 |
Черные ходы в медиа-файлах
|
|
|
|
Использование скриптовых возможностей одного продукта для реализации уязвимости в другом довольно широко используется в Web 2.0. Потенциально это может даже привести к выявлению черных ходов в pdf-файлах. Следует помнить, что pdf-файлы могут содержать в себе JavaScript'ы. В последнее время стала рассматриваться возможность обнаружения черных ходов в MP3-файлах.
Первым рубежом обороны следует считать написание безопасных прикладных программ. Это предполагает тщательную отладку и проверку на корректность алгоритма с помощью code-checker'а. Использование асинхронных языков программирования, таких как AJAX сильно осложняет задачу. Здесь традиционные методы ручной отладки становятся неэффективными.
В мире Web 2.0 содержимое сайта задается администратором и другими людьми, которые посещали сайт. Web-система должна обязательно фильтровать URL и осуществлять репутационный контроль, чтобы исключить занесение вредоносных кодов.
Традиционный сигнатурный анализ атак становится все менее эффективным. Тем более что достаточно легко модифицировать сигнатуру, сделав ее неузнаваемой. Сигнатурный анализ вряд ли сможет сегодня предотвратить вторжение, но может составить список клиентов с "дурной" репутацией, доступ которых следует ограничить.
Сегодня должен контролироваться весь не только внешний трафик, но внутренний трафик на предмет содержания вредоносных кодов. Современные системы противодействия вредоносным кодам могут включать в себя подсистемы фильтрации Cookie и заголовков.
Атаки "Drive-by Download"
Если еще совсем недавно наиболее эффективным спостобом распространения вредоносных кодов была электронная почта, то начиная с 2002 года на лидирующие позиции вышла WEB-технология и IM. Смотри секцию раздела-обзора о тенденциях в сфере атак во второй половине 2009 г (лаб. Касперского. Ryan Naraine)..
|
|
|
Главным образом это связано с широким распространением атак типа "Drive-by Download". Схема такой атаки показана ниже на рисунке.
Схема атаки "Drive-by Download"
Занесение вредоносного кода происходит следующим образом. Пользователь заходит на легальный сайт, зараженный ранее. Оттуда он переадресуется по цепочке сайтов и попадает в конце концов на сервер, откуда производится загрузка вредоносного кода. В такой схеме достаточно трудно отследить инициатора вторжения, а количество зараженных машин определяется числом клиентов, заходящих на зараженные сайты. Чем популярнее и официальнее сайт, тем заражений больше. При этом могут атаковаться уязвимости браузера, необновленные plug-in, уязвимое управление ActiveX и т.д.
Общеизвестен факт стремительного роста атак типа phishing. Но в последнее время такие атаки становятся все более изощренными. Например, посылается сообщение одному из руководителей фирмы как бы от имени налогового ведомства (в США - IRS). Сообщение выглядит как жалоба наблюдателей BBB (Better Business Bureau). Предполагается, что собственно жалоба клиента лежит в приложении. Все это имеет логотипы соответствующих организаций и располагает к доверию. Менеджер, открыв приложение, убедится, что жалоба ничтожная и тут же о ней забывает, но при открытии приложения на его машине уже установлен троянский конь и цель хакера достигнута. Бывают аналогичные сообщения как бы из Федеральной торговой комиссии (FTC) c жалобой клиента на работу компании.
Загружаемый троянский конь может выкрасть из файлов менеджера критическую для компании информацию и переслать на машину-зомби. Таким образом, прямое отслеживание источника атаки невозможно, даже если она детектирована. Сценарии же подобных атак могут варьироваться в широких пределах. Могут предприниматься попытки переслать данные вполне добропорядочным фирмам, чтобы их скомпрометировать.
|
|
|
Мало-помалу сформировался список наиболее опасных атак (эффективных способов вторжения).
