Безпека в бездротовому світі

Джон Вакка

Ви коли-небудь серйозно замислювалися про те, що відбувається, коли ви сидите в кав`ярні і використовуєте її безкоштовну Wi-Fi-мережу для Інтернет-серфінгу, перевірки електронної пошти або оновлення своєї сторінки в Facebook? Навряд чи. У наш час людина, яка сидить поруч з вами і потихеньку попиває каву, може відкинутися в кріслі і підглянути, які веб-сайти ви відвідуєте, потім підібрати ваші ідентифікаційні дані і зайти на ці сайти. Як вам це?

Безкоштовна програма Firesheep може витягти з даних вашого веб-браузера cookie для кожного веб-сайту, який ви відвідали. Ці cookie містять ідентифікаційну інформацію про вашому комп`ютері і параметрах сайтів, на яких ви були, плюс задану вами особисту інформацію для кожного сайту. Після того, як Firesheep отримає ці cookie, зловмисний користувач зможе з їх допомогою заходити на сайти під вашим ім`ям і, в деяких випадках, отримати повний доступ до ваших облікових записів.

Можливо, ви задалися питанням: «Чим це може загрожувати для моєї мережі?». Якщо нічого не підозрюючи користувач зробить торгову транзакцію або банківський переказ в той момент, коли Firesheep краде cookie його браузера, то хакер потім зможе увійти на сайт як користувач, дані якого скомпрометовані, і спустошити його рахунок.

Раніше тільки найдосвідченіші і хитромудрі хакери, які мають дорогі інструментальні засоби і масу часу, могли завдати такої шкоди захищеним мереж. Сучасні хакери, подібно професійним злодіям зі спеціалізованими відмичками, можуть отримати в своє розпорядження лякаюче великий інструментарій для прихованого пошуку слабких місць вашої мережі.

Цей діапазон засобів простягається від простого зловмисного ПЗ для підбору паролів і записи (протоколювання) натискань на клавіші до методів впровадження рядків зі складним паразитичним ПО для того, щоб копіювати потоки даних, які виходять від клієнтів, які збираються виконувати транзакції електронної комерції через вашу компанію. Ось деякі з найбільш поширених інструментів:

• Сніффери (sniffers) бездротових мереж: ці пристрої можуть не тільки виявляти сигнали бездротових мереж в певному діапазоні, а й витягати дані, що передаються цими сигналами. З ростом популярності пристроїв, що підтримують бездротові мережі, ця технологія стає все більш небезпечною з точки зору розголошення критично важливих даних і заподіює істотну головний біль ІТ-відділам.
• Сніффери пакетів: ці інструменти «присмоктуються» до мережевих потоків даних і пасивно аналізують пакети даних, що проходять туди і назад по мережному інтерфейсі. Інші утиліти цього типу перехоплюють пакети даних, що проходять через мережевий інтерфейс.
• Сканери портів: хороша аналогія для цих утиліт - злодій, який бродить десь поруч і шукає відкриту або незачинені двері. Ці утиліти раз по раз відправляють запити з`єднання, послідовно перебираючи порти цільової системи в пошуках порту, який відгукнеться або відкритий для запитів. Деякі сканери портів дозволяють хакеру уповільнити швидкість сканування портів - відправляють запити через більш тривалі періоди, щоб знизити ймовірність, що атаку виявлять. Як правило, метою цих пристроїв є старі забуті «потаємні ходи» або поти, які випадково забули захистити після змін в мережі.
• «Простукування» портів (port knocking): іноді мережеві адміністратори створюють секретний метод проникнення через порти, захищені брандмауером, - секретний «стукіт», що дозволяє їм швидко отримати доступ до мережі. Засоби «простукування» портів дозволяють знайти такі незахищені зони і впровадити троянського коня, який прослуховує мережевий трафік, чекаючи цей секретний стук.
• Протоколювання натискань на клавіші: ці шпигунські утиліти «присмоктуються» до уразливих системами і записують натискання користувача на клавіші. Очевидно, що коли хтось сидить поруч і записує кожне натискання на клавішу, що виконується користувачем, отримання важливої ​​інформації, такої як ім`я користувача, пароль або ідентифікатор, займе не так вже й багато часу.
• Засоби віддаленого адміністрування: ці програми впроваджуються в систему нічого не підозрює користувача і дозволяють хакеру взяти систему під контроль.
• Сканери мереж: вони досліджує мережі, щоб дізнатися кількість і види хост-систем мережі, доступні служби, ОС хостів і типи використовуваних засобів фільтрації пакетів або брандмауерів.
• Засоби злому паролів: Вони прослуховують мережі в пошуках потоків даних, пов`язаних з паролями, потім використовують метод грубої сили, щоб зняти всі шари шифрування, що захищають ці паролі.

