 |
Сокращение имени субдомена DNS
|
|
|
|
Некоторые сервис-провайдеры по ряду причин используют сокращенные имена субдоменов DNS для обозначения названия своих сервисов (например, в Twitter или e-mail). В последнее время сокращенное имя URL сервиса is.gd использовалось достаточно активно для переадресации клиентов на phishing-сайты. За время активности (см. рис. 1B) на сайт поступило 50 млрд. запросов. Ниже приведен пример ссылки-переадресайии на вредоносный сайт:
http://is.gd/Tb###U?2.taobao.com/item.htm?spm=2007.1000337
Рис. 1B. Активность субдомена is.gd (данные Netcraft)
На рис. 1С приведены доли 5 ведущих URL, использованных для переадресации на phishing-сайты.
Рис. 1C. Доли сокращенных имен доменов, используемых для phishing-атак
Вывод прост сокращение имен доменов, используемых для названий сервисов, удобно, но почти всегда опасно для пользователей.
Чтобы быть в курсе того, что делается в вашем домене (здесь предполагается, что ваш домен имеет имя example.com), полезно время от времени использовать утилиту dig:
dig @a.iana-servers.net example.com axfr
| Большую угрозу могут представлять фальсификации серверов обновления (WINDOWS, антивирусных библиотек и т.д.), так как при таком "обновлении" в ЭВМ жертвы может быть записана любая вредоносная программа. Сходную угрозу может представлять интерактивная игра, которая, например, при переходе с одного уровня на другой, предлагает загрузить некоторый программный модуль. |
Троянский конь (Spyware)
Эта программа, которая на вид имеет безобидное назначения, на самом деле содержит определенные вредоносные функции. Она может фиксировать все нажатия клавиш на терминале или мышке, способна записывать screenshot'ы и передавать эти данные удаленному хозяину. Если на ЭВМ оказался установленным общеизвестный троянский конь, машина становится уязвимой. Именно с этим связано сканирование хакерами номеров портов известных троянских коней. Многие современные вирусы и черви могут загружать в зараженную ЭВМ троянского коня (или программу spyware), целью которого может быть не только получение паролей, но также номера кредитной карты и PIN-кода. В некоторых случаях зараженная машина может стать источником DoS-атаки. Исследования, проведенные в 2004 году, показали, что 90% РС имеют какой-то вид spyware (это не обязательно троянские кони). В среднем каждая ЭВМ содержит в себе до 26 разновидностей таких программ (возможно, это и преувеличение, но если вы не предпринимали специальных мер, как минимум одна такая программа в вашей ЭВМ имеется). Следует учитывать, что Spyware, имеют примерно те же возможности, что и троянский конь, встраиваются в другие программы и распространяется несколько другими методами. Программа троянский конь может рассылать себя другим машинам (как и сетевой червь). Кроме того, в отличие от троянских коней эти программы часто не обнаруживаются антивирусными программами. Смотри www.earthlink.net/about/press/pr_spyAudit, www.ssppyy.com иsecurityresponse.symantec.com. Программа "Троянский конь" обычно содержит в себе следующие секции:
|
|
|
· Переименование. Файлу, содержащему вредоносный код, присваивается имя, которое напоминает одну из штатных программ системы.
· Разрушение. Секция мешает выявлять вредоносный код с помощью антивирусной программы.
· Полиморфный код. Программа, которая регулярно модифицирует сигнатуру вредоносного кода.
Функцией Spyware является сбор данных об активности вашей машины, о криптоключах, паролях и другой критической и конфиденциальной информации. Spyware.Ssppyy может попасть к вам вместе с поздравительной открыткой. Если хотя бы один пользователь откроет такую открытку, вся система окажется скомпрометированной. 80% данных Spyware отсылает своему хозяину по почте (порт=25), некоторые разновидности этих программ содержат в себе почтовый сервер. Расходы на противодействие spyware увеличиваются ежегодно примерно в пять раз. Сюда входят расходы на создание программ и обновление баз данных сигнатур spyware.
|
|
|
Симптомами приcутствия spyware в вашем компьютере могут служить следующие признаки: (см. Recognizing and Avoiding Spyware).
