Вы когда-нибудь всерьез задумывались о том, что происходит, когда вы сидите в кофейне и используете ее бесплатную Wi-Fi-сеть для Интернет-серфинга, проверки электронной почты или обновления своей страницы в Facebook? Вряд ли. В наше время человек, который сидит рядом с вами и потихоньку попивает свой кофе, может откинуться в кресле и подсмотреть, какие веб-сайты вы посещаете, затем подобрать ваши идентификационные данные и зайти на эти сайты. Как вам это?
Бесплатная программа Firesheep может извлечь из данных вашего веб-браузера cookie для каждого веб-сайта, который вы посетили. Эти cookie содержат идентификационную информацию о вашем компьютере и параметрах сайтов, на которых вы были, плюс заданную вами личную информацию для каждого сайта. После того, как Firesheep получит эти cookie, злонамеренный пользователь сможет с их помощью заходить на сайты под вашим именем и, в некоторых случаях, получить полный доступ к вашим учетным записям.
Возможно, вы задались вопросом: «Чем это может грозить для моей сети?». Если ничего не подозревающий пользователь совершит торговую транзакцию или банковский перевод в тот момент, когда Firesheep крадет cookie его браузера, то хакер потом сможет войти на сайт как пользователь, данные которого скомпрометированы, и опустошить его счет.
Раньше только самые опытные и хитроумные хакеры, имеющие дорогостоящие инструментальные средства и массу времени, могли нанести такой ущерб защищенным сетям. Современные хакеры, подобно профессиональным ворам со специализированными отмычками, могут получить в свое распоряжение пугающе большой инструментарий для скрытого поиска слабых мест вашей сети.
Этот диапазон средств простирается от простого злонамеренного ПО для подбора паролей и записи (протоколирования) нажатий на клавиши до методов внедрения строк со сложным паразитическим ПО для того, чтобы копировать потоки данных, исходящие от клиентов, которые собираются выполнять транзакции электронной коммерции через вашу компанию. Вот некоторые из наиболее распространенных инструментов:
- Снифферы (sniffers) беспроводных сетей: эти устройства могут не только обнаруживать сигналы беспроводных сетей в определенном диапазоне, но и вытягивать данные, передаваемые этими сигналами. С ростом популярности устройств, поддерживающих беспроводные сети, эта технология становится все более опасной с точки зрения разглашения критически важных данных и причиняет существенную головную боль ИТ-отделам.
- Снифферы пакетов: эти инструменты «присасываются» к сетевым потокам данных и пассивно анализируют пакеты данных, проходящие туда и обратно по сетевому интерфейсу. Другие утилиты этого типа перехватывают пакеты данных, проходящие через сетевой интерфейс.
- Сканеры портов: хорошая аналогия для этих утилит — вор, который бродит где-то рядом и ищет открытую или незапертую дверь. Эти утилиты раз за разом отправляют запросы соединения, последовательно перебирая порты целевой системы в поисках порта, который откликнется или открыт для запросов. Некоторые сканеры портов позволяют хакеру замедлить скорость сканирования портов — отправляют запросы через более длительные периоды, чтобы снизить вероятность, что атаку обнаружат. Как правило, целью этих устройств являются старые забытые «потайные ходы» или поты, которые случайно забыли защитить после изменений в сети.
- «Простукивание» портов (port knocking): иногда сетевые администраторы создают секретный метод проникновения через порты, защищенные брандмауэром, — секретный «стук», позволяющий им быстро получить доступ к сети. Средства «простукивания» портов позволяют найти такие незащищенные зоны и внедрить троянского коня, который прослушивает сетевой трафик, ожидая этот секретный стук.
- Протоколирование нажатий на клавиши: эти шпионские утилиты «присасываются» к уязвимым системами и записывают нажатия пользователя на клавиши. Очевидно, что когда кто-то сидит рядом и записывает каждое нажатие на клавишу, выполняемое пользователем, получение важной информации, такой как имя пользователя, пароль или идентификатор, займет не так уж много времени.
