Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
…и рекомендации по защите
С.А. Печень 2004-2011 spechen@ukrtelecom.ua 28.12.20
Cодержание
Статистика и динамика угроз (в том числе
материалы ОАО «Укртелеком»)
Виды воздействий
Локальные сети - внешние атаки*
Локальные сети -внутренние атаки*
Беспроводные сети
Социальная инженерия
Aтаки на мобильные телефоны
Web-угрозы
4
28.12.20
5
28.12.20
6
28.12.20
7
28.12.20
8
28.12.20
9
28.12.20
Потери от атак 06’2004
10
28.12.20
Потери от атак 06’2005
11
28.12.20
12
28.12.20
http://www.securitylab.ru
13
28.12.20
Внешние атаки
Атаки, предпринимаемые лицами, не
являющимися сотрудниками подразделения,
филиала, предприятия и не имеющими доступа
на его территорию.
14
28.12.20
Виды внешних атак
1.Прослушивание информационного канала
2.Несанкционированный доступ в удаленную систему
- Перебор IP-адресов
- Сканирование серверов сети на предмет выявления на них работающих
незащищенных служб (Port scanning)
- Ложное соединение путем подмены одного из объектов соединения (IP spoofing)
- Ложное соединение путем продолжения последовательности пакетов
- Ложное соединение путем «отравления» кэша DNS-сервера(внедрение ложного DNS-
сервера)
- Подбор паролей
- «Забытые» пароли
- «Люки», Buffer Overflow
- Атака Source Quench (подавление источника)
3.Выведение удаленной системы из строя – Denial of Service
- Ping-атака
- Шторм –СПАМ,SYN-flooding,ICMP-flooding
- Навязывание ложного маршрута
- UDP-фрагментация (Teardrop)
- Прочие DOS-атаки
4.Использование ресурсов удаленной системы в собственных целях
- СПАМ
- Продолжение атак
15
28.12.20
1. Прослушивание
информационного канала
Типичным пассивным способом перехвата
информации является прослушивание
информационного канала (Password Sniffing) с
целью отбора конфиденциальной информации,
например имени и пароля пользователя
Опытный взломщик может просто выяснить
пароли, прослушивая канал и отфильтровывая
пакеты следующих протоколов: POP (офисный
почтовый протокол; используется для
получения почты с сервера), TFTP и FTP
(протоколы передачи файлов), Telnet
(удаленный терминал).
16
28.12.20
Локальная сеть
7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x
Ethernet
Ethernet
C C
7 8 9 101112 7 8 9 101112
A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x A 123456 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B A B
Маршрутизатор1 Маршрутизатор2
Прослушивание
канала
Клиент
Сервер доступа
Sniffer Server
monitoring/analysis
Взломщик
19
28.12.20
Пример: IcqSnif
21
28.12.20
Обнаружить прослушивание можно организовать следующими способами
22
28.12.20
Обнаружить прослушивание можно организовать
следующими способами (2)
23
28.12.20
Обнаружить прослушивание можно организовать
следующими способами (3)
25
28.12.20
Защиту от прослушивания можно
организовать следующими
способами:
28
28.12.20
2.1. Перебор IP-адресов
29
28.12.20
C:\Мои документы>nslookup www.ukrtel.net
Nslookup
Server: hosrv000.ukrtelecom.net
Address: 10.10.1.2
Name: helios.ukrtelecom.ua
Address: 195.5.6.20
Aliases: www.ukrtel.net
C:\>nslookup www.ukrtelecom.ua
Server: ackp2.sv.ukrtelecom.net
Address: 10.29.9.9
Non-authoritative answer:
Name: dev.ukrtelecom.ua
Address: 195.5.46.19
Aliases: www.ukrtelecom.ua
30
28.12.20
www.leader.ru
31
28.12.20
Защита
«Маскарадннг» IP-адресов. Компьютеры локальной сети
имеют адреса обычно в одном из следующих диапазонов:
10.xxx.xxx.xxx, 192.168.xxx.xxx. Эти адреса выделены
специально для построения локальных сетей, а поэтому в
Интернете не используются и не регистрируются. Локальная
сеть подключается к Интернету посредством шлюза с
динамическим преобразованием IP-адресов (Network Address
Translation, NAT).
При обращении внутреннего компьютера из локальной сети
наружу шлюз перехватывает запрос и выступает от имени
клиента, задействуя свой внешний (зарегистрированный в
Интернет) IP-адрес. Полученный ответ шлюз передает
внутреннему компьютеру (после подстановки его внутреннего
адреса), выступая для него в качестве сервера.
Таким образом, извне «виден» только один компьютер
локальной сети, на котором, как правило, стоит сетевая ОС со
средствами защиты от внешних атак (МЭ ,IDS&IPS).
33
28.12.20
2.2. Сканирование серверов сети на
предмет выявления на них работающих
незащищенных служб (Port scanning)
Нападающий может просматривать порты с
помощью программ, свободно доступных в
Интернете, благодаря чему от взломщика не
требуется каких-либо специальных знании или
квалификации. На плохо сконфигурированной
машине могут работать активные службы, о
кoтoрых владелец системы может ничего не знать
или службы могут иметь уязвимости. Типичный
примеры – DCOM. Эти службы мот быть
использованы нападающим для помещения в
систему своих файлов, что позволяет изменить ее
конфигурацию, а затем взломать.
34
28.12.20
Пример: "RPC GUI v2 - r3L4x.exe"
35
28.12.20
Методы защиты
1. Правильное конфигурирование
хостов.
2. Фильтрация трафика посредством
брандмауэра между сегментами КСПИ
(в т.ч. и с Интернетом) на предмет
запрета прохождения извне пакетов
незащищенных служб, если таковые
необходимы в локальной сети.
3. Установка «заплаток».
