Обзоры Софт 18.03.2011 в 10:00 comment

Эволюция вторжений: от прямых краж к сложным системам социальной инженерии

author avatar
https://secure.gravatar.com/avatar/2f8d57cddfeb455ba418faa11ee01bb0?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://secure.gravatar.com/avatar/2f8d57cddfeb455ba418faa11ee01bb0?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://itc.ua/wp-content/themes/ITC_6.0/images/no-avatar.svg

ITC.UA

автор

За последние 30 лет, с момента массового внедрения ПК в бизнес-процессы, векторы вторжения в компьютерные системы, значительно эволюционировали. Впрочем, это совершенно не означает, что проверенные годами старинные технологии съема данных остаются невостребованными.

Попытки получения несанкционированного доступа к хранящимся на компьютерах данным появились практически в то же время, что и они сами, и первое время были сосредоточены в одном направлении – для проведения интервенции требовался прежде всего физический доступ к устройству. Быстрая эволюция вторжений началась в 1990-х, с бурным внедрением ПК во все сферы жизни и активным развитием сетевого взаимодействия. Несмотря на усилия, прилагаемые к обеспечению информационной безопасности, киберпреступность изобретает все более изощренные методы вторжений, а новые векторы атак появляются быстрее, чем удается найти эффективный способ противодействия старым.

1970-е – 1980-е. Физические вторжения

Вопросы физической безопасности стояли на повестке дня пожалуй с момента существования человечества. Такие интервенции легко реализовать, сделав ставку на скорость и эффективность, их следствием могут быть кражи данных, физических активов, их повреждение, шпионаж или саботаж. Вплоть до конца 1980-х обмен данными производился преимущественно через печатные документы и по телефону, соответственно основным требованием к безопасности была защита физического периметра компании – системы видеонаблюдения, датчики движения, пр. После относительного спада интереса к проведению физических атак, в последние несколько лет они снова вошли в период роста, и тому несколько причин: защите физического периметра уделяется меньше внимания, компании сосредотачиваются преимущественно на обеспечении защиты ИТ инфраструктур от удаленных вторжений, появляется новые оборудование, позволяющее относительно несложно подключаться к незащищенным сетям внутри зданий, видеопотокам систем мониторинга, отключения сигнализации, управления кондиционированием и лифтовыми системами.

По данным SpiderLabs, в 2010 г. на 10-15% увеличилось число случаев утраты данных из-за невнимательности сотрудников, оставляющих без присмотра незаблокированные ПК и других носители информации. Примерами успешных физических атак прошлого года может служить утрата 46 тыс записей о клиентах в Zurich UK (подрядчиком при транспортировке была просто утеряна кассета с незашифрованными данными) и кража пяти полотен из одного из парижских музеев (как выяснилось, система видеонаблюдения не покрывала весь периметр).

1990-е. Атаки на сеть

Мир вторжений кардинально изменился в 1990-х, когда стали формироваться цифровые коммуникационные каналы, отдельные ПК массово объединяться в сети и подключаться к Интернету. Если в 1990-е компании с охотой инвестировали в инструменты взаимодействия сотрудников через сеть, то вопросами связанных рисков занимались недостаточно. Точкой невозврата стало появление Netbus шведского программиста Карла-Фредерика Нейктера (Carl-Fredrik Neikter) и Back Orifice группы разработчиков Cult of the Dead Cow (cDc). В комплексе с уязвимостями сетей эти инструменты открыли киберпреступникам возможность с удаленного хоста получить доступ к важным данным или отдельному ПК с правами администратора. Таким образом, сформировался новый вектор вторжений – сетевые атаки на ИТ-инфраструктуры, которые обычно используют оборудование и протоколы, и начинаются с установки бэкдоров, используемых затем в активной фазе.

Вслед за взрывоподобным ростом интернет-пользователей появилось множество сервис-провайдеров, предлагающих доступ к интернету по телефонным линиям (dial-up) с посекундной и помесячной оплатой. Вместо сканирования уязвимых IP адресов, хакеры перешли к сканированию соединений, используя программы для определения пароля методом перебора символов. На этой стадии методология сетевых атак уже была идентична современным – если модем сможет соединиться с удаленной системой, злоумышленник сможет протестировать удаленную систему используя заданные по умолчанию полномочия.