· Неспровацировано открываются окна
· Вас переадресуют на сайт, отличный от того, имя которого вы ввели
· В окне вашего браузера появляется иконка нового программного средства
· Появилась новая иконка в списке заданий в нижней части вашего экрана
· Изменилась базовая страница вашего браузера
· Изменилась страничка поисковой программы вашего браузера
· Перестали работать некоторые клавиши в вашем браузере (напр., клавиша табулятора)
· Появляются необъяснимые сообщения об ошибках
· Ваш компьютер неожиданно замедляет свою работу (например, при спасении файлов и т.д.)
Проверка моей машины с помощью программы BPS Spyware показала, что там содержится около 2000 таких программ (машина не сканировалась на предмет spyware); всего по результатам сканирования удалено 17825 объектов), но с момента инсталляции ОС на машине работала антивирусная программа. Последние полгода там работал ZoneAlarm. Полная очистка ЭВМ от spyware, размещенных в файлах, в cookies, в реестре и т.д. заняла достаточно много времени.
В последнее время троянские кони стали использоваться для отслеживания места пребывания хозяина машины (laptop). В перспективе, когда машины получат датчики GPS, эта задача существенно упростится.
Cookie содержит информацию о вашем имени, установках и предпочтениях при просмотре конкретного сайта. Эта информация заносится на ваш компьютер при просмотре этого сайта.
SPAM составляет до 90% полного объема почтовых сообщений. Сопряжено это с тем, что рассылка SPAM стала достаточно доходной частью полукриминального бизнеса. Это связано с потерями сетевых ресурсов, о времени получателей я уже не говорю. Часть таких сообщений часто заражена вирусами, червями или троянскими конями. Я, например, получаю до 300 таких сообщений в день. У меня есть специальный почтовый ящик, куда такие сообщения складываются. Эффективность современных фильтров SPAM достигает 90%. При этом следует учитывать, что такие фильтры сильно загружают серверы DNS. Для минимизации SPAM обычно рекомендуется иметь несколько почтовых адресов, например, один для частной переписки, один для деловой и один для информационных обменов, подписки и пр. Это облегчает распознавание SPAM. Полезно самому создавать уникальные адреса для каждого вида обменов и время от времени их менять (см. email.about.com/library/weekly. Это легко делать в случае подписных листов. Рекомендуется удалить свой почтовый адрес из своего WEB-сервера. Не рекомендуется покупать что-либо по рекомендациям SPAM-рассылок, тем более что в 95% случаях это могут оказаться недобросовестные поставщики. В последнее время для исключения распознавания SPAM по содержанию, отправители стали использовать графическую форму представления текста. Смотрите также http://email.about.com/cs/spamfiltering, email.about.com/library/howto/htnegativespamfilter.htm, spam.abuse.net/spam/ иwww.scambusters.org/stopspam/stop-spam.html. По данным Sophos 60% SPAM рассылается через взломанные ЭВМ. SPAM не только раздражает, съедая сетевые ресурсы, он делает бизнес менее эффективным. Представьте сколько времени сотрудники тратят на просмотр таких сообщений, сколько средств и ресурсов тратится на приобретение и обслуживание программ, фильтрующих почту, и вы поймете, что SPAM не безобиден и уже сегодня наносит ущерб более значительный, чем сетевые вирусы. Следует также учесть, что SPAM стал одним из основных средств рассылки троянских коней spyware, phishing и прочих разновидностей malware. В мае 2008 года ботнет Srizbi рассылала до 60 миллиардов SPAM-сообщений в сутки.
|
|
|
SPAM используется и для заражения машин вредоносными кодами. Для этой цели обычно применяются приложения со встроенными скриптами и другими опасными программами.
Разновидность SPAM, рассылаемая через IM, иногда называют SPIM.
“Пассивные” атаки с помощью, например, sniffer особенно опасны, так как, во-первых, практически недетектируемы, во-вторых, предпринимаются из локальной сети (внешний Firewall бессилен).
Scam - мошеннический трюк, заключающийся в том, чтобы, ссылаясь на авторитетных лиц, втереться в доверие и извлечь коммерческую выгоду. Первооткрывателями этого вида мошенничества были адресаты из Нигерии. Смотри en.wikipedia.org/wiki/Scam. Начиная с 2008 года стал активно использоваться мошеннический трюк, когда предлагается антивирусное (или любое программное защитное средство), при попытке загрузки которого машина оказывается заражена вредоносным кодом. Причем доступ к этой программе часто оказывается платным, что внушает дополнительное доверие потенциальной жертвы.