36
28.12.20
2.3. Ложное соединение путем подмены одного из
объектов соединения (IP spoofing)
39
28.12.20
Итак, предположим, что система A доверяет системе B, так,
что пользователь системы B может сделать "rlogin A"_ и
оказаться на A, не вводя пароля. Предположим, что крэкер
расположен на системе C. Система A выступает в роли сервера,
системы B и C - в роли клиентов.
Первая задача злоумышленника - ввести систему B в
состояние, когда она не сможет отвечать на сетевые запросы.
Это может быть сделано несколькими способами, в простейшем
случае нужно просто дождаться перезагрузки системы B.
Нескольких минут, в течении которых она будет
неработоспособна, должно хватить. Другой вариант --
использование методов описанных в следующих разделах
(комбинаций методов).
40
28.12.20
IP-Spoofing
41
28.12.20
После этого крэкер может попробовать притвориться системой B, для того, что бы
получить доступ к системе A (хотя бы кратковременный).
43
28.12.20
44
28.12.20
Детектирование
1.Простейшим сигналом IP-spoofing будут служить
пакеты с внутренними адресами, пришедшие из
внешнего мира.
Программное обеспечение маршрутизатора /МЭ может
предупредить об этом администратора. Однако не
стоит обольщаться - атака может быть и изнутри
Вашей сети.
2.В случае использования более интеллектуальных
средств контроля за сетью администратор может
отслеживать (в автоматическом режиме) пакеты от
систем, которые в находятся в недоступном состоянии.
Впрочем, что мешает крэкеру имитировать работу
системы B ответом на ICMP-пакеты?
47
28.12.20
Какие способы существуют для защиты от IP-spoofing?
1. Усложнить или сделать невозможным угадывание sequence
number - SN (ключевой элемент атаки). Например, можно
увеличить скорость изменения SN на сервере или выбирать
коэффициент увеличения SN случайно (желательно, используя для
генерации случайных чисел криптографически стойкий алгоритм).
49
28.12.20
2.4. Ложное соединение путем продолжения
последовательности пакетов
Это нападение основано на том, что атакующий,
прослушивая канал, ожидает установления связи
какого-либо абонента с атакуемым хостом и в нужный
момент пытается продлить оригинальную
последовательность пакетов своими. Как и в
предыдущем случае, атакующему необходимо
«заглушить» хост абонента, чтобы он не смог послать
сигнал разрыва связи reset. В случае успешной атаки
нападающий сможет только отправлять информацию
на атакуемый хост (например, выполнить на нем
некоторые команды), но не сможет получить ответную
информацию, так как атакуемый хост ответит по
адресу первичного соединения.
50
28.12.20
Оссобенности и защита
Предложить какой-либо способ защиты от этого
нападения довольно сложно, так как оно использует
недостатки существующего IP-протокола.
Однако проведение такой атаки-процесс весьма
трудоемкий, требующий очень высокой квалификации
нападающего.
Кроме того, одно из необходимых условий для атаки -
наличие устойчивой связи между атакующим и
жертвой, так как все пакеты от атакующего к
атакуемому должны проходить примерно за
одинаковое время.
Применение шифрования (например SSL)
51
28.12.20
2.5. Ложное соединение путем «отравления» кэша DNS-
сервера (внедрение ложного DNS-сервера)
Идея состоит в том, чтобы заставить
сервер кэшировать некоторую
поддельную информацию так, чтобы
будущие запросы возвращали
неправильную информацию,
выдаваемую DNS-сервером вместо
правильной.
52
28.12.20
Нападающий предпринимает следующие действия:
54
28.12.20
2.6. Подбор паролей*
Cамый простой метод атаки на удаленную
систему, о котором прекрасно осведомлены
все потенциальные жертвы. И тем не менее
срабатывает он весьма эффективно. В отличие
от всех предыдущих методов, этот использует
не слабости систем защиты, а слабости
людей. Естественно, нападающий не будет
перебирать все имеющиеся варианты, их
слишком много, а будет использовать какой-
либо словарь имен и популярных словечек
55
28.12.20
Защита
Жесткая политика в отношении паролей
(особенно для служб, доступных извне).
Ограничение на число попыток ввода
пароля.
56
28.12.20
2.7. «Забытые» пароли
Сравнительно редкий, но возможный вид атаки.
Основывается на том, что система жертвы построена
на оборудовании (например, маршрутизаторы), в
котором имеются пароли, либо внесенные еще при
изготовлении, либо оставленные специалистами,
устанавливавшими это оборудование. То же может
относиться к операционным системам и т. п. Зная
типичные пароли или пароли по умолчанию,
нападающий при некоторых условиях может
получить доступ к системе или повлиять на ее
работоспособность.
57
28.12.20
Пароли используемые производителями по умолчанию
http://www.ispeed.org/password.htm
Manufacturer Product RevisionProtocol User ID Password Access Level
http://www.intechnology.org/top-10-most-common-passwords/
20 самых популярных паролей в российских
интернет-сервисах
http://hitgid.ru/raznoe/3438-top-20-samykh-rasprostranjonnykh.html
1. password1; 11.123456;
2. abc123; 12.soccer;
3. myspace1; 13.monkey1;
4. password; 14.liverpool1;
5. blink182; 15.princess1;
6. qwerty1; 16.jordan23;
7. fuckyou; 17.slipknot1;
8. 123abc; 18.superman1;
9. baseball1; 19.iloveyou1;
10. football1; 20.monkey.
61
28.12.20
Защита
Аккуратное администрирование
Полная ревизия всего нового
«интеллектуального» оборудования. Это
как раз тот случай, когда инструкцию
все же нужно почитать.
62
28.12.20
2.8. «Люки», Buffer Overflow
Атаки этого типа основаны на использовании
недокументированных возможностей программного
обеспечения по обходу защиты, оставленных в
программе ее создателем, либо на ошибках в
программах, которые помогают нападающему
преодолеть защиту.
