Еволюция на мрежовите заплахи

Корпоративните мрежи се превърнаха в крайъгълен камък за бизнеса, еволюирайки в онези магистрални пътища на информационната система, по които устройствата и приложенията се свързват помежду си и си разменят данни. Днес обаче всяка заплаха за нормалната им работа се оказва рискова за целия бизнес. Още повече че самите мрежи се превърнаха в източници на опасности като вируси, червеи, спам, хакери, неблагонадеждни служители и т.н. Най-старият вид заплахи е външното проникване в корпоративната мрежа, като не е задължително това да е атака в класическия смисъл на думата. Така например, преди време Кевин Митник, най-известният хакер измамник, успяваше да проникне в мрежите на много фирми само благодарение на таланта си да завързва контакти с техните служители и чрез измама да измъква от тях нужните сведения. По думите на ветерана хакер социалното инженерство всъщност дава шанса за бързо откриване на ключа към всякакъв тип защита, колкото и добре организирана да е тя. Обект на атаката става най-слабото звено в защитната верига - човекът. Именно поради тази причина днес ИТ отделите гледат да не разкриват подробности от инфраструктурата на корпоративната сигурност на редовите служители и сериозно ограничават правата им за достъп до крайно необходимите за работа. Като цяло похватите на социалното инженерство не са се променили съществено през последните 10 години, но организационно-техническите мерки могат поне да сведат опасността и ефективността на подобни атаки до минимум. Мрежови атаки Съвременната мрежова атака често предполага използването на най-уязвимите зони в програмното осигуряване, към което хакерът има достъп заради периметъра на мрежата. Преди 10 години тези опити бяха изолирани, тъй като информацията за подобни слабости не бе така широко достъпна, както днес. Наличието на достатъчно редовно цялостно обновяема база с описания на уязвимостите за поддържане информираността на администраторите за съществуващите заплахи обаче често се обръща срещу тези, за които е създадена. Излиза, че защитата от грешките в програмното обезпечение е невъзможна, тъй като идеално ПО просто няма. Факт е обаче, че разработчиците на приложения не само бързо пускат пакети с “кръпки” към своите продукти, но и предлагат специални средства (повечето безплатни) за автоматичното им инсталиране, управление на обновяванията, както и за проверка на наличната ИТ инфраструктура за наличие на нужните “кръпки”. Така, ако днес хакерът успее да се възползва от дадена уязвимост, да разбие корпоративната мрежа и да й причини достатъчно вреди, то в 99% от случаите отговорността за това е на онзи администратор, в чиито задължения влиза своевременно да инсталира обновявания по възлите на корпоративната мрежа. От момента, в който информацията за уязвимостта достигне до Интернет до пускането на необходимия пач минават от няколко дни до няколко седмици. В това време всеки хакер би могъл да се възползва от публикуваните данни за пробойната и да разбие мрежата на предприятието, но реално това не се случва. Ако уязвимостта е наистина критична, отстраняването й става изключително бързо, а възползването от незначителните грешки изисква твърде много време. Друг вид мрежова атака е от типа “отказ от обслужване” (Denial of Service, DoS). Според някои данни този тип атаки са се появили през 1999 г. (виж, например, книгата на Стивън Норткат и Джуди Новак “Откриване на нахлувания в мрежата”). Всъщност една от най-масовите DoS атаки не бе осъществена от хакери – някои компании толкова се страхуваха от прословутия проблем Y2K (2000 г.), че просто сами изключиха информационните си системи на прага на новото хилядолетие и така сами се лишиха от обслужване. Любопитното е, че самата концепция на този тип атака не бе разработена за злонамерени действия. Инженерите се опитваха да открият начин за тестване на мрежовите възли и за определяне на праговите натоварвания, на които могат да издържат. Особено място заемат т.