Опубликован: 10.10.2007 | Уровень: специалист | Доступ: платный
Лекция 12:

Виды сетевых атак и основные уязвимости

< Лекция 11 || Лекция 12: 12345 || Лекция 13 >

Phishing (password harvesting fishing) – получение паролей, PIN-кодов и пр. (последующая кража информации). Этот вид атаки начинается с рассылки почтовых сообщений, содержащих ссылку на известный ресурс (или имитирующий такую ссылку). Дизайн WEB-страницы обычно копируется с воспроизводимого ресурса. На фальсифицируемой странице может быть, например, написано, что банк, где вы имеете счет, проводит акцию по проверке безопасности доступа. Вам предлагается ввести номер вашей кредитной карты и PIN-код. Если вы это сделаете, злоумышленники сообщат, что все в порядке, а с вашего счета через некоторое время пропадут деньги. Но если это не сопряжено с банком, опасность такой атаки нисколько не уменьшается. Получив доступ к вашему акаунту, злоумышленники получат доступ к конфиденциальной информации и т.д. (смотри http://antiphishing.org/APWG_Phishing_Activity_Report_ April_2005.pdf). Число атак типа phishing за апрель 2005 года составило 2854, месячный рост — около 15%, и тенденция увеличения числа таких атак сохраняется. Мошенники могут объявлять себя сотрудниками Красного Креста, собирающими помощь для жертв землетрясения или урагана, и т.д..

Владелец сервера или рабочей станции может получить сообщение, например, из компании Microsoft, какого-то известного поставщика антивирусных программ или определенной службы ФБР или МВД. Оформление сообщения может быть выполнено в соответствии со стилем и снабжено традиционными символами этой фирмы. В этом уведомлении утверждается, что в рамках компании по проверке сети Интернет обнаружено, что машина получателя производит рассылку зараженных spyware сообщений или сама заражена каким-либо вирусом. Чтобы минимизировать ущерб, компания предлагает бесплатно скопировать программу по локализации и удалению spyware. При этом "благодетели" могут попросить на время копирования отключить антивирусную защиту, если таковая имеется. Если получатель данного уведомления последует данному совету, он обнаружит и ликвидирует на своей машине какое-то число вредных программ. Но с очень высокой вероятностью на его машине обоснуется троянский конь или другая программа spyware.

Хакер может прикинуться сотрудником организации и написать, что он забыл пароль. Служба администратора часто присылает новый пароль, не проверяя личность человека, приславшего запрос. Терминалы иногда стоят в общедоступных помещениях, а сотрудник может ненадолго отойти от дисплея, не прерывая сессию, — посторонний может сесть на его место, поменять пароль или загрузить троянского коня, получив доступ в систему. Злоумышленник может подсмотреть пароль и через плечо работающего легального пользователя. Хорошей практикой является отсутствие документов (и тем более паролей!) на вашем рабочем столе. Длительная пауза в работе должна автоматически запирать дисплей. Критическая информация в laptop или notebook должна быть зашифрована. Одним из возможных средств атак является использование IDN (International Domain Name). Дело в том, что в системах, поддерживающих IDN, допускается использование букв национальных алфавитов, а, например, некоторые буквы латинского и русского алфавитов пишутся идентично. Этим могут воспользоваться злоумышленники, они могут зарегистрировать имена, которые выглядит как имена известной фирмы, например, microsoft.com, где некоторые буквы заменены на русские, так что это внешне не заметно, например, буквы "с" или "о". Тогда при ошибочной замене одной или нескольких букв на русские клиент попадет не на сайт компании Microsoft, а на внешне не отличимый от него сайт злоумышленника. В среднем электронные мошенничества наносят ущерб порядка 895$, частота же таких преступлений достаточно быстро растет. Пример подобного сообщения представлен ниже (я получил это сообщение на свой адрес в ЦЕРН (Женева)):


Анализ инцидента показал, что произведена полная подмена страниц. Утилита Traceroute указывала на вроде бы легальный адрес в США...

Разновидностью такого рода атак является атака через DNS (или каким-то иным способом), когда страница известного URL подменяется страницей злоумышленника (spoofing). Большую угрозу могут представлять фальсификации серверов обновления (WINDOWS, антивирусных библиотек и т.д.), так как при таком "обновлении" в ЭВМ жертвы может быть записана любая вредоносная программа. Сходную угрозу может представлять интерактивная игра, которая, например, при переходе с одного уровня на другой, предлагает загрузить некоторый программный модуль.

Самой авторитетной организацией по противодействию фишингу является APWG (Anti- Phishing Working Grouphttp://www.antiphishing.org/). Эта структура мониторирует появление подставных сайтов, используемых для фишинга.

Проверить сайт на "благонадежность" (отсутствие фишинговых ловушек) можно с помощью http://linkscanner.explabs.com/linkscanner/.

Существуют и другие угрозы, например, так называемая "Молдавская связь". Суть этой уловки, использованной впервые одним из провайдеров в Молдове, заключается в том, что в каком-то депозитарии или web-странице приводится ссылка на некоторый привлекательный объект, например, набор эротических картинок. Но для их просмотра предлагается скопировать себе специальную программу. При запуске оговоренной программы канал связи с местным провайдером разрывается и устанавливается связь через модем с другим удаленным провайдером. Это особенно опасно для людей, подключенных к Интернет через модем, так как может стоить им многие сотни долларов за пользование междугородним телефоном.

