Вы находитесь на странице: 1из 160

Обзор и анализ основных типов

нефизических сетевых атак

…и рекомендации по защите
С.А. Печень 2004-2011 spechen@ukrtelecom.ua 28.12.20
Cодержание
 Статистика и динамика угроз (в том числе
материалы ОАО «Укртелеком»)
 Виды воздействий
 Локальные сети - внешние атаки*
 Локальные сети -внутренние атаки*
 Беспроводные сети
 Социальная инженерия
 Aтаки на мобильные телефоны
 Web-угрозы

*только полная информация может помочь подготовиться к


возможным атакам и защититься от них. Принцип "Безопасность
через незнание" (Security through Obscurity) редко оправдывает себя.2
28.12.20
Виды воздействии
 Существует два основных способа нарушения
защиты системы: перехват и искажение
информации,
Перехват информации может быть пассивным
и активным, искажение по определению только
активным.
 Пассивное воздействие на систему не
оказывает непосредственного влияния на ее
работу.
 Активное же подразумевает вмешательство в
работу системы или нарушение ее
работоспособности.
3
28.12.20
Unauthorized Use of Computer Systems
within the Last 12 Months (06.2005)

4
28.12.20
5
28.12.20
6
28.12.20
7
28.12.20
8
28.12.20
9
28.12.20
Потери от атак 06’2004

10
28.12.20
Потери от атак 06’2005

11
28.12.20
12
28.12.20
http://www.securitylab.ru

13
28.12.20
Внешние атаки
Атаки, предпринимаемые лицами, не
являющимися сотрудниками подразделения,
филиала, предприятия и не имеющими доступа
на его территорию.

14
28.12.20
Виды внешних атак
 1.Прослушивание информационного канала
 2.Несанкционированный доступ в удаленную систему
- Перебор IP-адресов
- Сканирование серверов сети на предмет выявления на них работающих
незащищенных служб (Port scanning)
- Ложное соединение путем подмены одного из объектов соединения (IP spoofing)
- Ложное соединение путем продолжения последовательности пакетов
- Ложное соединение путем «отравления» кэша DNS-сервера(внедрение ложного DNS-
сервера)
- Подбор паролей
- «Забытые» пароли
- «Люки», Buffer Overflow
- Атака Source Quench (подавление источника)
 3.Выведение удаленной системы из строя – Denial of Service
- Ping-атака
- Шторм –СПАМ,SYN-flooding,ICMP-flooding
- Навязывание ложного маршрута
- UDP-фрагментация (Teardrop)
- Прочие DOS-атаки
 4.Использование ресурсов удаленной системы в собственных целях
- СПАМ
- Продолжение атак
15
28.12.20
1. Прослушивание
информационного канала
 Типичным пассивным способом перехвата
информации является прослушивание
информационного канала (Password Sniffing) с
целью отбора конфиденциальной информации,
например имени и пароля пользователя
Опытный взломщик может просто выяснить
пароли, прослушивая канал и отфильтровывая
пакеты следующих протоколов: POP (офисный
почтовый протокол; используется для
получения почты с сервера), TFTP и FTP
(протоколы передачи файлов), Telnet
(удаленный терминал).

16
28.12.20
Локальная сеть

7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x 7x 8x 9x 10x 11x 12x

Ethernet

Ethernet
C C
7 8 9 101112 7 8 9 101112

A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x A 123456 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x
A B A B

Маршрутизатор1 Маршрутизатор2

Прослушивание
канала
Клиент

Сервер доступа
Sniffer Server
monitoring/analysis

Взломщик

Прослушивание информационного канала


28.12.20 17
Wireshark (прежде называлась Ethereal)
Пример: WinSniffer

19
28.12.20
Пример: IcqSnif

 Программа предназначена для перехвата сообщений ICQ, IRC и


email-писем в локальной сети. Вы сможете наблюдать все
сообщения, ходящие в вашей сети, в то же самое время, что и
настоящие пользователи. Все перехваченные сообщения
сохраняются в журналы для последующего анализа и
обработки.
20
28.12.20
Пример:snoop из ОС SUN Solaris

21
28.12.20
Обнаружить прослушивание можно организовать следующими способами

Злоумышленник, прослушивающий сеть, может быть обнаружен с помощью


утилиты AntiSniff, которая выявляет в сети узлы, чьи интерфейсы
переведены в режим прослушивания.
AntiSniff выполняет три вида тестов узлов сегмента Ethernet.

 Первый тест основан на особенностях обработки разными операционными


системами кадров Ethernet, содержащих IP-датаграммы, направленные в
адрес тестируемого узла. Например, некоторые ОС, находясь в режиме
прослушивания, передают датаграмму уровню IP, независимо от адреса
назначения кадра Ethernet (в то время как в обычном режиме кадры, не
направленные на MAC-адрес узла, системой вообще не рассматриваются).
Другие системы имеют особенность при обработке кадров с
широковещательным адресом: в режиме прослушивания MAC-адрес
ff:00:00:00:00:00 воспринимается драйвером интерфейса как
широковещательный. Таким образом, послав сообщение ICMP Echo внутри
«неверного» кадра, который при нормальных обстоятельствах должен быть
проигнорирован, и получив на него ответ, AntiSniff заключает, что интерфейс
тестируемого узла находится в режиме прослушивания.

22
28.12.20
Обнаружить прослушивание можно организовать
следующими способами (2)

 Второй тест основан на предположении, что программа


прослушивания на хосте злоумышленника выполняет
обратные DNS-преобразования для IP-адресов подслушанных
датаграмм (поскольку часто по доменному имени можно
определить назначение и важность того или иного узла).
AntiSniff фабрикует датаграммы с фиктивными IP-адресами
(то есть не предназначенные ни одному из узлов тестируемой
сети), после чего прослушивает сеть на предмет DNS-
запросов о доменных именах для этих фиктивных адресов.
Узлы, отправившие такие запросы, находятся в режиме
прослушивания.

23
28.12.20
Обнаружить прослушивание можно организовать
следующими способами (3)

3) Тесты третьей группы, наиболее универсальные, с одной стороны, так как


не зависят ни от типа операционной системы, ни от предполагаемого
поведения прослушивающих программ. С другой стороны, эти тесты
требуют определенного анализа от оператора, то есть — не выдают
однозначный результат, как в двух предыдущих случаях кроме того, они
сильно загружают сеть.
Тесты основаны на том, что интерфейс, находящийся в обычном режиме,
отфильтровывает кадры, направленные не на его адрес, с помощью
программно-аппаратного обеспечения сетевой карты, и не задействует при
этом ресурсы операционной системы. Однако в режиме прослушивания
обработка всех кадров ложится на программное обеспечение
злоумышленника, то есть, в конечном счете, на операционную систему.
AntiSniff производит пробное тестирование узлов сети на предмет
времени отклика на сообщения ICMP Echo, после чего порождает в
сегменте шквал кадров, направленных на несуществующие MAC-адреса,
при этом продолжая измерение времени отклика. У систем, находящихся в
обычном режиме, это время растет, но незначительно, в то время как узлы,
переведенные в режим прослушивания, демонстрируют многократный (до
4 раз) рост задержки отклика. 24
28.12.20
В связи с вышеизложенным
отметим, что представление о
прослушивании как о безопасной
деятельности, которую нельзя
обнаружить, не соответствует
действительности.

25
28.12.20
Защиту от прослушивания можно
организовать следующими
способами:

1. Убедитесь, что трафик КСПИ (сегмента КСПИ) не «слышен»


за ее пределами .
2. Откажитесь по возможности от незащищенных сетевых
служб, либо замените их на более современные аналоги с
поддержкой шифрования трафика. Например telnet на ssh.
3. Наилучшее решение - полное шифрование трафика.
шифрование TCP/IP-потока (например, secure shell) или
использование одноразовых паролей (например, S/KEY)
4. Использование интеллектуальных свитчей и UTP, в
результате чего каждая машина получает только тот трафик, что
адресован ей. (* icqsniff…) 26
28.12.20
Диктофоны стали средством для кражи паролей
Теперь для того, чтобы узнать чужой пароль,
достаточно записать звук от клавиш.
Специалисты из Калифорнийского университета
Беркли опытным путем открыли новый
высокоэффективный способ взлома паролей. В ходе
исследования ученые выяснили, что набранный на
клавиатуре текст легко восстановить с помощью
обыкновенной аудиозаписи процесса. Специалисты
университета утверждают, что они сделали 10-минутную
аудиозапись работы людей на компьютере и после
восстановили данные с помощью специального ПО.
Неопознанными остались только 4% записи.
Специалисты объясняют возможность аудиошпионажа
уникальными звуками, издаваемыми клавишами при
скорости печати до 300 знаков в минуту. Анализируя эти
звуки, компьютер вполне может определить порядок
нажатий. 27
28.12.20
2.Несанкционированный доступ в
удаленную систему
- Перебор IP-адресов
- Сканирование серверов сети на предмет выявления на них
работающих незащищенных служб (Port scanning)
- Ложное соединение путем подмены одного из объектов
соединения (IP spoofing)
- Ложное соединение путем продолжения последовательности
пакетов
- Ложное соединение путем «отравления» кэша DNS-
сервера(внедрение ложного DNS-сервера)
- Подбор паролей
- «Забытые» пароли
- «Люки»

28
28.12.20
2.1. Перебор IP-адресов

 Отправной точкой сканирования


нападающий может взять IP-адрес
зарегистрированного домена
предприятия, определив его с помощью
одной из стандартных программ
(nslookup) или Веб-сервисов.
 А затем перебирает IP-адреса на
предмет обнаружения хостов.

