CC BY
126
На 1(13)2008
Н. О. Андреев
Современные проблемы безопасности корпоративных сетей
В настоящее время происходят серьезные изменения в проблемах информационной безопасности. Они касаются методов работы злоумышленников, условий совершения преступлений в компьютерной сфере, а также последствий противоправной деятельности. Если несколько лет назад такие действия совершали люди, которых можно отнести к категории неквалифицированных лиц, то теперь это специалисты, работающие каждый в своей области, представляющие себе последствия и осознанно идущие на нарушение законов ради извлечения материальных благ. В связи с этим необходимо менять и методы борьбы с преступными группами, а также принимать меры, чтобы снизить общую эффективность их действий, сделать их деятельность менее прибыльной. Тому, что представляет из себя современная сфера информационных преступлений и в каких направлениях, возможно, будет происходить ее развитие, посвящена данная статья.
Экономическая подоплека преступлений в сфере информационной безопасности. Незаконные методы извлечения дохода.
Кардинг. Фишинг.
Заказные DDoS-атаки
Благодаря специализированным ресурсам, сообщества специалистов по безопасности все больше интегрируются между собой, и то же самое происходит с криминальным элементом. Помимо всего прочего, изменилась мотивация злоумышленников — раньше извлечь практическую выгоду было сложнее, теперь же преступники действуют по отлаженным схемам, четко представляя, какие действия могут предпринять в их отношении правоохранительные органы и какое наказание они могут понести за то или иное преступление. В большей части это касается кардеров, работающих по нехитрой схеме, представленной на рис. 1.
Что касается несанкционированного доступа к корпоративным серверам (если целью не были данные), такие действия производились для получения площадок под рассылку спама, безопасного взлома других станций, иногда для дешифровки паролей и других ресурсоемких операций (рис. 2).
Также на рынке Internet-провайдеров произошел перекос в ценах — в то время как для физических лиц широкополосный доступ сильно подешевел, для организаций все осталось на прежнем уровне. Кроме того, арендаторы зачастую не имеют возможно-
Рис. 1. Схема работы кардеров
Рис. 2. Схема несанкционированного использования корпоративных серверов
N91(13)2008
сти выбирать из нескольких провайдеров и будут платить любые суммы. Получаются парадоксальные ситуации — у домашних пользователей канал может быть мощнее, чем канал к серверу какой-либо компании.
Сегодня мы наблюдаем и другие явления. Нечистоплотные владельцы Internet-ресурсов, стремясь извлечь максимум прибыли из своих проектов, применяют незаконные методы борьбы — реализуют DDoS-атаки (Distributed Denial of Service — распределенный «отказ в обслуживании»), с целью испортить репутацию того или иного Internet-проекта. Ясно, что пользователи, не имея возможности оценить степень загрузки серверов, выражают недовольство невозможностью воспользоваться предоставленными функциями и подыскивают альтернативу атакуемому ресурсу. Сегодня такое явление приобрело повседневный характер, причем защититься от него не всегда возможно. Более того, если компания вообще не специализируется в области IT и использует решение «под ключ», высококлассных специалистов по сетевой безопасности среди ее сотрудников скорее всего нет, т. е. некому внедрить и настроить систему управления загрузкой серверов, оперативно распознавать и отсекать лишние потоки. Поэто-g му DDoS-атаки являются сегодня востребо-§ ванной услугой (рис. 3). | Что же необходимо для осуществления распределенной DoS-атаки? Если раньше |= необходим был доступ к серверу с широким § каналом связи, сегодня этого будет мало, is по следующим причинам. Во-первых, объе-g мы трафика с него в ходе атаки будут в не-
Рис. 3. Схема проведения DDos-атаки
26
сколько раз превышать трафик с машин обычных пользователей. Анализируя даже небольшой фрагмент статистики по хостам, можно будет с уверенностью сказать, что DoS-атаку пытается осуществить именно этот сервер, в результате чего хост будет просто внесен в список запрещенных адресов на роутере [1]. Во-вторых, в результате контрмер по определению источника угрозы может выясниться, что конкретно этот хост обладает какими-либо специфическими признаками сервера, что косвенно указывает на причастность этой станции к DoS. Таким образом, для проведения подобных акций удобнее иметь в своем распоряжении не несколько серверов с широкими каналами и большой вычислительной мощностью (в случае с DoS-атаками она вообще не имеет значения), а большое количество станций с каналами потоньше. Но так как сегодня все больше домашних компьютеров имеют широкополосный доступ в Internet, можно сказать, что опасность их синхронных действий очень велика. Более того, стандартные ответные действия администраторов на атаку (предупреждение атакующей стороне, впоследствии — уведомление правоохранительных органов) здесь могут не сработать, хотя бы по той причине, что физические лица, за редким исключением, не имеют реального IP-адреса [2]. То есть криминальный элемент, для того чтобы заработать на DDoS-атаках, должен предварительно обзавестись доступом к достаточному количеству простых рабочих станций. Сюда и смещается акцент их деятельности.
Взлом рабочей станции принципиально отличается от взлома сервера. Во-первых, рабочая станция обычно не предоставляет наружу сервисов и не имеет соответствующих открытых портов, на которые можно было бы подсоединиться. Проблема безопасности серверов зачастую и заключается в наличии такого порта с необновленным «демоном» («демон» может быть снят с поддержки либо злоумышленник может обладать приватным эксплойтом). Также доступ
Не 1(13)2008
может быть получен через программное обеспечение на языках высокого уровня, например через скрипты, установленные на web-сервере, опять-таки на рабочей станции это однозначно отсутствует. К тому же, как уже было упомянуто, рабочие станции могут за ненадобностью не располагать реальным IP-адресом, выходя в Internet через роутер по протоколу NAT. Зато теперь не ставится задача получения доступа к какой-то конкретной сетевой машине, а появляется возможность работы «по площадям», т.е. по широкому диапазону возможных целей. Уровень квалификации пользователей может быть самым разным, и это открывает большие возможности, ведь ко всему прочему можно не бояться «спугнуть жертву».
Эволюция вредоносных программ
для контроля за удаленной рабочей станцией
Лучшими инструментами для взлома простых рабочих станций всегда считались «троянские кони». Несмотря на то что такая программа вполне может являться и вирусом, распространяя саму себя на другие машины, основное ее предназначение — несанкционированное и обычно скрытое выполнение тех или иных функций, заданных ее владельцем. Иногда это происходит интерактивно, в режиме реального времени, иногда однократно (например, отсылка пароля), с последующим удалением всех следов своего пребывания.
Что касается РФ, здесь расцвет «троянцев» пришелся на середину 90-х годов, когда Internet стал доступным для широких слоев населения. Тогда целые группы злоумышленников занимались хищением, последующим использованием и перепродажей чужих реквизитов доступа в Internet. Первое время это сходило с рук, но потом этой проблемой занялись специальные управления МВД, у Internet-провайдеров, на входящих линиях которых были установлены АОНы, в прессе появились сообщения о пойманных преступниках, и все поутихло [5].
В целом, за очень редким исключением, g программное обеспечение взломщиков бы- § ло примитивным, равно как и методы работы. ^ Обычно бралась готовая утилита (некото- ^ рые из таких утилит впоследствии легализовались и ныне именуются «программами для удаленного администрирования», уже не ликвидируются антивирусами и приносят создателям доход), соединялась в один файл с какой-либо полезной программой и передавалась ничего не подозревающему пользователю под благовидным предлогом. В связи с этим в руководствах по безопасности уважающих себя организаций обязательным пунктом запрещено открывать исполняемые файлы, пришедшие от незнакомых лиц. Но вредоносный код вполне могли содержать и офисные документы, поэтому приведенных мер недостаточно... Но, с другой стороны, когда утилита приобретала некоторую известность, она сразу же заносилась в антивирусные базы и могла быть легко обнаружена осмотрительным пользователем.
Гарантированно нейтрализовать антивирус можно было, написав собственную программу. Но, в большинстве своем, злоумышленники не были к этому готовы. Иногда это были простые пользователи, прослышав о «бесплатном Internet», они бросались на поиски инструмента для взлома. и, как правило, бывали обмануты более хитрыми, которые подменяли клиентскую часть системы серверной и по большому одолжению передавали любителям «бесплатного сыра».