|
|
|
В организациях с 10000 сотрудников сплошь и рядом имеется до 16000 акоунтов за счет уже давно не используемых (люди уволились). Такие неиспользуемые акоунты могут стать объектом атаки, тем более что их создание может относиться ко времени, когда безопасности паролей не уделялось должного внимания. По этой причине администратор должен требовать регулярного обновления паролей и удалять устаревшие, неиспользуемые акоунты. Следует также учитывать, что средний сотрудник имеет в среднем как минимум 20 паролей (рабочей станции, сервера, базы данных, почты, социальной сети и пр.), это дополнительно усложняет ситуацию. Чрезмерные требования к сложности пароля могут иметь обратное действие - человек его забывает или записывает на видном месте. При большом числе паролей человек выбирает их похожими или даже одинаковыми, что упрощает их подбор злоумышленником. Опросы показывают, что средний человек способен помнить 4 пароля, а должен занать до 40! Именно этот факт делает привлекательным применение многофакторных систем аутентификации (специальные карты-ключи, биометрические данные, например, отпечатки пальцев, голос или радужка глаз).
При разработке новых устройств и программ надо уже на стадии проектирования встраивать в них средства безопасности. Должны быть разработаны специальные курсы обучения тому, как писать безопасные программы, например, CGI.
Еще одной, достаточно новой угрозой, является IM (Instant Messaging - по существу это Internet Relay Chart (IRC)). Хотя большинство систем IM (MSN, Yahoo IM, AIM и др.) имеют стандартные номера портов, блокировать доступ для этого сервиса, закрыв эти порты, нельзя, так как системы могут воспользоваться другими номерами портов, например, 80, 23, 20 и т.д. К этому классу уязвимостей следует отнести и сервис ICQ. Возможно, некоторые читатели сталкивались с появлением на экране их дисплея окна, приглашающего сыграть в "бесплатном" казино, это одно из проявлений подобных атак. Некоторые пользователи могут полагать, что они в безопасности, так как не используют e-mail. Для защиты от этого вида атак нужно специализированное программное обеспечение. Следует также помнить, что однажды запретив IM, нельзя быть уверенным, что вы полностью защищены с этой стороны. Например, автоматическое обновление Windows XP SP2 включает в себя загрузку Windows Messenger, что сведет на нет ваши усилия.
|
|
|
Прогнозируется, что к 2010 году 90% клиентов в сфере бизнеса будет использовать для общения технологию IM. Здесь клиент знает, с кем общается в реальном времени, IM исключает задержки отклика, характерные для e-mail. Кроме того, IM является частью набора технологий UC (Unified Communication), который становится все более популярным. Уязвимость таких систем увеличивается за счет того, что сервисы e-mail, IM, SMS, VoIP и пр. реализуются независимо. Помимо этого, сегодня для IM характерно отсутствие четкой политики безопасности, а средства IM инсталируются клиантами сети предприятия без информирования администратора. Потери из расчета на один инцидент в 2008 году достигли 288000$. Смотри Направления и тенденции развития ИТ-технологий. 2008 год.
Вообще в отношении IM любой пользователь и сетевой администратор должен ответить на ряд вопросов:
1. Следует ли использовать IM в его сети вообще?
2. Могут ли пользователи использовать IM на системах, принадлежащих вашей организации?
3. Нуждается ли организация в специфическом программном обеспечении IM?
4. Следует ли использовать криптографию для обеспечения безопасности IM?
5. Допустимо ли использование IM для частного обмена внутри и вне локальной сети?
6. Следует ли вводить ограничения на передачу данных служебного характера, передаваемых посредством IM?
7. Следует ли вводить определенные требования на запись (журналирование) обменов посредством IM?
Следует внедрять средства записи всех IM-обменов. Это позволит иметь архив всех обменов. Служащие же, зная, что все обмены на предприятии записываются, будут вести себя более осмотрительно. Параллельно можно внедрить фильтрацию IM по ключевым словам, чтобы исключить утечку критической информации. Такие фильтры могут блокировать также передачу вредоносных кодов внутри IM-сообщений.
