100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №64 «Мобильные вирусы представляют большую опасность»19.01.2010 18:09
Миф №65 «Системы обнаружения атак умеют обнаруживать неизвестные атаки»26.01.2010 00:29
Подобный материал:
1   ...   39   40   41   42   43   44   45   46   ...   69

Миф №64 «Мобильные вирусы представляют большую опасность»19.01.2010 18:09


Смартфоны, мобильные телефоны, КПК очень быстро ворвались в нашу жизнь, широко распространились во всех слоях населения и прочно обосновались в повседневном арсенале любого человека. И сразу стали появляться пророки, которые объявили скорый приход мобильного апокалипсиса. А раз есть угроза, нашлись и борцы с ней. Ими стали разработчики антивирусов для мобильных устройств:
  • Лаборатория Касперского – продукт Kaspersky Mobile Security
  • Avira – Avira AntiVir Mobile
  • Dr.Web – Dr.Web для Windows Mobile
  • F-Secure – F-Secure Mobile Antivirus
  • ESET – ESET Mobile Antivirus
  • Commander Mobile Anti-Virus
  • BullGuard – BullGuard Mobile Antivirus
  • AirScanner Corporation – AirScanner Mobile Antivirus
  • NetQin – NetQin Mobile Antivirus
  • ALWIL Software - Avast! PDA Edition
  • Symantec - Symantec Smartphone Security
  • Trend Micro – Trend Micro Mobile Security
  • BitDefender – BitDefender Mobile Security
  • McAfee – McAfee Mobile Security.

Внушительный список, не правда ли? Если пройтись по антивирусным сайтам, то можно найти множество пугалок для доверчивых пользователей – «Операторы сотовой связи готовятся к эпидемиями вирусов для мобильных телефонов», «Мобильный апокалипсис лишь вопрос времени», «Новая жертва мобильного вируса» и т.д. Но насколько это все реально? Давайте посмотрим на цифры. Число сигнатур в современном антивирусе для рабочих станций составляет несколько сотен тысяч. В мобильном же антивирусе это число на пару порядков меньше – в моем антивирусе для Nokia e61i всего 996 записей (на 3 августа 2009 года). Иными словами, вирусописатели пока не стремятся активно осваивать это направление для своей деятельности – нет адекватной мотивации для этого.

Но главное доказательство, что мобильные вируса пока относятся к мифам – отсутствие хоть одной атаки на мой смартфон Nokia E61i. Больше двух лет уже я использую на нем Kaspersky Mobile Security, но так ни разу и не столкнулся с мобильным вирусом; также как и с SMS-спамом, о котором тоже некоторые разработчики средств защиты говорили, как о потенциальной угрозе будущего. А я достаточно активно езжу и по России и странам ближнего и дальнего зарубежья; посещаю большие скопления людей. Но все безрезультатно – ни одной атаки.

Возможно, когда-то мобильный вредоносный код и станет реальностью, но пока этот день не наступил. Можно спать спокойно… Если вы вообще думали об угрозе для своего телефона или смартфона.

Миф №65 «Системы обнаружения атак умеют обнаруживать неизвестные атаки»26.01.2010 00:29



Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Мы уже ссылка скрыта миф о возможности антивирусов обнаруживать неизвестные вирусы. А так как антивирусы и IDS по своему функционированию мало чем отличаются друг от друга, то уже описанный миф применим и к системам обнаружения атак. Но я решил пойти чуть дальше и показать, что сигнатурные технологии обнаружения вредоносной активности, заложенные в современные защитные средства, являющиеся лидерами российского и международного рынка, обладают фундаментальным недостатком, о котором еще в начале 21-го века предупреждала лаборатория компании HP.

