тексты таких программ не известны, хакерам с ними работать сложно и неэффективно, в отличии от трех предыдущих пунктов).
· Программы, встроены в аппаратные устройства, например, в маршрутизаторы, BIOS, контроллеры или процессоры.
· Подбор паролей.
· Мобильные носители (флэш-память, DVD и пр.), Laptop, iPhone.
· Перехват сообщений и управления в беспроводных системах.
· Атаки типа "человек-по-середине".
Отдельный широкий класс образуют мошеннические приемы, использующие социальную инженерию (phishing, Scam и пр.).
Число ЭВМ, подключенных в Интернет, к концу 2005 года превысило 1 миллиард, а к началу 2010-го составило около 2 миллиардов. Число WEB-серверов в 2005 году перевалило за 70 миллионов (а в 2012 превысило 600 миллионов). Сегодня трудно представить себе фирму, организацию или учреждение, где бы для обработки документов, ведения бухгалтерии, учета, обмена сообщениями, доступа к информационным и поисковым серверам и так далее не использовали машин, подключенных к сети. Огромная масса людей не может себе представить жизнь без доступа к сети Интернет, который стал еще одним средством массовой информации. Но преимущества доступа к информации через сеть все чаще омрачается атаками вирусов, червей, троянских коней, spyware и хакеров. Актуальность проблем безопасности подтверждается достаточно обширным списком периодических изданий, посвященных данной проблеме: Network Security, Journal in Computer Virology, Virus Bulletin и многие другие.
|
|
|
| Информационная безопасность стала важным фактором успеха любого бизнеса. А издержки на обеспечение сетевой безопасности растут из года в год. |
Разнообразие угроз, подстерегающих пользователя, работающего в сети, огромно. Часть из них является платой за использование сложных информационных технологий, уязвимых к внешним воздействиям, другая часть сопряжена с деятельностью людей. Некоторые угрозы носят объективный характер, например, нестабильность или низкое качество питающего напряжения, электромагнитные наводки или близкие грозовые разряды, другие могут быть связаны с невежеством или неаккуратностью самого пользователя (последнее обычно опаснее).
Эволюция угроз
Данные, представленные в таблице ниже, взяты в основном из материала
WWW. World Wide Weaponization.
| Год | Событие |
| Карел Чапек написал роман RUR о бунте роботов | |
| Джон Фон Нейман опубликовал книгу "Общая и логическая теория автоматов". Обоснование воспроизведения. | |
| Джон Бруннер опубликовал фантастический роман "Shockwave Rider" (о компьютерных взломах) | |
| Сотрудниками фирмы Ксерокс Джоном Шоком и Ионом Хуппом введен термин "червь" | |
| Кохем публикует "A short course on computer viruses" (краткий курс по компьютерным вирусам) | |
| Создан первый вирус для области boot (Brain) | |
| Зарегистрировано первое семейстиво вирусов Иерусалим | |
| Создан мультиплатформенный червь, способный перемещаться по Интернет | |
| Зарегистрирован вирус Микельанжело, вызвавший шок в прессе, но имевший малую опасность | |
| Создано первое полиморфное семейство вирусов (MtE - Mutation Engine) | |
| Первые атаки макровируса W97M документов MS Word | |
| Создан первый Java-вирус (Strange Brew) | |
| Первые успешные атаки червя VBS/Melissa систем, базирующихся на почтовой системе Outlook | |
| Появление вируса VBS/Loveletter - нанесшего наибольший урон. Первое вторжение в ОС Windows (Win32/Qazworm) | |
| Детектирование вируса Sega Dreamcast. Появление вируса, базирующегося на IM (Win32/Goner) Первая атака червя Red против WEB-серверов | |
| Появление вируса, способного заражать Macromedia Flash-файлы (ActnS/LFM.A) | |
| Регистрация червя Win32/Sobig Появление червя Blaster, использующего уязвимости Windows Регистрация кода Win32/SQLSlammer, использующего уязвимости Mirosoft SQL-сервера IRCbots (Internet Relay Chat) начал использоваться для управления botnet | |
| Первый червь Perl/Sarty - WEB-червь, использующий Google Первая война malware - Bagle/Netsky.Mydoom Создание быстро распространяющегося почтового червя (Win32/Mydoom) Регистрация первого червя для мобильных средств (SymbOS/Cabir) | |