| Но главной уязвимостью и главной сетевой угрозой остается человек с его слабостями и несовершенствами... |
Так как беспроводные сети находят все более широкое применение, а безопасность таких каналов оставляет желать лучшего, возможен перехват трафика с помощью средств типа sniffer. Высокой безопасности можно не получить даже в случае применения VPN и двухфакторной аутентификации (SecurID). Для хакера такие объекты атаки привлекательны тем, что им не нужно устанавливать соединение с каким-либо объектом в локальной сети, не оставляя следов в FireWall или IDS. Обычный просмотр WEB-страниц может помочь украсть индивидуальные параметры. Пользователи корпоративной сети при работе с WEB-страницами (просмотр требует аутентификации) могут получить уведомление: "Your connection to the network has been lost - please reenter your username and password". Инициатором такого сообщения может быть злоумышленник, который рассчитывает получить ваши аутентификационные параметры. Беспроводные средства облегчают атаки и стационарных объектов. Клиент, купивший карту доступа, получает динамический адрес и его локализация и идентичность достаточно трудно установить. Существуют специальные средства для выявления приборов 802.11, например, Kismet или Air Defense (разновидность IDS). Но такие средства могут использоваться как во благо, так и во вред, они могут помочь обнаружить плохо сконфигурированные точки доступа. Для таких сетей особенно актуальна проблема однозначной идентификации пользователя, где бы он ни находился. Обычно портативные ЭВМ после включения пытаются установить соединение с известными им беспроводными точками подключения (их число может превышать сотню), атакер может сформировать точку доступа, имитирующую один из таких узлов, для установления соединения с данной ЭВМ и получения параметров доступа. В последнее время появились экраны, работающие по технологии стелз, способные экранировать радиоволны определенных частот. Это позволяет обезопасить беспроводные локальные сети, сохраняя работоспособность мобильных телефонов. Эта технология может помочь исключить интерференцию систем, работающих на идентичных частотах.
Если нет насущной потребности, следует дезактивировать вход USB на уровни BIOS. Заметной уязвимостью обладают все переносные ЭВМ. Человек, получивший к такой ЭВМ доступ, за несколько минут может установить новый пароль (с помощью загрузочного диска) и скопировать оттуда любую информацию или установить там троянского коня. Особую категорию составляют домашние ЭВМ. Многие компании одобряют работу своих сотрудников дома (экономится электричество, рабочее место и пр.), удобно это и работникам (экономится время в пути и бензин). При подключении к офисной сети предпринимаются достаточно серьезные меры безопасности, но эта же машина может использоваться детьми, подключающимися к самым разным сайтам, среди которых могут быть ЭВМ злоумышленников. При этом нет никакой гарантии, что в такую машину не попадет троянский конь или другая вредоносная программа. После же подключения в сети компании такая машина может стать источником угрозы для других ЭВМ локальной сети. Покидая рабочее место, целесообразно выйти из ОС (произвести процедуру Logoff), но все ли это делают? По этой причине после 30-60 сек пассивности, ЭВМ должна сама выполнить эту процедуру. Многие компании в случае успешной сетевой атаки скрывают этот факт, чтобы сохранить доверие клиентов. Это приводит к тому, что число жертв увеличивается (такой же атаке подвергаются другие, не предупрежденные об угрозе).
Сигнатуры современных атак могут быть достаточно изощренными. Это может быть не просто попытка установить соединение с определенным портом, а вполне определенная последовательность попыток соединений, приводящая к соединению. Это характерно для доступа к некоторым люкам, специально оставленным хакером в какой-то программе. Такая схема исключает детектирование окон уязвимости простым поиском открытых портов (так работают некоторые программы поиска вторжений). Подробности этой техники смотри по адресу www.portknocking.org.
Появились сообщения о разработки вредоносных кодов, написанных на JavaScript. В это трудно поверить, но, если это так, масштаб сетевых угроз увеличивается весьма существенным образом. Ведь в этом случае не нужно ничего копировать с вредоносного сайта, достаточно туда заглянуть. Но по-прежнему главной уязвимостью остается неопытный и малообразованный пользователь.
Наибольшую угрозу представляют атаки с помощью программ, специально написанных для вторжения в конкретную ЭВМ или сеть. К сожалению, большинство разработчиков приложений не учитывает требования безопасности. Сертификация программ, как правило, не включает в себя аспект безопасности (попыток вторжения). Следует разделять уязвимости "врожденные" и специально созданные хакером. Эти два вида бывает трудно разделить, если вы покупаете нелегальное программное обеспечение. Хороший хакер готовит вторжение с тщательной разведки объекта атаки. Это не обязательно сканирование или попытки подбора пароля. Такую информацию хакер может получить из описаний разработанных на сервере-мишени программных продуктов (требования к ОС, версии и т.д.) Он может послать запросы на серверы Whois, посылая команды finger или почтовому серверу и пр. В отдельности такие запросы не говорят ни о чем. Но, если собирать статистику о клиентах сети (используемые запросы, ping, traceroute, сканирования определенных портов и т.д.), то по совокупности этих данных можно с приемлемой вероятностью прогнозировать угрозу.