- Средства удаленного администрирования: эти программы внедряются в систему ничего не подозревающего пользователя и позволяют хакеру взять систему под контроль.
- Сканеры сетей: они исследует сети, чтобы узнать количество и виды хост-систем сети, доступные службы, ОС хостов и типы используемых средств фильтрации пакетов или брандмауэров.
- Средства взлома паролей: Они прослушивают сети в поисках потоков данных, связанных с паролями, затем используют метод грубой силы, чтобы снять все слои шифрования, защищающие эти пароли.
Боты на продажу
Три года назад боты были развивающейся угрозой. Теперь организованные группы кибер-преступников начали создавать и продавать на открытом рынке наборы инструментов, которые могут использовать для создания своих собственных бот-сетей даже неопытные хакеры, не умеющие программировать. Они предлагают широкий круг простых в использовании (или заранее запрограммированных) модулей, которые целенаправленно ориентированы на поражение систем, использующих самые популярные технологии. Часто в них входит консоль управления, которая позволяет управлять каждой зараженной системой и опрашивать компьютеры, зараженные бот-вирусом. Инструментарий Zeus содержит модули, позволяющие пользователям создавать вирусы, мутирующие всякий раз, когда они внедряются на новую хост-систему.
Что же представляют собой боты? Боты еще называют интернет-ботами, веб-роботами или WWW-роботами. Это небольшие программные приложения, выполняющие операции, которыми управляют через Интернет. Как правило, это простые операции, которые в противном случае пришлось бы поручить людям, но роботы делают их гораздо быстрее.
При злонамеренном использовании они, по сути, становятся вирусами. Они незаметно распространяются на огромное количество незащищенных компьютеров. Они взламывают эти компьютеры, как правило, без ведома владельцев и превращают их в «рабов», выполняющих волю хакера. Эти зараженные компьютеры, называемые ботами, связываются в огромные и, чаще всего, не обнаружимые сети, называемые бот-сетями. Бот-сети проектируются так, чтобы инструкции, поступающие с центрального компьютера, быстро распространялись между другими «ботами» сети.
Новые бот-сети теперь используют метод однорангового обмена данными, поскольку в них нет централизованной точки управления, которую можно было бы идентифицировать, и в результате органам правопорядка становится сложно или даже невозможно засечь бот-сеть. Поскольку такие сети часто пересекают международные границы и распространяются на страны, у которых нет возможности провести расследование и пресечь их деятельность, они растут с угрожающей скоростью. Они стали настолько прибыльными, что превратились в излюбленное средство хакеров.
Боты бывают всевозможных видов. Существуют боты, которые собирают адреса электронной почты (спам-боты); вирусы и «черви»; боты, изменяющие имена файлов; боты, покупающие огромное количество мест на концерты; и боты, которые выполняют какую-то совместную работу в бот-сетях или осуществляющих скоординированные атаки на компьютеры, входящие в сети. Бот-сети процветают, поскольку многие пользователи не знакомы с базовыми принципами компьютерной безопасности, такими как установка или обновление антивирусного ПО, регулярный поиск подозрительного кода и т.д. Поэтому они становятся невольными соучастниками.
Компьютеры, которые однажды взяли под контроль и превратили в боты, становятся каналами, через которые быстро распространяются огромные объемы спама или злонамеренного кода. Согласно текущим оценкам в Интернете 800 миллионов компьютеров и до 40 процентов из них являются ботами, контролируемыми кибер-преступниками и используемыми для распространения новых вирусов, несанкционированных рассылок по электронной почте, перегрузки веб-сайтов DoS-атаками (Denial-of-Service) или выкачиванием ценных пользовательских данных через банковские и торговые веб-сайты, которые выглядят и функционируют аналогично подлинным сайтам, с которыми клиенты работали раньше.
Те, кто управляет бот-сетями — их еще называют «хозяевами» (herders) могут сдавать свои сети в аренду тем, кто нуждается в мощных и не обнаружимых средствах массовой рассылки рекламы, но не имеет финансовых и технических ресурсов на создание собственных сетей. Еще больше ухудшает ситуацию то, что технологии бот-сетей доступны в Интернете по цене менее $100. Это позволяет относительно легко начать то, что может превратиться в чрезвычайно прибыльный бизнес.
Симптомы вторжения
Простого присутствия в Интернете достаточно, чтобы стать мишенью. Это всего лишь вопрос времени, когда вы попадете под первую атаку. Она может быть чем-то, выглядящим невинно, как например, несколько неудачных попыток входа, или очевидн, когда хакер пытается испортить ваш веб-сайт или поломать вашу сеть. Важно, чтобы вы приобрели понимание, что вы уязвимы.
Хакеры сначала стремятся найти известные слабости в вашей ОС или любом используемом вами приложении. Затем они начинают зондирование, отыскивая дыры, открытые порты или забытые потайные ходы — ошибки в вашей системе обеспечения безопасности, которыми можно быстро и без усилий воспользоваться.
Пожалуй, один из самых типичных симптомов вторжения — попытки или успешного вторжения — повторяющиеся признаки, что кто-то пытается использовать собственные защитные системы вашей организации. В самом деле, инструменты, которые вы применяете для отслеживания подозрительной сетевой активности, можно весьма эффективно использовать против вас. Такие инструменты как средства защиты сети и сканеры, проверяющие целостность файлов, могут быть принести неоценимую пользу при постоянной оценке уязвимости вашей сети, но они доступны и хакерам, которые могут ими воспользоваться, чтобы найти путь в вашу сеть.
Большое количество неудачных попыток входа — также отчетливый признак того, что ваша сеть под прицелом. Вы можете настроить инструменты обнаружения проникновений: задать пороговое значение для числа попыток, чтобы при его превышении рассылалось уведомление. Вы может пассивно различать нормальные и подозрительные повторяющиеся операции, наблюдать за временными интервалами между операциями (получая уведомления, когда их количество превышает заданное вами пороговое значение) и формировать базу данных сигнатур, которые многократно встречались в течение заданного периода.
«Человеческий элемент» (ваши пользователи) — постоянный фактор ваших сетевых операций. Пользователи часто допускают опечатки, но обычно исправляют ошибки при следующей попытке. Однако последовательность команд с опечатками или некорректных ответов на приглашение входа (с попытками восстановить или повторно использовать данные для входа) может свидетельствовать о попытки вторжения по методу грубой силы.
Нарушения целостности пакетов — направления (входящий или исходящий), исходного адреса или местонахождения, и характеристик сеансов (входящие или исходящие сеансы) — все это хорошие признаки атаки. Если пакет имеет необычный источник или адресован некорректному порту, например, представляет собой, неправильный запрос к службе, это может быть признаком случайного сканирования системы. Пакеты, поступающие снаружи и имеющие локальные сетевые адреса и содержащие запросы к внутренним службам, могут свидетельствовать о попытке атаки с фальсификацией IP-адреса (IP spoof).
Иногда странное или неожиданное поведение системы само по себе является признаком. Хотя иногда это бывает сложно отследить, следует опасаться таких ситуаций как изменение системного времени, завершение работы серверов или необъяснимая остановка серверных процессов (с попыткой перезапуска системы), проблемы с системными ресурсами (например, необычно активное использование процессора или переполнение файловой системы), странное поведение журналов аудита (уменьшение размера без вмешательства администратора) или неожиданное обращение пользователя к ресурсам. Следует исследовать все без исключения необычные ситуации, в том числе интенсивное использование системы (возможно, это DoS-атака) или процессора (попытки взлома пароля методом грубой силы), происходящие в определенное время определенных дней.
Что можно сделать?