нар. разпределени атаки от типа “отказ от обслужване” (Distributed DoS, DDoS). В тях участват няколко хиляди компютъра с широколентов Интернет достъп. Днес DDoS атаките са след любимите технически средства за шантажа на собственика на мрежовия ресурс с цел изнудване за пари. Според доклада CSI/FBI Computer Crime and Security Survey на Института за компютърна сигурност (Computer Security Institute) и ФБР, DDoS атаките са на второ място по обем на причинени щети (64 млн. долара). За борба със съвременните мрежови атаки се използват междумрежови екрани, които често са снабдени и със системи за засичане на нахлуванията. Основната технология, която се използва в съвременните защитни стени, е Deep Packet Inspection (DPI). През последната година и половина тя се превърна в стандарт за мощна корпоративна защитна стена и е реализирана в продуктите на най-големите разработчици: Microsoft, Cisco, Check Point, Symantec, Nortel, SonicWall, NAI, Juniper/ Netscreen и др. DPI позволява да се надникне във всеки пакет (включително в полето на данните). Решението за “разрешаване” или “блокиране” се взима на базата на правила, задавани от администратора. Самият механизъм DPI използва правила на базата на сравнението на сигнатури, евристични и статистически технологии, както и определяне на аномалии. Благодарение на DPI защитната стена може да анализира и филтрира SOAP и други документи на XML, динамично да отваря и затваря портове за VoIP трафик, да сканира за вируси и да филтрира спам, динамично да пропуска трафика за мигновени съобщения, да противостои на атаки срещу NetBIOS, да обработва P2P трафика (около 35% от целия интернет трафик), да проверява SSL сесиите и т. н. Чрез DPI се обезсмисля функционалността на системите за засичане на нахлувания (Intrusion Detection System, IDS), тъй като защитната стена с DPI включва и IDS. DPI обаче не се появи веднага. Първата технология бе Shallow Packet Inspection. Този междумрежов екран отделяше две и повече мрежи една от друга, можеше да разрешава или забранява трафик на базата на протокол за предаване, водеше дневник на събитията, гарантираше транслирането на адреси (Network Address Translation, NAT), играеше ролята на крайна точки във VPN, а в случай на проблеми, блокираше абсолютно целия трафик. (Към същия клас спада и технологията за контекстна проверка Stateful Inspection, която се появи на пазара благодарение на компанията Check Point Software Technologies.) Следващата технология бе Medium Depth Packet Inspection, която се свежда до въвеждане proxy сървър за приложенията. С други думи, приложението не можеше да установи пряка връзка със сървъра, а сървърът – с приложенията, тъй като между тях винаги имаше посредник в лицето на proxy сървъра. Редица компании (Check Point, Cisco, Symantec, Netscreen и NAI) започнаха да включват в приложенията си филтри за анализ на трафика на приложенията (не на всички, разбира се, а само на тези, които работеха по някои основни протоколи). Едва след това дойде времето на DPI технологията. Анализът на полетата с данни в предавания трафик изисква значителни изчислителни мощности, поради което това често става хардуерно. При всички вече изброени предимства на DPI междумрежовият екран с тази технология става обект на атаки с препълване на буфера, DoS атаки, по-сложни нахлувания и е уязвим за някои червеи. Сложният механизъм на DPI предизвика появата на множество експлойтове за конкретни модели защитни стени. Днес защитните стени са признати за задължително средство за защита. По данни на ФБР 98% от компаниите ги използват, но 56% все още се оплакват от атаки. DPI е обещаваща технология, която може и да реши тези проблеми. Новите защитни стени с DPI могат да анализират пакети на гигабитови скорости, а обединяването на системите за засичане на нахлувания с междумрежовия екран опростява настройката и управлението на решението. Въпреки това, минуси има. Независимата реализация на защитна стена или IDS като няколко автономни компоненти дава възможност за избягване на ситуации, в които мрежата се оказва незащитена при излизане на един от тях от строя. Освен това такъв подход прави възможно купуването на различни части от решението от различни доставчици. Междувременно използването на DPI усложнява и без това нелесните продукти — защитна стена, IDS, сървърите и мрежите за подмамване, а и изисква постоянно наблюдение, промяна на настройките и анализ на дневника. Вредоносните кодове Според вече споменатото изследване на Института за компютърна сигурност и ФБР, вредоносните кодове са на трето място по причинени щети ($27 млн.), така че това е една от най-актуалните заплахи днес. До 1995 г. съществуваха само файлови и download вируси, които се разпространяваха на дискети. След