29
28.12.20
C:\Мои документы>nslookup www.ukrtel.net
Nslookup
Server: hosrv000.ukrtelecom.net
Address: 10.10.1.2

Name: helios.ukrtelecom.ua
Address: 195.5.6.20
Aliases: www.ukrtel.net

C:\>nslookup www.ukrtelecom.ua
Server: ackp2.sv.ukrtelecom.net
Address: 10.29.9.9

Non-authoritative answer:
Name: dev.ukrtelecom.ua
Address: 195.5.46.19
Aliases: www.ukrtelecom.ua
30
28.12.20
www.leader.ru

31
28.12.20
Защита
 «Маскарадннг» IP-адресов. Компьютеры локальной сети
имеют адреса обычно в одном из следующих диапазонов:
10.xxx.xxx.xxx, 192.168.xxx.xxx. Эти адреса выделены
специально для построения локальных сетей, а поэтому в
Интернете не используются и не регистрируются. Локальная
сеть подключается к Интернету посредством шлюза с
динамическим преобразованием IP-адресов (Network Address
Translation, NAT).
 При обращении внутреннего компьютера из локальной сети
наружу шлюз перехватывает запрос и выступает от имени
клиента, задействуя свой внешний (зарегистрированный в
Интернет) IP-адрес. Полученный ответ шлюз передает
внутреннему компьютеру (после подстановки его внутреннего
адреса), выступая для него в качестве сервера.
 Таким образом, извне «виден» только один компьютер
локальной сети, на котором, как правило, стоит сетевая ОС со
средствами защиты от внешних атак (МЭ ,IDS&IPS).
33
28.12.20
2.2. Сканирование серверов сети на
предмет выявления на них работающих
незащищенных служб (Port scanning)
 Нападающий может просматривать порты с
помощью программ, свободно доступных в
Интернете, благодаря чему от взломщика не
требуется каких-либо специальных знании или
квалификации. На плохо сконфигурированной
машине могут работать активные службы, о
кoтoрых владелец системы может ничего не знать
или службы могут иметь уязвимости. Типичный
примеры – DCOM. Эти службы мот быть
использованы нападающим для помещения в
систему своих файлов, что позволяет изменить ее
конфигурацию, а затем взломать.
34
28.12.20
Пример: "RPC GUI v2 - r3L4x.exe"

35
28.12.20
Методы защиты
1. Правильное конфигурирование
хостов.
2. Фильтрация трафика посредством
брандмауэра между сегментами КСПИ
(в т.ч. и с Интернетом) на предмет
запрета прохождения извне пакетов
незащищенных служб, если таковые
необходимы в локальной сети.
3. Установка «заплаток».

36
28.12.20
2.3. Ложное соединение путем подмены одного из
объектов соединения (IP spoofing)

Данная атака была описана еще Робертом


Моррисом (Robert T. Morris) в
A Weakness in the 4.2BSD Unix TCP/IP Software
Англоязычный термин -- IP spoofing. В данном
случае цель крэкера - притвориться другой
системой, которой, например, "доверяет"
система-жертва (в случае использования
протокола rlogin/rsh для беспарольного входа).
Метод также используется для других целей --
например, для использовании SMTP жертвы для
посылки поддельных писем.
37
28.12.20
Описание

Вспомним, что установка TCP-


соединения происходит в три стадии
(3-way handshake): клиент выбирает
и передает серверу sequence number
(назовем его C-SYN), в ответ на это
сервер высылает клиенту пакет
данных, содержащий подтверждение
(C-ACK) и собственный sequence
number сервера (S-SYN). Теперь уже
клиент должен выслать
подтверждение (S-ACK).
Схематично это можно представить
так:

После этого соединение считается установленным (ESTABLISHED) и


начинается обмен данными. При этом каждый пакет имеет в заголовке поле для
sequence number и acknowledge number. Данные числа увеличиваются при обмене
данными и позволяют контролировать корректность передачи. 38
28.12.20
Предположим, что крэкер может предсказать, какой
sequence number (S-SYN по схеме) будет выслан сервером. Это
возможно сделать на основе знаний о конкретной реализации
TCP/IP. Например, в 4.3BSD значение sequence number, которое
будет использовано при установке следующего значения,
каждую секунду увеличивается на 125000. Таким образом,
послав один пакет серверу, крэкер получит ответ и сможет
(возможно, с нескольких попыткок и с поправкой на скорость
соединения) предсказать sequence number для следующего
соединения.
Если реализация TCP/IP использует специальный алгоритм
для определения sequence number, то он может быть выяснен с
помощью посылки нескольких десятков пакетов серверу и
анализа его ответов.

39
28.12.20
Итак, предположим, что система A доверяет системе B, так,
что пользователь системы B может сделать "rlogin A"_ и
оказаться на A, не вводя пароля. Предположим, что крэкер
расположен на системе C. Система A выступает в роли сервера,
системы B и C - в роли клиентов.
Первая задача злоумышленника - ввести систему B в
состояние, когда она не сможет отвечать на сетевые запросы.
Это может быть сделано несколькими способами, в простейшем
случае нужно просто дождаться перезагрузки системы B.
Нескольких минут, в течении которых она будет
неработоспособна, должно хватить. Другой вариант --
использование методов описанных в следующих разделах
(комбинаций методов).

40
28.12.20
IP-Spoofing

41
28.12.20
После этого крэкер может попробовать притвориться системой B, для того, что бы
получить доступ к системе A (хотя бы кратковременный).

2.Крэкер высылает несколько IP-пакетов, инициирующих


соединение, системе A, для выяснения текущего состояния
sequence number сервера.
3. Затем высылает IP-пакет, в котором в качестве обратного
адреса указан уже адрес системы B.
4. Система A отвечает пакетом с sequence number, который
направляется системе B. Однако система B никогда не получит
его (она выведена из строя), как, впрочем, и крэкер. Но он на
основе предыдущего анализа догадывается, какой sequence
number был выслан системе B
5. После этого он подтверждает "получение" пакета от A,
выслав от имени B пакет с предполагаемым S-ACK (заметим,
что если системы располагаются в одном сегменте, крэкеру для
выяснения sequence number достаточно перехватить пакет,
посланный системой A). После этого, если крэкеру повезло и
sequence number сервера был угадан верно, соединение42
считается установленным. 28.12.20
– Теперь крэкер может выслать очередной
фальшивый IP-пакет, который будет уже
содержать данные. Например, если атака
была направлена на rsh, он может
содержать команды создания файла .rhosts
или отправки /etc/passwd крэкеру по
электронной почте.

43
28.12.20
44
28.12.20
Детектирование
1.Простейшим сигналом IP-spoofing будут служить
пакеты с внутренними адресами, пришедшие из
внешнего мира.
Программное обеспечение маршрутизатора /МЭ может
предупредить об этом администратора. Однако не
стоит обольщаться - атака может быть и изнутри
Вашей сети.
2.В случае использования более интеллектуальных
средств контроля за сетью администратор может
отслеживать (в автоматическом режиме) пакеты от
систем, которые в находятся в недоступном состоянии.
Впрочем, что мешает крэкеру имитировать работу
системы B ответом на ICMP-пакеты?
47
28.12.20
Какие способы существуют для защиты от IP-spoofing?
1. Усложнить или сделать невозможным угадывание sequence
number - SN (ключевой элемент атаки). Например, можно
увеличить скорость изменения SN на сервере или выбирать
коэффициент увеличения SN случайно (желательно, используя для
генерации случайных чисел криптографически стойкий алгоритм).

2. Если сеть использует firewall (или другой фильтр IP-пакетов),


следует добавить ему правила, по которым все пакеты, пришедшие
извне и имеющие обратными адресами из нашего адресного
пространства, не должны пропускаться внутрь сети. Кроме того,
следует минимизировать доверие машин друг другу. В идеале не
должны существовать способа, напрямую попасть на соседнюю
машину сети, получив права суперпользователя на одной из них.
Конечно, это не спасет от использования сервисов, не требующих
авторизации, например, telnet*,IRC (крэкер может притвориться
произвольной машиной Internet и передать набор команд для входа
на канал IRC, выдачи произвольных сообщений и т.д.).
48
28.12.20
3.Шифрование TCP/IP-потока решает в общем случае проблему IP-
spoofing'а (при условии, что используются криптографически
стойкие алгоритмы).