Нет нужды говорить, что самая безопасная сеть, имеющая меньше всего шансов быть взломанной, — та, у которой нет прямого соединения с внешним миром. Однако такое решение вряд ли осуществимо на практике, поскольку главная причина, по которой нужен Интернет, — то, что он необходим для ведения бизнеса. Однако в мире интернет-коммерции ваша основная забота — не обеспечить, чтобы вошли овцы, а сделать так, чтобы вместе с ними к вам не зашел волк в овечьей шкуре. Так как же добиться разумного баланса, защитив сеть от вторжений и, в то же время, сохранив ее доступность?
Вы движетесь по тонкой границе между безопасностью сети и требованиями пользователей. Вы должны иметь хорошую оборонительную систему, которая, тем не менее, не препятствует доступу. Пользователи и клиенты могут быть как насущным хлебом бизнеса, так и крупнейшим потенциальным источником инфекции. Кроме того, если ваш бизнес преуспевает за счет того, что вы предоставляете доступ пользователям, у вас нет выбора, кроме как позволить им обращаться к вашим ресурсам. Эта задача кажется, как минимум, чрезвычайно сложной.
Каждая защитная мера, которую вы применяете, рано или поздно будет нейтрализована легионами мотивированных воров, стремящихся к вам проникнуть. Это игра, в которой наносятся удары и контрудары. Вы настраиваете защиту, а они к ней адаптируются. Поэтому вы должны начать с защитных мер, которые можно быстро и эффективно адаптировать и изменять по мере того, как к ней адаптируются внешние угрозы.
Прежде всего, вы должны как можно надежнее укрепить свой периметр. Это значит, что вы должны быть на уровне быстро эволюционирующих угроз, которые вас окружают. Дни, когда можно было положиться на брандмауэр, выполняющий только функции брандмауэра, прошли. Современные хакеры знают, как обойти брандмауэр, воспользовавшись слабостями самих приложений.
Просто реагировать на атаки и вторжения — в любом случае, не самый лучший вариант. Это все равно, что стоять и ждать, пока кто-то вас ударит, и только потом решать, что делать. Вы должны использовать гибкий подход к новейшим технологиям, постоянно проводить аудит, чтобы обеспечить свою сеть защитной броней, способной отразить самые современные угрозы. Вы должны иметь динамичную и эффективную политику постоянного наблюдения за подозрительными операциями. И, когда вы их обнаружите, вы должны быстро устранить угрозу, пока кто-то не проскользнул в сеть без вашего ведома. Когда это случится, будет слишком поздно.
Еще одна важнейшая составляющая: вы должны просвещать своих пользователей. Какую бы отличную работу по «затягиванию гаек» в процессах и системах, обеспечивающих сетевую безопасность, вы бы ни выполнили, вам все равно придется иметь дело с самым слабым звеном брони — своими пользователями.
Нет ничего хорошего в том, чтобы иметь процессы, обеспечивающие надежную защиту, если эти процессы настолько сложны, что пользователям приходится обходить их, чтобы избежать трудностей, или если они так плохо настроены, что пользователь, случайно зашедший на зараженный сайт, занесет инфекцию в вашу сеть. Причем сложность защиты вашей сети очень быстро растет с увеличением количества пользователей.
Просвещение пользователей становится особенно важным, когда речь идет о портативных устройствах. Потеря устройства, его использование в месте (или манера использования), где чьи-то любопытные глаза могут подглядеть пароли или данные, наличие хакерских инструментов, специально предназначенных для прослушивания сигналов беспроводных сетей и извлечения данных, вход в незащищенные сети — все это потенциальные проблемные области, о которых должны знать пользователи.
Кроме того, вы должны расставлять западни, приманивая хакеров «на живца». Такие системы еще называют «системами-ловушками». Эти бесполезные сети специально служат для того, чтобы привлечь внимание злоумышленников и получить ценные данные об их методах, средствах и новом злонамеренном ПО, которым они пользуются.
Как видите, организация эффективной системы защиты означает реализацию соответствующих инфраструктурных элементов, бдительное наблюдение за своими сетями, а также просвещение пользователей и присмотр за ними.