Курс "Web design" від Web-academy.
Швидкий початок кар'єри у сфері IT! Опануйте професію веб-дизайнера — почніть самостійно керувати своїм часом й отримувати високий дохід вже за 9 тижнів.
Дізнатися більше

В это же время на основной рыночный тренд отреагировали производители ОС – Microsoft Windows 95, чаще всего устанавливалась на домашние ПК именно благодаря встроенным функциям Интернет-соединения, в то же время вопросам безопасности в ней отводилась не слишком большая роль – и в короткое время и появилось множество инструментов, использующих уязвимости Windows (обычно использовались дыры в сервисах обмена файлами).

Сетевые атаки стали мейнстримом в середине 1990-х, когда сети набрали достаточный вес в бизнес-среде. На смену модели централизованного процессинга, когда каждый клиент получает все данные по последовательным протоколам (как например в IBM 3270) пришли распределенная обработка и возможность одновременного использования разных типов ПК. Технологии Ethernet и Token Ring обеспечили взаимодействие равных по значимости устройств в сети, каждый из которых мог предлагать собственные сервисы, например печать или обмен файлами. Следствием стало смещение функций управления от ИТ персонала к пользователям, и, соответственно, появление новых угроз безопасности. Некоторые из них, например заражение протокола ARP (они хорошо документированы и требуют четко определенного поведения от обеих сторон соединения) успешно эксплуатируются до сих пор для проведения атак методом перехвата сообщений и подмены ключей (MITM), хотя для этого требуется локальный доступ к сети. В дальнейшем появились и другие методы, скажем Dynamic DNS Misconfiguration, которые эксплуатируют возможность динамического обновления записей и, меняя DNS записи для реальных хостов, перенаправляют весь трафик узла на ресурсы злоумышленников.

Со временем сетевые атаки (неважно, инициированные локально и удаленно) сдвинулись в сторону клиентских устройств – если ИТ-администраторы следят за запуском приложений на серверах, то среднестатистический пользователь просто не обладает нужным уровнем знаний, а большая часть исполняемого кода запускается автоматически (например открытие веб-страницы может незаметно инициировать запуск нескольких плагинов и создание нескольких виртуальных машин Flash, Java пр). Таким образом, поверхность доступная для внутренних атак пожалуй даже большая, чем у внешних.

В 2010 г. зафиксировано заметное увеличение числа сетевых вторжений, связанных с использованием пустых или простых паролей для учетных записей администраторов в Windows и Unix, административных учетных записей Microsoft SQL Server, передачей без шифрования важных данных (CHD, PII), неверной конфигурации правил брандмауэра для доступа к внутренним ресурсам сети. Одним из наиболее известных инцидентов 2010 г. стало изменение среды исполнения кодов POS-систем – как выяснилось, нередко для входа в систему используется пустой либо дублирующий имя пользователя пароль, что открывает возможность собирать данные через проводимые RPC-запросы.

2000-е. Электронная почта, приложения и беспроводные сети

Усовершенствование технологий сетевого взаимодействия углубило проблему киберпреступности – постоянное подключение, пришедшее на смену dial-up, привело к значительному увеличению числа вредоносных хостов, применяемых для проведения атак, огромных массивов сообщений и мониторинга нажатия клавиш с целью выявления важных данных. Крупные сети вредоносных хостов объединялись в ботнеты, управляемые посредством централизованных механизмов – и они очень быстро нашли способы монетизации собираемых данных, от DDoS-атак до рассылки спама и сбора информации под заказ. В это же время сформировалась идея «облачных» сред и сосредоточения бизнеса вокруг приложений, доступных из внутренней корпоративной сети или интернета. Незамедлительно появились еще три направления атак: электронная почта, онлайновые приложения и беспроводные соединения.

Курс "Web design" від Web-academy.
Швидкий початок кар'єри у сфері IT! Опануйте професію веб-дизайнера — почніть самостійно керувати своїм часом й отримувати високий дохід вже за 9 тижнів.
Дізнатися більше

2000-е наряду ознаменовались развитием атак посредством электронной почты: через вредоносные вложения, вредоносные ссылки и деформированные сообщения. Собственно, первый метод, требующий действий получателя для запуска вредоносной программы, использовался еще в 1990-е: играя на наивности, злоумышленники отправляли исполняемые файлы в сообщениях, обычно объявляя их чем-то безвредным, например скринсейверами, а пораженные ПК использовали для дальнейшей рассылки с по всей адресной книге. Ссылки ставят перед собой цель привлечь пользователя к вредоносным ресурсам, где хранится злоумышленный код. В последнем случае хакеры атакуют непосредственно клиент, используемый для просмотра сообщения, чтобы получить доступ в целевую систему. Согласно данным аналитиков, пик вредоносной почты пришелся на 2008 г., в течение последних 2 лет наблюдается сокращение числа нежелательных отправлений, которые все равно остаются подавляюще большой составляющей всего почтового трафика. Почтовые ящики находятся под постоянным вниманием злоумышленников, изобретательность которых не знает границ – постоянно появляются новые виды атак, длящиеся как правило, не более 24 часов. Единственный постоянный тренд данного сегмента – распределенность вторжений.