| Появление червя Lion, поражающего LINUX-серверы Массовое распространение червя Win32/Sober Регистрация троянского коня Win32/TrojanDownloader, маскирующегося под видео кодек Появление первого кода ransomware (Win32/Cpcode trojan) Появление Adware, первого фальшивого антивирусного средства с выпадающими иконками предупреждений | |
| Зафиксирован червь Win32/VB.NEI (Kamasutra), который разрушает или стирает файлы на третий день месяца Появился червь W97/TrojanDropper, атакующий файлы MS Word | |
| Выявлена botnet "Storm", вовлеченная в рассылку SPAM (Win32/Nuwar) Созданы программы для удаленного занесения в машины вредоносных кодов Рост популярности целевых атак, использующих файлы MS Office (PPT,XLS, DOC) Получил распространение код Win32/Spy.Zbot для кражи банковской информации | |
| Появился вирус, заражающий Photo Frame Driver CD Червь Win32/Conficker поразил миллионы рабочих станций, использующих Microsoft OS | |
| Зарегистрирована botnet с числом машин в сети более 1.900.000 с центром управления на Украине |
|
|
|
Операторы ботнет, называемые также “bot-фермерами,” используют самые разные методы для построения своих вредоносных сетей. Обычно в число таких инструментов входит: почтовые вирусы, сетевые черви, техника drive-by download, троянские кони. Типичным примером можно считать сеть Koobface, через которую было заражено более 2.9 миллионов машин. Операторы Koobface для распространения вредоносных кодов активно использовали социальные сети Facebook, Twitter и MySpace. Обычная технология включает в себя попытку заинтересовать потенциальную жертву интересной информацией, переадресацию на вредоносных сайт (при этом часто используются методы социалльной инженерии и психологии), после чего клиент может получить предложение обновить Adobe Flash Player или кодек. Если клиент соглашается и кликает на соответствующей ссылке, производилась загрузка вредоносного кода на его машину.
|
|
|
В последние десять лет число идентифицированных уязвимостей увеличивалось в среднем более чем на 50% ежегодно (смотри Eight Question to Ask about Your Intrusion-Security Solution).
DDoS-атаки
Если несколько лет назад атаки на сетевые объекты совершали в основном (около 90%) хулиганы, которые таким образом пытались самоутвердиться, сейчас вторжения на серверы и рабочие станции предпринимаются уже с корыстной целью (см. Лаборатория Касперского). Речь не идет о вторжениях в банки (хотя и это бывает), все много прозаичнее, хакер взламывает большое число машин, выбирая наиболее уязвимые, и формирует базис для распределенных сетевых атак отказа обслуживания (DDoS - Distributed Denial of Service) на сервис-провайдеров или серверы фирм (заказы поступают от конкурентов), или для рассылки СПАМ’а, что стало в нашей стране достаточно прибыльным и относительно безопасным бизнесом. К концу 2009 года предельные потоки DDoS-атак достигли 49 Гбит/c! Для DDoS атаки сервера WilkiLeaks (www.wikileaks.org и cablegate.wikileaks.org опубликовавшего дипломатическую переписку и другие конфиденциальные данные) использован поток, превосходящий 10Гбит/c. DDoS-атаки стали одним из видов кибероружия. Наиболее известным программным средством для DDoS-атак является LOIC (Low Orbit Ion Cannon).
Мы в ИТЭФ были вынуждены заниматься проблемами сетевой безопасности с 1995 года, когда несколько раз подверглись DoS-атакам. Сначала мы даже не знали, что происходит. Наш маршрутизатор CISCO-4000 был достаточно тихоходен и при потоках более 2000 пакетов в секунду самоблокировался. Не имея специальных средств и навыков, мы на диагностику проблемы в начале тратили более суток. Связано это с тем, что DoS-атаки чаще всего предпринимаются с использование фальсификации адреса отправителя. Две атаки были предприняты с ЭВМ из нашей локальной сети, взломанных ранее. Позднее такие объекты мы научились локализовать за несколько минут. Для этого была написана специальная программа. Алгоритм этой программы доложен на конференции МаБИТ-03, МГУ октябрь 2003 год.