65
28.12.20
Защита
Своевременное обновление
операционной системы.
Чтение информации (рассылок,
новостных сайтов по безопасности) по
обнаруживаемым уязвимостям.
Использование сканеров безопасности
66
28.12.20
Атака Source Quench
(подавление источника)
Удаленный пользователь может послать
специально сформированный ICMP-пакет
и запретить все текущие TCP-соединения.
67
28.12.20
Защита
Установка патчей
- Microsoft (апрель 2005 –
http://www.cnews.ru/newtop/index.shtml?2005/04/14/177259 )
- Cisco (
http://www.cnews.ru/newsline/index.shtml?2005/04/13/177173)
- Linux системы…
68
28.12.20
3.Выведение удаленной системы
из строя – Denial of Service
- Ping-атака
- Шторм :
- СПАМ,
- SYN-flooding,
- ICMP-flooding
- Навязывание ложного маршрута
- UDP-фрагментация (Teardrop)
- Прочие DOS-атаки
69
28.12.20
Ping-атака
RFC 791 определяет, что дата-граммы в
Интернете не должны превышать 64 КБ.
Несмотря на это, некоторые программы могут
посылать пакеты большей величины, но не
все системы могут безболезненно для себя
получать их. Простая команда «ping -s 65510
targethost» выводит из рабочего состояния
Windows NT 3.51 и некоторые другие
системы.
Способ защиты от подобных атак
-своевременное обновление операционной
системы.
70
28.12.20
Шторм
Нападающий создаст большое количество
ложных пли пустых запросов с целью
замедлить работу компьютера или сделать
его временно недоступным. Из атак этого
типа можно выделить следующие:
1. Спам.
2. SYN flooding (направленный шторм ложных
соединений).
3. ICMP flooding (шторм ложных ICMP-
запросов).
71
28.12.20
СПАМ
72
28.12.20
Способы защиты
1. Внесение спамера в «черный-список».
2. Введение квот на дисковое
пространство.
3. UltraDNS (Система обрабатывает запросы
лишь аутентифицированных пользователей,
что позволят в случае атаки отсечь ненужный
поток данных. )
73
28.12.20
SYN-flooding
Разновидность атаки IP-spoofing.
Атакующий выбирает адрес такого хоста С,
который не используется ни одним
компьютером сети, и посылает туда большое
количество SYN-naкетов (запросы нового
соединения). Приемная очередь сервера быстро
переполняется этими пакетами (а
автоматически они из очереди не удаляются
вследствие того, что соединение не завершено).
В случае удачной атаки атакуемый хост
перестает отвечать на любые запросы
74
28.12.20
Способ защиты
Фильтрация ICMP-пакетов. Брандмауэр
должен следить за правильной установкой
битов АСК и SYN при установлении
соединений TCP. Внутренний клиент сети не
должен получать пакеты, содержащие бит SYN,
но не имеющие бита АСК.
75
28.12.20
ICMP-flooding
В нападении ICMP flooding атакующий
посылает поддельный ICMP-пакет по
широковещательному адресу сети. Исходный
адрес пакета подделан так, чтобы казалось, что
он прибыл от хоста, на который предполагается
осуществить нападение. Все хосты сети
получают запрос ping/echo и отвечают
атакуемому хост) одновременно. В результате
атакуемый хост «затопляется»ICMP-запросами.
На некоторое время запросы потребляют все
ресурсы системы.
76
28.12.20
Защита
Результативность атаки сильно зависит от
количества хостов в сети, поэтому в качестве
самого доступного метода борьбы с этим
нападением можно опять-таки использовать
«IP-маскарадинг».
В случае с маскарадингом в сети обычно
имеется только два хоста, соединенных
локальной сетью, - сервер и маршрутизатор.
"Затопить” один из них IСМР-запросами с
двух хостов нереально.
77
28.12.20
Навязывание ложного
маршрута
В этой атаке, как и в предыдущей,
используются свойства протокола ICMP. В
протоколе ICMP определено сообщение ICMP
Redirect, которое позволяет «на лету» менять
маршрут соединения. При внешней атаке
нападающий может послать на машину-жертву
ложное сообщение ICMP Redirect (например,
для смены маршрута по умолчанию). В случае
успешной атаки связь машины-жертвы с
внешним соединением будет разорвана, хотя
она по-прежнему сможет работать в локальной
сети. Хорошо ловятся на этот «фокус» Windows
9x и Windows NT. 78
28.12.20
79
28.12.20
Способы защиты
80
28.12.20
UDP-фрагментация (Teardrop)
Это нападение использует идею
фрагментации UDP-датаграмм. Фрагментация
датаграмм определена в протоколе IP и
используется в основном тогда, когда
датаграммы проходят через маршрутизаторы от
одной сети к другой, где скорость передачи
более низкая. Большие пакеты могут быть
раздроблены в меньшие для более эффективной
работы сети. В нападении Teardrop атакующий
подделывает две UDP-датаграммы, которые
кажутся фрагментами большого пакета, но со
смещениями наложенных данных.
81
28.12.20
Teardrop
83
28.12.20
Прочие DOS-атаки
Существует еще несколько атак подобного типа,
которые используют в . основном
разнообразные ошибки в программном
обеспечении. Как пример можно привести
Telnet – сессию, которая посылает в «глубокий
нокаут-машины под управлением оригинальной
Windows NT (без сервиспаков):
84
28.12.20
Distributed Dos атаки
Распределенная в пространстве атака со
множества хостов
(Обычно устраивается вирусами, IRC-
ботами…)
85
28.12.20
Бот-неты (botnets)
Бот-неты - сети, состоящие из захваченных сетевыми
«пиратами» персональных компьютеров. Они управляют
миллионами пораженных ПК и сетевых соединений,
пересылая огромные объемы спама и вирусов, используются
для DDOS-атак.
