В 2008 г. крупнейшей атакой на веб серверы, приведшей к тому, что носителями заразы стало более шести миллионов страниц на 153 000 различных серверов, стала атака ботнета Asprox, рассчи танная на использование уязвимости типа SQL инъекция или SQL впрыск1 (англ. SQL injection) в программном обеспечении ASP.NET.
Речь идет об одной из нескольких атак, которые в отечественной прессе все вместе были названы Большим Китайским Хаком, по скольку исходили с китайских ресурсов. По некоторым данным от это го хака пострадало в общей сложности более 1 500 000 сайтов [44].
По данным на апрель 2009 г. многие серверы все еще были заражены и пытались направлять своих пользователей на неработающие URL адреса ликвидированной Asprox [45]. Это говорит о том, что не только пользователи, но и администраторы бывают безответственны и медли тельны (хотя могут иметься и объективные причины).
Как и большинство других, SQL инъекция реализуется за счет намеренного пере полнения буфера.
Глава 5. Кибермутации плохих поступков В 2008 г. компания Positive Technologies провела исследование уязвимостей веб приложений [46]. Всего в статистику вошли данные по 10 459 веб приложениям, 7861 из которых содержали одну и бо лее уязвимостей. Суммарно во всех приложениях было обнаружено 33 931 ошибок различной степени риска (веб приложения могут быть как крупными, так и небольшими, фактически представляющими со бой одну интерактивнуюстраницу).
По итогам работы KSN (Kaspersky Security Network, Сеть Безопас ности Касперского) в 2008 г. зафиксировано 23 680 646 атак через Веб (учитываются только пользователи продуктов Лаборатории Кас перского, так что реально атак было еще больше). На мой взгляд лата ки уместнее было бы называть посягательствами или поползно вениями, но уже ничего не поделаешь Ч терминология устоялась.
Абсолютным лидером среди стран, на ресурсах которых размещены вредоносные программы, стал Китай1. 80 % атак совершалось именно с китайских серверов (это означает, прежде всего, что киберпреступ ники со всего мира предпочитают размещать свои программы именно там). Также в первую двадцатку упомянутых стран попали Эстония, Латвия и Литва. В прошлом русскоязычные киберпреступники неод нократно использовали прибалтийские банки для отмывания денег.
Эти факты в значительной мере опровергают активные разговоры о том, что, например, Эстония является одним из европейских лиде ров в области борьбы с киберугрозами. Кстати, Китай является лиде ром и по числу пользователей, подвергшихся атакам, что вполне ло гично Ч где выросло, там и упало.
Интересно, что сократилось время жизни адресов, по которым расположены страницы с вредным кодом. Раньше эпидемии в элек тронной почте длились месяцами, а порой и годами. Теперь же с вы ходом на первый план заражения через Веб срок жизни одной атаки стал исчисляться днями или даже часами (в 2008 г. среднее время жизни вредоносного URL составило 4 часа Ч дело не только в том, что вредоносные программы оперативно удаляются владельцами взло манных сайтов, но и в том, что сами киберпреступники постоянно пе ремещают их с одного ресурса на другой, стремясь обойти различные черные списки URL, реализованные в антивирусных программах и браузерах).
Интересно, что если посмотреть некоторые отчеты зарубежных компаний по итогам 2008 г., мы можем обнаружить, что Россия и Китай делят первое место по тому же показателю. Скажу то, о чем не раз говорил по ходу книги Ч все зависит от того, как считать.
98 РЕАЛЬНОСТЬ 2.0b. Современная история информационного общества За последний год в качестве каналов распространения вредонос ных программ популярность скоростными темпами набирают соци альные сети. Во первых, это быстроразвивающаяся технология, и по некоторым прогнозам количество пользователей социальных сетей должно было достигнуть 80 % от всех пользователей Интернета (это более миллиарда человек). Во вторых, между пользователями соци альной сети устанавливаются доверительные отношения Ч к сообще ниям от тех, кто занесен в список друзей, пользователи относятся некритически. Как обычно, там, где есть доверие и много людей, там появляются и преступники. Схема распространения вредоносной программы может выглядеть так: пользователь получает ссылку от сво его доверенного контакта Ч например, на видеоролик; для просмот ра ролика требуется установить специальнуюпрограмму; после уста новки эта программа ворует учетнуюзапись пользователя социальной сети и продолжает рассылку доверенным контактам новой жертвы.
Такая схема аналогична схеме работы почтовых червей (или червей, использующих службы мгновенных сообщений), но ее эффективность примерно в 10 раз выше.
В мае 2008 г. появился червь Net Worm.Win32.Rovud.a для рос сийской социальной сети ВКонтакте. Он рассылал вредоноснуюссыл ку по доверенным контактам зараженного пользователя. Через не сколько дней по контактам пользователей социальной сети Одноклас сники.ru была произведена спам рассылка, в которой содержалась ссылка на сайт и просьба проголосовать за одну из участниц конкур са. При попытке проголосовать на компьютер загружалась вредонос ная программа из семейства Trojan Dropper.Win32.Agent.