При стратегическом планировании в сфере сетевой безопасности следует учитывать тенденцию в направлении распределенных систем и более широкого внедрения беспроводных систем. Оба эти фактора делают решение проблем значительно труднее.
По мнению экспертов, в последнее время важной мишенью атак становятся приложения, особенно те, которые взаимодействуют или доступны через Интернет. На долю таких приложений приходится до 70% успешных сетевых атак (данные Gartner Group).
В последнее время атаки серверов становятся двухэтапными. Так как сервер обычно защищен лучше рабочей станции, сначала атакуется именно она (например, через e-mail или Explorer). А далее с рабочей станции предпринимается уже атака сервера. Собственно, атака даже может быть не нужна, если на рабочую станцию в результате атаки был загружен троянский конь или spyware. Ведь эти коды позволяют перехватить пароль, когда он еще не зашифрован.
Основные уязвимости
В последние годы количество выявленных уязвимостей увеличивалось на 50% ежегодно. За 2007 год выявлено более 7200 уязвимостей.
Начинать следует с выявления возможно намеренных или случайных уязвимостей:
1. Процессора ЭВМ
2. BIOS, контроллеров внешних устройств, интерфейсов и пр.
3. Программного обеспечения ОС
4. Прикладного программного обеспечения, включая программы защиты
5. Программное обеспечение аппаратных сетевых устройств и систем аутентификации
6. Сетевые протоколы и их программные реализации
Первые два пункта крайне важны, именно с обеспечения неуязвимости этих объектов следовало бы начинать разработку комплексной системы безопасности. К сожалению это пока не достижимо по финансовым и технологическим причинам. Остальные позиции являются объектами различных этапов данного проекта.
Следует учитывать и то, что сегодня в Интернет все серверы сканируются поисковыми системами. И, если по небрежности или легкомыслию там окажутся какие-то конфиденциальные данные, они станут доступны всем желающим, в том числе и конкурентам. Им даже не потребуется тратить свои усилия, все что им нужно, они получат через поисковые системы. По этой причине на серверы, подключенные к Интернет не должны попадать критические данные.
| Техника атак достаточно быстро меняется, например, атаки, описанные в статье bl_ice.htm практически все уже не опасны, если на машине используются обновленные версии системных и прикладных программ. Сейчас актуальны атаки с помощью писем, к которым прикреплены зараженные троянским конем или spyware приложения (SPAM). Посылка такого письма может быть выполнена от имени администратора сети или хорошего знакомого, которому вы доверяете. Это особенно легко сделать из локальной сети с чужой машины, воспользовавшись временным отсутствием коллеги. Другим источником вторжения являются зараженные WEB-серверы (они необязательно принадлежат хакерам). Причем рекомендация посетить этот сайт может исходить от вашего "хорошего" знакомого по схеме, указанной выше. Вид сайта может быть совершенно безобидным, содержать какой-нибудь смешной клип и т.д. Российская бедность делает многих интернетчиков жертвами таких сайтов, так как они вынуждены искать "бесплатные" программы. Вообще хранилища бесплатных программ один из самых распространенных видов разносчиков троянских коней, adware, spyware и т.д. После того как машина скомпрометирована, задача атакера как можно лучше скрыть этот факт. Он может отредактировать журнальные файлы машины жертвы. Современные виды malware имеют встроенные средства маскировки. Такая программа может блокировать работу антивирусной защиты, отключить систему выдачи сообщений об ошибках и сбоях, позаботиться о том, чтобы все, в том числе модифицированные файлы сохранили свой старый размер, саботируют работу программ безопасности, блокируют обновление Windows или антивирусной базы данных и т.д. |
| Предыдущие абзацы был написан примерно 5 лет назад. Тогда еще основным источником заражений вредоносными кодами являлась электронная почта. Но уже тогда сформировалась тенденция, когда основной угрозой стали WEB-приложения и Instant Messaging. WEB-атаки имеют принципиально иную природу, чем черви или вирусы. Начиная с 2008 года, главной угрозой стали социальные сети типа Facebook или Twitter. Это связано с тем, что в этих сетях клиентам разрешено занесение своего контента на общедоступные серверы (блоги, интерактивные личные дневники и пр.). Новой сферой деятельности хакеров стали серверы социальных опросов, где они научились тотально искажать результаты. Это стало их дополнительной статьей доходов. Twitter часто используется хакерами для управления botnet. |
Последние исследования показали, что 95% комментариев в блогах содержат в себе SPAM или вредоносные коды. Под SPAM'ом подразумеваются и заказные политические комментарии.