Боти на продаж

Три роки тому боти були розвивається загрозою. Тепер організовані групи кібер-злочинців почали створювати і продавати на відкритому ринку набори інструментів, які можуть використовувати для створення своїх власних бот-мереж навіть недосвідчені хакери, які не вміють програмувати. Вони пропонують широкий круг простих у використанні (або заздалегідь запрограмованих) модулів, які цілеспрямовано орієнтовані на поразку систем, що використовують найпопулярніші технології. Часто в них входить консоль управління, яка дозволяє управляти кожною зараженої системою і опитувати комп`ютери, заражені бот-вірусом. Інструментарій Zeus містить модулі, що дозволяють користувачам створювати віруси, мутують щоразу, коли вони впроваджуються на нову хост-систему.

Відео: Як я «зловив» коротке замикання або техніка безпеки

Що ж являють собою боти? Боти ще називають інтернет-ботами, веб-роботами або WWW-роботами. Це невеликі програмні додатки, які виконують операції, якими керують через Інтернет. Як правило, це прості операції, які в іншому випадку довелося б доручити людям, але роботи роблять їх набагато швидше.

При зловмисному використанні вони, по суті, стають вірусами. Вони непомітно поширюються на величезну кількість незахищених комп`ютерів. Вони зламують ці комп`ютери, як правило, без відома власників і перетворюють їх в «рабів», що виконують волю хакера. Ці заражені комп`ютери, звані ботами, зв`язуються в величезні і, частіше за все, не обнаружіми мережі, звані бот-мережами. Бот-мережі проектуються так, щоб інструкції, що надходять з центрального комп`ютера, швидко поширювалися між іншими «ботами» мережі.

Нові бот-мережі тепер використовують метод однорангового обміну даними, оскільки в них немає централізованої точки управління, яку можна було б ідентифікувати, і в результаті органам правопорядку стає складно або навіть неможливо засікти бот-мережу. Оскільки такі мережі часто перетинають міжнародні кордони і поширюються на країни, у яких немає можливості провести розслідування і припинити їх діяльність, вони ростуть із загрозливою швидкістю. Вони стали настільки прибутковими, що перетворилися в улюблене засіб хакерів.

Боти бувають різних видів. Існують боти, які збирають адреси електронної пошти (спам-боти) - віруси і «черв`яки» - боти, які змінюють імена файлів-боти, які купують величезну кількість місць на концерти- і боти, які виконують якусь спільну роботу в бот-мережах або здійснюють скоординовані атаки на комп`ютери, що входять до мережі. Бот-мережі процвітають, оскільки багато користувачів не знайомі з базовими принципами комп`ютерної безпеки, такими як установка або оновлення антивірусного ПЗ, регулярний пошук підозрілого коду і т.д. Тому вони стають мимовільними співучасниками.

Відео: Світ без воєн Мюнхенська промова Путіна пропонувала Заходу нову систему безпеки

Комп`ютери, які одного разу взяли під контроль і перетворили в боти, стають каналами, через які швидко поширюються величезні обсяги спаму або шкідливих програм. Згідно з поточними оцінками в Інтернеті 800 мільйонів комп`ютерів і до 40 відсотків з них є ботами, контрольованими кібер-злочинцями і використовуваними для поширення нових вірусів, несанкціонованих розсилок по електронній пошті, перевантаження веб-сайтів DoS-атаками (Denial-of-Service) або викачуванням цінних призначених для користувача даних через банківські та торговельні веб-сайти, які виглядають і працюють однаково справжнім сайтам, з якими клієнти працювали раніше.