Процветает и еще один тип атак, известный еще в доцифровую эру – фишинг. Родившийся в форме подложных почтовых рассылок от благотворительных фондов, с распространением интернета он модернизировался в рассылку сообщений от хорошо узнаваемых торговых и финансовых ресурсов, и нацелен преимущественно на персональные данные, в том числе финансовые, включая логины, пароли, номера кредитных карт, пр. тенденцией прошлого года стал целевой фишинг, использующий специфические персональные данные (например социальных сетей или собранные ботнетами) с целью упрощения привлечения пользователей.

Среди атак последнего года пожалуй больше всего шума наделал Zeus, который для распространения использовал почтовые отправления через Facebook. Мошенническая рассылка Haitian Earthquake Relief Scam, пик которой пришелся на начало 2010, содержала просьбу о финансовой помощи жертвам землетрясения на Гаити. Еще одна крупная атака, под видом сообщений UPS о невозможности доставки письма, содержала вредоносный файл, замаскированный под запрос, и распространяла троянскую программу.

Для обеспечения бизнеса в 2000-е небольшие компании, уже, как правило, пользовались несколькими приложениями, большие – сотнями. Повышение роли приложений в обеспечении бизнеса немедленно превратило их в отличную мишень для киберпреступников, а их безопасность – ключевым элементом управления рисками.

В 2010 г. наиболее известной атакой стала Operation Aurora, которая на первом этапе использовала уязвимость нулевого дня в Microsoft Internet Explorer. Затем с пораженной рабочей станции формировался туннель во внутреннюю сеть Google и был получен доступ к учетным записям Gmail и слабо защищенным репозиториям исходных кодов. Об аналогичных вторжениях сообщали и другие крупные компании. В результате XSS-атаки на ресурс управления проектами и тестирования организации Apache были украдены данные учетных записей администраторов, впоследствии их использовали для установки бэкдоров на нескольких серверах (Apache обнаружила вторжение только через 4 дня). Финансовая компания Société Générale пострадала от одного из сотрудников, Жерома Кервьеля (Jérôme Kerviel), который, используя логические изъяны в процедурах и ПО мониторинга, заработал более 50 млн евро на мошеннических операциях, потери банка составили почти 5 млрд евро.

Беспроводные сети также добавили проблем безопасности. В принятых стандартах IEEE 802.11-1997 и более позднем 802.11-1999 были определены требования Wired Equivalency Privacy (WEP), т.е. обеспечения беспроводными сетями уровня конфиденциальности, аналогичного проводным соединениям. Первая спецификация WEP использовала 40-битный ключ, в дальнейшем 104-битный, в связке с 24-битным вектором инициализации.

После публикации первых работ, посвященных уязвимостям в WEP (2001 г.) и алгоритме RC4, появились рабочие инструменты AirSnort для проведения FMS-атаки и WEPcrack. Со временем техники взлома WEP эволюционировали и дошло до того, что в 2004 г. Wi-Fi Alliance объявил, что не рекомендует использовать WEP. В то же время промышленное использование стандарта продолжилось, многие вендоры и организации пытались оживить WEP с помощью разных искусственных приемов вроде ротации WEP –ключей. Но в 2006 г. была опубликована знаковая работа, в которой описан тип атак, ломающий WEP с динамическими ключами довольно быстро. А годом позже описан вариант PTW-атаки, для проведения которой было достаточно менее минуты.

Наиболее сложно детектировать атаки по беспроводным сетям на клиентские устройства, в большинстве случаев киберпреступники используют вариации техники «Karma»: создается подложная беспроводная точка доступа, которая приманивает клиентов, а после подключения выполняется атака методом перехвата сообщений и подмены ключей (MITM). Злоумышленники получают возможность создавать Web или SSL прокси-серверы, собирать HTTP/HTTPS трафик либо управлять им. К счастью, средства борьбы с этим типом вторжений не отличается от хорошо известных противоядий к сетевым атакам 1990-х: контроль доступа, строгое соответствие конфигурации беспроводной инфраструктуры, постоянное обновление систем безопасности.

Правда, помимо 802.11, существует целый ряд иных технологий, Bluetooth, 802.15.4 ZigBee, 802.11p и пр., которые также представляют угрозу конфиденциальности передаваемых данных.

В 2010 г. наблюдался рост числа вторжений, использующих легальные IEEE 802.11 с технологией FHSS (скачкообразной смены рабочей частоты с расширением спектра), атак эксплуатирующих возможности простого определения WPA/WPA2 PSK, а также вторжений через беспроводные устройства, сконфигурированные для подключения к безопасной сети (например принтеры, сканеры, пр. периферия), установленные там, где к ним легко получить доступ злоумышленнику.

Среди наиболее крупных атак эксперты отмечают использование беспроводных соединений для перехвата сессий. Firesheep, бесплатный открытый плагин для браузера Firefox является самым простым методом перехвата незащищенных веб-сессий и получения учетных записей по публичной сети. Его работа была продемонстрирована на конференции ToorCon 12, эта же техника применяется для доступа к социальным сетям типа Facebook.

2010-е. Клиентские приложения

Наибольшим трендом последнего года стало смещение вектора атак в направлении клиентских приложений. Вредоносные атаки на клиентской стороне – один из наиболее популярных способов построения ботнетов. Собственно, такие атаки не являются новостью – к ним можно отнести и черви для Microsoft Outlook, и вирусы, распространяемые через Usenet, IRC, IM, и последние разработки, спроектированные специально для мобильных устройств. К этому же классу можно отнести вторжения, основанные на уязвимостях стандартов документов, используемых для обмена данными по сети и вне ее, например Office или PDF (при открытии файла уязвимой версией Adobe Acrobat или Reader, атакующий получает возможность исполнять любой код в системе).

Что более важно, атакующие все меньше являются одиночками, все чаще это группы высококлассных специалистов, объединенных в преступные группировки. В ближайшие годы, по мнению экспертов, можно ожидать увеличения атак с клиентской стороны на наиболее популярные платформы: Microsoft Office, Adobe Acrobat, Adobe Flash, Sun (Oracle) и Java.

К крупнейшим атакам 2010 г. можно отнести распространение Stuxnet (инфицирование происходит разными методами, в том числе через зараженные USB-накопители, таким образом достигая автономных систем), и Qakbot Trojan, цель которого – финансовые данные владельца ПК, которые через FTP передаются на ресурс злоумышленников и затем используются для ACH мошенничества, перевода денег, пр.

Мобильные устройства все чаще становятся объектом атак как обычными способами, так и специально разработанными для данного типа устройств. Усовершенствование мобильных технологий за последние 10 лет привели к тому, что значительная их доля постоянно подключена к интернету. В середине 2010 г около 500 млн аппаратов были 3G-совместимыми, а по вычислительной мощности современные смартфоны сравнимы с ПК 8-летней давности, причем 60% пользователей носят эти аппараты с собой постоянно.

Первые направленные атаки на мобильные телефоны зафиксированы в начале 2000-х, против популярных ОС Symbian, Blackberry, затем внимание хакеров привлек класс J2ME-устройств, что, очевидно объясняется легкой переносимостью на разные платформы, поскольку Symbian и многие другие ОС поддерживали совместимость с J2ME, сторонние J2ME были доступны и для Windows Mobile. Первые троянцы отсылали без ведома пользователя SMS-сообщения на короткие номера, SMS использовались для мошенничества и фишинга (эксплуатировались уязвимости, связанные с обработкой коротких сообщений на разных мобильных платформах). Позже популярными стали атаки на mTAN или SMS-TAN, применяющиеся многими системами онлайн-банкинга для двухфакторной идентификации.

С появлением новых поколений платформ появились и новые образцы вредоносных программ, поражающих Windows Mobile, iPhone и Android. Тем не менее буквально до последнего времени даже известные разработчики антивирусного ПО не относились к подобного рода угрозам серьезно (ko.com.ua/node/41033). Действительно, атаки на мобильные устройства пока происходят не слишком часто, но угрожающая тенденция имеется, к тому же ОС iPhone, Android и Windows Mobile имеют много общего со старшими образцами ОС для ПК (Mac OS X, Linux и Windows). Это означает, что уязвимости, популярные 8 лет назад в сфере ПК, обретут вторую жизнь в сегменте мобильных устройств.

