|
| |
|
Информационная безопасность. Все
зависит от тебя? |
|
В статье анализируются возможные угрозы
со стороны ПО, в основе которых лежит человеческий фактор. |
|
|
|
|
Введение |
|
Каждому,
кто работает за компьютером, рано или поздно приходиться столкнуться
с издержками кибер-мира – вирусами и троянцами. По большей части, их
распространению способствует сам пользователь. Это происходит как
умышленно, так и случайно. И коснулось не только фирм-поставщиков
компьютерного железа, обычных рядовых пользователей, но и вроде бы
защищенной сферы – как, например, банковские расчеты. Нередки случаи,
когда бухгалтера, пользуясь системой клиент-банк (не будем называть,
дабы не дискредитировать все учреждения), получали вирус вместе с
обновлением от самого банка. А служба IT - поддержки даже
распространяла CD с обновлениями бланков и базами 1C, на которых был
троянец… |
| |
|
Краткий
экскурс... |
|
В наше
время безопасность определяется возможностью существования того или
иного вируса в той или иной операционной среде. Так как большая
часть вирусописателей ориентирована на windows-приложения, то
соответственно мы чаще слышим о слабой ее защищенности и так
называемых багах. Никто не спорит, в “мастдай” полно дыр и заплатки
к ним выходят со значительной задержкой, например: долгое время
любители полазить на чужих машинах пользовались эксплойтом RPCGUI,
получав полный доступ к системе. Но, при “правильной” эксплуатации и
детище Билли будет еще долго жить. Предпосылкой этому является
малораспространенность альтернатив полюбившимся приложениям, если,
конечно, забыть о виртуальных машинах. Фактором безопасности
альтернативных ОС, таких как Unix, Linux, FreeBSD, QNX является их
большое разнообразие. Ведь каждый любитель свободного софта собирает
ядро и компонует элементы системы по-своему. Отсюда следует
немаловажный вывод: то, что работает у одного – не запустится у
второго. Но это вовсе не значит, что это невозможно. Достаточно
вспомнить про PDA, в простонародье – КПК (карманный персональный
компьютер), точнее, их операционную среду – Symbian. С ее появлением
возникли новые типы угроз, не свойственные настольным компьютерам.
Эта ось позволяет приложению получить доступ к аппаратной части,
минуя уровень программного интерфейса, обращаясь напрямую к
процессору и памяти. С одной стороны, это дает возможность
разработчику более полно использовать возможности оборудования, но с
другой стороны: |
|
* такая
возможность отрицательно влияет на переносимость приложений |
|
*
открывает злоумышленнику путь к ресурсам устройства |
|
В
идеальном случае, в целях контроля безопасности только сама
операционка должна иметь доступ к нижнему уровню. Тем не менее,
любой метод загрузки информации в КПК может послужить точкой входа
для вредоносного ПО: |
|
*
последовательный порт или блютуз |
|
*
инфракрасный порт |
|
* операция
синхронизации данных |
|
*
отложенное исполнение с инкубационным периодом по критерию
даты-времени, комбинации клавиш и т.п. |
| Что
касается обычных ПК и антивирусного ПО к ним с обновлениями,
существуют программы, никак не обнаруживаемыми ими. И вовсе не
потому, что их сигнатура пока неизвестна разработчикам и даже не
потому, что пользователь забывает обновить антивирусные базы. А
потому, что сами эти программы и вирусами-то не являются. Кроме того,
они могут использовать скрытие своего процесса, переходя на уровень
ядра (ring0), например через NATIVE, или перехватывая обращения
системы к списку процессов, корректируя его таким образом, что их не
будет видно. Достаточно вспомнить вполне легальную программу SoftICE:
http://cracklab.ru/_dl/debug/si405w9x.rar. Пример такой программы с
исходником для среды NT/XP вы найдете в [1]. |
|
Бывали
случаи, когда антивирусные компании сами распространяли созданный
ими вирус и пугали им все интернет-сообщество, а потом представляли
новый апдейт их антивируса. Конечно, такие факты не доказаны... |
| |
|
Интернет
угроза и удаленный контроль |
|
Сейчас
большинство локальных вычислительных сетей (ЛВС) подключены к сети
Интернет и для разграничения доступа к информационным ресурсам и
контроля обмена данными между различными компьютерными сетями широко
применяются межсетевые экраны (firewall). Стандартный межсетевой
экран представляет собой сетевое устройство со встроенной
операционной системой, которое включается между двумя сегментами ЛВС
так, что весь обмен сетевыми пакетами ограничивается с помощью
специальных правил фильтрации входящих и исходящих потоков данных.
Однако, даже если вы наряду с традиционными механизмами защиты
используете средства поиска уязвимостей, которые своевременно
обнаруживают “слабые места” в системе защиты, то это еще не
доказывает вашей защищенности. Существуют ряд факторов, которые
необходимо учитывать при использовании межсетевых экранов, систем
аутентификации, систем разграничения доступа и т.д. Большинство
компьютерных защитных систем построено на классических моделях
разграничения доступа, при этом пользователю, программе разрешается
или запрещается доступ к какому-либо объекту, например, файлу или
узлу сети при предъявлении некоторого уникального ключа. В 90%
случаев ключом является пароль или MAC адрес. В других случаях,
ключом выступает таблетка iButton или SmartCard, биометрические
характеристики пользователя и т.д. Следовательно, самым слабым
звеном – является ключ. Если взломщик (хакер) получил этот самый
ключ и предъявил системе защиты, то она воспримет его как своего.