Ті, хто управляє бот-мережами - їх ще називають «господарями» (herders) можуть здавати свої мережі в оренду тим, хто потребує потужних і не обнаружімих засобах масової розсилки реклами, але не має фінансових і технічних ресурсів на створення власних мереж. Ще більше погіршує ситуацію те, що технології бот-мереж доступні в Інтернеті за ціною менше $ 100. Це дозволяє відносно легко почати те, що може перетворитися на надзвичайно прибутковий бізнес.

симптоми вторгнення

Простої присутності в Інтернеті досить, щоб стати мішенню. Це всього лише питання часу, коли ви потрапите під першу атаку. Вона може бути чимось, що виглядає невинно, як наприклад, кілька невдалих спроб входу, або очевидно, коли хакер намагається зіпсувати ваш веб-сайт або поламати вашу мережу. Важливо, щоб ви придбали розуміння, що ви уразливі.

Хакери спочатку прагнуть знайти відомі слабкості в вашої ОС або будь-якому використовуваному вами додатку. Потім вони починають зондування, відшукуючи діри, відкриті порти або забуті потаємні ходи - помилки в вашій системі забезпечення безпеки, якими можна швидко і без зусиль скористатися.

Мабуть, один з найбільш типових симптомів вторгнення - спроби або успішного вторгнення - повторювані ознаки, що хтось намагається використовувати власні захисні системи вашої організації. Справді, інструменти, які ви застосовуєте для відстеження підозрілої мережевої активності, можна досить ефективно використовувати проти вас. Такі інструменти як засоби захисту мережі та сканери, перевіряючі цілісність файлів, можуть бути принести неоціненну користь при постійній оцінці вразливості вашої мережі, але вони доступні і хакерам, які можуть ними скористатися, щоб знайти шлях до вашої мережі.

Велика кількість невдалих спроб входу - також виразний ознака того, що ваша мережа під прицілом. Ви можете налаштувати інструменти виявлення проникнень: задати порогове значення для числа спроб, щоб при його перевищенні надсилалося повідомлення. Ви може пасивно розрізняти нормальні і підозрілі повторювані операції, спостерігати за часовими інтервалами між операціями (отримуючи повідомлення, коли їх кількість перевищує ліміт вами порогове значення) і формувати базу даних сигнатур, які багаторазово зустрічалися протягом заданого періоду.

«Людський елемент» (ваші користувачі) - постійний фактор ваших мережевих операцій. Користувачі часто допускають помилки, але зазвичай виправляють помилки при наступній спробі. Однак послідовність команд з помилками або некоректних відповідей на запрошення входу (зі спробами відновити або повторно використовувати дані для входу) може свідчити про спроби вторгнення за методом грубої сили.

Порушення цілісності пакетів - напрямки (вхідний або вихідний), вихідного адреси або місцезнаходження, і характеристик сеансів (вхідні або вихідні сеанси) - все це хороші ознаки атаки. Якщо пакет має незвичайне джерело або адресований некоректного порту, наприклад, являє собою, неправильний запит до служби, це може бути ознакою випадкового сканування системи. Пакети, що надходять зовні і мають локальні мережеві адреси і містять запити до внутрішніх службам, можуть свідчити про спробу атаки з фальсифікацією IP-адреси (IP spoof).

Іноді дивне або несподіване поведінку системи саме по собі є ознакою. Хоча іноді це буває складно відстежити, слід побоюватися таких ситуацій як зміна системного часу, завершення роботи серверів або незрозуміла зупинка серверних процесів (зі спробою перезапуску системи), проблеми з системними ресурсами (наприклад, незвично активне використання процесора або переповнення файлової системи), дивна поведінка журналів аудиту (зменшення розміру без втручання адміністратора) або несподіване звернення користувача до ресурсів. Слід дослідити всі без винятку незвичайні ситуації, в тому числі інтенсивне використання системи (можливо, це DoS-атака) або процесора (спроби злому пароля методом грубої сили), що відбуваються в певний час певних днів.

Що можна зробити?