| Тип атаки | Преступная цель | Как это реализуется |
| Отравление cookie | кража идентичности перехват сессии | Многие WEB-приложения используют cookie для спасения информации, такой как ID-пользователя или временные метки, на машине клиента. Но эти cookie не всегда защищены криптографически, в результате хакер может их модифицировать и обмануть приложение, изменяя содержимое cookie. Хакер в результате может получить доступ к аккаунтам других людей и выполнить, например, покупку или денежный трансфер. |
| Манипуляция со скрытыми полями | Электронная торговля | Продавцы часто используют скрытые поля для хранения информации о сессии клиента, исключая необходимость поддерживать сложную базу данных на стороне сервера. Многие используют также такие поля для записи цен товаров. На незащищенных сайтах хакер может просмотреть код страницы, выявить эти скрытые поля и изменить значение цены. При этом он не только купит товар или услугу по заниженной цене, но и может получить сдачу. |
| Вариация параметров | Мошенничество | Многие приложения не способны проверить корректность параметров CGI-скрипта, содержащие URL. В результате хакер может легко поменять параметры. Это может позволить хакеру, например, обойти страницу аутентификации и получить доступ к критической для пользователя информации, например, к его счету в банке. |
| Переполнение буфера | DoS | Используя уязвимость WEB-формы, хакер может перегрузить сервер избыточной информацией, блокируя или даже разрушая работу сайта. |
| Cross-site Scripting | Нападение/ кража идентификационных данных | Хакер может внедрить вредоносный код на WEB-сайт, который исполняется, как если бы он был прислан от адресата. Это дает хакеру полный доступ к извлекаемой информации. |
| Использование люков и отладочных опций | Злоупотребление/ посягательство | Разработчики часто встраивают в программу отладочные опции. Если они забывают закрыть эти уязвимости, хакеры могут легко получить доступ к критической информации. |
| Принудительный просмотр | Взлом и проникновение | Хакер может взломать приложение и получить доступ к информации, которая должна быть недоступной, например, к журнальным или конфигурационным файлам или к исходному коду приложения. |
| Расщепление HTTP-отклика | Phishing, кража индивидуальных характеристик и e-граффити | Хакеры могут фальсифицировать содержимое WEB-кэша как на самом сайте, так и в промежуточных системах, что позволяет им изменять WEB-страницы в кэше и выполнять различные атаки против пользователей. Такая тактика дает хакерам прекрасную возможность скрыть свою активность. |
| Уловка/троянский конь | Вредоносные разрушения | Хакеры могут скрыть вредоносные программы внутри троянского коня, которые разрушат работу сайта |
| Использование некорректной конфигурации третей стороны | Вредоносные разрушения | Хакеры часто заходят на общедоступные сайты, которые уведомляют об уязвимостях и рассылают пэтчи. Используя известные некорректости конфигурации, хакеры могут в принципе создать новую базу данных, которая заместит существующую. |
| Использование известных уязвимостей | Захват управления сайтом | Некоторым WEB-технологиям присущи слабости, которые хакер может использовать. Например, некоторые хакеры могут реквизировать весь сайт, так как они знают, как получить административный пароль через Microsoft Active Server Page (ASP). |
| Использование уязвимостей XML и WEB-сервисов | Вредоносные разрушения | Некоторые встроенные и внешние инфраструктуры и протоколы, которые поддерживают приложения, базирующиеся на XML, могут внести уязвимости в структуру, протокола и содержимое сайта. Более того, некоторые типы атак, включая entity expantion, XPath injection, SQL-injection и многие DoS-атаки, используют богатство и гибкость XML для разрушительных вторжений. |
Наиболее эффективной может считаться многоуровневая защита:
|
|
|
· Использование анти-SPAM фильтра с репутационным компонентом.
· URL-фильтрация с включением отбора по репутации.
· Сканирование на предмет наличия вредоносных JavaScrip вставок в сообщение или приложение, а также в тексты откликов на WEB-запросы.
|
|
|
· Блокировка пересылки из серверов любых персональных данных.
Основные сетевые угрозы предприятию представлены на рис. 11 (см. A Guide to Delivering Dynamic Protection in an Evolving Threat Environment (IDC)). Из рисунка видно, что основную долю составляют троянские кони, вирусы, черви, spyware и SPAM. Эти данные относятся к 2006 году, но за 2007 год ситуация изменилась незначительно.
Рис. 11. Основные угрозы безопасности предприятия
На рис. 12 представлена оценка компанией Novell причин потери критических данных (смотри Novell ZENworks Endpoint Security Management: Total Control from a Single Console). Кражи laptop и компактных накопителей (thumb drive), а также другхе устройств памяти состаляют основную долю - 49%. Ситуация усложняется из-за того, что 53% компаний в случае утери или кражи носителя информации не могут (или не хотят) сказать какие данные утрачены.