Можно вспомнить лишь один пример, когда в состав подобного программного обеспечения вошли алгоритмы полиморфизма и шифрования тела «троянца» (речь идет о «троянце» Donald Dick). Что характерно, автором была русская хакерская группа, и это свидетельствует о наличии в нашей стране неплохого интеллектуального потенциала, хотя в данном случае его реализация несколько сомнительна.
Как бы там ни было, ажиотаж схлынул, и люди занялись более «продуктивными» делами, нежели взлом пользовательских станций. Но, в связи с перечисленными тенден-
27
N91(13)2008
циями (см. ранее о востребованности DDoS-атак), несанкционированный доступ снова становится актуальным, коммерчески выгодным занятием [4].
Какие изменения в мире компьютерной безопасности произошли за это время? В первую очередь, было обнаружено множество разнообразных уязвимостей в прикладном программном обеспечении. Естественно, большинство из них было закрыто разработчиками в новых версиях своих продуктов, но это не всегда имеет значение.
Понятно, что на начальном этапе разработки программного продукта основное внимание уделяется профильному функционалу, но не безопасности кода. Может показаться, что это свойственно только мелким проектам, но на примере компании Microsoft мы убеждаемся что это далеко не так. У администраторов существует поговорка: «никогда не ставь в промышленную эксплуатацию продукт Microsoft, если к нему еще не вышел второй "сервис пак"». Если компания, захватившая огромную часть рынка программного обеспечения, подходит к безопасности как к чему-то второстепенному, что уж говорить о других фирмах?..
Поэтому, если баг не связан с функцио-
'■§ нальными ограничениями, его могут не ис-
g править никогда. С другой стороны, реали-
g зовав и доведя до блеска основную идею,
| разработчики могут пойти вразрез с ожида-£
«о ниями пользователя, развивая в программе |= абсолютно не то, что хотелось бы ему, ино-3 гда меняя привычный интерфейс. В итоге § пользователь вполне может отказаться от g обновлений, тем более, если новая вер-§ сия — платная (случаи использования нелицензионного программного обеспечения Ц мы не рассматриваем, так как это снимает § любые гарантии стабильной работы и со-^ хранения информации).
5 Кроме того, существуют разнообразные Ц неудобства, связанные с обновлениями: это I и потребление трафика, и необходимость
6 выполнения трудоемких рутинных процедур u (например, перекомпиляция ядра — проходит отнюдь не мгновенно), иногда — необ-
28
ходимость перезагрузки... Дело осложняется тем, что разработчики, в рамках своей маркетинговой политики, никогда не афишируют, что была обнаружена критическая уязвимость (и у клиентов потенциально могли увести конфиденциальную информацию), но громко рекламируют новые функции, зачастую декоративные. Поэтому, принимая решение об обновлении, клиенты руководствуются не соображениями безопасности, а ленивыми прикидками, нужны ли им вообще новые функции. В итоге решение может быть и отрицательным.
Кое-где изменился и принцип действия эксплойтов. Например, если раньше для заражения машины «троянцем» пользователю предлагалось открыть исполняемый файл, то теперь это может быть практически что угодно — музыка, фильмы и даже простые картинки. Подробнее хотелось бы остановиться именно на этом. Существуют алгоритмы сжатия и распаковки, эффективно работающие на исходных данных конкретного типа (типичный пример — MPEG). Реализация алгоритмов извлечения данных из упакованного фрагмента может содержать уязвимости наряду с остальным программным обеспечением, но, как правило, эти алгоритмы выполняются в автоматическом режиме, не требуя подтверждения. В самом деле, заходя на какой-либо сайт, web-брау-зер загружает с сервера html-код, находит в нем ссылки на графику, загружает ее, распаковывает и выводит на экран — все по одному щелчку. До настоящего времени мы не могли и предположить, что даже в таких операциях может таиться опасность, а она, тем не менее, была — в какой-то момент исследователи нашли ошибку в упомянутых алгоритмах сжатия, и появилась возможность выполнять код на удаленной машине, передав специальным образом сформированный графический файл. Поэтому под угрозой оказались фундаментальные технологии разработки программного обеспечения. Это лишь один из примеров, показывающих, что пренебрежение безопасностью может обернуться плачевно для неосмотри-
тельных обывателей. Но вернемся к теме вредоносного программного обеспечения.