| C 2009 года хакеры научились использовать себе на пользу меры сетевого противодействия атакам (ACL). Взломанная машина становится источником рассылки SPAM или сетевых атак. В результате ее IP-адрес автоматически заносится в ограничительные списки (ACL) провайдеров и сетевых администраторов. Обычно факт взлома выявляется через 1-5 дней, но в ACL адрес может остаться на месяц или даже навсегда. В результате жертва взлома оказывается изолированной от многих ресурсов Интернет. На практике некоторые коммерческие компании, зависящие от Интернет, оказались разорены. |
Прежде чем обсуждать средства противодействия вторжениям, следует рассмотреть пути и методы вторжения и причины потери критических данных. Эта информация позволит более осознанно строить линию обороны. Обращу ваше внимание лишь на некоторые из них:
| Практика показывает, что 60% компаний, подвергшихся серьезному сетевому вторжению, уже не могут восстановить свой имидж и в течение года прекращают свое существование. Но даже компаниям, которым удалось избежать такой печальной судьбы, приходится нести тяжелые убытки. Важным свойством корпоративной системы становится время восстановления после катастрофического вторжения. Смотрите Securing SSL VPNs with RSA SecurID Two-factor Authentication. |
В феврале 2005 Банк Америки потерял ленты резервных копий данных, содержащих персональную информацию о 1,2 миллионах клиентах, аналогичная история произошла Ситигруп в июне 2005, когда были потеряны ленты с данными о 3,9 миллионах клиентах. Компания ESG считает, что потеря одного рекорда обходится в 30-150 долларов. Эти инциденты показывают, насколько актуальным является использование криптографии при создании резервных копий. Но несмотря на эти события до 75% компаний до сих пор не используют криптографические методы для резервного копирования (это относится к концу 2005). Во многих штатах США приняты законы, обязывающие компании, хранящие у себя персональные данные граждан (налоговые номера, адреса, даты рождения, номера кредитных карт, медицинские карты и т.д.), уведомлять заинтересованных лиц не только о случаях кражи этих данных, но даже при подозрении, что к этим данным получило доступ неавторизованное лицо!
· Безопасность системы хранения данных не сводится к созданию надежной системы резервного копирования. И если такая система у вас создана, это не гарантирует вам спокойной жизни.
· Безопасность не зависит от используемого протокола (IP или, скажем, Fibre Channel).
· Криптозащита данных не может считаться панацеей, это всего лишь один из рубежей обороны.
· Важным моментом в деле обеспечения информационной безопасности является согласованность действий всех подразделений предприятия.
· При организации работ с данными нужно четко определить, кто должен к ним иметь доступ, а кто - нет.
· Доступность очень часто не означает дозволенность. Сюда относятся черные ходы (люки), а также доступ лиц, которые в этом доступе по характеру работы не нуждаются. Смотрите также Средства противодействия атакам.
В 10-ом номере журнала Chip, стр. 69, представлено распределение причин потери данных из-за повреждения носителей (см. рис. ниже).
Локальная сеть должна быть разумным образом поделена на субсети и VLAN, что осложняет действия локальных атакеров. Для копирования каких-то файлов коллегами может быть открыт доступ к какому-то каталогу или файлу, но по завершении операции доступ не перекрывается, чем могут воспользоваться как локальные, так и удаленные хакеры. Особое внимание должно уделяться безопасности DNS- и почтового серверов, так как именно их атакеры проверяют на прочность первыми.
В последнее время в связи с широким использованием мобильных средств появилась потребность аутентификации мобильных удаленных пользователей и процессов в рамках VPN. Для этой цели часто используется многопараметрическая аутентификация и средства генерации одноразовых паролей (OTP).
Одним из наиболее эффективных способов защиты информации является шифрование сообщений, что, к сожалению, заметно увеличивает время отклика (шифрование-дешифрование). Задержки при большом входном трафике могут привести к блокировке сервера.