излизането на Microsoft Windows 95 и Microsoft Office 95 се появиха макровирусите. През 1999 г. бе създаден първият съвременен мрежов червей — Happy99, а през 2001 г. — първият безтелесен червей. Мрежовите червеи са най-опасните представители на вредоносните кодове, а безтелесните червеи могат за няколко минути да обездвижат всяка съвременна интернет инфраструктура. И това не е митична заплаха. В края на януари 2003 г. безтелесният червей Slammer съумя да обездвижи около 25% от цялата интернет мрежа. Пет минути след началото на епидемията бяха заразени компютри в Южна Корея, Япония, САЩ, Западна Европа, а след 15 - 20 минути заразата покри над 100 000 компютъра в целия свят. За първи път безтелесните червеи се появиха през лятото на 2001 г., когато бе регистрирана епидемия на печално известния CodeRed. За разлика от класическите пощенски червеи, те използват времеви и постоянни файлове в процеса на заразяване и разпространяване, проникват в компютрите през дупки в системите за сигурност и съществуват изключително във формата на пакет от данни, предавани по комуникационни канали или като програмен код в паметта на заразения компютър. Битката с безтелесните червеи не е лесна. Проблемът е, че скоростта на разпространяването им е много по-висока от типичната скорост за реакция на антивирусните компании. Червеите от този тип се предават по Интернет, т. е. във веригата на разпространение отсъства „спирачка” на вирусните епидемии като човек (не е нужно да се отваря заразеният файл, не трябва да се кликва на приложението и т.н. — вирусът се стартира сам в момента на проникване в компютъра). Скоростта на реакция на разработчиците на антивирусни решения пък е свързана именно със скоростта на работа на човешкия разум и пръсти, а тя значително отстъпва на мълниеносните епидемии на безтелесните червеи, които придобиват глобален характер. Но това не е единствената опасност от еволюирането на вирусните заплахи. Новото явление са войните между авторите на вируси. По данни на “Лаборатория Касперски” само за три часа на 3 март 2004 г. са се появили цели 5 нови модификации на известните вредоносни програми Bagle (версии i, j), Mydoom (версии f, g) и Netsky (версия f). В конфликта били въвлечени три групи киберпрестъпници - от една страна, създателите на Netsky, а от друга – разработчиците на Mydoom и Bagle. Всяка нова модификация на червеите била придружена с послание до противника, изобилстващо от нецензурни изрази. Но най-пострадали били редовите потребители. В отговор на еволюцията на вредоносните кодове и появата на пощенските и безтелесни червеи дойде интегрирането на антивирусните продукти в междумрежовия екран. Днес почти всяка защитна стена позволява сканиране на трафик за наличие на вируси. Само така могат да бъдат победени безтелесните червеи, които още не са проникнали в охранявания периметър. От своя страна, антивирусните програми за работни станции също имат функциите на междумрежовия екран и могат да се противопоставят на подобни заплахи. Накратко, съвременните антивирусни пакети могат да контролират всички точки на проникване на вредоносните кодове в мрежата – web сървърите, пощенските шлюзове, работните станции и т.н. Затова при правилно организиране на антивирусната защита пощенските червеи и други видове вредоносни кодове вече не изглеждат толкова опасни. Нежелани съобщения в пощата По данни от изследване на компанията MessageLabs, която само през януари 2005 г. е филтрирала по над 90 млн. съобщения на ден, 83,1% от всички електронни писма са били спам. 10 от 12 съобщения са били признати за нежелани. Опасността на спама е не само в допълнителния трафик за получателите, а и в претоварването на мрежите за предаване на данни и пропуснатите печалби за компаниите, чиито служители губят време в прочистване на ненужната кореспонденция. Разпращането на спама е пряко свързана със създаването и разпространяването на вредоносни кодове. Спамът се появи през 1995 г. или малко по-рано. Първоначално нежеланите писма не представляваха голяма заплаха, тъй като не бяха толкова масови, както днес. През 1999 г. спамърите започнаха да натрапват реклама на платени Web ресурси и от това да получават пари от клиентите си. Тогава като средство за разпращане се използваха отворени пощенски сървъри. Със задълбочаването на комерсиализирането набра скорост и търговията с бази на