Для организации DDoS-атак обычно используется протокол UDP (хотя это и не является обязательным).
В последнее время (2015г) получили распространение DDoS атаки со стороны botnet Linux (XOR DDOS), которые способны иметь мощность, достигающую 150 Гбит/c (см. " A Linux botnet is launching crippling DDoS attacks at more than 150Gbps, Lucian Constantin).
Но описанные атаки были вторичными. Для нас оставалось не ясным, как взламывались ЭВМ-жертвы в нашей локальной сети. Чтобы прояснить эту проблему, мы поставили на входе сети ЭВМ, на которой сначала стояла программа t-meter, а позднее sniffer. Варьируя критерии отбора пакетов, мы смогли выявить IP-адреса машин, с которых производится сканирование адресов и портов ЭВМ нашей сети. В настоящее время число атак из расчета на одну ЭВМ превышает 20-100/сутки. В настоящее время мы анализируем поток атак на Межведомственный Суперкомпьютерный центр РАН. Для этого используется программа SNORT. При этом все данные об атаках автоматически записываются в базу данных, а по всем параметрам атаки строятся распределения (IP-адреса, порты, сигнатуры атак, время и т.д.)
| Следует иметь в виду, что DDoS-атаки требуют немалых ресурсов, даже если они предпринимаются со взломанных машин (такие машины сегодня также стоят денег). По этой причине, если обычная рабочая станция может подвергнуться любой атаке, имеющей целью ее взлом, то DDoS-атаке сегодня подвергаются исключительно значимые бизнес или политические объекты (серверы новостей, финансовые учреждения, сервис-провайдеры, интернет-магазины и т.д.). |
Рост можности DoS-атак со временем (2002-2010гг)
В общем потоке атак DoS-атаки занимают до 27%, см. 2014. The Danger Deepens. Neustar Annual DDoS Attacks and Impact Report.
Если в 2008 году мощность DDoS-атак достигала 40Гбит/c, то в 2014-ом превысила 400 Гбит/c. Ущерб от этих атак в 2012 году составил 1 млн. долларов в день (США).
MAC-flooding.
Атака MAC-flooding относится к классу разведовательных атак. Этот вид атаки может использоваться также в качестве DoS-атаки. Атакующая машина забивает переключатель (switch) огромным числом кадров с неверными MAC-адресами отправителя. Переключатели имеют ограниченную память для таблицы переадресации (МАС-порт) и при такой атаке таблица будет заполнена некорректными MAC-адресами, пришедшими от машины-атакера. При поступлении легального трафика из-за отсутствия соответствующих записей в таблице переадресации пакеты будут направляться на все выходы переключателя. В результате атакер, взломавший машину, которая реализует данную атаку, получит большое количество ценной для него информации. Кроме того, это может вызвать перегрузку каналов и самого переключателя.
Схема атаки MAC-flooding
Следует учитывать, что характер атак становится все более изощренным. Хакеры объединяются в клубы, издают журналы и продают хакерские CD. Сегодня крайне актуальным становится кооперирование их потенциальных жертв. Для профессиональных DDoS атак могут использоваться машины, взломанные ранее (зомби). Большие группы таких машин иногда называются армиями.
Обычно наибольшее внимание привлекают атаки из области вне локальной сети (SQL- или XSS-injection). Реально несравненно большую угрозу представляют визиты сотрудников в социальные сети (Facebook, Twitter и т.д.), e-mail phishing или drive-by download (так называетмые приглашенные атаки), а также атаки инсайдеров (сетевые объекты, работающие в области, защищенной сетевым экраном). В случае посещения вредоносного сайта киберпреступники могут просканировать машину жертвы на предмет наличия известных уязвимостей. Под инсайдером подразумеваются не только сотрудники, работающие в локальной сети, но также скомпрометированные машины LAN (например, посредством USB-флэшей или любых других переносимых носителей или laptop'ов). Классическим примером инсайдерской атаки является утечка данных госдепартаметна США, опубликованных на сервере WikiLeaks.