Начинать нужно с классификации информации и сетевых объектов в вашей сети, определения зон ответственности и доступа различных сотрудников.
Если в вашей сети установлен Firewall, автоматически обновляемая антивирусная программа, система обновления прикладных и системных программ, IPS/IDS, VPN и система фильтрации почты и WEB-данных, это еще не гарантирует безопасности (100%-защиты ничто не может гарантировать). Все эти барьеры легко можно обойти (в сети описаны методики).
Наиболее эффективными являются простые правила предосторожности, диктуемые здравым смыслом.
o Не устанавливать на своей машине программ, назначение которых вам не известно. Еще лучше, но редко осуществимо, запретить пользователям самостоятельно инсталлировать программное обеспечение.
o Не кликайте без разбора мышкой на кнопках просматриваемых страниц, например, на "click her to close" (функция этой кнопки на неизвестном сайте может быть много "богаче"), лучше закройте страницу, если сайт вам не известен.
o Не открывайте сообщения SPAM и не кликайте мышкой на ссылках в таких сообщениях.
o По возможности не используйте программы файлового обмена peer-to-peer (P2P)
o Убедитесь, что настройки вашего броузера запрещают какую-либо загрузку, не спросив разрешения пользователя.
o Установите экран, осуществляющий фильтрацию трафика в реальном времени, и выполняйте регулярное сканирование системы.
Мировой опыт обеспечения безопасности говорит о том, что нельзя обойтись каким-то одним программным средством мониторинга и защиты. По этой причине лучше иметь несколько средств различной функциональности, полученных из разных, но достойных доверия источников. Смотри "TechTarget Guide to Spyware, Data Leakage, and Spyware Recovery". Для выявления вирусов, spyware и rootkit можно заглянуть, соблюдая осторожность, на следующие серверы:
o http://vil.nai.com/vil/stinger
o http://www.spybot.info/en/index.html
o http://www.microsoft.com/athome/security/spyware/software/default.mspx
o http://www.sysinternals.com/Utilities/RootkitRevealer.html
o http://greatis.com/unhackme
o http://www.f-secure.com/blacklight
Можно попробовать некоторые общедоступные программные средства сканирования. Запрос Google "free antivirus" может помочь вам найти нужные средства. Ниже приведен список таких источников (но перед их установкой лучше провести проверку на наличие в них самих malware):
o http://www.pestpatrol.com/prescan.htm
o http://www.ewido.net/en/onlinescan
o http://housecall.trendmicro.com/
o http://www.pandasoftware.com/products/activescan
Следует проверить все потенциально опасные места в системе компьютера, такие как каталог startup Windows, Startup tab в файле msconfig, а также любые ключи регистра, сслылающиеся на эту программу из anyHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run в regedit. Небесполезно просмотреть и содержимое всех временных каталогов Windows temp. Таким образом нужно просканировать всю систему. Полезно время от времени вообще удалять содержимое всех пользовательских и системных каталогов типа TEMP, а также cookie. Крайне полезно отслеживать, желательно автоматически, любые изменения конфигурационных файлов.
Следует загрузить системный Process Explorer и просмотреть загруженные процессы и приложения. Это может выявить работающие malware. Для поиска malware, подключенного к локальным портам TCP или UDP можно запустить Foundstone's Vision. Можно использовать сетевой анализатор (например, CommView или Ethereal), что посмотреть, что происходит в сетевом сегменте.
Следует удалить (выгрузить) любые программы, если вы подозреваете их зараженность, после чего повторите сканирование. Может так случиться, что в вашей системе присутствуют файлы, заблокированные против стирания или помещенные под карантин вашей программой удаления, это могут быть вредоносные коды.
Никогда не посещайте сайтов, где вместо имени указан IP-адрес. Это может быть взломанный домашний компьютер, используемый для распространения malware.
Постарайтесь заблокировать восстановление и перезагрузку системы в safe mode и после этого запустите вашу программу детектирования/удаления вирусов/spyware. Для этой цели хороши программы, поставляемые на бутабельном CD.
Может так случиться, что ваши проблемы связаны с повреждением программы или неисправностью оборудования, а не с malware. Попытайтесь реинсталлировать Windows или поврежденное приложение. Если это не помогло, попытайтесь вернуть систему к состоянию, когда она работала, восстановив конфигурацию оборудования.