електронни адреси – общи и специализирани, с оглед на конкретната аудитория, а хакерите започнаха да предлагат услуги за целева реклама. През 2001 г. се появиха троянските proxy сървъри. Повсеместното внедряване на RBL списъци с адреси на спам сървъри започна да затруднява работата на тези, които се занимаваха с разпращане. Бяха им необходими нови сървъри, за които не трябваше да се плаща, и решението не закъсня – да се превърне отдалеченият заразен компютър в proxy сървър, който ще върши цялата мръсна работа. Този пример е достатъчно показателен за обединяването на две различни технически средства, както и за намеренията на различните категории хакери. За заразяването на отдалечен компютър е необходим вредоносен код, като в същото време вирусите и червеите се разпространяват все повече именно благодарение на разпращането на заразени писма. Троянският proxy сървър се оказва идеалният инструмент за подобно разпращане, тъй като виновните не могат да бъдат открити. През 2002 г. се появиха рекламните мрежи и така се роди бизнесът по създаването и продажбата на мрежи за зомби машини. Всеки компютър от тази мрежа е постоянно включен към Интернет и е заразен с вирус. За да създадат зомби мрежа, злосторниците трябва да разработят вредоносен код, с чиято помощ да заразят множество компютри (десетки хиляди), които да могат да управляват от дистанция. Така от 2004 г. насам започна криминализирането на бизнеса с разпращането на спам. Достатъчно добър пример за организирана престъпна дейност е разпространяването в Интернет на вируса Mydoom през февруари 2004 г. Според някои данни епидемията била предварително подготвена от хакери, които не само разработили опасна вредоносна програма, а и осигурили масовото й разпространяване чрез спам. Съвременният спам е не просто досадна, но безвредна за компютъра реклама, а и синоним на вредоносни кодове и мрежи от зомби машини. Все по-често спамът се разпраща чрез компютри зомбита. Продаващите зомби мрежи намират все нови и нови купувачи (хора, изхранващи се с измами с кредитни карти, организиращи атаки от типа “отказ от обслужване” и мрежови атаки). Всеки хакер работи с помощта на отдалечени proxy сървъри, с които се сдобива на черния ИТ пазар. Определени групи престъпници професионалисти се занимават със заразяването на чужди компютри, за да могат после да представят на този пазар стоката си (мрежа от зомби машини). Всъщност съвременните средства позволяват воденето на повече или по-малко ефективна битка с нежеланите съобщения чрез филтриране на 85 - 90% от спама при около 0,005% фалшиви тревоги. Вътрешните заплахи Далеч по-лесно е, вместо да се разбива една добре защитена мрежа, да се води битка със сложни алгоритми за шифроване или да се пишат вредоносни кодове, да се подкупи нужният служител в конкурентната компания и така бързо да се набере необходимата секретна информация. Това е и мнението на експертите от Института за компютърна сигурност и на ФБР, според които изтичането на информация сред 1000 анкетирани американски компании е довело до загуби от над $70 млн., което е много над щетите от другите ИТ заплахи като вируси ($27 млн.), хакерски атаки ($65 млн.) и финансови измами ($10 млн.). Този показател представлява 40% от общия обем на регистрираните щети. Според същото изследване средният размер на загубите от действия на свързани с компаниите лица е 300 000 долара при максимален размер от 1,5 млн. долара. Тази тенденция намира потвърждение и в данните от годишното изследване на проблемите на сигурността Global Information Security Survey 2004 на компанията Ernst & Young. Според него ИТ специалистите са все по-притеснени от проблема. Анкетираните поставили неправомерните действия на служителите на второ място в списъка на най-сериозните заплахи, като 60% от тях заявили, че това е реална опасност за нормалната работа на информационните системи. Това е най-често изказваното опасение, като за спама то е 56%, за “отказа от обслужване” - 48%, за финансовите измами - 45%, а за пробойните в системите за сигурност - 39%. То отстъпва единствено на заплахата от вируси и червеи - 77%. В топ 10 на най-опасните са и други вътрешни заплахи като изтичане на информация за клиенти и други видове кражба на конфиденциални данни. Човешкият фактор получи и първо място сред условията, пречещи на провеждането на ефективна политика на ИТ сигурност. Поглед в бъдещето Съвсем скоро ще станем свидетели на още по-тясно интегриране на различните средства за защита от външни ИТ заплахи. Макар че всеки отделен продукт може ефективно да противостои на вредоносните кодове, спама и мрежовите атаки, тяхното обединяване в едно решение съществено би улеснило управляването на ИТ сигурността и увеличаването на общата периметрова защита. Доста по-сложно е положението с един по-сериозен проблем — вътрешната сигурност. От една страна, има разбиране за опасността от вътрешни ИТ заплахи, а от друга - почти пълна липса на адекватни стъпки за предотвратяването им. Допреди няколко години нямаше комплексни специализирани решения, които да могат да се приложат за намаляване на риска от изтичане на конфиденциална информация, но днес пазарът на системи за борба с изтичането на данни набира скорост. В същото време компаниите започват да разбират, че това няма да стане само с технически средства, а ще са нужни и действия от организационно правен характер, включително създаването и внедряването на правила за конфиденциалност, модифициране на трудовите договори, възможни промени в структурата на отделите, свързани с информационните технологии. Последните инциденти с публикуването на бази данни, съдържащи конфиденциална информация за клиентите на големи мобилни оператори и държавни организации, са пряко доказателство за това колко лесно се губи доверието на клиентите, а имиджът е сериозно накърнен. В същото време подобни инциденти могат лесно да бъдат избегнати, ако разработчиците на продукти за предотвратяване на изтичането на конфиденциална информация съдействат за подготвянето на ясна политика за вътрешна сигурност, отчетат всички юридически тънкости и организират допълнителни действия за повишаване на вътрешната ИТ сигурност. ________________________________________ И болен, и здрав През 80-те години компютърните вируси се смятаха за рядкост или виц и затова повечето от ползващите компютър не им обръщаха внимание. Но тъй като бизнесът става все по-зависим от локалните мрежи, а не от големите машини и автономните настолни компютри, нараства нуждата от разбиране и умение за справяне с реалната вреда от компютърните вируси. По много причини повечето от тях са написани за системи на базата на DOS. Разсъждавайки дали този проблем ще продължи да ни тревожи и занапред, може да си зададем и въпроса, кое кара хората да ги пишат. Изглежда основният мотив е вниманието, с което ще бъде „възнаграден” авторът на вируса. Противно на общото схващане, вандализмът не е основната причина за създаването на вируси. В повечето от тях няма вредоносен елемент, който да предизвиква унищожаване на данни или прекъсване на работата. Но каквато и да е била мотивацията на авторите на вируси, те явно ще си останат източник на нови и нови заплахи. И ако сте станали жертва на зараза, утехата е, че създателят на вируса не е целял конкретно вашите материални загуби. Ясно е, че най-ефективният начин за борба с вирусните зарази е възпрепятстването на тяхното проникване в системата. Рискът от зараза може да бъде намален, ако се използва само легално програмно осигуряване, а не пиратски софтуер. Казано с други думи, всички копия на програми, взети от приятели или от интернет, трябва да бъдат изхвърлени. По Сети На огневата линия В дните на черно-бялата телевизия, когато Интернет още не беше трън в очите на американското министерство на правосъдието, положението се диктуваше от големите машини и затворените протоколи за пренос. С оглед затвореността на тези системи, нужда от контрол и защита на мрежовия трафик нямаше. Но ситуацията се промени с приемането на TCP/IP като мрежов протокол и с нарастването популярността на Интернет. С отварянето на достъпа от мрежите към Интернет за работа с електронната поща, WWW и услуги като telnet и ftp, всеки потребител може да получи достъп до тази мрежа с непредвидими последици. Ако компанията излезе в Интернет, тя може да е сигурна, че хакерите няма да я пропуснат. Но ако се инсталира защитна стена, администраторът ще може да спи спокойно. Всеки повече или по-малко сериозен план за защита на вътрешната мрежа от „лошите” в Интернет не може да успее без защитна стена. Често го сравняват с пазач - стои на входа на мрежата и проверява всеки влизащ и излизащ пакет от шлюза в Интернет за наличие на съответните права. Защитните стени