Бизнес без-опасности (2 часть)
Продолжение. Начало статьи - читать.
Легкость рук...
Пришло время рассмотреть несколько средств из арсенале существующего бок о бок с нами и атакующего нас «бизнеса опасности» Обо всем рассказывать нет смысла, да и времени не хватит, поэтому коснемся самого интересного.
Для того чтобы получить доступ к данным (пользователя или компании), необходимо доставить код, который эти данные может раздобыть и передать. Спам — наиболее простой способ доставки такого кода. Достаточно попросить пользователя что-нибудь загрузить или пойти на какой-нибудь веб сайт. Спам может прислать и ссылку на сайт «вашего банка» где необходимо ввести личные данные, для их «подтверждения». Все это старые, видимо теряющие эффективность (хочется надеяться) средства. Пользователи становятся умнее и не хотят больше кликать на странно выглядящие ссылки от непонятно кого, призывающие их посмотреть, что делает их одноклассник Многие научились различать сайт фишинга: что-то подозрительное в адресе, нет замочка внизу в статус-баре браузера, и т. д
Тем не менее, количество спама, доставляемого все новыми и новыми армиями ботов не убывает, и доля в нем фишинговых писем растет (на 93% за первый квартал 2008 года, источник: http://www.antiphishing.org)
Создаются и новые, более «дружелюбные для пользователя» пути взлома. Например, освобождающие пользователя от каких либо лишних действий по загрузке взламывающего кода. Пусть пользователь идет на свой любимый веб сайт, пусть идет на веб сайт своего любимого банка и видит в адресе сайта знакомые символы и замочек внизу в окошке браузера. Он не знает в этот момент, что в код сайта был добавлен iframe, который и передаст ему взламывающий код или соберет личную информацию. И здесь уже неважно насколько образован и осведомлен в области безопасности пользователь.
Большие возможности для подобных атак предоставляет и Web 2.0, пусть они используются еще не в полной мере. Но можно быть уверенными, что ждать осталось недолго. К примеру, злоумышленник лично или через зараженный компьютер пишет посты в три блога: «качать» — в первый, «атаку» во второй, «на компанию А» — в третий. Склеенные вместе, эти три сообщения инструктируют размещенный на пользовательском компьютере бот Источник такой атаки совершенно невозможно проследить.
Чем же займется доставленный код на компьютере пользователя? Например следующим:
- инвентаризацией зараженного компьютера (рабочий компьютер, сервер, домашний компьютер) инвентаризацией файлов на компьютере, чтобы найти что-нибудь продаваемое извлечением паролей из всевозможных подтверждающих пароль сообщений, извлечением из них же информации о кредитных карточках, поиском документов со словами «секретно», «конфиденциально», и т.д., поиском сохраненных браузером или системой логинов и паролей.
- консолидацией полученной информации, ее шифрованием, сжатием и передачей по назначению.
будут установлены и запущены отслеживате-ли клавиатуры, screen grabbers, агенты браузера, для дальнейшего выявления личной информации, счетов и т. д. начнут выяснять конфигурацию сети для дальнейшего заражения компьютеров на ней.
- установят программы, действующие подобно людям и производящие click-fraud и pay-far-install, станут сами серверами для фишинга и других форм обмана.
- по мере старения зараженного компьютера и возможности обнаружения, перейдут к атакам предыдущего поколения: пересылка спа-ма, DDoS, безымянный прокси, «восстановление» пароля.
Но все же и подобного рода способы требуют изначального вмешательства, рекрутирования. Кто-то же должен поместить на веб сайт злокозненный iframe (или любой другой подобный эксплойт). А можно ли сделать что-нибудь вообще без всякого кодирования, без активного «вторжения»?
... и никакого мошенства!
Виды атак, не требующие активного вторжения, или по крайней мере сводящие его до минимума, известны почти со времен создания поисковиков. К примеру, можно использовать методы SEO (оптимизацию для поисковиков), когда сайт пытается пробраться на самый верх в списке найденных пользователем сайтов, манипулируя алгоритмом с помощью которого поисковик сортирует их в убывающем порядке релевантности.
Ролоф Темминг, основатель компании Paterva (http://www.paterva.com ), объяснил на конференции Blue Hat, каким образом имеющиеся на виду у всех и никоем образом не защищаемые данные на интернете могут стать бесценной информацией в руках взломщиков.