Немає потреби говорити, що найбезпечніша мережа, що має найменше шансів бути зламаної, - та, у якій немає прямого з`єднання із зовнішнім світом. Однак таке рішення навряд чи можна реалізувати на практиці, оскільки головна причина, по якій потрібен Інтернет, - то, що він необхідний для ведення бізнесу. Однак в світі інтернет-комерції ваша основна турбота - не забезпечити, щоб увійшли вівці, а зробити так, щоб разом з ними до вас не зайшов вовк в овечій шкурі. Так як же домогтися розумного балансу, захистивши мережу від вторгнень і, в той же час, зберігши її доступність?

Ви рухаєтеся по тонкій межі між безпекою мережі і вимогами користувачів. Ви повинні мати хорошу оборонну систему, яка, тим не менш, не перешкоджає доступу. Користувачі і клієнти можуть бути як хлібом бізнесу, так і найбільшим потенційним джерелом інфекції. Крім того, якщо ваш бізнес процвітає за рахунок того, що ви надаєте доступ користувачам, у вас немає вибору, окрім як дозволити їм звертатися до ваших ресурсів. Це завдання здається, як мінімум, надзвичайно складною.

Кожна захисна міра, яку ви застосовуєте, рано чи пізно буде нейтралізована легіонами мотивованих злодіїв, які прагнуть до вас проникнути. Це гра, в якій наносяться удари і контрудари. Ви налаштовуєте захист, а вони до неї адаптуються. Тому ви повинні почати з захисних заходів, які можна швидко і ефективно адаптувати і змінювати в міру того, як до неї адаптуються зовнішні загрози.

Перш за все, ви повинні якомога надійніше зміцнити свій периметр. Це означає, що ви повинні бути на рівні швидко еволюціонують загроз, які вас оточують. Дні, коли можна було покластися на брандмауер, який виконує тільки функції брандмауера, пройшли. Сучасні хакери знають, як обійти брандмауер, скориставшись слабкістю самих додатків.

Просто реагувати на атаки і вторгнення - в будь-якому випадку, не найкращий варіант. Це все одно, що стояти і чекати, поки хтось вас ударить, і тільки потім вирішувати, що робити. Ви повинні використовувати гнучкий підхід до новітніх технологій, постійно проводити аудит, щоб забезпечити свою мережу захисної бронею, здатною відбити найсучасніші загрози. Ви повинні мати динамічну та ефективну політику постійного спостереження за підозрілими операціями. І, коли ви їх виявите, ви повинні швидко усунути загрозу, поки хтось не прослизнув в мережу без вашого відома. Коли це трапиться, буде занадто пізно.

Ще одна найважливіша складова: ви повинні просвіщати своїх користувачів. Яку б відмінну роботу по «затягування гайок» в процесах і системах, що забезпечують мережеву безпеку, ви б не виконали, вам все одно доведеться мати справу з найслабшою ланкою броні - своїми користувачами.

Немає нічого хорошого в тому, щоб мати процеси, що забезпечують надійний захист, якщо ці процеси настільки складні, що користувачам доводиться обходити їх, щоб уникнути труднощів, або якщо вони так погано налаштовані, що користувач, випадково зайшов на заражений сайт, занесе інфекцію в вашу мережа. Причому складність захисту вашої мережі дуже швидко зростає зі збільшенням кількості користувачів.

Просвітництво користувачів стає особливо важливим, коли мова йде про портативних пристроях. Втрата пристрою, його використання в місці (або манера використання), де чиїсь цікаві очі можуть підглядати паролі або дані, наявність хакерських інструментів, спеціально призначених для прослуховування сигналів бездротових мереж і вилучення даних, вхід в незахищені мережі - все це потенційні проблемні області , про які повинні знати користувачі.

Крім того, ви повинні розставляти пастки, принаджуючи хакерів «на живця». Такі системи ще називають «системами-пастками». Ці непотрібні мережі спеціально служать для того, щоб привернути увагу зловмисників і отримати цінні дані про їх методах, засобах і новому зловмисне ПО, яким вони користуються.

Як бачите, організація ефективної системи захисту означає реалізацію відповідних інфраструктурних елементів, пильний нагляд за своїми мережами, а також просвіта користувачів і нагляд за ними.

technet.microsoft.com