Для того, чтобы уменьшить число таких атак, рекомендуется


также настроить firewall для фильтрации пакетов, посланных нашей
сетью наружу, но имеющих адреса, не принадлежащие нашему
адресному пространству. Это защитит мир от атак из внутренней
сети, кроме того, детектирование подобных пакетов будет означать
нарушение внутренней безопасности и может помочь
администратору в работе

49
28.12.20
2.4. Ложное соединение путем продолжения
последовательности пакетов
Это нападение основано на том, что атакующий,
прослушивая канал, ожидает установления связи
какого-либо абонента с атакуемым хостом и в нужный
момент пытается продлить оригинальную
последовательность пакетов своими. Как и в
предыдущем случае, атакующему необходимо
«заглушить» хост абонента, чтобы он не смог послать
сигнал разрыва связи reset. В случае успешной атаки
нападающий сможет только отправлять информацию
на атакуемый хост (например, выполнить на нем
некоторые команды), но не сможет получить ответную
информацию, так как атакуемый хост ответит по
адресу первичного соединения.
50
28.12.20
Оссобенности и защита
 Предложить какой-либо способ защиты от этого
нападения довольно сложно, так как оно использует
недостатки существующего IP-протокола.
 Однако проведение такой атаки-процесс весьма
трудоемкий, требующий очень высокой квалификации
нападающего.
 Кроме того, одно из необходимых условий для атаки -
наличие устойчивой связи между атакующим и
жертвой, так как все пакеты от атакующего к
атакуемому должны проходить примерно за
одинаковое время.
 Применение шифрования (например SSL)
51
28.12.20
2.5. Ложное соединение путем «отравления» кэша DNS-
сервера (внедрение ложного DNS-сервера)
 Идея состоит в том, чтобы заставить
сервер кэшировать некоторую
поддельную информацию так, чтобы
будущие запросы возвращали
неправильную информацию,
выдаваемую DNS-сервером вместо
правильной.

52
28.12.20
Нападающий предпринимает следующие действия:

1. Начинает атаку от имени авторитетного DNS-сервера атакуемой


сети.
2. Посылает запрос об адресе хоста, который доверяет машине
жертвы и от имени которого он хочет выступать.
3. Посылает местному DNS-серверу запрос об адресе жертвы,
чтобы получить DNS-запрос от этого сервера с целью подделки
ответа на него.
4. Ждет запроса-жертвы об адресе доверенного хоста и подменяет
его ответ так, чтобы он ссылался на машину нападающего. Для
атакующего просто необходимо в данном случае прислать свой
ответ раньше настоящего DNS-сервера, так как протокол UDP,
используемый в DNS, просто проигнорирует второй
правильный ответ.
5. Теперь нападающий делает попытку соединиться
непосредственно с компьютером жертвы, изображая из себя
доверительный хост, либо подменяет информацию, проходящую
на атакуемый хост от имени настоящего компьютера.
53
28.12.20
Защита
 Выбирать первичным DNS-сервер
какого-либо крупного провайдера. Чем
«ближе» выбранный вами сервер к
корневым серверам InterNIC
(организация, DNS-сервера которой
«ведут» корневые домены типа com,
org,edu и т. п.), тем меньше вероятность
его заражения.

54
28.12.20
2.6. Подбор паролей*
Cамый простой метод атаки на удаленную
систему, о котором прекрасно осведомлены
все потенциальные жертвы. И тем не менее
срабатывает он весьма эффективно. В отличие
от всех предыдущих методов, этот использует
не слабости систем защиты, а слабости
людей. Естественно, нападающий не будет
перебирать все имеющиеся варианты, их
слишком много, а будет использовать какой-
либо словарь имен и популярных словечек

55
28.12.20
Защита
 Жесткая политика в отношении паролей
(особенно для служб, доступных извне).
 Ограничение на число попыток ввода
пароля.

56
28.12.20
2.7. «Забытые» пароли
 Сравнительно редкий, но возможный вид атаки.
Основывается на том, что система жертвы построена
на оборудовании (например, маршрутизаторы), в
котором имеются пароли, либо внесенные еще при
изготовлении, либо оставленные специалистами,
устанавливавшими это оборудование. То же может
относиться к операционным системам и т. п. Зная
типичные пароли или пароли по умолчанию,
нападающий при некоторых условиях может
получить доступ к системе или повлиять на ее
работоспособность.

57
28.12.20
Пароли используемые производителями по умолчанию
http://www.ispeed.org/password.htm
Manufacturer Product RevisionProtocol User ID Password Access Level

AMI PC BIOS Console n/a AM Admin


AMI PC BIOS Console n/a AMI Admin
AMI PC BIOS Console n/a A.M.I Admin
AMI PC BIOS Console n/a AMI_SW Admin
AMI PC BIOS Console n/a AMI?SW Admin
AMI PC BIOS Console n/a aammii Admin
AMI PC BIOS Console n/a AMI!SW Admin
AMI PC BIOS Console n/a AMI.KEY Admin
AMI PC BIOS Console n/a AMI.KEZ Admin
AMI PC BIOS Console n/a AMI~ Admin
AMI PC BIOS Console n/a AMIAMI Admin
AMI PC BIOS Console n/a AMIDECOD Admin
AMI PC BIOS Console n/a AMIPSWD Admin
AMI PC BIOS Console n/a amipswd Admin
AMI PC BIOS Console n/a AMISETUP Admin
AMI PC BIOS Console n/a BIOSPASS Admin
AMI PC BIOS Console n/a CMOSPWD Admin
AMI PC BIOS Console n/a HEWITT RAND Admin
58
28.12.20
10 самых распространенных паролей

http://www.intechnology.org/top-10-most-common-passwords/
20 самых популярных паролей в российских
интернет-сервисах
http://hitgid.ru/raznoe/3438-top-20-samykh-rasprostranjonnykh.html

1. 12345; 11. 54321;


2. 123456; 12. 123321;
3. 11111;
13. 1234567;
4. 55555;
14. 123123; (найдите свой и
5. 77777; замените его
6. qwerty;
15. gfhjkm; немедленно!)
7. 111111; 16. 7777777;
8. 00000; 17. qwert;
9. 666666; 18. 22222;
10. 123456789; 19. 555555;
20. 123. 60
28.12.20
Топ-20 паролей MySpace.com
Набор фантазии пользователей мирового интернета ушел от
наших недалеко, достоянием общественности стал список
самых распространенных паролей одной из самых популярных
соцсетей в мире — Myspace.com:

1. password1; 11.123456;
2. abc123; 12.soccer;
3. myspace1; 13.monkey1;
4. password; 14.liverpool1;
5. blink182; 15.princess1;
6. qwerty1; 16.jordan23;
7. fuckyou; 17.slipknot1;
8. 123abc; 18.superman1;
9. baseball1; 19.iloveyou1;
10. football1; 20.monkey.
61
28.12.20
Защита
 Аккуратное администрирование
 Полная ревизия всего нового
«интеллектуального» оборудования. Это
как раз тот случай, когда инструкцию
все же нужно почитать.

62
28.12.20
2.8. «Люки», Buffer Overflow
Атаки этого типа основаны на использовании
недокументированных возможностей программного
обеспечения по обходу защиты, оставленных в
программе ее создателем, либо на ошибках в
программах, которые помогают нападающему
преодолеть защиту.

Например: небезызвестный «червь» Морриса-


младшего использовал отсутствие контроля размера
входного буфера программы: переполнением буфера
он добивался помещения собственных исполняемых
кодов в тело программы, которая выполнялась с
административными привилегиями.
63
28.12.20
Skype
В популярном сервисе интернет-телефонии могут быть инженерные ключи, при
помощи которых возможно расшифровать любой голосовой или текстовый
трафик, передаваемый между пользователями этой системы, пишет WWWorld со
ссылкой на Heise Security.

Австрийские правоохранители официально заявили об успешном эксперименте


по "законному перехвату трафика". Конечно, никаких доказательств
общественности представлено не было, а в самой Skype заявили, что
комментировать спекуляции в прессе компания не собирается.

Блогосфера вообще никак не отреагировала на данную информацию. "Дырами


для спецслужб" изобилует не только Skype, но и сервиспак для Windows Vista - в
этом уверен специалист по криптографии Брюс Шнайер. А такой backdoor куда
серьезнее. 64
http://www.dengi-ua.com/news/40167.html 28.12.20
Червь Морриса-младшего
 Одним из результатов этого инцидента было
создание группы компьютерной "скорой
помощи" CERT (Computer Emergency Rresponse
Team), основными задачами которой являются
доклады о попытках взлома в Интернете, а
также анализ проблем безопасности и
разработка методов их решения. При
необходимости эта группа рассылает свою
информацию тысячам системных
администраторов по Интернету.

65
28.12.20
Защита

 Своевременное обновление
операционной системы.
 Чтение информации (рассылок,
новостных сайтов по безопасности) по
обнаруживаемым уязвимостям.
 Использование сканеров безопасности

66
28.12.20
Атака Source Quench
(подавление источника)
 Удаленный пользователь может послать
специально сформированный ICMP-пакет
и запретить все текущие TCP-соединения.