При современном уровне электроники получить доступ к ключу не
составляет большого труда. Его можно “подслушать” при передаче по
сети при помощи анализаторов протоколов (sniffer). Его можно
подобрать, например, при помощи систем подбора паролей. Клонировать
на радиорынке. И так далее… |
| |
|
Ну что?!
Еще не боитесь садиться за компьютер? Если нет, то добавим… |
|
У всех,
как правило, на машине присутствует также множество разных программ.
Если вы думаете, что через них нельзя ничего сотворить, то очень и
очень глубоко ошибаетесь! Самый яркий и простой пример тому – атака
на ПК без физического присутствия самого взломщика [2]. Вот допустим,
полюбился вам браузер InternetExpolorer. Используя уязвимость в нем,
зловред, получив доступ и запустив его в скрытом режиме, превращает
ваш компьютер в ботнета (“зомби”) и начинает рассылать спам. А
запустив программу чтения буфера или кейлоггер, вас могут лишить
пароля к почте, админ-панели сайта… Причем ничего ломать не нужно,
вы сами напишите все конфиденциальные данные. Не нужно забывать и
про уязвимость различных плееров. Многие наверняка скачивают
полюбившиеся музыкальные треки с интернета. И вот скачав хит-песню,
скажем “Черный ворон…”, счастливый пользователь запускает ее на
воспроизведение, а в этом файле содержится код, приводящий к ошибке
плеера и дающий контроль к некоторым функциям системы, например от
безобидной перезагрузки до порчи файлов. Стоит также упомянуть
“наглое” поведение последнего нашумевшего вируса, шифрующего файлы
на диске 1024 битным RSA ключом и удаляющего оригинал и… ТРЕБУЮЩЕГО
деньги за расшифровку. Лаборатория Касперского же пока ничего
лучшего не придумала, как восстановление удаленного файла-оригинала.
Как вариант утилиты для восстановления удаленных файлов, в таких
случаях могу рекомендовать [3]. Утилита отличается минимализмом и
нетребовательностью. Единственное условие: после случившегося,
выполнить восстановление желательно как можно скорее, пока данные не
затерты поверх другой информацией при операциях чтения-записи
винчестера. |
| |
|
Почему это
произошло со мной? |
|
Все
начинается после скачки и установки новых неотработанных релизов
программ. И пользуясь в основном шароварными приложениями,
пользователь зачастую забывает, что “бесплатный сыр бывает только в
мышеловке…”. |
| Гораздо
хуже, когда бесплатное приложение устанавливает модули, не
информируя пользователя. Достаточно вспомнить недавний скандал
windows апдейта с “мелкомягкими” (сервис eventvwr.msc). Еще пример:
BurnCD устанавливает свой тулбар, да и всеми любимая NERO ставит
YAHOO модуль. Удалить оную вы сможете лишь при окончании процесса
установки. Ко всему прочему “прожигатель жизни” имеет патологию
лезть в сеть, что не может не навести на разные мысли. Здесь не
лишний раз вспомнить о брандмауэре и антишпионском софте [4]. Кстати,
используя OpenSource программы, вы будете застрахованы от отсылки
конфиденциальной информации разработчикам. Конечно, найдутся
противники свободного софта, уверяющие об отсутствии должным образом
оформленной техдокументации и вменяемой техподдержки. Да, это имеет
место быть. У разработчика, а прежде всего он – человек, может
просто не быть времени или средств на это. Но, как правило, на
сайтах популярных бесплатных программ есть форумы, где вы можете
получить исчерпывающий ответ на свой вопрос. Типичным примером
служит сообщество поклонников плеера LightAlloy или KMPlayer [5]. |
| |
|
Заключение
врача RSG |
| Что можно
посоветовать? Помните: даже при полной безопасности со стороны
программ, человеческий фактор – самое слабое звено. И если вы не в
полной изоляции, вирусы рано или поздно появятся на вашем компьютере.
Например, ребенок, увлекшись темой письма, открыл очередной спам от
”Анны Курниковой” и запустил из него вложение. Или в документе,
который прислал вам коллега, обнаружился скрипт-макровирус. Всякое
бывает… Просто будьте бдительны! Находчивость и мастерство хакеров
просто поражает. Конечно, это происходит значительно реже, чем при
работе в локальной сети, но можно застраховаться и от этого. Такой
страховкой все чаще становятся – антивирусные программы, файрволлы и
разнообразные детекторы. Об особенностях которых и примере создания
простейшего детектора и пойдет речь в нашей следующей статье… |
| |
|
Исходник и
компиляцию примера использования “0” кольца (файл
RING0.zip),
утилиту восстановления удаленных данных (файл
undelete_inst.zip)
вы можете загрузить с сайта нашего журнала: (раздел “Программы”) |
| |
|
Ресурсы |
|
1.
Исходник и компиляция примера использования “0” кольца. -
http://radioliga.com/insert_2008/RING0.zip |
|
2. Holbrook
Р.,
Reynolds J. (Editors). Site Security Handbook. - Request for
Comments: 1244, 1991 |
|
3. Утилита
восстановления удаленных данных. -
http://radioliga.com /insert_2008/undelete_inst.zip |
|
4.
Антишпионский софт -
http://www.spywarehub.com/Anti-Spyware-Scanners.htm |
|
5.
Форум
KMPlayer - http://kmplayer.ucoz.ru/forum |
| |
|
Особая благодарность –
Сергею Бадло |
|
E-mail:
raxp@radioliga.com
|
|
http://raxp.radioliga.com/forum/ |
| |
|
Все желающие, кто хочет работать над безопасностью компьютера
или вступить в клуб RSG, пишите на |
|
E-mail: |
rsg@radioliga.com |
|
Ведущий: |
ZuBrX (Мязитов
Ринат) |
|
