Программы компьютерные вирусы. Интернет-черви. Почти все Интернет черви это почтовые черви, и лишь малая доля это непочтовые черви, применяющие уязвимости программного обеспечения (как правило, серверного). Почтовые черви делятся на два основных класса
Вид материала | Статья |
- Вирусы и антивирусы, 167.44kb.
- Лекция Тип Плоские черви (Plathelminthes) Общая характеристика типа, 131.51kb.
- "Вирусы", "Черви", "Драконы" и резиденты на службе прогресса, 1725.39kb.
- Урок биологии в 7 классе по теме «Круглые черви», 121.21kb.
- Тема урока: «Сетевые черви и защита от них», 129.96kb.
- Когда мне было уже лет шестнадцать семнадцать, 37.82kb.
- Урок. Органы и системы органов животных Задачи, 359.36kb.
- Автандилян Нарине Арамаисовна (очно-заочное отделение). «Избранная русская проза, 35.37kb.
- Происхождение и начальные этапы развития жизни на Земле, 20.84kb.
- Среди животных много таких, которые, поселяясь во внутренних органах либо на теле других, 56.46kb.
Статья «Рекомендации по ИТ безопасности»
Вопрос: «Какие рекомендации по защите от утери информации, представленной в электронном виде?»
Ответ:
Возможность разрушения и/или уничтожения информации для незащищенных компьютеров является достаточно ощутимой угрозой. Для защищенных компьютеров подобные преднамеренные действия затруднительны, ошибки же самого пользователя не исключаются. Наиболее надежным способом уменьшения тяжести последствий разрушения и/или уничтожения информации является хорошо организованная технология ведения постоянных архивов на съемных накопителях. Архивные данные должны позволять восстанавливать утраченную информацию с откатом не более чем на одни сутки. Рациональнее делать копии и вести архивы при интенсивной работе на компьютере каждые 1 – 2 часа. Архивы, как правило, ведутся в двух экземплярах и хранятся в иных зданиях (аренда удаленного сервера, аренда банковской ячейки и т.д.).
Вопрос: «Какие рекомендации по защите от вирусов?»
Ответ:
Виды вредоносных программ:
- программы – компьютерные вирусы.
- Интернет-черви. Почти все Интернет черви - это почтовые черви, и лишь малая доля - это непочтовые черви, применяющие уязвимости программного обеспечения (как правило, серверного).
Почтовые черви делятся на два основных класса:
- черви, которые запускаются без ведома пользователя и используют уязвимости почтовых клиентов;
- черви, которые активизируются, только если пользователь сохранит присоединённый к письму файл и запустит его.
Кроме основной функции - размножения, черви почти всегда несут в себе и боевую нагрузку. Вложенные функции чрезвычайно разнообразны. Так, например, очень часто почтовые черви призваны для того, чтобы установить на зараженный компьютер троянскую программу или утилиту скрытого администрирования и сообщить адрес компьютера творцу червя.
- Макро-вирусы. Данные вирусы являются макросами, хранящимися во внешних файлах программного обеспечения (документах Microsoft Office, Autocad и пр.) и при открытии документа исполняются внутренними интерпретаторами данных программ. Широкое распространение они получили благодаря огромным возможностям интерпретатора языка Visual Basic, интегрированного в Microsoft Office;
- «Троянские» программы и утилиты скрытого администрирования. В последнее время большое распространение получили Trojan и Backdoor программы. Отличие этих двух типов программ заключается в том, что «троянская» программа выполняет активные действия (уничтожение данных, сбор данных и отправка через Internet, выполнение каких либо действий в определённое время), в то время как Backdoor-программы открывают удалённый доступ к компьютеру и ожидают команды злоумышленника. Для простоты оба этих класса вредоносных программ называют «троянскими» программами.
Главное отличие "троянов" от всех перечисленных выше вредоносных программ является то, что «троянские» программы не размножаются сами. Они устанавливаются на компьютер и долгое время (как правило, либо до момента обнаружения, либо до переустановки операционной системы ) выполняют свои функции. При этом «троянский конь» не может самостоятельно переместиться с одного компьютера в локальной сети на другой.
Все «троянские» программы можно разделить на три основных класса по выполняемым действиям:
- логические (временные) бомбы - программы, различными методами удаляющие/модифицирующие информацию в определённое время, либо по какому то условию;
- шпионы - собирающие информацию (имена, пароли, нажатия на клавиши) и складирующие её определённым образом, а нередко и отправляющие собранные данные по электронной почте или другим методом;
- BackDoor программы - удалённое управление компьютером или получение команд от злоумышленника (через локальную/глобальную сеть, по электронной почте, в файлах, от других приложений, например тех же червей или вирусов).
Рекомендации по защите компьютерных сетей от вредоносных программ
В основу построения системы антивирусной защиты могут быть положены следующие принципы:
- принцип реализации единой технической политики при обосновании выбора антивирусных продуктов для различных сегментов локальной сети;
- принцип полноты охвата системой антивирусной защиты всей локальной сети организации;
- принцип непрерывности контроля локальной сети компании, для своевременного обнаружения компьютерной инфекции;
- принцип централизованного управления антивирусной защитой.