67
28.12.20
Защита
 Установка патчей
- Microsoft (апрель 2005 –
http://www.cnews.ru/newtop/index.shtml?2005/04/14/177259 )
- Cisco (
http://www.cnews.ru/newsline/index.shtml?2005/04/13/177173)

- Linux системы…

68
28.12.20
3.Выведение удаленной системы
из строя – Denial of Service

- Ping-атака
- Шторм :
- СПАМ,
- SYN-flooding,
- ICMP-flooding
- Навязывание ложного маршрута
- UDP-фрагментация (Teardrop)
- Прочие DOS-атаки

69
28.12.20
Ping-атака
 RFC 791 определяет, что дата-граммы в
Интернете не должны превышать 64 КБ.
Несмотря на это, некоторые программы могут
посылать пакеты большей величины, но не
все системы могут безболезненно для себя
получать их. Простая команда «ping -s 65510
targethost» выводит из рабочего состояния
Windows NT 3.51 и некоторые другие
системы.
 Способ защиты от подобных атак
-своевременное обновление операционной
системы.

70
28.12.20
Шторм
 Нападающий создаст большое количество
ложных пли пустых запросов с целью
замедлить работу компьютера или сделать
его временно недоступным. Из атак этого
типа можно выделить следующие:
1. Спам.
2. SYN flooding (направленный шторм ложных
соединений).
3. ICMP flooding (шторм ложных ICMP-
запросов).
71
28.12.20
СПАМ

Суть данного метода заключается в том,


что атакующий посылает большое
количество бессмысленных сообщений
(пакетов) с целью замедлить работу
почтового сервера или переполнить его
дисковую память

72
28.12.20
Способы защиты
1. Внесение спамера в «черный-список».
2. Введение квот на дисковое
пространство.
3. UltraDNS (Система обрабатывает запросы
лишь аутентифицированных пользователей,
что позволят в случае атаки отсечь ненужный
поток данных. )

73
28.12.20
SYN-flooding
Разновидность атаки IP-spoofing.
Атакующий выбирает адрес такого хоста С,
который не используется ни одним
компьютером сети, и посылает туда большое
количество SYN-naкетов (запросы нового
соединения). Приемная очередь сервера быстро
переполняется этими пакетами (а
автоматически они из очереди не удаляются
вследствие того, что соединение не завершено).
В случае удачной атаки атакуемый хост
перестает отвечать на любые запросы
74
28.12.20
Способ защиты
Фильтрация ICMP-пакетов. Брандмауэр
должен следить за правильной установкой
битов АСК и SYN при установлении
соединений TCP. Внутренний клиент сети не
должен получать пакеты, содержащие бит SYN,
но не имеющие бита АСК.

75
28.12.20
ICMP-flooding
В нападении ICMP flooding атакующий
посылает поддельный ICMP-пакет по
широковещательному адресу сети. Исходный
адрес пакета подделан так, чтобы казалось, что
он прибыл от хоста, на который предполагается
осуществить нападение. Все хосты сети
получают запрос ping/echo и отвечают
атакуемому хост) одновременно. В результате
атакуемый хост «затопляется»ICMP-запросами.
На некоторое время запросы потребляют все
ресурсы системы.

76
28.12.20
Защита
 Результативность атаки сильно зависит от
количества хостов в сети, поэтому в качестве
самого доступного метода борьбы с этим
нападением можно опять-таки использовать
«IP-маскарадинг».
 В случае с маскарадингом в сети обычно
имеется только два хоста, соединенных
локальной сетью, - сервер и маршрутизатор.
"Затопить” один из них IСМР-запросами с
двух хостов нереально.

77
28.12.20
Навязывание ложного
маршрута
В этой атаке, как и в предыдущей,
используются свойства протокола ICMP. В
протоколе ICMP определено сообщение ICMP
Redirect, которое позволяет «на лету» менять
маршрут соединения. При внешней атаке
нападающий может послать на машину-жертву
ложное сообщение ICMP Redirect (например,
для смены маршрута по умолчанию). В случае
успешной атаки связь машины-жертвы с
внешним соединением будет разорвана, хотя
она по-прежнему сможет работать в локальной
сети. Хорошо ловятся на этот «фокус» Windows
9x и Windows NT. 78
28.12.20
79
28.12.20
Способы защиты

1. Фильтрация сообщений ICMP


Redirect.
2. Использование одной из разновидностей UNIX
в качестве шлюза в Интернет.

80
28.12.20
UDP-фрагментация (Teardrop)
Это нападение использует идею
фрагментации UDP-датаграмм. Фрагментация
датаграмм определена в протоколе IP и
используется в основном тогда, когда
датаграммы проходят через маршрутизаторы от
одной сети к другой, где скорость передачи
более низкая. Большие пакеты могут быть
раздроблены в меньшие для более эффективной
работы сети. В нападении Teardrop атакующий
подделывает две UDP-датаграммы, которые
кажутся фрагментами большого пакета, но со
смещениями наложенных данных.
81
28.12.20
Teardrop
83
28.12.20
Прочие DOS-атаки
Существует еще несколько атак подобного типа,
которые используют в . основном
разнообразные ошибки в программном
обеспечении. Как пример можно привести
Telnet – сессию, которая посылает в «глубокий
нокаут-машины под управлением оригинальной
Windows NT (без сервиспаков):

84
28.12.20
Distributed Dos атаки
 Распределенная в пространстве атака со
множества хостов
(Обычно устраивается вирусами, IRC-
ботами…)

85
28.12.20
Бот-неты (botnets)
 Бот-неты - сети, состоящие из захваченных сетевыми
«пиратами» персональных компьютеров. Они управляют
миллионами пораженных ПК и сетевых соединений,
пересылая огромные объемы спама и вирусов, используются
для DDOS-атак.

Спам нового поколения обходит и «засоряет» фильтры. Один


из широко распространенных способов обхода текстовых
фильтров — встраивание текста в изображения. Кроме того,
применение программ, которые изменяют несколько пикселов
в каждом почтовом сообщении, позволяет обойти системы,
обнаруживающие и блокирующие множественные копии
одного и того же сообщения. 86
28.12.20
Защита
 Своевременно устанавливайте «заплаты» и обновления на сервер
электронной почты или заключите договор об обслуживании сервера
электронной почты со сторонним поставщиком решений.
 Попросите ИТ-подразделение или поставщика решений построить
ловушку для спама, чтобы отслеживать действия спамеров. Возможно,
вам порекомендуют решение на основе услуг по управлению (такое,
как Postini или MailRoute), чтобы собирать нежелательные сообщения
на другом сайте, например на сайте Интернет-провайдера, и хранить их
до тех пор, пока заказчик не просмотрит и не отделит полезные
сообщения от нежелательных.
 Установите программы для борьбы со «шпионами» и вирусами на
сервере и всех мобильных устройствах, подключаемых к Интернету.
 Внушите всем сотрудникам компании необходимость проявлять
разумную осторожность, загружать материалы только с авторитетных
Web-узлов и удалять спам, предварительно не просматривая и не
открывая сообщений.

87
28.12.20
Хакер Mafiaboy получил 8 месяцев тюрьмы за атаку на
крупнейшие сайты
Канадский хакер, скрывающийся под псевдонимом Mafiaboy,
приговорен к восьми месяцам лишения свободы.
Как передали, суд признал 17-летнего хакера виновным в
прошлогодней (2005) атаке на сайты eBay.com, Buy.com и Yahoo.сom. В
результате действий Mafiaboy была полностью парализована их работа, что
повлекло для компаний убытки в размере 1,7 миллиарда долларов. Всего
хакеру было предъявлено 55 обвинений.
Весь срок Mafiaboy проведет в исправительном учреждении для
несовершеннолетних. В ходе заключения ему будет предоставлена
возможность посещать родных. Кроме того, хакеру придется выплатить 160
долларов штрафа. После выхода на свободу он еще год будет оставаться под
наблюдением полиции.
Обвинитель Луи Мивилль-Дешен (Louis Miville-Deschenes) остался
доволен приговором. "Это будет достаточным предупреждением для хакеров,
когда они задумают совершить что-нибудь подобное", - заявил Мивилль-
Дешен.
Адвокат Mafiaboy Ян Романовски (Yan Romanowski) заявил, что он "удивлен
и разочарован" приговором и собирается подавать апелляцию…
88
28.12.20
Что есть spyware?
 По интернет-меркам возраст угрозы довольно
солидный: первый случай заражения
компьютера "шпионом" зафиксирован еще в
1995 году, а в 1999-м слово "spyware" было
впервые употреблено в официальном документе
- пресс-релизе по поводу выхода брандмауэра
Zone Alarm Personal Firewall. В ноябре того же
года первая программа, содержащая шпионский
модуль, получила массовое распространение в
Сети. Это была бесплатная юмористическая
игра Elf Bowling, отсылавшая своему
разработчику Nsoft пользовательские данные.
89
28.12.20
История spyware…
В 2000 году Стив Гибсон, руководитель компании Gibson
Research, обнаружил на своем компьютере рекламное ПО,
которое перехватывало его личную информацию. Изучив
особенности поведения непрошеного гостя, Гибсон понял, что
софт работает на фирмы Aureate и Conducent. Результатом
тщательного изучения кода стало появление в конце 2000 года
первого антишпионского продукта - OptOut (последняя
разработка компании - Spyware Free-Certification). А в октябре
2004-го были опубликованы результаты исследования AOL,
заставившие интернет-общественность обратить внимание на
серьезность проблемы. 89% респондентов, на чьих компьютерах
поселился spyware-софт, сообщили, что не знали о его
присутствии, а 93% не санкционировали его инсталляцию.
90
28.12.20
Некоторые компании и вовсе применяют spyware
для защиты своих интернет-проектов. В частности,
Blizzard использует в работе игровых серверов World
of Warcraft (WoW) специальную программу - так
называемого привратника, который каждые 15 секунд
загружается на компьютеры четырех с половиной
миллионов игроков. Привратник получает список
всех dll-файлов, отображенных в адресном
пространстве exe-файла игры, использует функцию
GetWindowTextA для получения заголовков всех окон
в системе, проверяет, нет ли их в черном списке, а
также подключается к каждому запущенному
процессу и с помощью функции ReadProcessMemory
считывает ряд адресов памяти.

91
28.12.20
Загрузка вредоносного ПО
(враждебного содержания)
 Под враждебным содержанием обычно
понимаются программы типа "троянский
конь", мобильный код (Java и ActiveX), а
также вирусы. Однако вирусы и защита от
них - это тема отдельной лекции, которая
сейчас не будет рассматриваться. Основное
внимание будет уделено первым двум типам
враждебного содержания.

92
28.12.20
Возможные угрозы:
 модификация информации при передаче ее по сети
или в процессе обработки и хранения на
компьютере пользователя;
 нарушение конфиденциальности информации;
 уничтожение информации;
 нарушение работоспособности компьютера ("denial
of service");
 несанкционированное использование ресурсов
компьютера;
 запись произвольных данных на локальный
компьютер;
 Корректировка некоторых настроек компьютера
 раздражение пользователя и т.п.
93
28.12.20
Может быть реализован в
виде:
 мобильный код - вируса, который вторгается в
вашу систему и уничтожает данные на
локальных дисках, постоянно модифицируя
свой код, затрудняя тем самым свое
обнаружение и удаление;

 агента, перехватывающего пароли, номера


кредитных карт и т.п.;

 программы, копирующей конфиденциальные


файлы, содержащие деловую и финансовую
информацию и пр

94
28.12.20
Маскировка
 Маскироваться такие программы
могут под анимационные баннеры,
интерактивные игры, звуковые
файлы, картинки и т.п.

95
28.12.20
DOS
 Наиболее часто (из-за своей простоты)
мобильный код Java, ActiveX или JavaScript
реализует атаки типа "отказ в обслуживании".
 Может осуществляться путем:
- создание высокоприоритетных процессов,
выполняющих несанкционированные
действия;
- генерация большого числа окон;
- "захват" большого объема памяти и важных
системных классов;
- загрузки процессора бесконечным циклом;
- и т.п.

96
28.12.20
Пример атаки "отказ в обслуживании" при помощи
мобильного кода

<HTML>
<HEAD>
<TITLE>Демонстрация атаки Denial of Service</TITLE>
</HEAD>
<BODY>
<CENTER>
<H1>Демонстрация атаки Denial of Service</H1>
<HR>Как дела?<BR>
</HR>
</CENTER>
<SCRIPT>
while(1){alert("Не все то золото, что блестит!")}
</SCRIPT>
</HTML>

97
28.12.20
Защита
 Самый простой - правильная конфигурация узлов
информационной системы (например «зон
Интернета», конфигурирование МЭ из WinXPSP2).
 Запрет использования Java, ActiveX и JavaScript в
броузерах на рабочих станциях защитит от многих
проблем, а постоянное обновление программного
обеспечения (особенно Microsoft) при помощи
patch'ей позволит быть уверенным, что
злоумышленники не смогут воспользоваться
уязвимостями в броузерах, почтовых программах и
т.д.
 Запрет несанкционированного изменения
системного реестра (в т.ч. и удаленного) не позволит
многим "троянцам" запускаться на компьютере.

98
28.12.20
Защита(продолжение)
 Антивирусное ПО, обнаруживающие и
удаляющие соответствующие вредоносные
компоненты;
 В сети Internet также существуют свободно
распространяемые средства,
обнаруживающие и удаляющие многие из
известных "троянов".
 Специализированное защитное
антишпионское ПО

99
28.12.20
Другие средства защиты
К, обнаруживающим и блокирующим
враждебный код, можно отнести:

 межсетевые экраны, которые могут


блокировать применение Java и ActiveX;
 антивирусные системы, обнаруживающие
программы типа "троянский конь";
 системы контроля мобильного кода Java и
ActiveX
 системы обнаружения атак
host-based & network-based
 системы анализа защищенности. 100
28.12.20
Adware.
1. Adware (ADwertising softWARE) - это
программное обеспечение, оплатой за
пользование которым является получение
рекламы. Таковым является, например, широко
известный браузер Opera, который очень многие
используют в среде Windows как заменитель
стандартному MSIE (и зменитель достаточно
хороший, кое в чем более удобный и имеющий
меньше дыр в защите).

101
28.12.20
Adware
2. Второе значение термина "adware" близко первому.
Существуют агрессивные рекламные модули, которые
давно перешли зыбкую границу между честным и
нечестным программным обеспечением и в этом они
чуть ли не хуже вирусов или троянов. Они внедряются
по вирусному принципу (используя дыры в
пользовательском программном обеспечении или
обман наивного пользователя, скачивающего и
запускающего очередной «Internet booster» или
пресловутый "Крякер Интернета"). Они и действуют
потом по вирусному принципу, меняя начальную
страницу в браузере на свою и показывая постоянно
рекламу во всплывающих pop-up окнах.
102
28.12.20
пять основных последствий
вредоносных атак
 снижение производительности
компьютеров,
 снижение продуктивности работы,
 снижение пропускной способности
сетевых подключений,
 загрузка вредоносного ПО
 вмешательство в частную жизнь
представляют самую большую
опасность.
103
Исследование 21 Октября 2005 Trend Micro Inc
28.12.20
4.Использование ресурсов удаленной
системы в собственных целях

 Рассылка спам - это рассылка или релеинг (relay)


(пересылка через чужие системы) рекламных и прочих
почтовых сообщений навязчивого характера. Основная
цель спамера - переслать свои сообщения либо с
фиктивного адреса, либо с адреса, который не
позволит его идентифицировать
 Продолжение атак (использование как плацдарм)
 Использование распределенных вычислений
(брутфорс)
 Контроль и управление удаленной системы

104
28.12.20
5.СПАМ
СПАМ – это анонимная массовая непрошенная рассылка.

 Анонимная: все страдают, в основном, именно от автоматических рассылок со


скрытым или фальсифицированным обратным адресом.

 Массовая: эти рассылки именно массовые, и только они являются настоящим


бизнесом для спаммеров и настоящей проблемой для пользователей.

 Непрошенная: очевидно, подписные рассылки и конференции не должны подпадать


под наше определение (хотя условие анонимности и так в значительной мере это
гарантирует).

105
28.12.20
Реклама и реклама незаконной продукции
 Эта разновидность спама встречается наиболее часто — некоторые
компании, занимающиеся легальным бизнесом, рекламируют свои товары
или услуги с помощью спама. Они могут осуществлять его рассылку
самостоятельно, но чаще заказывают её тем компаниям (или лицам), которые
на этом специализируются. Привлекательность такой рекламы заключается в
её сравнительно низкой стоимости и (предположительно) большом охвате
потенциальных клиентов.
 До недавнего времени не было никаких законов, которые запрещали бы или
ограничивали такую деятельность. Сейчас делаются попытки такие законы
разработать, но это довольно трудно сделать. Сложно определить в законе,
какая рассылка является законной, а какая нет. Хуже всего, что компания
(или лицо), рассылающая спам, может находиться в другой стране. Для того,
чтобы такие законы были эффективными, необходимо выработать
согласованное законодательство, которое действовало бы в большинстве
стран, что представляется труднодостижимым в обозримом будущем. Тем не
менее, в США, где такой закон уже принят, делаются попытки привлечь
спамеров к суду.
 С помощью спама часто рекламируют продукцию, о которой нельзя
сообщить другими способами, например порнографию, лекарственные
средства с ограничениями по обороту, ворованную информацию (базы
данных), контрафактное программное обеспечение. 106
28.12.20
Новые разновидности СПАМа

 Скам - мошенничество с помощью спам-


рассылок

 Фишинг при помощи спама

 SPIM (SPAM over IM)

107
28.12.20
Другие виды спама:
 Рассылка писем религиозного
содержания.
 Массовая рассылка для вывода почтовой
системы из строя (denial of service).
 Массовая рассылка от имени другого
лица, для того чтобы вызвать к нему
негативное отношение.
 Массовая рассылка писем, содержащих
компьютерные вирусы (для их
начального распространения).