87
28.12.20
Хакер Mafiaboy получил 8 месяцев тюрьмы за атаку на
крупнейшие сайты
Канадский хакер, скрывающийся под псевдонимом Mafiaboy,
приговорен к восьми месяцам лишения свободы.
Как передали, суд признал 17-летнего хакера виновным в
прошлогодней (2005) атаке на сайты eBay.com, Buy.com и Yahoo.сom. В
результате действий Mafiaboy была полностью парализована их работа, что
повлекло для компаний убытки в размере 1,7 миллиарда долларов. Всего
хакеру было предъявлено 55 обвинений.
Весь срок Mafiaboy проведет в исправительном учреждении для
несовершеннолетних. В ходе заключения ему будет предоставлена
возможность посещать родных. Кроме того, хакеру придется выплатить 160
долларов штрафа. После выхода на свободу он еще год будет оставаться под
наблюдением полиции.
Обвинитель Луи Мивилль-Дешен (Louis Miville-Deschenes) остался
доволен приговором. "Это будет достаточным предупреждением для хакеров,
когда они задумают совершить что-нибудь подобное", - заявил Мивилль-
Дешен.
Адвокат Mafiaboy Ян Романовски (Yan Romanowski) заявил, что он "удивлен
и разочарован" приговором и собирается подавать апелляцию…
88
28.12.20
Что есть spyware?
По интернет-меркам возраст угрозы довольно
солидный: первый случай заражения
компьютера "шпионом" зафиксирован еще в
1995 году, а в 1999-м слово "spyware" было
впервые употреблено в официальном документе
- пресс-релизе по поводу выхода брандмауэра
Zone Alarm Personal Firewall. В ноябре того же
года первая программа, содержащая шпионский
модуль, получила массовое распространение в
Сети. Это была бесплатная юмористическая
игра Elf Bowling, отсылавшая своему
разработчику Nsoft пользовательские данные.
89
28.12.20
История spyware…
В 2000 году Стив Гибсон, руководитель компании Gibson
Research, обнаружил на своем компьютере рекламное ПО,
которое перехватывало его личную информацию. Изучив
особенности поведения непрошеного гостя, Гибсон понял, что
софт работает на фирмы Aureate и Conducent. Результатом
тщательного изучения кода стало появление в конце 2000 года
первого антишпионского продукта - OptOut (последняя
разработка компании - Spyware Free-Certification). А в октябре
2004-го были опубликованы результаты исследования AOL,
заставившие интернет-общественность обратить внимание на
серьезность проблемы. 89% респондентов, на чьих компьютерах
поселился spyware-софт, сообщили, что не знали о его
присутствии, а 93% не санкционировали его инсталляцию.
90
28.12.20
Некоторые компании и вовсе применяют spyware
для защиты своих интернет-проектов. В частности,
Blizzard использует в работе игровых серверов World
of Warcraft (WoW) специальную программу - так
называемого привратника, который каждые 15 секунд
загружается на компьютеры четырех с половиной
миллионов игроков. Привратник получает список
всех dll-файлов, отображенных в адресном
пространстве exe-файла игры, использует функцию
GetWindowTextA для получения заголовков всех окон
в системе, проверяет, нет ли их в черном списке, а
также подключается к каждому запущенному
процессу и с помощью функции ReadProcessMemory
считывает ряд адресов памяти.
91
28.12.20
Загрузка вредоносного ПО
(враждебного содержания)
Под враждебным содержанием обычно
понимаются программы типа "троянский
конь", мобильный код (Java и ActiveX), а
также вирусы. Однако вирусы и защита от
них - это тема отдельной лекции, которая
сейчас не будет рассматриваться. Основное
внимание будет уделено первым двум типам
враждебного содержания.
92
28.12.20
Возможные угрозы:
модификация информации при передаче ее по сети
или в процессе обработки и хранения на
компьютере пользователя;
нарушение конфиденциальности информации;
уничтожение информации;
нарушение работоспособности компьютера ("denial
of service");
несанкционированное использование ресурсов
компьютера;
запись произвольных данных на локальный
компьютер;
Корректировка некоторых настроек компьютера
раздражение пользователя и т.п.
93
28.12.20
Может быть реализован в
виде:
мобильный код - вируса, который вторгается в
вашу систему и уничтожает данные на
локальных дисках, постоянно модифицируя
свой код, затрудняя тем самым свое
обнаружение и удаление;
94
28.12.20
Маскировка
Маскироваться такие программы
могут под анимационные баннеры,
интерактивные игры, звуковые
файлы, картинки и т.п.
95
28.12.20
DOS
Наиболее часто (из-за своей простоты)
мобильный код Java, ActiveX или JavaScript
реализует атаки типа "отказ в обслуживании".
Может осуществляться путем:
- создание высокоприоритетных процессов,
выполняющих несанкционированные
действия;
- генерация большого числа окон;
- "захват" большого объема памяти и важных
системных классов;
- загрузки процессора бесконечным циклом;
- и т.п.
96
28.12.20
Пример атаки "отказ в обслуживании" при помощи
мобильного кода
<HTML>
<HEAD>
<TITLE>Демонстрация атаки Denial of Service</TITLE>
</HEAD>
<BODY>
<CENTER>
<H1>Демонстрация атаки Denial of Service</H1>
<HR>Как дела?<BR>
</HR>
</CENTER>
<SCRIPT>
while(1){alert("Не все то золото, что блестит!")}
</SCRIPT>
</HTML>
97
28.12.20
Защита
Самый простой - правильная конфигурация узлов
информационной системы (например «зон
Интернета», конфигурирование МЭ из WinXPSP2).