С учётом этих принципов в комплексной системе информационной безопасности создаётся подразделение антивирусной защиты, которая должна решать следующие задачи:
- приобретение, установка и своевременная замена антивирусных пакетов на серверах и рабочих станциях пользователей;
- контроль правильности применения антивирусного программного обеспечения пользователями;
- обнаружение вирусов в локальной сети, их оперативное лечение, удаление зараженных объектов, локализация зараженных участков сети;
- своевременное оповещение пользователей об обнаруженных или возможных вирусах, их признаках и характеристиках.
Эффективность создаваемой подсистемы антивирусной защиты зависит также от выполнения следующих дополнительных условий:
- подключение персональных компьютеров пользователей в корпоративную сеть должно производиться только по заявке с отметкой администратора антивирусной защиты об установке лицензионного антивирусного программного обеспечения (заявка заносится в базу данных с фиксацией сроков действия лицензии);
- передачу персонального компьютера от одного пользователя другому необходимо производить с переоформлением подключения к сети;
- в удаленных структурных подразделениях следует назначить внештатных сотрудников, ответственных за антивирусную защиту.
Практическая реализация антивирусной защиты информации на серверах и персональных компьютерах корпоративной сети осуществляется с использованием ряда программно-технических методов, являющихся стандартными, но имеющих свою специфику, определяемую особенностями корпоративной сети. К ним относятся:
- использование антивирусных пакетов, которые должны удовлетворять следующим общим требованиям: быть совместимыми с операционными системами серверов и компьютеров, не должны нарушать логику работы остальных используемых приложений, должны иметь полный набор антивирусных функций, необходимых для обеспечения антивирусного контроля и обезвреживания всех известных вирусов;
- частота обновления антивирусного программного обеспечения и гарантии поставщиков (разработчиков) в отношении его своевременности;
- архивирование информации;
- резервирование информации;
- ведение базы данных о вирусах и их характеристиках;
Антивирусной защите подлежат все компоненты информационной системы, участвующие в транспортировке информации и/или её хранении:
- файл-серверы;
- рабочие станции;
- рабочие станции мобильных пользователей;
- серверы резервного копирования;
- почтовые серверы.
Современные антивирусные пакеты содержат в себе следующие основные программные компоненты:
- монитор (резидентно размещается в оперативной памяти компьютера и автоматически проверяет объекты перед их запуском или открытием; при обнаружении вируса программа в зависимости от настроек может удалить зараженный объект, вылечить его, запретить к нему доступ);
- сканер (осуществляет проверку объектов на наличие вирусов по запросу пользователей);
- сетевой центр управления (позволяет организовать управление антивирусной защитой корпоративной сети: управлять компонентами пакета, задавать расписания запуска сканера, автоматического обновления антивирусных баз и т.д.);
- дополнительные модули, обеспечивающие проверку электронной почты и Web-страниц в момент получения информации.
При обнаружении вирусов пользователям не рекомендуется заниматься "самолечением", так как это может привести к потере информации. В таких случаях им следует по "горячей линии" обращаться к администраторам антивирусной защиты, которые принимают меры по обезвреживанию вирусов и предотвращению дальнейшего заражения.
Следующими по важности методами антивирусной защиты являются архивирование и резервное копирование информации, позволяющие исключить потерю информации в случае вирусного заражения. Архивирование заключается в периодическом копировании системных областей машинных носителей информации на внешние устройства. На серверах с наиболее важной информацией архивирование необходимо проводить с минимальной периодичностью. Резервное копирование информации проводится ежедневно в целях защиты ее от искажения и разрушения.
Вопрос: «Какие рекомендации по защите автономных компьютеров?»
Ответ:
Для работы с защищаемой информацией отбор оргтехники следует проводить по результатам специсследований и специальной лабораторной проверки, которые могут быть проведены специализирующимися на этих работах компаниями, имеющими лицензии на проведение подобных работ. В случае невозможности проведения подобных работ следует осуществлять закупку современных компьютеров только известных компаний, а также использовать лицензионные программы.
Для защиты информации на автономных компьютерах рекомендуется провести следующие действия:
- каждый компьютер закрепить за конкретным пользователем;
- для каждого компьютера завести Формуляр, в котором должны быть указаны установленные технические средства (с номерным учетом), перечень разрешенных к использованию программных средств и установленные средства защиты информации и управления доступом, а также разрешенные места размещения данного компьютера;
- установить парольную защиту на включение машины, на обращение к жесткому диску и/или на открытие файлов прикладных программ с периодическим изменением используемых паролей;
- установить системы идентификации пользователей компьютерами, применяя электронные карточки, брелки, биометрические системы и иные варианты идентификации физического лица;
- разделить на защищаемых компьютерах места размещения прикладных компьютерных программ и конфиденциальных данных, с которыми работает пользователь;
- шифровать отдельные данные или все накопители информации, например, логические устройства (разделы) жесткого диска, с использованием криптографии и постоянное обновление копий на съемных носителях;
- использовать режим гашения экрана и закрытия файлов при перерывах в работе пользователя;
- использовать источники бесперебойного обеспечения питания;
- организовать ведение постоянных архивов на съемных накопителях;
- создать принудительное использование активных антивирусных программ.