В июне по электронной почте была произведена спам рассылка сообщений якобы от администрации сети Одноклассники.ru. По ссылке в письме пользователи заходили на страницу, имитирующую главнуюстраницу этого сайта, откуда на их компьютеры пыталась за грузиться троянская программа. После установки троянец загружал на зараженный компьютер еще несколько вредоносных файлов, затем происходило автоматическое перенаправление пользователя на ори гинальный сайт сети Одноклассники. ru.
В июле Лабораторией Касперского зафиксировано несколько прецедентов распространения вредоносных программ через социаль ные сети Facebook, MySpace и ВКонтакте.
В августе была предпринята атака на быстро набирающую попу лярность социальнуюсеть Twitter. На специально созданной странице пользователя содержалась фотография, рекламирующая эротическое Глава 5. Кибермутации плохих поступков видео. При клике на эту фотографию пользователю предлагалось ска чать новую версию Adobe Flash, которая на самом деле являлась тро янским загрузчиком Trojan Downloader.Win32.Banload.sco.
В октябре в социальной сети ВКонтакте было зафиксировано распространение ссылок на вредоносные программы для мобильных телефонов. С похищенных учетных записей пользователей сети по списку контактов рассылалось сообщение с предложением попол нить счет мобильного телефона бесплатно. Для этого надо было ус тановить на телефон некое Java приложение, коим оказался Trojan SMS.J2ME.Konov.b. После установки на телефон пользователя троя нец незаметно отправлял SMS сообщение на 5 коротких номеров. За каждое отправленное сообщение со счета пользователя снималось 250 руб.По числу разновидностей вредоносных программ на душу одного пользователя лидируют российские Одноклассники.ru (3302 вредо носные программы на 22 000 000 зарегистрированных пользовате лей по итогам 2008 г.).
Украденные имена и пароли пользователей могут использоваться для рассылки ссылок на зараженные ресурсы, спама, мошеннических сообщений с просьбой перевести деньги куда либо и т. д. Любой спо соб приносит прибыль злоумышленникам.
Что еще стало модно красть в последние годы, так это пароли для входа в онлайн игры. Проще говоря, воруют персонажей. Одной из основных целей упомянутого ранее Большого Китайского Хака была именно добыча учетных записей к онлайн играм. В игре у вашего пер сонажа может и не быть ничего интересного, но может и быть, напри мер, запредельно редкий и мощный меч в инвентори или огромный участок земли, честно вами купленный за виртуальную валюту, зара ботанную непосильным виртуальным трудом. В большинстве игр про дажа виртуальных ценностей за реальные деньги официально запре щена. Однако покупателей редко волнует, откуда эта вещь взялась.
Им все равно, выиграл ли ее другой игрок, заработал на нее, или она была украдена у законного владельца с помощью вредоносного кода.
Помимо вредоносных программ проблемой являются и эти самые короткие сотовые номера: на сегодняшний день их слишком легко зарегистрировать и использовать по своему усмотрению. Ситуация в чем то аналогична проблеме с хостингом, но в данном случае кроме оператора сотовой связи отвечать больше некому, поскольку он занимается и регистрацией, и обслуживанием номера. Проблему нужно решать законодательным путем, поскольку операторы вряд ли признают, что это Ч на самом деле проблема.
100 РЕАЛЬНОСТЬ 2.0b. Современная история информационного общества Такое положение дел только на руку вирусописателям и способствует росту цен и криминализации рынка продаж. В 2008 г. Лабораторией Касперского было обнаружено в общей сложности 100 397 игровых троянцев Ч втрое больше, чем в предыдущем 2007 г. К счастью, лично мне сложно оценить всюглубину трагедии, поскольку я никогда не ин тересовался онлайн играми (по крайней мере, в качестве игрока), но проблема, безусловно, существует, и заслуживает внимания.
Сегодня неотъемлемым инструментом антивирусной защиты явля ется файервол (англ. firewall Ч огненная стена) или брандмауэр.