USB-флэш атака
По данным департамента обороны США возможны достаточно забавные атаки. Атакер изготовляет специальные USB-флэши, загружает в них специальное программное обеспечение и разбрасывает такие устройства в местах, где их могут найти сотрудники интересующих его организаций. Найденное устройство будет рано или поздно вставлено в компьютер дома или на службе и станет источником заражения сети, поставляя атакеру ценные сведения. Главная особенность атаки - практически полная безопасность атакера. Ведь даже если жертва отследит адрес, куда отсылаются данные, можно всегда утверждать, что организатора подставили, а доказать обратное будет проблематично.
Ниже представлена диаграмма классификации угроз по степени их опасности. Смотри Unveiling the Security Illusion: the need for active network forensics. 95% посылаемых на WEB-сайты постов являются спамом или содержат вредоносные коды. 71% зараженных сайтов являются совершенно легальными (их создали не для заражения посетителей вредоносными кодами, данные конца 2009 года). 58% всех краж данных осуществляется через WEB-серверы.
Классификация различных угроз по их степени опасности
Впрочем, самыми опасными остаются неизвестные атаки неизвестного типа - атаки нулевого дня.
Эволюция вредоносности атак со временем
На рисунке выше видно, что все началось с сетевого хулиганства, стимулом которого было самоутверждение, (до 2004г это в основном вирусы и сетевые черви), а к 2010 году все вышло на высокий профессиональный уровень, где двигателем является алчность или политика, (APT, динамические, многофункциональные троянские кони и botnet c элементами стэлз).
Самое ужасное, потенциально опасные программные продукты стали разрабатывать вполне добропорядочные компании. Они это делают для реализации виртуальной рекламы своих продуктов, для получения данных о своих клиентах (их предпочтениях). Становится все труднее обнаружить отличие между чисто хакерскими творениями и такими встроенными объектами в совершенно нормальные программные приложения. Существует и российская фирма, специализирующаяся на разработке хакерских программ. РФ, наверное, единственная страна, где бизнесмены могут легально вести такой бизнес.
Некоторые компании стали разрабатывать вредоносные программы на продажу, например, Mpack. Компания DTC (Dream Coders Team) продает этот продукт по цене до 1000$. При этом предлагается даже послепродажное обслуживание и обновление арсенала атак. Они утверждают, что это исследовательская программа, что-то вроде Nessus. В крайнем случае они оправдываются тем, что торгуют же люди оружием...
Согласно данным на начало 2007 года, если машина, подключенная к Интернет, остается незащищенной в течение 30 минут, с 50% вероятностью она окажется взломанной (станет зомби). В настоящее время по данным института SANS в мире существует около 3-3,5 миллионов таких зомби (и их число стремительно растет). Спрос на такие машины достаточно велик (для рассылки SPAM), цена 20000 машин зомби колеблется от 2 до 3 тысяч долларов США (и имеет тенденцию к падению из-за массовости производства). Машины делятся на группы примерно 20 ЭВМ в каждой и эти группы активируются поочередно. Каждая машина посылает по 630 сообщений в час. Именно это обстоятельство может свидетельствовать о том, что машина является зомби, ведь вряд ли кто-то способен подготовить и послать столько сообщения за час. По данным ФБР (США) ежегодний ущерб от киберпреступлений превышает 67 миллиардов долларов.
| Почтовый протокол SMTP содержит в себе достаточно богатые возможности для хакеров. Прежде всего это касается приложений, написанных на WinWord или Exel. Дело в том, что, просматривая такой документ, вы видите лишь малую часть кодов в нем содержащихся. Сравните число символов текстового файла с образом того же файла в WinWord. Но это еще не все. В WinWord имеется возможность использования скриптов, написанных на Visual Basic (VB), которые могут использоваться для форматирования текста и для других самых разных целей. Но язык VB достаточно мощное средство, спрособное общаться через сеть с другими объектами. Но, просматривая приложение, написанное на WinWord, вы не будете даже предупреждены, что при этом на вашей машине исполняется какая-то программа. Про последствия я уже не говорю... |
В мае 2006 года 21-летний Джинсон Джеймс Анчета (Ancheta) из пригорода Лос Анжелеса был приговорен к 57 месяцам тюрьмы и штрафу в 15000$ за создание сети машин-зомби с суммарным числом машин 400000. Некоторые взломанные им машины принадлежали центру вооружений морской авиации США в Калифорнии. Анчета занимался продажей взломанных машин, рекламируя свой "товар" через Internet Relay Channel.