Также следует помнить, что работа на защищенных компьютерах должна обеспечиваться необходимыми инструкциями, исполнение которых обязательно. Контроль за соблюдением этих инструкций должен быть централизованным. При приеме на работу сотрудников, которые будут использовать компьютеры, следует в соответствующем контракте оговорить особые условия работы с информацией на компьютерах.
Необходимо постоянное обучение персонала правильной работе с компьютерами, выделение специального компьютера для проверки программного оборудования, а также запретить играть в компьютерные игры и испытывать программное обеспечение на компьютерах, обрабатывающих конфиденциальную информацию.
Вопрос: «Какие рекомендации по защите сетей?»
Ответ:
Защита информации в компьютерных сетях всегда носит комплексный характер. Все компьютеры сети обязательно проходят спецлабпроверки. Используются средства шифрования информации как на жестких дисках, так и при передаче данных. Создается система парольной защиты с разграничением прав доступа различных пользователей к ресурсам сети и к информации в ней. Могут быть введены заметные ограничения на вывод информации из сети, например, печать данных разрешается только с ограниченного количества терминалов при учете всей выдаваемой информации. Следует отметить, что выход в Интернет для защищенной сети реализуется с очень большими затратами. Особое внимание в сетях уделяется антивирусной защите, поскольку такая опасность очень велика, а последствия весьма серьезны. Создается специальная система восстановления сети, которая позволяет с приемлемыми потерями и при допустимых затратах восстановить систему после разрушения в ней информации или физического изъятия из системы ее отдельных частей. Сложность защиты сети возрастает с увеличением ее масштаба и усложнением структуры.
Все вопросы защиты сети решаются при ее проектировании, которое может проводить только такая организация, которая имеет необходимые документы (сертификаты, разрешения и др.), позволяющие ей производить прокладку силовых кабелей, коммуникаций и установку средств защиты данных, включая криптографическую защиту. После завершения работ по установке сети должно быть получено специальное предписание, позволяющее эксплуатировать сеть как защищенную. Для дальнейшей ее работы необходима специальная служба администрирования сети и ведения средств защиты.
Шифрование в каналах связи компьютерной сети. Применяются три вида шифрования в информационных компьютерных сетях.
- канальное шифрование. При канальном шифровании шифруются абсолютно все данные, проходящие через каждый канал связи, включая открытый текст сообщения, а также информацию о его маршрутизации и об используемом коммуникационном протоколе. Однако в этом случае любой интеллектуальный сетевой узел (например, коммутатор) будет вынужден расшифровывать входящий поток данных, чтобы соответствующим образом его обработать, и снова зашифровывать, чтобы передать на другой узел сети. Тем не менее канальное шифрование представляет собой очень эффективное средство защиты информации в компьютерных сетях. Поскольку шифрованию подлежат все данные, движущиеся от одного узла сети к другому, у злоумышленника нет никакой дополнительной информации о том, кто служит источником передаваемых данных, кому они предназначены, какова их структура и так далее. А если еще позаботиться и о том, чтобы, пока канал простаивает, передавать по нему случайную битовую последовательность, сторонний наблюдатель не сможет даже сказать, где начинается и где заканчивается текст передаваемого сообщения. Самый большой недостаток канального шифрования связан с тем, что данные приходится шифровать при передаче по каждому физическому каналу компьютерной сети. Отправка информации в незашифрованном виде по какому-то из каналов ставит под угрозу обеспечение безопасности всей сети в целом. В результате стоимость реализации канального шифрования в больших сетях может оказаться чрезмерно велика;
- сквозное шифрование. При нем шифрованию подлежит только содержательная часть сообщения, которое требуется передать по сети. После зашифровывания к ней добавляется служебная информация, необходимая для маршрутизации сообщения, и результат переправляется на более низкие уровни с целью отправки адресату. Сообщение не требуется постоянно расшифровывать и зашифровывать при прохождении через каждый промежуточный узел сети связи, оно остается зашифрованным на всем пути от отправителя к получателю. Основная проблема, с которой сталкиваются пользователи компьютерных сетей, где применяется сквозное шифрование, связана с тем, что служебная информация, используемая для маршрутизации сообщений, передается по сети в незашифрованном виде. Злоумышленник может извлечь для себя массу полезной информации, зная, кто, с кем, как долго и в какие часы общается через компьютерную сеть. Для этого ему даже не потребуется быть в курсе предмета общения. По сравнению с канальным сквозное шифрование характеризуется более сложной работой с ключами, поскольку каждая пара пользователей компьютерной сети должна быть снабжена одинаковыми ключами, прежде чем они смогут связаться друг с другом;
- комбинированное шифрование. Комбинация канального и сквозного шифрования данных в компьютерной сети обходится значительно дороже, чем канальное или сквозное шифрование по отдельности. Однако именно такой подход позволяет наилучшим образом защитить данные, передаваемые по сети. Шифрование в каждом канале связи не позволяет противнику анализировать служебную информацию, используемую для маршрутизации. А сквозное шифрование уменьшает вероятность доступа к незашифрованным данным в узлах сети. При комбинированном шифровании работа с ключами ведется раздельно: сетевые администраторы отвечают за ключи, используемые при канальном шифровании, а о ключах, применяемых при сквозном шифровании, заботятся сами пользователи.
Вопрос: «Какие рекомендации по информации от атак через Интернет?»
Ответ:
Сценарии развития хакерских атак из сети «Интернет» и возможное противодействие
Обычно хакерская атака развивается по стандартному сценарию, состоящему из нескольких этапов:
- изучение потенциальной жертвы, сбор максимальной информации о ней;
- на основании полученных данных последовательно проводятся нападения на предполагаемые уязвимые места;
- после проникновения внутрь корпоративной сети происходит уничтожение следов своего присутствия, для чего хакер старается изменить или удалить журналы, в которых ведется учет действий пользователей.
Сгруппировав действия хакеров по способу вмешательства, можно выделить пять основных категорий атак:
- инициирование отказа в обслуживании (denial of service) - единовременная атака посредством передачи некорректных запросов или больших объемов информации с целью нарушения работы атакуемой системы;
- подмена пакетов служебной информации (spoofing) - способ проникновения "вглубь" системы, основанный на подмене IP-адресов передаваемых по сети пакетов с целью получения доступа к конфиденциальной информации, закрытой для внешних пользователей. Одной из разновидностей этой категории является подмена DNS; такая атака позволяет управлять трафиком определенного узла за счет перехвата запросов DNS-сервера. Результатом такого рода вмешательства может стать полная изоляция узла;
- сканирование - способ взлома, основанный на поиске определенных "трещин" в системе безопасности с целью проникновения в нее и последующего вживления тела вируса;
- перехват пакетов (sniffing) - несанкционированный перехват потока данных с целью дешифрования и получения конфиденциальной информации (паролей, ключей и т. п.). Опасность скрыта в том, что хакер может вести себя пассивно и никак не выдавать своего присутствия, пока не получит достаточного количества данных, позволяющих беспрепятственно проникнуть в систему;
- рассылка вирусов - самый простой способ, основанный на добавлении вирусов-"троянцев" к электронным письмам или другим данным (например, в программы, свободно распространяемые через Internet).
На данный момент самый популярный способ взлома - атака DDoS (distributed denial of service). Принцип этой атаки состоит в том, что при перегрузке системы большим объемом входных данных обработка поступающей информации нарушается, и хакерам удается на продолжительное время остановить работу определенной службы или даже всей системы. Основной особенностью DDoS-атаки является использование большого числа удаленных друг от друга ресурсов, действия которых координируются с главного компьютера. Для этого, естественно, перед нападением необходимо внедрить в удаленные системы агента DDoS, то есть "зомбировать" их.
Некоторые способы защиты от хакерских атак:
Для защиты от хакерских атак можно порекомендовать:
- разграничение доступа пользователей;
- использование межсетевых экранов. Применение межсетевых экранов позволит защитить внутреннюю сеть от случайных внешних воздействий, таких как сканирование. Задача межсетевых экранов заключается в четком распределении и анализе входящего/исходящего трафика. Ограничение внутренних подсетей подобными "барьерами" увеличивает эффективность системы безопасности, противодействуя всем нежелательным и несанкционированным действиям как внутри сети, так и извне. Межсетевые экраны обладают функциями ограничения входящего трафика, что является защитой от DDoS-атак;
- защиту передаваемых данных. Пароли и иная носящая конфиденциальный характер информация может быть перехвачена или подменена. Чтобы предотвратить это, используется несколько способов защиты сетевых каналов. Для взаимодействия удаленных узлов или сетей может применяться туннелирование, предполагающее, что при передаче через общедоступные сети весь трафик шифруется граничными устройствами (маршрутизаторами); это обеспечивает необходимое быстродействие, хотя до граничных устройств пакеты данных передаются незащищенными;
- использование защищенных протоколов. Например, использование протокола IPSec позволяет обеспечить защиту информации при передаче между удаленными и локальными ресурсами. Решается сразу несколько проблем безопасности, таких как идентификация узлов (определение подлинности отправителей данных), контроль целостности данных (предотвращение искажения информации по пути следования), шифрование трафика (предупреждение просмотра конфиденциальной информации, передаваемой по сети) и т.д.;
- аутентификация пользователей, что исключает несанкционированное подключение к сети, посредничество в передаче пакетов и т. п.;
- использование более широкого канала связи с провайдером;
- использование надежного провайдера с хорошими каналами (желательно несколькими), грамотно и быстро отвечающими на запрос о помощи администраторов;
- шифрование трафика, что обеспечивает конфиденциальность информации, передаваемой между узлами сети. Для шифрования пакетов в стандарте IPSec предусмотрен специальный протокол ESP (Encapsulated Security Payload), который по умолчанию использует алгоритм шифрования DES (наряду с этим могут использоваться и другие алгоритмы);
- контроль над распространением и использованием ключей и сертификатов. Такое решение подходит только для локальных сетей с очень ограниченным числом узлов. Для больших корпоративных сетей аутентификация пользователей и распределение ключей должны выполняться автоматически. Все это приводит к необходимости построения внутренней инфраструктуры, выполняющей функции администрирования потоков цифровых сертификатов. Для этих целей может быть создана инфраструктура открытых ключей (PKI - public key infrastructure);
- контроль безопасности среды. Даже если все приведенные рекомендации выполнены, система все равно требует постоянного аудита и совершенствования. Для этих целей предназначены специальные инструменты, выявляющие узкие звенья системы безопасности. Функции контроля безопасной среды можно разделить на предупреждение вторжений и противодействие обнаруженным атакам. Предупреждение вторжений может быть направлено на изучение статистических данных сети (аномалии трафика, частота ошибок авторизации и т. п.), а также на анализ надежности средств защиты. Периодичность осуществления профилактических мер зависит от важности и ценности используемой информации. Системы обнаружения вторжений (intrusion detection system - IDS) позволяют распознавать и классифицировать нарушения в работе системы безопасности, а также противостоять угрозе и даже устранять ее. Действие подобных систем основано на выявлении так называемых сигнатур атак. Сигнатуры представляют собой определенные последовательности действий (кода), свойственные атакам, несанкционированным вторжениям в сеть или нарушениям ее работы. Поиск сигнатур атак проводится на двух уровнях: сетевой уровень, предполагающий анализ трафика, заголовков пакетов, а также передаваемых по сети данных, выявление аномалий и корреляций событий и системный уровень, предполагающий анализ регистрационных журналов, системных и исполняемых файлов;
- профессиональные действия администраторов сети по недопущению или противодействию хакерских атак;
- грамотные действия пользователей сети по недопущению или противодействию хакерских атак, а также сохранностью своих персональных паролей и электронных ключей;
- разработка необходимой нормативной документации, в том числе документов, регламентирующих работу специалистов при возникновении внештатных ситуаций;
- разработка плана профилактических мероприятий, позволяющих заранее выявить недочеты в системе защиты и предупредить попытки использования этой информации в корыстных целях.
При выборе системы защиты компьютерной сети от атак из Интернет необходимо учитывать, что она должна выполнять следующие основные функции:
- контролировать и анализировать активность пользователей и вычислительной системы;
- фиксировать конфигурации системы и уязвимости;
- оценивать целостность критических системных файлов и файлов данных;
- распознавать шаблоны активности, отражающие известные атаки;
- проводить статистический анализ для выявления аномального поведения;
- распознавать нарушения политики безопасности пользователем системы.
Кроме вышеописанных основных функций система защиты должна в идеале удовлетворять следующим функциональным характеристикам:
- выполняться непрерывно с минимальным вмешательством пользователя;
- быть защищена от сбоев, т.е. не зависеть от сбоев системы, произошедших случайно или вследствие действий нарушителя;
- контролировать собственную целостность и обнаруживать собственные модификации, осуществленные нарушителем;
- минимально воздействовать на систему, безопасность которой контролируется;
- конфигурироваться в соответствии с политикой безопасности контролируемой системы;
- адаптироваться к изменениям в системе и поведении пользователя во времени (новые приложения, новые ресурсы, санкционированные изменения активности пользователя);
- работать с данными, поступающими от многих пользователей;
- поддерживать динамическую реконфигурацию;
- обеспечивать администратора системы данными, достаточными для восстановления системы после атаки.
Для защиты компьютерной сети от нападений в основном применяют межсетевые экраны, выполненные, в основном по технологии виртуальных частных сетей (VPN). Суть VPN состоит в следующем: на все компьютеры, имеющие выход в Internet (вместо Internet может быть и любая другая сеть общего пользования), ставится средство, реализующие VPN (а также VPN – агент, позволяющий настраивать VPN), которое автоматически зашифровывают всю информацию, передаваемую через нее в Internet, а также контролирует целостность информации с помощью имитоприставок.