Запрет использования Java, ActiveX и JavaScript в
броузерах на рабочих станциях защитит от многих
проблем, а постоянное обновление программного
обеспечения (особенно Microsoft) при помощи
patch'ей позволит быть уверенным, что
злоумышленники не смогут воспользоваться
уязвимостями в броузерах, почтовых программах и
т.д.
Запрет несанкционированного изменения
системного реестра (в т.ч. и удаленного) не позволит
многим "троянцам" запускаться на компьютере.
98
28.12.20
Защита(продолжение)
Антивирусное ПО, обнаруживающие и
удаляющие соответствующие вредоносные
компоненты;
В сети Internet также существуют свободно
распространяемые средства,
обнаруживающие и удаляющие многие из
известных "троянов".
Специализированное защитное
антишпионское ПО
99
28.12.20
Другие средства защиты
К, обнаруживающим и блокирующим
враждебный код, можно отнести:
101
28.12.20
Adware
2. Второе значение термина "adware" близко первому.
Существуют агрессивные рекламные модули, которые
давно перешли зыбкую границу между честным и
нечестным программным обеспечением и в этом они
чуть ли не хуже вирусов или троянов. Они внедряются
по вирусному принципу (используя дыры в
пользовательском программном обеспечении или
обман наивного пользователя, скачивающего и
запускающего очередной «Internet booster» или
пресловутый "Крякер Интернета"). Они и действуют
потом по вирусному принципу, меняя начальную
страницу в браузере на свою и показывая постоянно
рекламу во всплывающих pop-up окнах.
102
28.12.20
пять основных последствий
вредоносных атак
снижение производительности
компьютеров,
снижение продуктивности работы,
снижение пропускной способности
сетевых подключений,
загрузка вредоносного ПО
вмешательство в частную жизнь
представляют самую большую
опасность.
103
Исследование 21 Октября 2005 Trend Micro Inc
28.12.20
4.Использование ресурсов удаленной
системы в собственных целях
104
28.12.20
5.СПАМ
СПАМ – это анонимная массовая непрошенная рассылка.
105
28.12.20
Реклама и реклама незаконной продукции
Эта разновидность спама встречается наиболее часто — некоторые
компании, занимающиеся легальным бизнесом, рекламируют свои товары
или услуги с помощью спама. Они могут осуществлять его рассылку
самостоятельно, но чаще заказывают её тем компаниям (или лицам), которые
на этом специализируются. Привлекательность такой рекламы заключается в
её сравнительно низкой стоимости и (предположительно) большом охвате
потенциальных клиентов.
До недавнего времени не было никаких законов, которые запрещали бы или
ограничивали такую деятельность. Сейчас делаются попытки такие законы
разработать, но это довольно трудно сделать. Сложно определить в законе,
какая рассылка является законной, а какая нет. Хуже всего, что компания
(или лицо), рассылающая спам, может находиться в другой стране. Для того,
чтобы такие законы были эффективными, необходимо выработать
согласованное законодательство, которое действовало бы в большинстве
стран, что представляется труднодостижимым в обозримом будущем. Тем не
менее, в США, где такой закон уже принят, делаются попытки привлечь
спамеров к суду.
С помощью спама часто рекламируют продукцию, о которой нельзя
сообщить другими способами, например порнографию, лекарственные
средства с ограничениями по обороту, ворованную информацию (базы
данных), контрафактное программное обеспечение. 106
28.12.20
Новые разновидности СПАМа
107
28.12.20
Другие виды спама:
Рассылка писем религиозного
содержания.
Массовая рассылка для вывода почтовой
системы из строя (denial of service).
Массовая рассылка от имени другого
лица, для того чтобы вызвать к нему
негативное отношение.
Массовая рассылка писем, содержащих
компьютерные вирусы (для их
начального распространения).
108
28.12.20
Защита от СПАМа.Общая.
Правильное конфигурирование доставочного почтового агента
(в UNIX это sendmail, в Windows NT - Exchange).
Доставочный агент должен руководствоваться примерно
следующими правилами:
1. Принимать и пересылать почту с машин локальной сети.
2. Для приходящего письма— проверять, не входит ли оно в
«черный список». В нем может быть информация о
нежелательных корреспондентах и о замеченных спамерах,
постоянно дополняемые списки которых можно получить в
Интернет.
3. Для приходящего письма - проверять соответствие между
адресом отправителя и его IP-адресом (проверка на отказ от
авторства)*.
4. Для внешних машин - пересылать почту только в том случае,
если описание этой машины есть в соответствующем списке
109
28.12.20
… Защити себя сам…
1. автоматически перенаправлять свою почту на бесплатный онлайн-сервис spamtest.ru
(как его настроить, указано на сайте). Обратно от него, на указанный пользователем
адрес, придут рассортированные письма уже с пометками -- где спам, а где нет.
Причем сам сервис ничего не удаляет. Он только сортирует письма, используя
широкий набор критериев определения спама: лингвистические, статистические,
принадлежность отправителей к "черным" спискам адресов и так далее. Настройкой
фильтров своей почтовой программы пользователю остается только разложить
полученные сообщения по разным папкам "Входящие", "Спам" или сразу в
"Удаленные".
111
28.12.20
BIOS (прогноз)
1. Руткит может пережить перезагрузку
и выключение компьютера
2. Руткит не будет оставлять никаких
записей на диске
3. Руткит сможет пережить
переустановку ОС.
4. Руткит будет сложно обнаружить
5. Руткит будет сложно убрать
112
28.12.20
- Как используя этот язык высокого уровня засунуть
многообразные основные функции любого современного
руткита в БИОС,
- как добиться автономии (самостоятельного
функционирования)
Если использовать операционную систему, значит из всех
преимуществ сразу исчезают пункты 2,3,4 (его становиться
вполне просто обнаружить из-за наличия посторонних
файлов или записей, которые к тому же еще и зависят от
принципа функционирования самой ОС). Его возможно будет
сложно убрать, но я думаю в большинстве случаев простая
перепрошивка или замены чипсета BIOS на аналогичный
дело поправит.