Мало зарегистрировать атаку, надо определить и корректно интерпретировать IP-адрес, откуда эта атака исходит. Чаще всего, имея IP-адрес, достаточно легко отследить путь атаки, например, посредством Trace Route. Полезным может оказаться утилита NSLookup, а также служба Whois, которая позволяет определить сервис-провайдера атакера и его географическое положение. Существуют и специальные утилиты (базы данных), позволяющие с достаточной точностью определить географическое положение машины по ее IP-адресу (например, GeoIP). Но хакеры знают о таких возможностях и часто используют анонимные прокси-серверы, чтобы скрыть свой IP-адрес. Такие серверы могут создаваться на взломанных ранее машинах-зомби. Только легкомысленный хакер станет атаковать какой-либо сетевой объект со своей машины, при любой возможности он будет атаковать с машины-зомби, доступ к которой можно купить.
| Новые возможности может дать абсолютное географическое позиционирование всех машин (GPS). Уже в 2008 году в США дорогостоящие покупки стало возможно сделать только с машин с географической привязкой. Это стимулируется также случаями потери или кражи портативных машин, где хранилась ценная конфиденциальная информация. Если IP- или МАС-адрес можно фальсифицировать, то систему GPS не обманешь. Впрочем, здесь предстоит еще решить проблемы связи IP-адреса и географического положения. |
Но существует класс атак с фальсификацией адреса отправителя, когда задачу определения IP-птпкера решить затруднительно. Эта техника используется большинством атак отказа обслуживания (DoS), а также некоторыми другими (смотри RFC-2827 или http://book.itep.ru/6/rfc2827.htm).
Многие атакеры используют социальную инженерию и психологию, чтобы спровоцировать потенциальную жертву к действиям, которые нанесут ущерб. Например, год назад в ИТЭФ пришли письма, которые, если верить заголовку были посланы сетевым администратором. Приложение к письму было заархивировано, но для дезархивации требовался ключ, который содержался в тексте письма. В самом письме говорилось, что приложение, содержит инструкцию по улучшению безопасности. Почтовый сервер ИТЭФ имеет антивирусную защиту. Но зашифрованность приложения препятствовала распознаванию сигнатуры вируса. Хотя здравый смысл подсказывает, что сетевому администратору не нужно шифровать сообщение, адресованное клиентам сети, среди пользователей нашлось около десятка простаков, которые попались на эту удочку.
Потенциальную угрозу безопасности могут представлять специальные вставки во встроенное программное обеспечение процессора, BIOS, аппаратную память микросхем-драйверов внешних устройств, операционной системы и приложений. Аналогичные угрозы представляют любые программы с неизвестными исходными кодами, включая обеспечение маршрутизаторов. Считывать данные можно путем регистрации электромагнитного излучения дисплея и других устройств ЭВМ, и даже анализируя звук при нажатии терминальных клавиш. Этим список способов несанкционированного доступа не исчерпывается. Но эти угрозы здесь не будут рассматриваться.
| Предпочтение следует оказывать программам с открытым кодом или коммерческим программам, где продавец документально гарантирует безопасность. |
Число зарегистрированных сетевых вторжений в 2004 году превысило 200000. За 2004-ый год зарегистрировано 523×109 сетевых инцидентов (мониторинг 450 сетей в 35 странах, см. http://www.acmqueue.com/modules.php). За период с 2001 по 2003 годы число зарегистрированных компьютерных преступлений в России удваивалось каждый год. Считается, что 80% компьютерных преступлений не попадает в официальную статистику, так как жертвы боятся огласки, которая может подорвать к ним доверие партнеров и клиентов. В этом убедился Citibank в 1995 году после успешной атаки российского хакера, когда последствия публикации факта атаки принесли больший вред, чем сама атака. Но в последнее время, в частности в США (Калифорния), закон требует немедленного обнародования факта кражи персональной информации.
Если имеется несколько ЭВМ, объединенных в систему, и к этой системе имеет доступ определенное число удаленных клиентов, то наиболее уязвимыми являются соединения клиентов с этой системой. Хакеры стараются атаковать самое слабое звено в системе. Особенно уязвимы пользовательские, домашние ЭВМ. Зная это, некоторые банки предлагают своим клиентам удешевленные или даже бесплатные средства защиты (например, антивирусные программы). Некоторые корпорации и сервис-провайдеры предоставляют своим клиентам антивирусные программы и firewall.
| Следует, впрочем, иметь в виду, что только 40% вредоносных кодов может быть детектировано современными антивирусными программами (данные на начало 2010 года; Yankee Group). |
Принципы сигнатурного анализа сформировались в серидине 90-х годов прошлого века. Число сигнатур атак превысило 3000 к 2005 году и их многообразие продолжало лавинообразно увеличиваться, достигнув в 2009 году двадцати миллионного масштаба. Каждый месяц фиксируется порядка 5000 новых сигнатур (2009). Имеет место динамический прогресс системы щит-меч. С учетом полиморфизма проблемы перед разработчиками антивирусных и других аналогичных программ становятся все более сложными. Многие администраторы и хозяева сетей полагают, что до сих пор все обходилось, Бог даст, обойдется и впредь. Ведь у них на серверах нет соблазнительной информации, а фирма является небольшой, чтобы стать мишенью атаки. Такая позиция рано или поздно приведет к серьезным потерям. Это касается не только компаний, имеющим конкурентов (о них позаботятся непременно), или структур, имеющих на серверах конфиденциальную информацию (например, государственные учреждения), но и сетей, которые на первый взгляд не должны быть привлекательными для хакеров. Мы за счет большого числа машин в сети убеждались в этом уже не раз. Однажды были стерты несколько сот файлов общедоступного сервера http://book.itep.ru. Казалось бы, какой в этом смысл? К счастью и меня была свежая резервная копия... Самое удивительное сервер продолжают атаковать, иногда по несколько тысяч раз в час (это уже на грани DoS-атаки). Хотя ничего привлекательного на сервере нет и вся информация является общедоступной.
| Рост числа сигнатур атак является фактором, работающим на стороне атакеров. Ведь все больше машинных ресурсов нужно на проверку. Этому способствует и усложнение новых сигнатур. Пока быстродействие машин росло достаточно быстро, это было не заметно. Но при выходе на скорости работы каналов передачи данных 10-100Гбит/с проблема стала весьма острой. |
| Прерывать работы по совершенствованию систем сетевой защиты нельзя. Рассчитывать на получение бесплатных разработок из Интернет наивно. Каждая вторая такая программа сама содержит в себе spyware! Поставщик антивирусной программы (особенно бесплатной версии) может быть сам разработчиком вируса или spyware. |
Ниже рассмотрены некоторые наиболее опасные виды сетевых атак. Этот обзор не следует считать исчерпывающим, так как полный перечень занял бы целый том. Некоторые классы атак, например, использующие переполнение буфера или переполнение стека (а также heap overflow), являются составной частью многих видов вредоносных атак. Атаки переполнения имеют в свою очередь много разновидностей. Одна из наиболее опасных предполагает ввод в диалоговое окно, помимо текста, присоединенного к нему исполняемого кода. Такой ввод может привести к записи этого кода поверх исполняемой программы, что рано или поздно вызовет его исполнение. Последствия не трудно себе представить.
Вирусы - вредоносные программы, способные к самокопированию. Передача от зараженной машины к незараженной может осуществляться с помощью приложения к почтовому сообщению. Способностью к саморассылке обладают сетевые черви, первым сетевым червем был Morris Worm, ориентированный на UNIX BSD. Первые вирусы (например, макровирус Melissa (1999г), распространялись через e-mail с привлечение адресной базы данных почтового сервиса, они получили распространение задолго до широкого внедрения Интернет. В начале они распространялись через дискеты, куда попадали вместе с копируемыми играми и программами. Позднее они стали распространяться с помощью макросов, присоединенных к документам WORD. Большинство вирусов содержат в себе:
· Репликатор: Когда основная программа активируется, вирус пытается скопировать себя в один из каталогов машины-жертвы.
· Маскератор: Вирус всегда имеет какое-то средство, способное скрыть его от антивирусной программы.
· Тело вируса (Payload). Программа, которая может выполнять различные функции от блокировки определенных функций машины-жертвы, до полного разрушения данных.