Перед отправкой IP-пакета VPN - агент выполняет следующее:
- анализируется IP-адрес получателя пакета. В зависимости от адреса и другой информации выбираются алгоритмы защиты данного пакета (VPN может поддерживать одновременно несколько алгоритмов шифрования и контроля целостности) и криптографические ключи. Пакет может и вовсе быть отброшен, если в настройках VPN - агента такой получатель не значится;
- вычисляется и добавляется в пакет его имитоприставка;
- пакет шифруется (целиком, включая заголовок IP-пакета, содержащий служебную информацию);
- формируется новый заголовок пакета, где вместо адреса получателя указывается адрес его VPN-агента. Это называется инкапсуляцией пакета. При использовании инкапсуляции обмен данными между двумя локальными сетями снаружи представляется как обмен между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для внешней атаки информация, например, внутренние IP-адреса сети, в этом случае недоступна.
При получении IP-пакета выполняются обратные действия:
- из заголовка пакета получается информация о VPN-агенте отправителя пакета. Если такой отправитель не входит в число разрешенных в настройках, то пакет отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком;
- согласно настройкам выбираются криптографические алгоритмы и ключи;
- пакет расшифровывается, затем проверяется его целостность. Пакеты с нарушенной целостностью также отбрасываются;
- в завершение обработки пакет в его исходном виде отправляется настоящему адресату по локальной сети.
Некоторые способы преодоления злоумышленниками межсетевых экранов:
- использование неправильных настроек межсетевых экранов. Неправильные настройки могут быть результатом неграмотных действий администратора или преднамеренными действиями администратора, направленными на удовлетворение прихотей коллег по работе, друзей или руководства. Необходимо помнить, что требования по безопасности должны быть одинаковые для всех, не взирая на личностные отношения;
- использование «черных ходов» в сети. Роль черного хода может выполнять несанкционированно установленный модем;
- использование особенностей работы межсетевых экранов. Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Чаще всего, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол. Именно этот принцип обработки и используется злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика, то во внутреннюю сеть может попасть и "вирусная инфекция";
- использование оппонентов вашей сети. Даже если происходит шифрования трафика между сетью компании и оппонентской сетью, то нет никакой гарантии, что оппоненты также ни с кем не общаются по незащищенным каналам. Злоумышленник сможет проникнуть в сеть оппонента, а уж затем из нее осуществлять свои несанкционированные действия по отношению к сети компании;
- использование подмены адреса. Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее;
- использование межсетевого экрана как цели атаки. Атаковав межсетевой экран и выведя его из строя, злоумышленники могут спокойно, не боясь быть обнаруженными, реализовывать свои преступные замыслы по отношению к ресурсам защищаемой сети;
- использование кодов доступа других пользователей. Абсолютное большинство межсетевых экранов построено на классических моделях разграничения доступа. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80% случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры. Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким-либо образом получил этот самый элемент и предъявил межсетевому экрану, то он воспринимает его, как "своего" и разрешает действовать в рамках прав того субъекта, секретным элементом которого несанкционированно воспользовались. Даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя, если последний смог подобрать или украсть пароль авторизованного пользователя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем;
- использование администратора сети для обхода межсетевых экранов. Даже самый эффективный межсетевой экран не смог бы защитить корпоративную сеть, если бы на нее совершил нападение ее администратор.
Если ПЭВМ подверглась хакерской атаке, то рекомендуется сделать следующее:
- отсоединить компьютер от сети и перезагрузить в однопользовательском режиме. Однопользовательский режим позволяет предотвратить изменение логов или данных пользователями, злоумышленником или процессами злоумышленника, которые могли остаться после взлома системы;
- осуществить резервное копирование поврежденной системы;
-
осуществить анализ вторжения;
Анализ хакерского вторжения осуществляется по следующей схеме
поиск изменений в программах и конфигурационных файлах. Однако следует помнить, что утилиты, которые вы используете, тоже могут быть изменены. В связи с этим рекомендуется загрузиться с "чистого" ядра и воспользоваться "чистыми" системными утилитами. Так же рекомендуется проверить все системные файлы на предмет «троянов», установленных злоумышленником;
- поиск информации и программ, оставшихся после взлома. Злоумышленники обычно устанавливают собственные программы для продолжения мониторинга или возможности иметь доступ к взломанной системе. Обычно после злоумышленника на диске могут остаться:
- сетевые снифферы. Сниффер - это утилита, которая позволяет мониторить и записывать весь сетевой трафик в файл. Злоумышленники часто используют снифферы для добычи логинов и паролей пользователей, которые в чистом виде передаются по сети;
- «троянские кони». Это работающие стандартным образом программы, но с добавленными злоумышленником функциями. Злоумышленник может использовать «троянского коня» для сокрытия своей активности, добычи логинов и паролей пользователей и создания «бэкдоров» для последующего доступа к взломанной системе;
- эксплоиты (exploit). Программное обеспечение может быть уязвимо к таким действиям, как переполнение буферов, используемых для обмена информацией. Злоумышленник может использовать специальные программы, использующие переполнение буферов для получения прав суперпользователя root. Такие программы также часто остаются в "спрятанных" каталогах;
- утилиты, позволяющие проверять системы на уязвимость;
- программы для сканирования других хостов;
- программы для запуска "DoS" (Denial of Service) атак (в том числе распределенных);
- программы, использующие ресурсы вашего компьютера (например, для "крэка" паролей).