практически все современные материнские платы содержат
перемычку, которая позволяет физически запретить любую
запись во флеш память БИОСа, что ведет к полному краху
каких либо надежд, по крайней мере, в половине случаев.
Кстати, этот метод появился не вчера, стоит вспомнить,
например, вирус WINCIH, который в себе содержал функции
по перезаписи флеш памяти БИОСа, чем и приводил
компьютерную систему к полному краху. Однако я не думаю,
чтоб автор вируса тогда задумывался над операциями
посложнее банальной случайной перезаписи, а тем более над 113
реализацией руткита. 28.12.20
How Many Incidents?
From theOutside?
From the Inside?
114
28.12.20
Внутренние атаки
К этому типу относятся все
компьютерные преступления, совершенные
или посвященным лицом, или человеком со
стороны, но с помощью лица, которое
обладало конфиденциальной информацией о
жертве. Посвященным лицом может быть
сотрудник корпорации или любой другой,
кто имеет доступ к секретной информации о
внутренней системе корпорации.
115
28.12.20
Потери 144 опрошенных 2008 г.
116
28.12.20
Потери от атак инсайдеров
117
28.12.20
Активность инсайдеров набирает обороты. Каждый следующий
месяц приносит еще больше утечек, чем предыдущий. Растет и
ущерб от инцидентов внутренней безопасности.
118
28.12.20
В последние годы хорошо просматривалась тенденция к
постепенному увеличению убытков вследствие утечек. Наблюдение
касается и среднего ущерба на один инцидент, и максимальных
размеров отдельных утечек. Поэтому утечки с ущербом в несколько
десятков миллионов долларов уже не шокируют. Тем не менее,
астрономические величины потерь в сотни миллионов и даже
миллиарды не могут не задевать. Ведь от действий инсайдеров не
застрахована ни одна организация. И если информация не
защищена от утечек с помощью современных комплексных систем,
убытки могут привести к банкротству компании.
119
28.12.20
Дата занесения Число
№ Инцидент Ущерб
в базу пострадавших
Программисты-инсайдеры из NCsoft
1 продали конкурентам программный код 25 апреля Нет данных 1 млрд долл.
онлайновой игры Lineage III
122
28.12.20
В основе схемы лежит общее число пострадавших людей и характер утечки.
Далее оценивается предварительный ущерб. Это можно сделать, базируясь на
актуальном для США законе, который требует уведомлять граждан, чьи
персональные оказались скомпрометированы*. Уведомления об инциденте
рассылает организация, которая допустила утечку. В некоторых случаях, одни
почтовые расходы тяжелым бременем ложатся на бюджет компаний. Средние
расходы на извещение каждого потерпевшего можно взять из различных
исследований. Далее определяется число граждан, которые станут жертвой
мошенников из-за конкретной утечки. Количество жертв различается для
каждой страны и сферы деятельности организации. Обычно, это значение
составляет от нескольких десятых процентов до нескольких процентов от
общего числа людей, чья информация скомпрометирована. Если какие-то из
показателей не могут быть определены однозначно, берутся усредненные
величины на основе численной или эмпирической оценки. Когда посчитан и
этот ущерб, учитываются дополнительные обстоятельства каждого случая.
Например, для коммерческой компании убытки вследствие потери имиджа
будут значительно выше, чем для государственного университета. Не
последнюю роль играет и мнение местных экспертов относительно перспектив
дела.
123
28.12.20
Рассмотрим для ясности пример с кражей персональных данных из
Bank of America. На пропавшем ноутбуке находились персональные
данные примерно 40 тыс сотрудников сети банков. Обратимся к
исследованию "2006 Annual Study - Cost of a Data Breach". По
данным Ponemon Institute, прямые издержки составляют в среднем
54 долл. на каждого пострадавшего. Это траты на почтовые и
телефонные уведомления, внутренние расследования, найм
адвокатов и пр. В нашем случае общие прямые издержки получатся
2,16 млн. долл. Средние косвенные издержки составляют по 30
долл. на одну украденную запись. Тогда общие косвенные убытки
будут равны 1,2 млн.
Bank of America потерял ноутбук с
13 млн
4 персональными данными 20 апреля 40 тыс человек
долл.
работников
124
28.12.20
В данной ситуации можно предположить, что Bank of America
избежит издержек упущенной выгоды. Ведь утеряны данные
не клиентов, а собственных служащих. Разумеется, часть
работников могла уволиться из филиалов. Чтобы не
допустить этого, руководство Bank of America уже
пообещало, что все люди, чьи данные находились на
украденном лэптопе, получат бесплатный мониторинг счетов
в течение 2 лет. Цены на подобную услугу достаточно
стабильны в различных агентствах и составляют порядка 120
долларов в год на одного человека. Это еще 9,6 млн долл.
Прибавим сюда уже посчитанные 3,36 (2.16+1.2) млн
косвенных и прямых издержек. Получим итоговое значение
12,96 млн долл.
Bank of America потерял ноутбук с
4 20 апреля 07 40 тыс человек 13 млн долл.
персональными данными работников
126
28.12.20
Среди инцидентов последнего времени можно выделить несколько
закономерностей. К традиционно большому числу мобильных
утечек добавилось множество веб-утечек. Нередко сайты имеют
уязвимости, которые позволяют получить доступ к данным. Но
гораздо чаще информация просто находится в свободном
пользовании. По ошибке веб-мастера выкладывают всевозможные
сведения. В некоторых случаях приватные данные размещают
временно, но потом забывают убрать. Впрочем, понятие "временно"
для интернета не совсем актуально. Современные поисковые
машины быстро индексируют содержимое доступных страниц и
сохраняют данные в кэше. После этого информация будет доступна
пользователям глобальной сети, даже если оригинальную страницу
уже убрали с сервера.