Рис. 12. Соотношения причин потери критических данных
| Кроме ограничительных списков для внешних объектов пора вводить ограничительные списки для внутренних объектов, например, запрещающих копировать некоторые файлы. |
В публикации Protecting Against the New Wave of Malware (An Osterman Research White Paper - Sunbelt Software) представлен список наиблоее опасных сетевых угроз для 2008 года - рис. 13.
Рис. 13. Доля различных видов атак для успешных вторжений (2008 год)
| Наиболее важным критерием любого бизнеса является прибыльность и киберпреступления не являются исключением. |
| Е. Касперский. |
| Переход хакеров в сферу бизнеса вынудил их оптимизировать свою деятельность, производить оценку эффективности тех или иных методов атак и вторжений, осуществлять статистический анализ всех сторон своей деятельности. Этими данными можно пользоваться и при разработке средств противодействия. |
Человек посередине (Man-In-The-Middle = MITM)
Этот вид атаки используется для перехвата конфиденциальной информации, а также для подмены открытых ключей в системе двухключевой криптографии. Но данная схема атаки может быть применена в качестве составной части многих других схем атаки и вторжения (смотри, например, варианты атак протокола ТСР). Для реализации атаки MITM хакеру не обязательно нужно находиться на пути между объектами А и В. Он может создать фальсифицированный маршрутизатор и перенаправить информационный поток на свою машину. Если же не ставить целью конкретные объекты А и В, то задача многократно упрощается. Этот вид атаки иногда называется FREAK (Factoring Attack on RSA-EXPORT Keys).
Если хакер умудрится вставить свою ЭВМ в разрыв канала, соединяющего субъектов А и В, у него появляется возможность перехватывать в том числе и шифрованные сообщения. Пусть субъект А сформировал пару ключей К1А и К2А (ключ с индексом 2 является секретным), аналогичную пару ключей сгенерировал субъект В (К1В и К2В). Хакер же тем временем подготовил две пары ключей (К1ХА:К2ХА и К1ХВ:К2ХВ). Когда субъект А пошлет открытый ключ К1А субъекту В, хакер его подменит ключом К1ХА. Аналогичную процедуру он проделает с ключом К1В, посланным от В к А. Теперь сообщение А к В, зашифрованное с помощью ключа К1ХА будет послано В. Хакер его перехватывает, дешифрует с помощью ключа К2ХА, шифрует с помощью ключа К1В и посылает В. Субъект В, получив послание, дешифрует его с помощью своего секретного ключа. Аналогичная процедура будет проведена и при посылке сообщения от В к А. В сущности, единственным параметром который изменится существенным образом будет время доставки сообщения, так как это время будет включать дешифровку и повторную шифровку сообщения. Но при использовании быстродействующей ЭВМ и при работе с традиционной электронной почтой это может оказаться незаметным. Понятно, что между А и В появится дополнительный шаг (hop). Но и это может быть легко замаскировано под прокси сервер или Firewall.
|
|
|
| После выяснения в 2008 году слабости алгоритма MD5 появилась возможность формирования фальшивых сертификатов, что существенно понижает безопасность сетевых систем. |
SideJacking (подключение сбоку)
Cookies могут быть посланы с флагом “secure”, который указывает браузеру переслать его с использованием HTTPS (TLS/SSL) сессии. WEB-сайты обычно шифруют процесс авторизации, но не используют флаг secure для cookies сессии. Атакер, мониторирующий открытую сеть, может видеть не только данные, пересылаемые между клиентом и сервером, но также незащищенных cookies. Данные из cookie могут использоваться для обмана пользователя посредством атаки, называемой "подключением сбоку" (sidejacking), которая является разновидностью перехвата сессии (session hijacking). Перехват незащищенного cookie может быть осуществлен, например, sniffer'ом для беспроводных каналов. Многие сетевые сервисы тип Gmail, Facebook, MySpace и др. использует защищенный порт для входа (HTTPS:// работает с TLS/SSL), но после установления сессии последующий обмен производится открытыми кодами. Для обеспечения безопасности используется идентификатор сессии (session ID). Этот ID является случайной строкой, передаваемой с данными с cookie. Получив этот ID, хакер может, маскируюсь под настоящего пользователя, модифицировать аккаунт по своему усмотрению. Перехват незашифрованных cookie позволяет хакеру выяснить имена активных пользователей и сервисы, ими используемые. Следует признать, что экономия вычислительных ресурсов за счет отключения криптозащиты в пределах сессии не может быть признана разумной.
|
|
|