108
28.12.20
Защита от СПАМа.Общая.
 Правильное конфигурирование доставочного почтового агента
(в UNIX это sendmail, в Windows NT - Exchange).
 Доставочный агент должен руководствоваться примерно
следующими правилами:
1. Принимать и пересылать почту с машин локальной сети.
2. Для приходящего письма— проверять, не входит ли оно в
«черный список». В нем может быть информация о
нежелательных корреспондентах и о замеченных спамерах,
постоянно дополняемые списки которых можно получить в
Интернет.
3. Для приходящего письма - проверять соответствие между
адресом отправителя и его IP-адресом (проверка на отказ от
авторства)*.
4. Для внешних машин - пересылать почту только в том случае,
если описание этой машины есть в соответствующем списке
109
28.12.20
… Защити себя сам…
1. автоматически перенаправлять свою почту на бесплатный онлайн-сервис spamtest.ru
(как его настроить, указано на сайте). Обратно от него, на указанный пользователем
адрес, придут рассортированные письма уже с пометками -- где спам, а где нет.
Причем сам сервис ничего не удаляет. Он только сортирует письма, используя
широкий набор критериев определения спама: лингвистические, статистические,
принадлежность отправителей к "черным" спискам адресов и так далее. Настройкой
фильтров своей почтовой программы пользователю остается только разложить
полученные сообщения по разным папкам "Входящие", "Спам" или сразу в
"Удаленные".

2. локально установить плагин (дополнителный модуль) к почтовой программе.


Например, для Microsoft Outlook это может быть Spam Bully
(http://www.spambully.com/) или SpamFighter (http://www.spamfighter.com/), для The
Bat -- BayesIt! (http://www.ritlabs.com/ru/products/thebat/plugin.php).

3. установить автономные антиспам-программы различных производителей. Или это


может быть сама антивирусная программа со встроенным спам-фильтром. Антивирус
Касперского, кстати, использует у себя разработку от spamtest.ru, "Доктор Веб" --
свою. Неплохую подборку программ можно найти на
http://skyglobe.ru/soft/section/internet/antispam/. А также на
http://www.infonew.ru/show.php?cid=50 110
28.12.20
RootKit
RootKit - набор утилит, которые
хакер устанавливает на взломанном им
компьютере после получения
первоначального доступа для
закрепления во взломанной системе и
сокрытия следа своей деятельности.

111
28.12.20
BIOS (прогноз)
1. Руткит может пережить перезагрузку
и выключение компьютера
2. Руткит не будет оставлять никаких
записей на диске
3. Руткит сможет пережить
переустановку ОС.
4. Руткит будет сложно обнаружить
5. Руткит будет сложно убрать
112
28.12.20
 - Как используя этот язык высокого уровня засунуть
многообразные основные функции любого современного
руткита в БИОС,
 - как добиться автономии (самостоятельного
функционирования)
 Если использовать операционную систему, значит из всех
преимуществ сразу исчезают пункты 2,3,4 (его становиться
вполне просто обнаружить из-за наличия посторонних
файлов или записей, которые к тому же еще и зависят от
принципа функционирования самой ОС). Его возможно будет
сложно убрать, но я думаю в большинстве случаев простая
перепрошивка или замены чипсета BIOS на аналогичный
дело поправит.
 практически все современные материнские платы содержат
перемычку, которая позволяет физически запретить любую
запись во флеш память БИОСа, что ведет к полному краху
каких либо надежд, по крайней мере, в половине случаев.
 Кстати, этот метод появился не вчера, стоит вспомнить,
например, вирус WINCIH, который в себе содержал функции
по перезаписи флеш памяти БИОСа, чем и приводил
компьютерную систему к полному краху. Однако я не думаю,
чтоб автор вируса тогда задумывался над операциями
посложнее банальной случайной перезаписи, а тем более над 113
реализацией руткита. 28.12.20
How Many Incidents?
From theOutside?
From the Inside?

114
28.12.20
Внутренние атаки
К этому типу относятся все
компьютерные преступления, совершенные
или посвященным лицом, или человеком со
стороны, но с помощью лица, которое
обладало конфиденциальной информацией о
жертве. Посвященным лицом может быть
сотрудник корпорации или любой другой,
кто имеет доступ к секретной информации о
внутренней системе корпорации.
115
28.12.20
Потери 144 опрошенных 2008 г.

116
28.12.20
Потери от атак инсайдеров

117
28.12.20
Активность инсайдеров набирает обороты. Каждый следующий
месяц приносит еще больше утечек, чем предыдущий. Растет и
ущерб от инцидентов внутренней безопасности.

Апрель 2007 не стал исключением. Более двух десятков утечек


зарегистрировано за месяц. Число пострадавших приближается
к 3,5 млн.
Огромный ущерб (свыше 500 млн долларов) понесла вследствие
утечки компания ACS.
Еще больше потеряла NCsoft из-за инсайдерской выходки
уволенных программистов. Ее убытки составили 1 млрд.

118
28.12.20
В последние годы хорошо просматривалась тенденция к
постепенному увеличению убытков вследствие утечек. Наблюдение
касается и среднего ущерба на один инцидент, и максимальных
размеров отдельных утечек. Поэтому утечки с ущербом в несколько
десятков миллионов долларов уже не шокируют. Тем не менее,
астрономические величины потерь в сотни миллионов и даже
миллиарды не могут не задевать. Ведь от действий инсайдеров не
застрахована ни одна организация. И если информация не
защищена от утечек с помощью современных комплексных систем,
убытки могут привести к банкротству компании.

119
28.12.20
Дата занесения Число
№ Инцидент Ущерб
в базу пострадавших
Программисты-инсайдеры из NCsoft
1 продали конкурентам программный код 25 апреля Нет данных 1 млрд долл.
онлайновой игры Lineage III

Что касается NCsoft, софтверная компания


также на протяжении некоторого времени
испытывала проблемы с внутренним
менеджментом. Утечки данных
происходили осенью 2006 года. Чтобы
улучшить ситуацию, владельцы уволили
руководителя проекта, но это лишь
обострило проблемы. Вслед за начальником
команды компанию покинуло большое
число разработчиков. Семеро
программистов перед увольнением
скопировали код новой игры. А вскоре Благодаря мести программистов
вышли на связь с конкурирующей японской поклонники Lineage не скоро
фирмой и продали исходники. По оценкам увидят новую версию игры
NCsoft, убыток составит свыше миллиарда
долларов, что сопоставимо с продажами
двух предыдущих версий игры. 120
28.12.20
Топ-10 инцидентов внутренней безопасности, апрель, 2007
№ Инцидент Дата занесения в базу Число пострадавших Ущерб

Программисты-инсайдеры из NCsoft продали конкурентам


1 25 апреля Нет данных 1 млрд долл.
программный код онлайновой игры Lineage III
Компания Affiliated Computer Services пересылала
2 незащищенный диск с приватными данными жителей 9 апреля 2,9 млн человек 510 млн долл.
штата Джорджия. До адресата диск не дошел
У субподрядчика корпорации Neiman Marcus Group Inc.
3 украли ноутбук с номерами социального страхования 27 апреля 160 тыс человек 29 млн долл.
работников компании
Bank of America потерял ноутбук с персональными
4 20 апреля 40 тыс человек 13 млн долл.
данными работников
В мусорном отстойнике колледжа на юго-западе Атланты
5 обнаружены свыше 30 коробок с регистрационными 16 апреля 75 тыс человек 10 млн долл.
формами избирателей.
На правительственном сайте в течение 10 лет размещались
6 номера социального страхования большого количества 16 апреля 63 тыс человек 8,8 млн долл.
фермеров
Компания Caterpillar потеряла лэптоп с персональными
7 26 апреля 35 тыс человек 6,1 млн долл.
данными работников
Университет Калифорнии в Сан-Франциско допустил
8 3 апреля 46 тыс человек 5,5 млн долл.
утечку из базы данных приватных сведений студентов

Инсайдеры из чикагского Управления средними школами


9 11 апреля 40 тыс человек 5,3 млн долл.
украли два ноутбука с данными о преподавателях

Из базы данных университета Огайо просочились


10 персональные данные бывших и нынешних работниках 19 апреля 14 тыс человек 2 млн долл
ВУЗа 121
Источник: InfoWatch, 2007 28.12.20
Как подсчитывать убытки?

Ущерб от утечек рассчитывается по-своему


для каждого конкретного случая. Тем не
менее, существует общая методика, с
помощью которой можно оценить примерные
убытки.