просмотр лог-файлов. Просмотр лог-файлов может помочь понять, как был взломан компьютер, что случилось во время взлома и какие удаленные хосты имели доступ к компьютеру. Однако лог-файлы могут быть исправлены злоумышленником;
анализ утилит, поставленных злоумышленником. Возможно в найденных лог-файлах, сгенерированных утилитами злоумышленника, может содержаться информация о других взломанных сайтах, дырах на взломанных машинах в корпоративной сети, дырах на других сайтах. Рекомендуется поискать такие утилиты и сопутствующие файлы. Однако будьте уверены в том, что вы используете "чистую" копию утилиты для поиска файлов злоумышленника.
Защита информации с использованием систем Honeypot
Системы Honeypot предназначены для обнаружения злоумышленника, записывая все его действия с целью дальнейшего изучения и разработки средства или принципов защиты от новых атак. Honeypot или ловушка – это программный продукт, который эмулирует работу определенных сервисов (почтовых, telnet и т. п.) на машине, тщательно протоколирующей при этом любые действия злоумышленника. Последний будет уверен, что обнаружил компьютер, на котором работает, например, http-сервер, подверженный взлому. Как только злоумышленник начнет атаку на данный сервис, все его действия будут записаны и оценены. При этом задача ловушки – не дать понять нарушителю, что его действия анализируются и он атакует не настоящий сервер. Также honeypot можно обозначить как ресурс, обреченный стать объектом атаки и быть взломанным. Сотрудник, ответственный за информационную безопасность организации, устанавливает ловушку именно для этого, оставаясь при этом пассивным наблюдателем, а после атаки внимательно анализирует лог-файлы системы для нахождения методов противодействия. Ловушки создаются не для обеспечения безопасности информации или элементов системы, они ни от чего не защищают, они только «наблюдают» и собирают данные.
Обычно принято делить ловушки или honeypot по цели применения на две большие категории: production и research. Цель развертывания ловушки-production – уменьшить риск взлома серверов организации. Предполагается, что злоумышленник может потерять много времени, атакуя ловушку, тогда как настоящий сервер продолжит нормально функционировать. Цель же ловушек-research – сбор информации о возможностях злоумышленников, их методах взлома и новых направлениях деятельности.
Угрозы, связанные с продуктами-шпионами
Реальную угрозу информации представляют продукты-шпионы (кейлоггеры), которые могут регистрировать нажатия клавиш, сделанных пользователем, с целью перехвата паролей, данных кредитных карточек и т.д. Кроме этого, современные программы-шпионы позволяют захватывать текст из окон приложений и делать снимки (скриншоты) экрана и отдельных окон. Другими словами, программа-шпион может перехватить текст из документа, даже если пользователь его не набирал с клавиатуры, а просто открыл и просмотрел файл. Также такие программы позволяют вести учет всех полученных и отправленных E-mail, мониторинг файловой активности, мониторинг системного реестра, мониторинг очереди заданий, отправленных на принтер, перехват звука с микрофона и видео-изображения с веб-камеры, подключенных к компьютеру и др.
Продукты-шпионы могут быть программными и аппаратными. Аппаратные представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Такое устройство может быть тайно прикреплено к ПК объекта кем угодно - коллегой, уборщицей, посетителем и т.д.. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер - включенном или выключенном. Затем атакующий может снять устройство в любой удобный момент, а его содержимое (записанные нажатия клавиш) скачать, когда ему это будет удобно. Объемы внутренней энергонезависимой памяти данных устройств позволяют записывать до 10 миллионов нажатий клавиш. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита.
Методы противодействия продуктам-шпионам (программным и аппаратным):
- применение специальных программ, которые использует эвристические механизмы защиты против программ-шпионов, созданные специалистами, имеющими больший опыт борьбы с программами-шпионами;
- применение антивирусных программных продуктов, использующих постоянно обновляемые сигнатурные базы;
- применение персонального Firewall, контролирующего выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;
- физический поиск и устранение аппаратного кейлоггера;
- использование виртуальных клавиатур для ввода особо важной информации (логины, пароли, коды доступа, PIN коды кредитных карт и т.д.).
Вопрос: «Что такое аудит ИТ безопасности?»
Ответ:
Аудит системы IT – безопасности. Виды аудита:
- активный аудит исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий). Активный аудит условно можно разделить на два вида: «внешний» и «внутренний».
При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника. В данном случае проводятся следующие процедуры:
- определение доступных из внешних сетей IP-адресов компании;
- сканирование данных адресов с целью определения работающих сервисов и служб, определение назначения отсканированных хостов;
- определение версий сервисов и служб сканируемых хостов;
- изучение маршрутов прохождения трафика к хостам компании;
- сбор информации об ИС компании из открытых источников;
- анализ полученных данных с целью выявления уязвимостей.