Многие вредоносные коды, например, троянский конь с удаленным доступом (remote access Trojan) используют маскировку под программы, работающие с внешними устройствами. Так они могут оставаться неактивными, например, пока не используется мышка (см. статью Anthony M. Freed "Remote access Trojan evades detection using mouse functions"). Для решения своих задач хакеры могут использовать специальные трюки "ожидания", заимствованные из документации "Microsoft's MSDN". Так для активации кода могут использоваться, например,:
· WH_CALLWNDPROC - ожидать определенного сообщения, передаваемого из одного окна в другое.
· WH_CBT - средство для обучения, использующее компьютер, запоминающее и воспроизводящеие нажатие определенных клавиш.
· WH_GETMESSAGE - возврат ввода от мышки, клавиатуры или другой системы.
· WH_KEYBOARD - трюк с клавиатурой, используемый в атаках перехвата ввода с клавиатуры.
· WH_MOUSE - трюк с мышкой, который описывает Symantec.
· WH_MSGFILTER - детектирует прикосновение к клавише, меню или другому средству Windows.
· WH_DEBUG - любое переполнение, запускающее отладчик
Существует три класса вирусов: заражающие файлы, систему или загрузочную зону системного диска и макровирусы. Как вирусы, так и черви могут распространяться посредством электронной почты (в этом варианте они синонемичны). В последнее время хакеры научились встраивать червей в графические файлы. Примером вирусной атаки может быть сайт форума "Высокие технологии 21-го века" (смотри скриншот ниже). Те, кто посетил сайт и не имел адекватной защиты, получил копию этой заразы на свой компьютер. Но вряд ли можно утверждать, что это не технология 21-го века:-) Этот пример лишний раз свидетельствует, что наличие антивирусной защиты необходимо на каждом компьютере.
Известно, что многие вирусы и черви содержат в себе секции виртуально неизменных кодов. При заражении сети обычно появляется большое число идентичных пакетов. Кроме того, при этом в сети можно обнаружить большие пакеты, направленные внутрь или за пределы сети. Эти особенности могут быть использованы при детектировании вирусов или червей с неизвестной сигнатурой. Именно эти признаки были использованы системой ASE (Automatic Signature Extraction), разработанной компанией CISCO для своих маршрутизаторов, для детектирования вирусов и червей "нулевого дня". Соответствующие фрагменты кода были включены в IOS маршрутизаторов (версии IOS 12.4(15)T или выше).
C первого квартала 2005 года число WEB-базирующихся вредоносных кодов выросло на 540% (Gartner Inc). из обследованных 450000 сайтов по крайней мере 10% используются для загрузки вредоносных кодов посетителям. В последнее время резко возрос интерес к программам обеспечения WEB-безопасности.
Уведомление о вирусном заражении сайта www.vt21.ru
С момента создания до момента обнаружения вируса проходят часы, дни, недели, а иногда и месяцы (в среднем около года). Это зависит от того, насколько быстро проявляются последствия заражения. Чем это время больше, тем большее число ЭВМ оказывается заражено. После выявления факта заражения и распространения новой разновидности вируса требуется от пары часов (например, для Email_Worm.Win32.Bagle.bj) до трех недель (W32.Netsky.N@mm) на выявление сигнатуры, создания противоядия и включения его сигнатуры в базу данных противовирусной программы. Временная диаграмма жизненного цикла вируса представлена на рис. 1A (" Network Security", v.2005, Issue 6, June 2005, p 16-18). Только за 2004 год зарегистрировано 10000 новых сигнатур вирусов. Червь Blaster заразил 90% машин за 10 минут. За это время антивирусная группа должна обнаружить объект, квалифицировать и разработать средство противодействия. Понятно, что это нереально. Так что антивирусная программа является не столько средством противодействия, сколько успокоительным. Эти же соображения справедливы и для всех других видов атак. Когда сигнатура атаки становится известной, сама атака обычно не опасна, так как уже выработаны средства противодействия и уязвимость перекрыта. Под сигнатурой здесь подразумевается некоторый характерный двоичный образ фрагмента кода. Именно по этой причине такое внимание уделяется системе управления программными обновлениями (пэтчами).
Под сигнатурой здесь подразумевается последовательность бит (в памяти или на жестком диске), которая характеризует вредоносный код. Распознаванию сигнатуры может препятствовать полиморфизм такого кода, т.е. вариабильность кода, сох
|
|
|