Имея потребность в большом количестве подконтрольных станций для DDoS-атак, специализирующиеся на этом преступники вынуждены создавать специализированный инструментарий для захвата и стабильного удержания контроля над системами. Если раньше речь шла о кустарных утилитах, созданных энтузиастами с целью поразвлечься (многие «троянцы» имели в своем составе шуточные функции — открытие лотка CD-привода, проигрывание звукового файла, перехват устройств управления), теперь в их создание вкладываются приличные средства, и делаются они с расчетом на длительное функционирование. Были разработаны специальные методы глобального управления зараженными станциями, без установления прямого соединения, а значит, и без возможности отследить хозяина — через e-mail, сети icq, irc и т.д. Некоторые «троянцы» имеют функции «червей» (если преступники могут анонимно управлять зараженной станцией, им не особо важно, будет ли вредоносный код обнаружен) [6].
На самом деле нет необходимости каждый раз переписывать подобные вещи, как уже было сказано, алгоритмы шифрования и полиморфизма позволяют многократно использовать один и тот же функционал, так как появление сигнатуры в антивирусной базе не защищает от новой сборки. В такой шаблон может быть заряжена «боевая часть» от любого известного эксплойта, но намного хуже, когда использовался приватный (если раньше приватные эксплойты или методики взлома распространялись только между членами команд, то теперь их можно приобрести за деньги). Понятно, что обновления уже не спасут от такого продукта, и надежда остается только на собственную осмотрительность, а также осмотрительность всех, с кем поддерживаются контакты.
Таким образом, можно выделить следующие специализации сетевых преступников (в порядке уменьшения возможной квалификации):
На 1(13)2008
• исследование кода программного обес- g печения, создание эксплойтов;
• создание «червей», «троянцев», пере- ^ нос в них «боевого кода» эксплойтов; ^
• рассылка спама с «червями», создание сайтов с вредоносным кодом;
• прием заказов на DDoS-атаки, их непосредственное исполнение через зараженные машины.
В связи с этим в настоящее время можно отметить следующие аспекты развития направлений информационных правонарушений:
• произошло смещение от индивидуального взлома к более-менее массовому, автоматизированному взлому, когда рутинная работа выполняется машиной;
• наметилась очень опасная тенденция развития второстепенного функционала вредоносного программного обеспечения.
Чревато это тем, что такие «черви», «троянцы» наносят вред не только пользователям онлайновых платежных систем (web-money и др.), что уже вошло в моду, но в перспективе также пользователям программ класса «Клиент-Банк» организаций, а это уже абсолютно другие масштабы.
Современные тенденции развития вредоносного программного обеспечения: угроза массового
распространения, угроза получения контроля над системами класса «Клиент-Банк»
Ни для кого не секрет, что защита подобных систем путем программного шифрования канала связи является не совсем надежной. И рассказы о том, какую крипто-стойкость имеют алгоритмы шифрования — не что иное, как самообман. Как только будет проведена в достаточном объеме работа по реверс-инжинирингу такого «Клиент-Банка», появится возможность написать идентичный ему код, совершающий любые транзакции от имени и без ведома пользо-
Не 1(13)2008
Открытие на подставное лицо фирмы, банковского счета (не обязательно в том же банке)
*
В удобный момент совершение перевода денежных средств от имени зараженного клиента
на расчетный счет упомянутой фирмы одновременно с совершением пользователем корректных платежей
*
Обналичивание денежных средств *
Удаление / хаотичное повреждение данных на зараженном компьютере с целью запугать следствие
Рис. 4. Схема несанкционированного доступа к системам «Клиент-Банк»
вателя. Ну а после внедрения этого кода в «троянца» останется только подождать, пока на обслуживаемом счету скопится необходимая сумма, и совершить перевод на '■§ счет подставной фирмы. В итоге схема работы выглядит, как на рис. 4. § Эта схема уже была применена на прак-| тике, хотя и не совсем в таком виде [3]. <5 Здесь она приводится не с целью некого |= «руководства к действию» (тем, кто облада-3 ет возможностями ее реализовать, ничего § объяснять не нужно), а как намек банкам на ^ необходимость перехода от чисто про-§ граммной защиты к шифрованию на сторо-| не аппаратного ключа защиты по крипто-I стойким алгоритмам. Лишним будет объяс-^ нять, что чип, защищенный от снятия дампа ^ микропрограммы, не позволит пытливому «и студенту переписать ее на каком-либо язы-| ке программирования, а вероятность, что | в преступной группе найдется гениальный & криптоаналитик, способный разгадывать ^ сложные функции по значению входных и выходных параметров, невелика. Тем не
30
менее, и здесь существует теоретическая вероятность взлома. Дело в том, что даже без реверс-инжиниринга, перехватив АР1-функции операционной системы, можно действовать по алгоритму, представленному на рис. 5 (все остальные действия описаны выше).