В качестве примера возьмем достаточно старого червя Kak (также известного как VBS.Kak.Worm, VBS.Kak.Worm.dr, Kagou-Anti-Krosoft, Wscript.Kak.A, JS/Kak.Worm [Panda], Mid/Kakworm, JS_KAKWORM.A [Trend], I-Worm.KakWorm [Kaspersky], JS/Kak@M [McAfee], VBS/Kakworm [Sophos]), обнаруженного в декабре далекого 1999-м года. Логично предположить, что его ловят все современные антивирусы и системы обнаружения вторжений. А теперь посмотрим, что может сделать любой, даже неквалифицированный злоумышленник с этим червем. Но прежде скажу, что по состоянию на январь 2008-го года из 31-го популярного антивируса червь Kak не ловили 11 производителей.

Исходный код вредоносной программы Kak можно найти на многих «хакерских» сайтах. Я не буду приводить их ссылки, дабы не провоцировать читателя на эксперименты. С этим же связан и выбор червя и даты баз сигнатур, по которым проводилось экспресс-исследование. Итак, берем исходный код на языке Visual Basic Script (VBS) и разбиваем текстовые строки на фрагменты. Например, вместо фрагмента «SCRIPT» будет два фрагмента «SCRI» и «PT». И вот уже из 31-ти одного проверяемого защитного продукта слегка измененный червь обнаруживается только 16-тью из них.

Вторым шагом мы изменим имя создаваемых червем файлов с «kak» на, например, «kok». В этом случае рекомендация многих производителей защитных средств искать и удалять файлы с именем «kak.*» уже не помогут – мы поменяли имя вредоносной программы. И вот уже ее обнаруживают только 13 антивирусов. Код по-прежнему легко узнаваем. Устраним и этот недостаток – запишем червя в шестнадцатеричном коде. И вот уже в списке обнаружителей осталось только 9 имен и ни один не опознает модифицированный червь, как оригинальную вредоносную программу. Дальше больше. Зашифруем код червя и поместим в начало червя функцию его расшифрования. И вот уже ни одно из проанализированных антивирусных решений не справляется с задачей обнаружения вредоносной программы.

Возьмем другой пример, который касается уже именно систем обнаружения вторжений, ориентированных в первую очередь на сигнатурный принцип. Возьмем старую уязвимость переполнения буфера в OpenSSH (ссылка скрыта), датированную 2002-м годом. Сразу же после ее появления появился код атаки (эксплоит), созданный злоумышленником по имени GOBBLES. Теша свое самолюбие, он включил свое имя в код эксплоита, а производители средств обнаружения вторжения стали обнаруживать эту атаку как раз по этому имени. Например, NetScreen IDP:

("SSH:OPENSSH:GOBBLES-SSH-EXPLOIT"

            :rectype (signature)

            :signature (

                        :pattern ("SSH-2.0-GOBBLES.*")

                        :offset (0)

                        :type (stream)

            )

            :type (attack-ip)

            :service (ssh)

            :direction (cts)

            :flow (control)

            :severity (7)

            :false-positives (unknown)

            :product (OpenSSH)

)

Мы видим, что сигнатура построена на поиске в сетевом трафике слова «GOBBLES». Достаточно поменять в исходном коде атаки:

snprintf(buf, sizeof buf, "SSH-%d.%d-%.100s\n",

                compat20 ? PROTOCOL_MAJOR_2 : PROTOCOL_MAJOR_1,

                compat20 ? PROTOCOL_MINOR_2 : minor1,

-               SSH_VERSION);

+              "GOBBLES");

букву «G» на любую другую и атака уже не будет обнаружена.

Неужели современные системы обнаружения атак не могут справиться с описанной проблемой? Могут, но не все и не всегда. Некоторые средства предотвращения вторжений используют иные, отличные от сигнатурных, механизмы. Например, метод обнаружения, направленный на детектирование факта использования самой уязвимости, что позволяет отслеживать практически любые атаки против данной дыры. Но многие ли системы могут похвастаться такой функциональностью?

И по-прежнему, основным способом обнаружения вредоносной активности остаются сигнатуры. А значит надо быть готовым к тому, что даже самые лучшие IDS/IPS не смогут обнаруживать все атаки, направленные на вашу компанию.