Не полагайтесь безгранично на Google или другую поисковую систему в отношении рекомендуемых программ детектирования и очистки системы от malware. Внимательно изучите сайты ведущих поставщиков соответствующего программного обеспечения (Symantec, Trend Micro, Sophos и др.), чтобы выбрать нужное решение для вашей проблемы. Сайты Symantec's Security Response и CA's Spyware Encyclopedia содержат много полезной информации.
Badware
Что такое плохая программа, знает каждый, кто использовал какое-либо программное обеспечение. Существует даже количественная мера для сравнения плохих программ друг с другом - число ошибок на 1000 строк кода. Нужно помнить, что эта характеристика чисто оценочная, и точного числа ошибок в программе не знает никто и никогда. Попутно замечу, что "хороших" программ длиннее 10000 строк, по моему опыту, не существует.
Конечно, практически все разработчики программ (кроме хакеров) не делают ошибок преднамеренно. Но ошибки в программах "хороших" программистов часто используют хакеры. Примером может служить сетевой червь Stuxnet, который вызвал сбои в работе 1000 ультрацентрифуг для разделения изотопов урана в Иране (город Natanz, 2010г). При реализации этого червя были использованы ошибки в управляющих драйверах компании Siemens. Очевидно, что разработчики этих драйверов сделали ошибки ненамеренно, более того, они делали все возможное, чтобы таких ошибок не было. Смотри статью Gary McGraw: "Eliminating badware addresses malware problem". Следует иметь в виду, что компьютеры обогатительного завода в Natanz не имели выхода в Интернет.
В 2009 году, до появления Stuxnet, когда операторы GRID только начали говорить о необходимости защиты критической инфраструктуры от кибератак, редкие фирмы нанимали специалистов по информационной безопасности (см. After Stuxnet: The new rules of cyberwar (новые правила кибервойны). Каждый раз, когда Stuxnet запускается, компьютер записывет внутри исполняемого файла имя компьютера, его IP-адрес, имя группы или доменную часть имени. Анализ этих запией показал, что Stuxnet не покинул пределов локальной сети. Были и атаки-предшественники, которые показали, что первая зараженная машина принадлежала Foolad Technic Engineering Co., базирующейся в Исфагане, Иран. Эта компания создавала автоматизированные системы для иранской промышленности. Следует иметь в виду, что помимо разрушительной функции Stuxnet имеет и разведывательную секцию. 7-го июля 2009г, Stuxnet заразил другую иранскую компанию Neda Industrial Group, на которую распространялись санкции США. Помимо этого, Stuxnet поразил домен CGJ, принадлежащий Control-Gostar Jahed и занимающейся автоматизацией. Позднее Stuxnet.b заразил компьютеры иранской компании Behpajooh Co. Elec & Comp. Engineering. Под эпидемию попали машины компании Mobarakeh Steel Company и многих других, не вовлеченных в ирнскую ядерную программу.
Разработка Stuxnet показала, что объект из виртуального мира может нанести реальный физический ущерб. Это поставило вопрос о разработке международных стандартов по кибербезопасности.
Такое сродство "хороших" программ с ошибками и malware породило специальный термин badware (bad software = плохая программа - вспомним "плохую" квартиру у Булгакова). Так что у нас появляется еще один стимул искать пути минимизации ошибок в программах.
Поставщики антивирусных и анти-spyware программ могут предложить специфические средства, о которых вы возможно и не слышали, но которые вполне могут помочь в вашем случае. Не бойтесь использовать средство от поставщика, отличного от используемого вами. Следует иметь в виду, что разные продукты имею разную функциональность и возможности. Противодействие spyware в последнее время стало особенно актуальным. Здесь важны как средства профилактики, так и утилиты на случай, когда заражение уже произошло. Обзор таких средств можно найти в Spyware Removal Checklist, а также Средства для борьбы со spyware.
Хэшируйте подозрительный файл с помощью, например, HashCalc и сравните с результатом, полученным для заведомо рабочей копии этого файла.
Если возникли сомнения, выполните перезагрузку. Если вам не удается перезагрузить Windows -- происходит повисание или бесконечные попытки перезагрузки, начиная с определенной точки it -- даже в safe mode, тогда можно осуществить полную переустановку системы. Но прежде чем делать это, попытайтесь использовать Winternal's ERD Commander, чтобы спасти нужные вам файлы. Можно также попробовать восстан
|
|
|