«Внутренний» активный аудит по составу работ аналогичен «Внешнему», однако при его проведении с помощью специальных программных средств моделируются действия «внутреннего» злоумышленника.
- экспертный аудит (проводится независимыми компаниями – экспертами);
- аудит на соответствие стандартам, ГОСТам.
Вопрос: «Какие особенности российского рынка ИТ безопасности?»
Ответ:
Анализ особенностей российского рынка IT- безопасности
- на российском рынке компьютерной безопасности велика роль государства. Государство регулирует этот рынок при помощи трех основных механизмов: лицензирования участников рынка, сертификации продукции, выпускаемой на этот рынок, а также контроля ввоза – вывоза средств защиты компьютерной информации;
Лицензирование участников рынка предполагает получение ими лицензий от соответствующих государственных органов. Лицензирование является обязательным для всех участников рынка компьютерной безопасности. Любая лицензия может быть выдана только российской компании, не имеющей в составе акционеров граждан (компаний) других государств.
Продукция, выпускаемая компаниями на российский рынок компьютерной безопасности, должна быть также сертифицирована уполномоченными государственными органами на соответствие требованиями к продукции, разработанными этими ведомствами. Сертификация криптографических средств возможна лишь в том случае, если в качестве криптографических алгоритмов используются российские стандарты ГОСТ 28147-89, ГОСТ Р34.10, ГОСТ Р34.11. Другой особенностью сертификации является необходимость предоставления подробной документации на изделие, а также всех исходных текстов программных средств. В России не было прецедентов сертификации ПО в области защиты информации, которое было разработано иностранной компанией. Существующее законодательство обязывает использовать сертифицированные продукты в случаях обмена информацией с государственными органами, при обработке информации, составляющей государственную тайну, при государственном оборонном заказе.
Строго регулируется экспорт и импорт средств криптографической защиты информации. В настоящее время для ввоза-вывоза СКЗИ требуется получение разрешения. Исключения составляют аппаратные СКЗИ, ввозимые для осуществления защиты информации, передаваемой по международным каналам связи (банковские международные операции, международный информационный обмен и т.д.). На российском рынке в основном присутствуют продукты, которые не могут быть экспортированы в другие страны (например, в страны ЕС) в связи с тем, что эти продукты были специально спроектированы для российского рынка.
- отсутствие оценок рынка. Особенностью российского рынка информационной безопасности является отсутствие оценок его размера;
- закрытость рынка компьютерной безопасности. Рынок компьютерной безопасности кардинальным образом отличается от других IT-рынков тем, что на нем работают (как со стороны потребителей, так и со стороны участников), в основном, бывшие и действующие сотрудники специальных служб, военнослужащие, имеющие значительный опыт в обеспечении безопасности информации. Появление новых компаний на рынке крупных корпоративных клиентов происходит достаточно редко (1 -2 компании в год, бывают годы, когда новые компании и вовсе не появляются). Появляющиеся компании чаще всего являются отделившимися частями старых компаний, что не изменяет персональный состав участников рынка;
- описание рынка. Продукция компаний предлагается на рынке двумя основными способами – через продажи собственно продуктов и через участие в различного рода проектах. Проекты создаются тогда, когда необходимо создание подсистемы информационной безопасности для специфических нужд конкретного заказчика;
- описание типов компаний. На этом рынке действуют следующие типы компаний:
- компании-производители (дистрибьюторы) программного и аппаратного обеспечения. Это компании, ориентированные на продвижение одного или нескольких продуктов на одном или смежных сегментах рынка. Компаний-разработчиков становится все меньше в связи с тем, что разработка нового изделия – достаточно дорогое занятие. Дистрибуция программного обеспечения в области информационной безопасности в чистом виде встречается также редко. Это связано с малой емкостью рынка. Поэтому все компании без исключения занимаются прямыми продажами, организуют дистрибьюторскую сеть собственных партнеров;
- компании – IT интеграторы. Это компании, ориентированные на создание информационных систем для конкретного заказчика. Такие компании создают в своем составе подразделения, отвечающие за решение вопросов информационной безопасности. Существующая корпоративная политика IT-интеграторов не позволяет предложить специализированным компаниям справедливые условия сотрудничества. В итоге качество услуг по информационной безопасности у крупных IT-интеграторов, как правило, бывает невысоким. Несмотря на плохое качество проектов, этот недостаток может сглаживаться для потребителя большим количеством дополнительных услуг по проектированию самой системы, поставке оборудования, настройке, обслуживанию и т.д.;
- компании, специализирующиеся на создании подсистем информационной безопасности. Такие компании, как правило, появляются из компаний-разработчиков, когда они стремятся увеличить свое присутствие на рынке компьютерной безопасности. Такие компании обычно предлагают потребителям полномасштабный набор продуктов в области информационной безопасности, а также услуги по созданию подсистем компьютерной безопасности для информационных систем потребителя. Как правило, основу продуктового ряда таких компаний составляют продукты собственной разработки, дополненные продукцией иностранных и отечественных партнеров.