контролират мрежовия трафик на нивото на Интернет, интранет и понякога не само пропускат разрешените пакети, но и предотвратяват опитите за нахлуване в системата отвън. Инфраструктура с отворени ключове Макар и широко използвани, традиционните средства за защита на потребителския достъп не са абсолютно надеждни. В много компании потребителите получават достъп до сървърите за приложения, файлове и бази данни след подаване на правилната комбинация от име и парола. Един от начините това да не се случва всеки път, е да се използва двуфакторна система за идентификация с помощта на апаратни ключове. При тях потребителят отново вписва името си, но вместо всеки път да въвежда една и съща парола, той посочва последователността от цифри, която му съобщава апаратният ключ. По принцип тези двуфакторни системи за идентификация се използват основно от отдалечени, а не от локални потребители. Затова гарантираната от тези системи защита засяга само специалните, а не обикновените потребители. Друг начин за укрепване на вътрешната защита е създаването на инфраструктура с публични ключове (Public Key Infrastructure, PKI). Това е система за управление на двойки и сертификати от ключове и намира приложение основно в електронната търговия. Някои компании обаче (преди всичко големите) са намерили друго приложение на тази технология и я прилагат за защита на собствените мрежи. Те използват шифрирането с публични ключове и цифрови сертификати за гарантиране на достъпа до мрежата само на законни потребители. Маскиране и филтриране Вестниците всекидневно изобилстват с истории за „подвизите” на хакери и кракери, но конфиденциалната информация може да се извлече и по по-лесен начин. В много случаи злосторниците дори не е нужно да са технически подковани. Достатъчно е да се решат на няколко рисковани стъпки. Един от най-лесните начини за проникване в системата на дадена фирма е представянето за друго лице. Тази тактика се нарича още подмяна (masquerading and spoofing). Дори при атаките с активно използване на технически знания, изпълнителите прибягват до помощта на подмяната за постигане на целите си. Наивността е изиграла решаваща роля в много успешни атаки с подмяна. Често отнасяни към социалното инженерство, тези атаки са успешни главно благодарение на услужливостта и учтивостта на служителите. Както хората придържат врата с кодово заключване за други, така мнозина без да се замислят предоставят информация, с която вредителят може да проникне в информационната система на компанията. Отделянето на внимание на периметровата защита на мрежата (на комутируемите и интернет връзките например) не пречи подмяната да си остава едно от най-прилаганите средства за проникване през външни точки, макар че тези форми на измама са най-ефективни в самата мрежа. Съвременната мрежова комуникационна инфраструктура дава множество възможности за атаки чрез подмяна. Отчасти това се обяснява с факта, че интернет трафикът, и по-конкретно Web трафикът, е анонимен. Електронната поща може да бъде изпратена и от името на друго лице. Така, за да скрият следите си, разпращащите спам крият истинския си адрес. Засичането на атаки като средство за контрол за мрежова защита Атаките по мрежата и хостовете не винаги могат да бъдат засечени при самото им провеждане чрез защитни стени и други инструменти за защита. Продуктите за засичане на атаки им позволяват да знаят какво се случва в мрежата ви. Те откриват атаки на базата на зададени признаци (signature) и известни методи за проникване и идентифицират статистически отклонения от типичното поведение. Могат да следят също параметри като натовареност на процесора и брой и тип преминаващи през системата пакети. Освен това много продукти за засичане на атаки протоколират всички подозрителни действия и така събират улики, в случай че възникне правен казус. Продуктите за засичане на атаки са тясно свързани с близка група продукти, наричани обикновено средства за оценка на риска, или по-просто казано, скенери. Ако продуктите за засичане на атаки могат да откриват атаката при самото й осъществяване, то скенерите провеждат предупредително търсене по уязвимите места в мрежата. Въпреки че са по-слабо известни от защитните стени и другите форми на обща мрежова защита, продуктите за засичане на атаки бързо намират своята ниша.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!