В своей книге Секреты и ложь. Безопасность данных в цифровом мире Брюс Шнайер пишет1:
Брандмауэры впервые появились на поездах. У паровозов, топив шихся углем, в машинном отделении топливо находилось поблизости от топки. Машинист лопатой бросал уголь в топку. При этом образо вывалась легко воспламеняющаяся угольная пыль. Время от времени она вспыхивала, и в машинном отделении возникал пожар, который мог перекинуться на пассажирские вагоны. Так как гибель пассажи ров сказывалась на доходах железной дороги, паровозы стали обору довать железными переборками позади машинного отделения. Они препятствовали распространению огня на пассажирские вагоны, но не защищали машиниста, находившегося между углем и топкой. (Есть над чем призадуматься системному администратору.) <...> Великая Китайская Стена не произвела впечатления на Чингисха на. Ему приписывают слова: Неприступность крепости зависит от от ваги ее защитников. Пропускать все, что нужно, и при этом оставлять все, что может представлять опасность, снаружи является главной за дачей любого компьютерного брандмауэра. Он должен действовать как привратник. Он должен выяснить, какой код представляет опас ность, и не пропустить его. Он должен делать это без необоснован ной задержки движения. (Для среднестатистического пользовате ля Интернета необоснованной задержкой является всякое заметное Потрясающая книга, зачитанная мною буквально до дыр. Автор настолько глубоко (если вам это нужно), широко (что вам нужно наверняка) и понятно вводит нас в об ласть информационной безопасности, что диву даешься. Отчасти это так, потому, что данная книга Ч вторая из известных книг Шнайера. Первой является Приклад ная криптография [61]. Будучи также прекрасным образчиком, она была написана несколько раньше, в то время, когда автор верил, что криптография Ч это ОтветЩ на все вопросы в части информационной безопасности. Секреты и ложь Ч это, в том числе, и его признание ошибочности такой позиции. Снова и снова я возвра щаюсь к этому труду. Как минимум по одной цитате из него встречается практиче ски в каждой моей работе.
Глава 5. Кибермутации плохих поступков замедление.) Брандмауэр должен делать это, не раздражая законно го пользователя. (Среднестатистический пользователь Интернета не спо собен отказаться от чего либо наподобие загрузки новой интер нет игры от компании с названием Подозрительное программное обеспечение или прочтения электронной почты от ненадежной ма шины.) Но если привратник Ч брандмауэр Ч допустит ошибку, ха кер может проникнуть внутрь сети и стать ее полновластным хозяи ном [35].
Файервол позволяет блокировать различные атаки на компьютер, осуществляемые извне, не через браузер, без вашего участия. Такие атаки называются латаками по портам, используют уязвимости се тевых служб операционной системы, способны вызвать заражение незалатаной системы или предоставить злоумышленнику полный доступ к ней. Согласно все тому же отчету Лаборатории Касперско го, их файервол за год отразил в сумме 30 234 287 сетевых атак по портам.
Кстати никто не знает, сколько атак она не отразила. Это касается всех типов атак и всех антивирусных средств Ч если мы не засекли вторжение, то его, как бы, и нет. Меры борьбы с киберугрозами носят реактивный и частично превентивный характер (лчастично, потому что неизвестно, кто обнаружит следующую уязвимость, а если неиз вестно где она, то неизвестно и как от нее защищаться). В этом отно шении интересен подход компании Apple к программному обеспече нию для платформы iPhone, предлагающий пользователям не реак тивную, а полностьюпревентивнуюи даже ретроспективнуюзащиту.
Разработчики программ для iPhone должны быть зарегистрированы в Apple, пообещать раскрыть всюинформациюо том, как было на писано приложение, после завершения передать его для проверки и тестирования, чтобы только после оно имело шанс попасть в iPhone App Store Ч единственное место, откуда большая часть пользовате лей iPhone способна его загрузить. Более того, Apple может сделать уже загруженное приложение нерабочим в любой момент по любой причине. Такой подход оберегает пользователей, защищает их от пло хого кода... но как же хорошо, что я не являюсь поклонником iPhone, и за меня никто не решает какими продуктами пользоваться. Вообра зите, что подобнуюполитику начнет производить Microsoft, что ком пания поставщик вашей операционной системы и/или компьютера бу дет решать какой программе жить, а какой Ч умереть. По моему это несколько оскорбительно [47]. Хотя с игровыми приставками работает, и никто не жалуется.
102 РЕАЛЬНОСТЬ 2.0b. Современная история информационного общества Как проще всего представить себе атаку по портам Представьте себе многоквартирный дом, где живет множество людей. У каждой квартиры свой номер. Вам необходимо попасть в как можно большее количество квартир с цельюих обокрасть, и вы знаете, что в квартале есть несколько домов, где жители апартаментов с номерами 135, и/или 445 ожидают доставщика пиццы и не слишком бдительны, по этому откроют дверь, даже не посмотрев в глазок. В этом случае вы начнете обход домов, звоня в квартиры с указанными номерами и представляясь разносчиком пиццы. Если вам попалась квартира, где пиццу не заказывали, вы можете извиниться и уйти, а если пиццу зака зывали, но вас раскрыли, то вы можете убежать. В остальных случаях вы нейтрализуете хозяина квартиры и сделаете свое черное дело. Все это немного упрощенно, но, в целом, верно иллюстрирует поведение компьютерных червей. Чтобы расшифровать аналогию, обратитесь к следующей табл. 5.1.
Pages: | 1 | ... | 12 | 13 | 14 | 15 | 16 | ... | 63 | Книги по разным темам