127
апрель 2007
28.12.20
Кроме того, в апреле зафиксировано три инцидента, когда
утечка происходила во время транспортировки носителей. Многие
компании совершенно неверно относятся к пересылке носителей с
данными*. Информация при этом оказывается особенно уязвимой,
поэтому следует в обязательном порядке шифровать
чувствительные файлы.
128
28.12.20
Как, с одной стороны, обеспечить
сотрудников доступом к необходимой для
работы информации, но с другой, защитить
критически важные информационные
ресурсы компании?
129
28.12.20
Реализация политики безопасности
Обеспечение служащих доступом к требуемым
программам и данным, и только к необходимым
непосредственно для их работы. (пр. 273)
Надлежащее распределение прав учетных
записей и использование внутренних сетевых
защит.(заявка по уст. форме)
Обучение всего персонала навыкам
компьютерной безопасности физические меры
защиты.
Обеспечение критериев безопасности по НТД
ТЗИ
Современные комплексные системы ЗИ
130
28.12.20
Беспроводные сети
Атаки отказа в обслуживании
(DDos атаки),
Атаки "человек посередине",
Атаки подмены ARP записей.
Атаки на Bluetooth
131
28.12.20
Атаки "Человек посредине"
подслушивание
манипуляция
132
28.12.20
Атака отказа в обслуживании
(DOS и Distributed Dos атаки)
Цель любой атаки отказа в обслуживании
(DOS- и DDOS) состоит в создании помехи
при доступе пользователя к сетевым
ресурсам. Стандартные методы
инициирования Dos атаки заключаются в
посылке огромного количества фиктивных
пакетов, заполняющих легальный трафик и
приводящих к зависанию систем.DDOS-
респределенная в пространстве DOS-атака.
133
28.12.20
Атака подмены ARP-записей
1)Протокол разрешения адресов ARP
передает по радио трафик на все хосты,
в то время как конкретный пакет
предназначен только для одного хоста
из этой сети Этот хост принимает
сообщение и подтверждает его, а
компьютер породивший сигнал
сохраняет его МАС адрес в кеше.
134
28.12.20
Атака подмены ARP-записей
2) Если компьютер, управляемый новой версией
Windows или даже Linux, обнаруживает пакет,
посылаемый конкретной машиной в сети, то
он принимает, что МАС адрес этого
компьютера правильно сопоставлен с IP
адресом компьютера, пославшего этот пакет.
Все последующие передачи на этот
компьютер будут происходить с
использованием действенного, но плохо
изученного IP адреса, сохраненного в кеше
компьютера для будущих обращений
135
28.12.20
Атака подмены ARP-записей
А если злоумышленник создаст пакеты с
подделанным IP адресом, в которых будет
утверждаться, что IP принадлежит МАС
адресу его собственного компьютера
Тогда, все данные передаваемые с хостов,
использующих сокращенный метод изучения
комбинаций МАС/IP адресов, будут
приходить на компьютер злоумышленника, а
не на предназначенных хост
136
28.12.20
Социальная инженерия
137
28.12.20
Реальные примеры из почты
«социальной инженерии»
1. Если хочешь посмотреть голую Бритни Спирс,
открой приложение.
2. Это новая прикольная игра (не вирус!).
3. С Вами говорит администратор Вашей сети.
Мы модернизируем сеть и для Вашего удобства
написали программу, которая сама внесет все
необходимые изменения в Ваш компьютер.
Просто запустите ее.
4.Техническая служба Microsoft посылает Вам это
обновление для Windows. Запустите его.
5.Также может прийти и письмо с текстом типа
"мы меняем систему, поэтому сообщите свой
пароль". 138
28.12.20
139
28.12.20
Рекомендации
В электронной почте достаточно легко подделать
обратный адрес и письмо, подобное пункту 2 может
прийти с адреса вашего коллеги, которому вы доверяете.
А письмо, подобное п.3 или 4 может прийти якобы
с адреса настоящего администратора или настоящего
Микрософта. Кстати, проверить, надо ли на самом деле
запускать некий Вложенный файл (attach) можно легко:
позвонив своему админу по телефону. И чем больше в
письме слов СРОЧНО, НЕМЕДЛЕННО, КАК МОЖНО
БЫСТРЕЕ, тем более надо задуматься, может автор
письма торопит вас, чтобы у вас не было времени
задуматься или посоветоваться с более опытными
пользователями. 140
28.12.20
Рекомендации
"мы меняем систему, поэтому сообщите свой
пароль".
Когда позвонить админу нет возможности
или дорого, можно пообщаться с ним по е-
мейлу, но при этом лучше использовать систему
электронной подписи и шифрования (PGP или
Best Crypt). Подделать электронную подпись
вирусы или злоумышленники тоже не могут.
Вирусов, которые могут прикидываться
человеком и вести осмысленный разговор по
телефону еще нет.
141
28.12.20
Aтаки на мобильные
телефоны, смартофоны, PDA
вывести на дисплее телефона любое
текстовое сообщение
скачать все данные, хранящиеся в
телефоне (или изменить данные прямо в
телефоне)
заставить телефон сделать звонок или
отправить sms по любому нужному номеру
("BlueBugging“)
«Подвесить» телефон (sms на Siemens 4x)
142
28.12.20
143
28.12.20
Атаки на Bluetooth
Bluesnarfing подразумевает проведение атаки на
bluetooth-устройство (как правило, мобильный
телефон) с целью извлечения из него информации —
например, скачивания адресной книги.