Браузер Maltego создан для того чтобы помочь менеджерам и IT специалистам правильно строить инфраструктуру компании. Он позволяет посмотреть на всякого рода сети как с высоты птичьего полета, так и приблизиться непосредственно к мельчайшим деталям сети. Делая data mining с помощью этого браузера, можно очень быстро выявить интересные закономерности. Например, рассматривая потоки электронной почты компании А, можно сразу заметить, что много трафика идет к компании В. Допустим это не особенно интересно, потому что компания В — партнер или поставщик компании А. Но что означают эти пять зашифрованных сообщений между компанией А и компанией С, являющихся злейшими конкурентами? Налаживание секретного диалога о предстоящем объединении двух компаний? В любом случае, мы только что получили потенциально интересную информацию, что-то стоящее дальнейшего исследования.
Социальные сети
Невозможно успеть за плодящимися в наши дни социальными сетями и сервисами. Приходилось ли вам слышать истории о том, как в шутку или наоборот, из самых добрых намерений, друзья создавали для чужой профиль на каком-нибудь милом безобидном сайте знакомств, а потом за него вступали в переписку с ничего не подозревающими, но полными надежд настоящими пользователями этих сайтов. Нечто подобное не трудно сделать, имея вполне серьезные и недобрые намерения.
К примеру, я сгенерировал статью в области прикладной математики для http://pdos.csail.mit. edu/scigen/. Она имеет одного уважаемого автора и выглядит очень солидно. Затем я сделал профиль для автора на VKontakt-e или Facebook-e, приложил статью, и может быть даже отправил ее на какую-нибудь конференцию. Я сделал
«автора» полноценным «живым» членом социальной сети, а дальше творить все что угодно от его имени.
Теоретически можно создать не одного, а сразу множество таких людей, автоматизировав этот процесс, и придать всем им вид вполне неотличимый от реальных личностей. Можно даже привязать их к ботам. У виртуальной армии появилось лицо.
Бизнес безопасности
Выше мы рассмотрели «бизнес опасности» и увидели, насколько он проник во все сферы нашей деятельности в виртуальном мире. Есть ли что-то, что можно этому противопоставить? Разумеется, ответ на этот вопрос положительный. Если бы мы были совсем уж беззащитными, не было бы никакой «опасности», «взлома» и проч. От нас просто брали бы все, что хотели, когда хотели и на этом закончился бы интернет.
24 января 2004 года в Давосе на Всемирном Экономическом Форуме, Билл Гейтс предсказал победу над спамом в течение 2х лет. Сегодня никто уже и не вспоминает об этом высказывании, настолько абсурдным кажется оно на первый взгляд. Но так ли уж оно абсурдно? Позже, в одном из интервью Билл пояснил, что победа над спамом не означает его ликвидацию, а означает, что из серьезной угрозы он превратится простое нечто «надоедливое».
На первый взгляд даже подобное объяснение кажется недостаточным. Известно (см. SpamHaus.org), что спам составляет 90 — 95% всего потока электронной почты. Такая доля спама наводит на мысль, что не он, а настоящая почта является «надоедливой»! Тем не менее, предлагаемое SparnHaus.org трехступенчатое решение обещает эффективно фильтровать более 99% спама (см. http://www.spamhaus.org/ effective_filtering.html). Трехступенчатый процесс состоит в фильтрации известных спам-IP адресов с помощью черных списков на первой стадии, поисков известных веб-адресов в просочившихся сообщениях на второй, и обычного вычисления уровня «спамности» на третьей. (Статья не упоминает процент не-спама .отфильтрованного таким процессом).
Подобного рода модель блокирования спама встроена в Microsoft Exchange Server 200/. Его система Гигиены сообщений представляет собой двухступенчатый фильтр, на первой ступени которого проверяется репутация отправителя, а на второй анализируется содержание сообщения. Подписчики на премиум обслуживание регулярно получают обновленный список подозрительных IP адресов. Сервер может заблокировать как отправителей, так и отдельные сообщения. Уровень блокировки может меняться администратором, так же как и действия предпринимаемые в случае обнаружения подозрительного сообщения. В зависимости от вычисленного значения подозрительности, сообщение может быть удалено, поставлено в карантин, доставлено в ящик пользователя.
В комбинации с постоянным обучением пользователей основным правилам безопасности, а также повышением барьера локального фильтра (например установка его на доставку исключительно сообщений от пользователей, значащихся в «белом» списке), — это очень действенная модель. Можно сказать, что практически Билл был прав, и в наше время спам прекратил сам по себе представлять существенную угрозу.