Рис. 5. Элементы схемы действий без реверс-инжиниринга
Ив 1(13)2008
Различные подходы к обеспечению безопасности, методы обхода защиты.
Общие способы повышения уровня корпоративной сетевой безопасности
Что касается мер предосторожности при работе с программами «Клиент-Банк», автор статьи порекомендовал бы следующее:
• использовать только системы, где защита выполнена аппаратно;
• не использовать станцию с этой программой больше ни для чего, т. е. там должны быть закрыты все лишние порты, установлены самые свежие «заплатки» от производителей программного обеспечения и в то же время отсутствовать все лишнее программное обеспечение: ICQ, графические редакторы, игры и т.д. На этой станции должен быть запрещен web-серфинг, просмотр видеофильмов, прослушивание музыки;
• не должны использоваться, в том числе, и разнообразные скрин-сейверы сторонних производителей, так как подобные программы — тот же самый исполняемый код;
• должен быть отключен автозапуск при подключении сменных носителей, а в сам «Клиент-Банк» данные должны передаваться через наиболее простой формат, априори исключающий исполнение вредоносного кода;
• не держать аппаратный ключ подключенным дольше, чем это требуется при передаче запросов.
Разработчикам аппаратной защиты хотелось бы посоветовать следующее. Встречается реализация ключа со светодиодным индикатором работы. Это резонно, но не всегда достаточно: во время работы человек может смотреть на экран, на клавиатуру, либо ключ может быть установлен за пределами его прямой видимости. Хотелось бы, чтобы мерцание светодиода во время активной работы ключа защиты дублировалось, например, звуковым сигналом. Таким образом, услышав сигнал дважды, пользователь поймет, что ключом попытались воспользоваться без его
!
ведома, и предпримет действия по пресечению противозаконной деятельности.
В настоящее время компьютер есть практически в каждом доме, хотя бы в качестве ^ развлекательного центра, повышается уровень работы с вычислительной техникой, но в то же время падает осторожность. Устанавливая необязательное, зачастую нелегальное программное обеспечение на рабочие машины, пользователи, как правило, не задумываются, что потенциально открывают доступ к счетам с солидными суммами.
Вышеописанные случаи уже имели место, некоторые из них получили широкую огласку. Хотелось бы найти какое-то системное решение данной проблемы, но сегодня на платформе x86 мы имеем только продукты, «лоскутно» закрывающие бреши. Концепция закрытого исходного кода не позволяет гарантировать безопасность даже на короткий промежуток времени без постоянных обновлений, открытый же код отнюдь не так распространен.
Также хотелось бы поддержать инициативу по созданию отечественной операционной системы с открытым исходным кодом, пусть даже на основе уже существующей. Эта мера позволила бы получить уверенность в сохранении секретности данных и обрести независимость от иностранных поставщиков системного программного обеспечения.
И уже после этого можно будет говорить о безопасности прикладного программного обеспечения без каких-либо условий.
Список литературы
1. Леонов Д.Г., Лукацкий А.В., Медведов-ский И.Д., Семьянов Б.В. Атака из internet. М.: Солон-Р, 2002.
2. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. СПб.: Питер, 2002.
3. Ларичев В.Д., Бембетов А.П. Налоговые преступления. М.: Экзамен, 2001.
4. http://bugtrack.ru/
5. http://www.securitylab.ru/
6. http://www.crime-research.ru/
31