Bluetracking — это отслеживание перемещений
устройства, а вместе с ним — и его владельца, по
уникальному адресу, аналогичному MAC-адресу
компьютерных сетевых карт.
Bluebugging заключается в отправке команд на
bluetooth-устройство. Например, можно заставить
сотовый bluetooth-телефон скрытно позвонить самому
взломщику, превратив его в устройство,
подслушивающее своего ни о чем не подозревающего
владельца. 144
28.12.20
Bluetooth
147
Источник: CNews.ru 28.12.20
Defcon - Скляров, Дмитрий Витальевич
Российский программист, разработчик алгоритма программы
Advanced eBook Processor, выпущенной московской фирмой
«Элкомсофт» и предназначенной для обхода защиты
электронных книг в формате Adobe PDF.
149
28.12.20
Web 2.0 технологии *(статья)
Поисковики – ХРАНИТЬ ВЕЧНО
Социальные сети
150
28.12.20
Утечка приватной информации сотрудников ФБР, ЦРУ и АНБ
Поисковики
В результате непонятной ошибки база данных, содержащая персональные сведения о 3,8 тыс. граждан США и
находящаяся на попечении компании Guidance Software, оказалась открыта для публичного доступа из Интернета.
Фирма Guidance Software, несущая за это ответственность, специализируется на защите информации
правительственных агентств. Таким образом, среди скомпрометированных записей львиная доля приходится на
сотрудников ФБР, ЦРУ и АНБ.
Клиентская база данных американской компании Guidance Software оказалась не то что незашифрованной, но еще и
открытой для публичного доступа из Интернета. По сути, любой пользователь Глобальной Сети мог получить
персональные сведения любого из 3,8 тыс. человек, занесенных в базу Guidance Software. В число этих записей
вошли имена, адреса, номера кредитных карт и сроки окончания их действия. Между тем профиль деятельности
фирмы состоит в обеспечении ИТ-безопасности государственных силовых ведомств, так что в открытом доступе
оказались сведения именно сотрудников ФБР, ЦРУ и АНБ, сообщает eWeek.com.
Письмо, информирующее об утечке секретных данных, было разослано 7 декабря 2005 года. В этом сообщении
руководство Guidance Software сослалось на брешь в своей базе данных. Однако эксперты не понимают, как можно
говорить о бреши, когда вся база оказалась незашифрованной, да еще и открытой всему миру. Пользователям
Интернета даже не нужно было иметь никаких технических знаний, кроме умения пользоваться собственным
браузером.
Таким образом, данный инцидент признан угрозой национальной безопасности. Если от финансового
мошенничества еще можно защититься с помощью мониторинга финансовой активности, то разглашение секретных
государственных сведений является намного более серьезным инцидентом. Вдобавок, по некоторым сведениям, в
базе содержалась персональная информация руководителей правоохранительных органов целого ряда других стран
помимо США. Утечки сверх секретных сведений не являются редкостью в наше время. В начале 2005 года
произошло сразу несколько подобных инцидентов.
151
http://www.infowatch.ru/press/news/risks/214/
28.12.20
В начале февраля 2005 года несколько тысяч секретных документов, принадлежащих
Департаменту внутренней безопасности США (Department of Homeland Security), оказались
доступными для пользователей поисковой системы Google.
В середине февраля 2005 года произошла утечка секретного 75-ти страничного документа из
Министерства Обороны Нидерландов. Как показало расследование, администратор,
работающий в военном ведомстве, взял секретный незашифрованный документ к себе домой,
чтобы поработать в неурочное время. Либо умышленно, либо по случайности
конфиденциальный документ оказался в папке с общим доступом, в то время как компьютер
сотрудника был подключен к сети обмена файлами KaZaA. Таким образом, к секретному
документу, содержащему сведения об операциях по прослушиванию и записи телефонных
разговоров, мог получить доступ любой пользователь, подключенный к Интернету.
В конце февраля 2005 года в Польше был опубликован список из 250 тыс. агентов и
информаторов, работавших на секретные службы в советский период. Как отметил премьер-
министр Польши, Марек Белка, некоторые из этих агентов по-прежнему могли быть активными.
Расследование показало, что утечка информации произошла из Национально архивного
института (National Remembrance Institute).
153
28.12.20
154
28.12.20
155
28.12.20
Мы видим количественное
увеличение использования
технологий защиты, и как
следствие неуклонное
снижение финансовых
потерь
157
28.12.20
Защита
Обучение и «Воспитание»
пользователей
Отсутствие на сервере работающих
незащищенных сервисов и разумная
политика в выборе паролей
пользователями и сисадминами
потребуют от взломщика весьма
приличной "Квалификации". 158
28.12.20
Абсолютной защиты нет!
Единственный защищенный от
внешних угроз компьютер – тот,
который заперт в комнате, не связан с
сетью и экранирован от всех видов
электромагнитных излучений.
159
28.12.20
Интернет
Любое подключение к Интернету
является двусторонним и поэтому
небезопасным. Однако большинство
атак из Интернета основаны либо на
человеческих слабостях, либо на
неправильной настройке оборудования
и программного обеспечения, которые
реализуют подключение к Интернет.
Любые атаки основанные на
технологиях используемых в сети
Интернет, могут быть применены и в
Интранет.
160
28.12.20
Источники дополнительных сведений
Рассылки по безопасности:
inet.safety.bezpeka (231586)
inet.bugtraq.rsn (231586)
business.oxpaha
inet.bugtraq
inet.safety.firewall
Рассылки Internet Security Systems www.iss.net
Хак-сайты
(не забываете про осторожность)
Атаки на беспроводные сети
http://www.securitylab.ru/46519.html
Алексей Лукацкий, «Обнаружение атак (2-е
издание)», издательство "BHV-СПб" · 2003 г. · 596
стр.
161
28.12.20
Спасибо за внимание !