Конечно же, это не значит, что можно расслабиться и похлопать себя по плечу. Как уже было упомянуто выше, устранение одной угрозы неминуемо ведет к появлению нескольких других. Только понимание сложности и многосторонности проблемы может дать какую-то надежду на выживание в современном враждебном виртуальном мире.
Менеджеры и IT специалисты должны иметь четкое представление о том, что происходит в их организации в каждый момент. Правила безопасности должны быть жестко установлены и строго соблюдаться, что возможно только тогда, когда каждый работник компании осознает грозящую опасность и работает вместе с IT для ее устранения, и, что еще лучше, профилактики. Хорошим помощником являются и специализированные приложения, такие как Microsoft Forefront. Этот продукт позволяет работнику IT на любом уровне видеть свою область организации, как «с высоты птичьего полета», так и на уровне отдельных компьютеров. Forefront может сразу показать уровень соблюдения установленных правил, указать на участки организации, находящиеся в опасности, и позволить оператору исправить положение, например, включив UAC, на компьютерах, где он был выключен, если правила организации требуют, чтобы UAC был включен, или путем удаленной установки анти-вируса и других продуктов.
Высокая степень визуализации, комплексный подход к проблеме, широкий набор инструментов не просто позволяют сделать систему менее подверженной взлому, но и требуют от всех вовлеченных в дело безопасности, неослабевающего внимания и четкости в понимании сложности и актуальности проблемы каждый день, каждую минуту.
Психология страха
Одним из главных принципов разработки крупных (да и не только) систем программного обеспечения, как любит говорить Дэн Каминский (lOActive), является простая формула: «Если это глупо, но масштабно — это не глупо!» Благодаря этому принципу мы имеем сейчас много систем, ковыляющих неизвестно куда, спотыкающихся, падающих и расшибающих себе лоб в результате подножек, которые в таком обилии ставят организованные взломщики. Все наши самые популярные интернет протоколы(0№, SMTP, и т д.) тому свидетельство.
Замечательной иллюстрацией этого принципа на все времена может служить старый эксплойт, когда посетителю сайта предлагалось зарегистрироваться, введя имя пользователя и пароль, после чего введенная информация немедленно отправлялась в базу данных mySQL в виде запроса:
Select * from users where name='<name>' and password='< password >'.
Что сделает в этом случае первоклассник, которого папа-хакер только что посадил за компьютер? Разумеется, введет «admin '--» в текст имени, получив доступ к сайту без всякого пароля, поскольку с «—» начинается в SQL комментарий. (Будем надеяться, что никто больше подобного кода не пишет). Когда внимание одного менеджера было обращено на эту слабость в его системе, он воскликнул изумленно: «Но кто же этим будет заниматься?!»
Создавая крупную систему, необходимо помнить, что если вы нашли в ней слабость, ее обязательно и довольно быстро отыщут взломщики Конечно, не следует забывать, что система подвержена атакам лишь тогда, когда ей «есть что терять». Если система не защищает ничего полезного — это по определению самая безопасная в мире система. Но сколько организаций в наше время могут думать о себе подобным образом?! Сезон охоты за корпоративной информацией сегодня в самом разгаре и концентрические красные круги начерчены четко на каждом компьютере, на столе каждого сотрудника.
Мне возразят: «Ну что же теперь делать бизнесу? Не выходить в виртуальный мир, совсем забаррикадироваться в своей организации и обрубить все выходящие наружу провода? В конце концов, самым безопасным состоянием компьютера является голубой экран обрушившейся системы!» На это я отвечу: «Нет, делать, выходить. Но перестать думать в обычном ключе: если это глупо и масштабно — это неглупо!» В наше время это глупо вдвойне, и каждый, кто осмеливается выйти в джунгли и законов этих джунглей не знает или знать не хочет, заплатит очень высокую цену.
Главный принцип безопасности
Главный принцип, как разработки безопасного программного обеспечения, так и построения и каждодневной работы безопасной организации, не столь уж сильно отличается от главного принципа разработки высокоэффективной системы. В этом случае необходимо на каждом шагу знать, что приносится в жертву эффективности.
Так же и в случае с безопасностью. Необходимо на каждом этапе, в каждой детали понимать, в чем слабость данного решения, какие тяжелые последствия компромисс может повлечь за собой. И если такая слабость находится, быть на сто процентов уверенным, что она именно эти последствия обязательно и повлечет, потому что бизнес взлома не денется никуда: мы же сами его и создали, и создаем его каждый день.