122
28.12.20
В основе схемы лежит общее число пострадавших людей и характер утечки.
Далее оценивается предварительный ущерб. Это можно сделать, базируясь на
актуальном для США законе, который требует уведомлять граждан, чьи
персональные оказались скомпрометированы*. Уведомления об инциденте
рассылает организация, которая допустила утечку. В некоторых случаях, одни
почтовые расходы тяжелым бременем ложатся на бюджет компаний. Средние
расходы на извещение каждого потерпевшего можно взять из различных
исследований. Далее определяется число граждан, которые станут жертвой
мошенников из-за конкретной утечки. Количество жертв различается для
каждой страны и сферы деятельности организации. Обычно, это значение
составляет от нескольких десятых процентов до нескольких процентов от
общего числа людей, чья информация скомпрометирована. Если какие-то из
показателей не могут быть определены однозначно, берутся усредненные
величины на основе численной или эмпирической оценки. Когда посчитан и
этот ущерб, учитываются дополнительные обстоятельства каждого случая.
Например, для коммерческой компании убытки вследствие потери имиджа
будут значительно выше, чем для государственного университета. Не
последнюю роль играет и мнение местных экспертов относительно перспектив
дела.

123
28.12.20
Рассмотрим для ясности пример с кражей персональных данных из
Bank of America. На пропавшем ноутбуке находились персональные
данные примерно 40 тыс сотрудников сети банков. Обратимся к
исследованию "2006 Annual Study - Cost of a Data Breach". По
данным Ponemon Institute, прямые издержки составляют в среднем
54 долл. на каждого пострадавшего. Это траты на почтовые и
телефонные уведомления, внутренние расследования, найм
адвокатов и пр. В нашем случае общие прямые издержки получатся
2,16 млн. долл. Средние косвенные издержки составляют по 30
долл. на одну украденную запись. Тогда общие косвенные убытки
будут равны 1,2 млн.
Bank of America потерял ноутбук с
13 млн
4 персональными данными 20 апреля 40 тыс человек
долл.
работников

124
28.12.20
В данной ситуации можно предположить, что Bank of America
избежит издержек упущенной выгоды. Ведь утеряны данные
не клиентов, а собственных служащих. Разумеется, часть
работников могла уволиться из филиалов. Чтобы не
допустить этого, руководство Bank of America уже
пообещало, что все люди, чьи данные находились на
украденном лэптопе, получат бесплатный мониторинг счетов
в течение 2 лет. Цены на подобную услугу достаточно
стабильны в различных агентствах и составляют порядка 120
долларов в год на одного человека. Это еще 9,6 млн долл.
Прибавим сюда уже посчитанные 3,36 (2.16+1.2) млн
косвенных и прямых издержек. Получим итоговое значение
12,96 млн долл.
Bank of America потерял ноутбук с
4 20 апреля 07 40 тыс человек 13 млн долл.
персональными данными работников

Разумеется, посчитанные таким способом цифры не точно


совпадают с реальными убытками в каждом случае. Однако эти
значения дают представление о масштабах ущерба и в целом
соответствуют настоящему положению дел. 125
28.12.20
Percentage Experiencing Web
Site Incidents

126
28.12.20
Среди инцидентов последнего времени можно выделить несколько
закономерностей. К традиционно большому числу мобильных
утечек добавилось множество веб-утечек. Нередко сайты имеют
уязвимости, которые позволяют получить доступ к данным. Но
гораздо чаще информация просто находится в свободном
пользовании. По ошибке веб-мастера выкладывают всевозможные
сведения. В некоторых случаях приватные данные размещают
временно, но потом забывают убрать. Впрочем, понятие "временно"
для интернета не совсем актуально. Современные поисковые
машины быстро индексируют содержимое доступных страниц и
сохраняют данные в кэше. После этого информация будет доступна
пользователям глобальной сети, даже если оригинальную страницу
уже убрали с сервера.

127
апрель 2007
28.12.20
Кроме того, в апреле зафиксировано три инцидента, когда
утечка происходила во время транспортировки носителей. Многие
компании совершенно неверно относятся к пересылке носителей с
данными*. Информация при этом оказывается особенно уязвимой,
поэтому следует в обязательном порядке шифровать
чувствительные файлы.

Еще одна распространенная ошибка – неправильная


утилизация документов с конфиденциальной информацией.
Проблема относится и к электронным носителям, и к бумагам.
Недавно целый ряд британских банков получил строгие взыскания
от регуляторов, а общество Nationwide Building Society заплатило
штраф в 900 тыс фунтов стерлингов. Теперь привычку выбрасывать
персональные данные клиентов переняли американские компании.

128
28.12.20
Как, с одной стороны, обеспечить
сотрудников доступом к необходимой для
работы информации, но с другой, защитить
критически важные информационные
ресурсы компании?

129
28.12.20
Реализация политики безопасности
 Обеспечение служащих доступом к требуемым
программам и данным, и только к необходимым
непосредственно для их работы. (пр. 273)
 Надлежащее распределение прав учетных
записей и использование внутренних сетевых
защит.(заявка по уст. форме)
 Обучение всего персонала навыкам
компьютерной безопасности физические меры
защиты.
 Обеспечение критериев безопасности по НТД
ТЗИ
 Современные комплексные системы ЗИ
130
28.12.20
Беспроводные сети
 Атаки отказа в обслуживании
(DDos атаки),
 Атаки "человек посередине",
 Атаки подмены ARP записей.

 Атаки на Bluetooth

131
28.12.20
Атаки "Человек посредине"
 подслушивание
 манипуляция

Для предотвращения атак прослушивания, необходимо


провести шифрование данных на различных уровнях,
желательно используя SSH, SSL, или IPSEC. В противном
случае большие объемы передаваемой конфиденциальной
информации будут попадать к злоумышленникам для
дальнейшего анализа.

132
28.12.20
Атака отказа в обслуживании
(DOS и Distributed Dos атаки)
Цель любой атаки отказа в обслуживании
(DOS- и DDOS) состоит в создании помехи
при доступе пользователя к сетевым
ресурсам. Стандартные методы
инициирования Dos атаки заключаются в
посылке огромного количества фиктивных
пакетов, заполняющих легальный трафик и
приводящих к зависанию систем.DDOS-
респределенная в пространстве DOS-атака.

133
28.12.20
Атака подмены ARP-записей
1)Протокол разрешения адресов ARP
передает по радио трафик на все хосты,
в то время как конкретный пакет
предназначен только для одного хоста
из этой сети Этот хост принимает
сообщение и подтверждает его, а
компьютер породивший сигнал
сохраняет его МАС адрес в кеше.

134
28.12.20
Атака подмены ARP-записей
2) Если компьютер, управляемый новой версией
Windows или даже Linux, обнаруживает пакет,
посылаемый конкретной машиной в сети, то
он принимает, что МАС адрес этого
компьютера правильно сопоставлен с IP
адресом компьютера, пославшего этот пакет.
Все последующие передачи на этот
компьютер будут происходить с
использованием действенного, но плохо
изученного IP адреса, сохраненного в кеше
компьютера для будущих обращений

135
28.12.20
Атака подмены ARP-записей
 А если злоумышленник создаст пакеты с
подделанным IP адресом, в которых будет
утверждаться, что IP принадлежит МАС
адресу его собственного компьютера
 Тогда, все данные передаваемые с хостов,
использующих сокращенный метод изучения
комбинаций МАС/IP адресов, будут
приходить на компьютер злоумышленника, а
не на предназначенных хост

136
28.12.20
Социальная инженерия

Зачастую взломщику проще узнать


пароль у неосторожного пользователя
по телефону («извините, у нас
неисправность, нам необходимо заново
создать ваш бюджет »), чем заниматься
изучением системы защиты.

137
28.12.20
Реальные примеры из почты
«социальной инженерии»
1. Если хочешь посмотреть голую Бритни Спирс,
открой приложение.
2. Это новая прикольная игра (не вирус!).
3. С Вами говорит администратор Вашей сети.
Мы модернизируем сеть и для Вашего удобства
написали программу, которая сама внесет все
необходимые изменения в Ваш компьютер.
Просто запустите ее.
4.Техническая служба Microsoft посылает Вам это
обновление для Windows. Запустите его.
5.Также может прийти и письмо с текстом типа
"мы меняем систему, поэтому сообщите свой
пароль". 138
28.12.20
139
28.12.20
Рекомендации
В электронной почте достаточно легко подделать
обратный адрес и письмо, подобное пункту 2 может
прийти с адреса вашего коллеги, которому вы доверяете.
А письмо, подобное п.3 или 4 может прийти якобы
с адреса настоящего администратора или настоящего
Микрософта. Кстати, проверить, надо ли на самом деле
запускать некий Вложенный файл (attach) можно легко:
позвонив своему админу по телефону. И чем больше в
письме слов СРОЧНО, НЕМЕДЛЕННО, КАК МОЖНО
БЫСТРЕЕ, тем более надо задуматься, может автор
письма торопит вас, чтобы у вас не было времени
задуматься или посоветоваться с более опытными
пользователями. 140
28.12.20
Рекомендации
"мы меняем систему, поэтому сообщите свой
пароль".
Когда позвонить админу нет возможности
или дорого, можно пообщаться с ним по е-
мейлу, но при этом лучше использовать систему
электронной подписи и шифрования (PGP или
Best Crypt). Подделать электронную подпись
вирусы или злоумышленники тоже не могут.
Вирусов, которые могут прикидываться
человеком и вести осмысленный разговор по
телефону еще нет.

141
28.12.20
Aтаки на мобильные
телефоны, смартофоны, PDA
 вывести на дисплее телефона любое
текстовое сообщение
 скачать все данные, хранящиеся в
телефоне (или изменить данные прямо в
телефоне)
 заставить телефон сделать звонок или
отправить sms по любому нужному номеру
("BlueBugging“)
 «Подвесить» телефон (sms на Siemens 4x)
142
28.12.20
143
28.12.20
Атаки на Bluetooth
 Bluesnarfing подразумевает проведение атаки на
bluetooth-устройство (как правило, мобильный
телефон) с целью извлечения из него информации —
например, скачивания адресной книги.
 Bluetracking — это отслеживание перемещений
устройства, а вместе с ним — и его владельца, по
уникальному адресу, аналогичному MAC-адресу
компьютерных сетевых карт.
 Bluebugging заключается в отправке команд на
bluetooth-устройство. Например, можно заставить
сотовый bluetooth-телефон скрытно позвонить самому
взломщику, превратив его в устройство,
подслушивающее своего ни о чем не подозревающего
владельца. 144
28.12.20
Bluetooth

 Стандарт передачи данных по


радиоканалу до 10м
 Поддерживается широким спектром
современного оборудования (телефоны,
КПК, ноутбуки…)

Dell Latitude D800 - ноутбук со встроенным BlueTooth-модулем


145
28.12.20
BlueSnarfing

Рекорд" 30 июля’04: дистанция 1 км


"Голубой снайпер"
(BlueSniper)
и его винтовка 146
28.12.20
Дальний bluesnaffering:
мировые "рекорды"

147
Источник: CNews.ru 28.12.20
Defcon - Скляров, Дмитрий Витальевич
Российский программист, разработчик алгоритма программы
Advanced eBook Processor, выпущенной московской фирмой
«Элкомсофт» и предназначенной для обхода защиты
электронных книг в формате Adobe PDF.

16 июля 2001 года на проходившей в США конференции DefCon


Дмитрий представил свой доклад на тему защиты электронных
книг и продемонстрировал практически полную
незащищенность формата PDF с использованием программы
Advanced eBook Processor.

Непосредственно после окончания конференции он был


арестован ФБР по обвинению фирмы Adobe во взломе системы
защиты электронных документов Adobe, после чего провёл
несколько месяцев в тюрьме до выпуска под залог.

В декабре 2002 года был признан судом присяжных города Сан-


Хосе невиновным в инкриминированном ему преступлении.[1].
Bluetooth - безопасность зависит от
настройки : опознание, разрешение, кодировка
Спецификация bluetooth имеет три основных защитных
режима которые могут использоваться как по отдельности,
так и в различных комбинациях.
 В режиме 1 никаких мер для безопасного использования
bluetooth-устройства не предпринимается. Любое другое
устройство имеет доступ к его данным.
 В защитном режиме 2 активируются меры безопасности,
основанные на процессах опознания (или аутентификации —
authentication) и разрешения (или авторизации —
authorization). В этом режиме определяются различные
уровни «доверия» (trust) для каждой услуги, предложенной
устройством.
 Защитный режим 3 требует опознания и кодировки (или
шифрования — encryption).
Защита bluetooth базируется на трех основных процессах:
опознание, разрешение и кодировка.

149
28.12.20
Web 2.0 технологии *(статья)
 Поисковики – ХРАНИТЬ ВЕЧНО
 Социальные сети

150
28.12.20
Утечка приватной информации сотрудников ФБР, ЦРУ и АНБ
Поисковики
В результате непонятной ошибки база данных, содержащая персональные сведения о 3,8 тыс. граждан США и
находящаяся на попечении компании Guidance Software, оказалась открыта для публичного доступа из Интернета.
Фирма Guidance Software, несущая за это ответственность, специализируется на защите информации
правительственных агентств. Таким образом, среди скомпрометированных записей львиная доля приходится на
сотрудников ФБР, ЦРУ и АНБ.

Клиентская база данных американской компании Guidance Software оказалась не то что незашифрованной, но еще и
открытой для публичного доступа из Интернета. По сути, любой пользователь Глобальной Сети мог получить
персональные сведения любого из 3,8 тыс. человек, занесенных в базу Guidance Software. В число этих записей
вошли имена, адреса, номера кредитных карт и сроки окончания их действия. Между тем профиль деятельности
фирмы состоит в обеспечении ИТ-безопасности государственных силовых ведомств, так что в открытом доступе
оказались сведения именно сотрудников ФБР, ЦРУ и АНБ, сообщает eWeek.com.

Письмо, информирующее об утечке секретных данных, было разослано 7 декабря 2005 года. В этом сообщении
руководство Guidance Software сослалось на брешь в своей базе данных. Однако эксперты не понимают, как можно
говорить о бреши, когда вся база оказалась незашифрованной, да еще и открытой всему миру. Пользователям
Интернета даже не нужно было иметь никаких технических знаний, кроме умения пользоваться собственным
браузером.

Таким образом, данный инцидент признан угрозой национальной безопасности. Если от финансового
мошенничества еще можно защититься с помощью мониторинга финансовой активности, то разглашение секретных
государственных сведений является намного более серьезным инцидентом. Вдобавок, по некоторым сведениям, в
базе содержалась персональная информация руководителей правоохранительных органов целого ряда других стран
помимо США. Утечки сверх секретных сведений не являются редкостью в наше время. В начале 2005 года
произошло сразу несколько подобных инцидентов.
151
 http://www.infowatch.ru/press/news/risks/214/
28.12.20
 В начале февраля 2005 года несколько тысяч секретных документов, принадлежащих
Департаменту внутренней безопасности США (Department of Homeland Security), оказались
доступными для пользователей поисковой системы Google.

 В середине февраля 2005 года произошла утечка секретного 75-ти страничного документа из
Министерства Обороны Нидерландов. Как показало расследование, администратор,
работающий в военном ведомстве, взял секретный незашифрованный документ к себе домой,
чтобы поработать в неурочное время. Либо умышленно, либо по случайности
конфиденциальный документ оказался в папке с общим доступом, в то время как компьютер
сотрудника был подключен к сети обмена файлами KaZaA. Таким образом, к секретному
документу, содержащему сведения об операциях по прослушиванию и записи телефонных
разговоров, мог получить доступ любой пользователь, подключенный к Интернету.

 В конце февраля 2005 года в Польше был опубликован список из 250 тыс. агентов и
информаторов, работавших на секретные службы в советский период. Как отметил премьер-
министр Польши, Марек Белка, некоторые из этих агентов по-прежнему могли быть активными.
Расследование показало, что утечка информации произошла из Национально архивного
института (National Remembrance Institute).

 «Инцидент с Guidance Software является прямым следствием отсутствия комплексного подхода к


ИТ-безопасности. Компания, во-первых, не удосужилась зашифровать секретные сведения, во-
вторых, не проследила за настройками своей базы данных, которая оказалась в открытом
доступе, и, в-третьих, никоим образом не защитила чувствительные данные от утечки. Между
тем, любой нормальный продукт для предотвращения утечек не только бы вовремя
просигнализировал об открытости конфиденциальной информации для свободного доступа, но и
заблокировал бы этот доступ. Таким образом, совсем непонятно, как Guidance Software может
защищать правительственные структуры, если компания не справляется с защитой столь малого
объема секретных данных», — считает Денис Зенкин, директор по маркетингу компании 152
InfoWatch. 28.12.20
Security Technologies Used

153
28.12.20
154
28.12.20
155
28.12.20
Мы видим количественное
увеличение использования
технологий защиты, и как
следствие неуклонное
снижение финансовых
потерь

157
28.12.20
Защита

 Обучение и «Воспитание»
пользователей
 Отсутствие на сервере работающих
незащищенных сервисов и разумная
политика в выборе паролей
пользователями и сисадминами
потребуют от взломщика весьма
приличной "Квалификации". 158
28.12.20
Абсолютной защиты нет!
 Единственный защищенный от
внешних угроз компьютер – тот,
который заперт в комнате, не связан с
сетью и экранирован от всех видов
электромагнитных излучений.

159
28.12.20
Интернет
Любое подключение к Интернету
является двусторонним и поэтому
небезопасным. Однако большинство
атак из Интернета основаны либо на
человеческих слабостях, либо на
неправильной настройке оборудования
и программного обеспечения, которые
реализуют подключение к Интернет.
Любые атаки основанные на
технологиях используемых в сети
Интернет, могут быть применены и в
Интранет.
160
28.12.20
Источники дополнительных сведений
 Рассылки по безопасности:
inet.safety.bezpeka (231586)
inet.bugtraq.rsn (231586)
business.oxpaha
inet.bugtraq
inet.safety.firewall
Рассылки Internet Security Systems www.iss.net
 Хак-сайты
(не забываете про осторожность)
 Атаки на беспроводные сети
http://www.securitylab.ru/46519.html
 Алексей Лукацкий, «Обнаружение атак (2-е
издание)», издательство "BHV-СПб" · 2003 г. · 596
стр.
161
28.12.20
Спасибо за внимание !