Троянский коньпрограмма, записывающая все нажатия клавиш на терминале или мышке, способна записывать screenshot’ы и передавать эти данные удаленному хозяину. Если на ЭВМ оказался установленным общеизвестный троянский конь, машина становится уязвимой. Именно с этим связано сканирование хакерами номеров портов известных троянских коней. Многие современные вирусы и черви могут загружать в зараженную ЭВМ троянского коня (или программу spyware ), целью которого может быть получение не только паролей, но также номеров кредитных карт и PIN-кодов. В некоторых случаях зараженная машина может стать источником DoS-атаки. В 2005 году троянский конь был отловлен на правительственном WEB-сервере КНР. Обнаружить извне троянского коня или черный ход методом сканирования портов становится достаточно сложно. Хакер устраивает так, что сначала нужно послать запрос на соединение через порт Р1 (отклика не посылается), затем через порт Р2 и т.д., и только после n-ого запроса через порт Pn программой, установленной на машине жертвы, посылается отклик и открывается доступ извне.

Spyware. Эта разновидность программ не обязательно вредоносна. Некоторые разработчики software встраивают такие программы в свои продукты, чтобы отслеживать предпочтения своих клиентов. К сожалению, не все эти программы столь безобидны. Некоторые программы spyware в соответствии со своим названием отслеживают действия хозяина машины, куда эта программа внедрена (нажатия клавиш, посещаемые сайты, конфиденциальную информацию и т.д.) и передают результаты своему хозяину. Например, вы через Интернет вошли на сайт своего банка и осуществили платеж. При этом вам пришлось ввести номер кредитной карты и PIN-код. Если на вашей машине установлен троян, эта информация может стать известной хозяину троянского коня. Исследования, проведенные в 2004 году, показали, что 90% РС имеют какой-то вид spyware (это не обязательно троянские кони).

В среднем каждая ЭВМ содержит в себе до 26 разновидностей spyware программ (возможно, это и преувеличение, но если вы не предпринимали специальных мер, как минимум одна такая программа в вашей ЭВМ имеется). Следует учитывать, что spyware ( adware или malware) имеют примерно те же возможности, что и троянский конь, но встраиваются в другие программы и распространяется несколько другими методами. Кроме того, в отличие от троянских коней эти программы часто не обнаруживаются антивирусными программами. (Смотри http://www.earthlink.net/about/press/pr_spyAudit, http://www.ssppyy.com и securityresponse.symantec.com.)

Spyware может попасть к вам вместе с поздравительной открыткой. Если хотя бы один пользователь откроет такую открытку, вся система окажется скомпрометированной. 80% данных spyware отсылает своему хозяину по почте (порт=25), некоторые разновидности этих программ содержат в себе почтовый сервер.

Заражение spyware может осуществиться традиционно через почту, IM (Instant Messaging) или в результате посещения скомпрометированного сайта. Некоторые компании, стремящиеся заполучить клиентов, разрешают инсталляцию кодов на свои серверы, чтобы отслеживать клиентов. Такие коды заражают посетителей. Особенностью некоторых видов spyware является их тесная связь с операционной системой, что часто мешает их удалению и очистки от них ЭВМ. Относительно новым источником заражений становятся блог-серверы. В настоящее время нет единого решения проблемы spyware. Наиболее эффективной является комбинация образования и технологических средств. Нужно объяснить сотрудникам, что не следует посещать неавторизованные сайты или брать домой свой служебный laptop, так как дома их дети или родственники могут с помощью этого компьютера заглянуть на сомнительный сервер и заразить машину. Это может в свою очередь привести к заражению ЭВМ локальной сети компании, защищенной Firewall. Нельзя также полагаться на традиционные антивирусные средства защиты.

Существует множество программных средств, способных обнаружить известные версии spyware или блокировать связь этих программ с хозяином (например, R3000). Но, выбирая такое программное средство, нужно быть осторожным, особенно в отношении малоизвестных источников, некоторые из этих программ сами могут оказаться разновидностями spyware. Здесь, так же, как в случае антивирусных программ, остается незакрытой возможность заражения новой версией spyware, которая пока не попала в базу данных программы детектирования.

Проверка моей машины с помощью программы BPS spyware показала, что там содержится около 2000 таких программ (машина не сканировалась на предмет spyware ); всего по результатам сканирования удалено 17825 объектов – большинство из них – это cookie), но с момента инсталляции ОС на машине работала антивирусная программа. Последние полгода там работал ZoneAlarm. Полная очистка ЭВМ от spyware, размещенных в файлах, в cookies, в реестре и т.д., заняла достаточно много времени.

< Лекция 11 || Лекция 12: 12345 || Лекция 13 >
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Александр Добровольский
Александр Добровольский
Украина, Херсон, Хнту, 2012
Олег Сорокин
Олег Сорокин
Латвия, Рига, РКИИГА, 1988