Выпущенный в августе 2010 г новый Jailbreak для iPhone использовал прежде неизвестную уязвимость в движке PDF-рендеринга Mobile Safari и локальную уязвимость ядра для доступа к любому iOS устройству. Эта официально неподдерживаемая Apple операция может использоваться для несанкционированного доступа к iPhone. В том же месяце был зарегистрирован Trojan-SMS.AndroidOS.FakePlayer, первый в свободном интернете троянец для Android, мимикрирующий под медиаплеер и предназначенный для рассылки мошеннических SMS. Вслед за этим был обнаружен мобильный вариант хорошо известного троянца Zeus, поражающий Symbian S60 и Blackberry, именно с его помощью были проведены атаки на mTAN, например в Польше в феврале 2011 г. Кстати, эксперты SpiderLabs еще в прошлом году показали, насколько просто реализовать атаки на mTAN на плафтормах Android и iPhone.

Впрочем, все описанные выше направления вторжений используют преимущественно уязвимости технологий, и, следовательно, есть шансы побороть их технологическими методами. Куда опаснее другой тренд. Социальные сети значительно разрослись и могут стать рассадниками специализированных вторжений. В Twitter было множество успешных фишинговых атак, модификации Koobface инфицировали множество пользователей Facebook. Большое число приложений и ссылок, которыми обмениваются участники, распространяют вредоносный код. В некоторых случаях злонамеренное ПО собирает все данные пользователя, публичные и приватные, распространяясь по ссылкам всех друзей. В других случаях на ПК устанавливается ПО, и машина становится частью ботнета, источником спама, фишинга, пр.

Опасность социальных сетей в том, что они позволяют злоумышленниками быстрее рассылать вредоносное ПО большему числу потенциальных жертв. Так, при использовании Twitter за два с половиной часа можно охватить рассылкой столько же пользователей, сколько за день без использования социальной сети. Эти же социальные сети затем применяются для рассылки команд в уже зараженные системы, входящие в ботнеты, а также запуска кейлоггеров.

Примером использования Facebook может послужить стороннее приложение «The Official Dislike Button», которое запрашивает у пользователя разрешение на доступ к основным данным и добавлению сообщений на стене. После установки программа перенаправляет пользователя на онлайновое анкетирование, а по его окончании – на страницу плагинов Firefox для установки расширений браузера, и, наконец, публикует на стене обращение к друзьям. Казалось бы совершенно безвредное ПО, но ведь будущие итерации атак такого типа могут применяться и для злоумышленной деятельности, например установки троянских программ, перехвата логинов и паролей. А какая доля участников социальной сети вообще обращает внимание на то, какой уровень доступа к странице запрашивает приложение?

Большие и малые компании зачастую рассматривают социальные сети как бесплатный маркетинговый инструмент и, возможно, источник дохода. И тут тоже целый ряд подводных камней, которые могут превратить жизнь PR служб в непрерывный кошмар. Сотрудники, сознательно или нет, создают в них имидж компании и присутствие ее в интернете. Вследствие социальной природы сайтов, здесь обсуждается работа, внутренние проблемы, случайно или намеренно разглашается проприетарная информация. По большей части утечки не злонамеренные, тем не менее, опубликованная и доступная для всех друзей в сети, информация с легкостью индексируется и архивируется поисковиками, становится частью истории интернета. Некоторые компании блокируют доступ к социальным сетям, другие – мониторят активность сотрудников. Первая техника становится бесполезной вследствие распространения мобильных устройств и удешевления услуг мобильного интернета, вторая также не слишком действенна – компания может и не догадываться о числе учетных записей сотрудника.

На протяжении пары десятков лет пять направлений вторжений (физические, сетевые, беспроводные, почта и приложения) непрерывно совершенствовались, эволюция происходила преимущественно за счет выявления злоумышленниками(и исправления разработчиками) разного рода уязвимостей, но суть не менялась – доступ к контенту так или иначе происходил через сеть. По мере усложнения клиентских приложений, браузеров и вьюеров, увеличивался периметр, через который можно было производить атаки, одновременно вырос объем вращающихся в сети персональных данных, информации, к которой чувствителен тот или иной бизнес. Феномен массового увлечения социальными сетями открыл злоумышленникам новые возможности для вторжений, которым не в состоянии противодействовать принципы безопасности, совершенствуемые на протяжении последних 20 лет. Решить эту проблему сможет только соответствующее информирование, а еще лучше – образование пользователей. Вот только как и кто будет этим заниматься пока неясно.

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: