Разработка программного средства для обнаружения и устранен (1209811), страница 2
Текст из файла (страница 2)
Система рассылки сообщений IRC поддерживается большим числом серверов и по этой причине этот канал обычно трудно отследить и запротоколировать. Этому способствует также то, что большинство систем более тщательно контролируют входной трафик, а не выходной
Троянские программы (Trojans)
Троянские программы – программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к "зависанию", воруют конфиденциальную информацию и т.д. Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина; троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом "полезного" программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки.
Она может фиксировать все нажатия клавиш на терминале или мышке, способна записывать скриншоты и передавать эти данные удаленному хозяину. Если на ЭВМ оказался установленным общеизвестный троянский конь, машина становится уязвимой.
Троян обычно содержит в себе следующие секции:
-
переименование – файлу, содержащему вредоносный код, присваивается имя, которое напоминает одну из штатных программ системы;
-
разрушение – секция мешает выявлять вредоносный код с помощью антивирусной программы;
-
полиморфный код – программа, которая регулярно модифицирует сигнатуру вредоносного кода.
В последнее время троянские кони стали использоваться для отслеживания места пребывания хозяина машины.
Программы-шпионы.
Программы-шпионы – программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без их ведома. О наличии программ-шпионов на своем компьютере вы можете и не догадываться. Как правило, целью программ-шпионов является:
-
отслеживание действий пользователя на компьютере;
-
сбор информации о содержании жесткого диска, в этом случает чаще всего речь идет о сканировании некоторых каталогов и системного реестра с целью составления списка программного обеспечения, установленного на компьютере;
-
сбор информации о качестве связи, способе подключения, скорости модема и т.д.
Фишинг (Phishing)
Фишинг – почтовая рассылка, целью которой является получение от пользователя конфиденциальной информации как правило финансового характера. Такие письма составляются таким образом, чтобы максимально походить на информационные письма от банковских структур, компаний известных брендов. Письма содержат ссылку на заведомо ложный сайт, где пользователю предлагается ввести, например, номер своей кредитной карты и другую конфиденциальную информацию.
Злоумышленник может прикинуться сотрудником организации и написать, что он забыл пароль. Служба администратора часто присылает новый пароль, не проверяя личность человека, приславшего запрос. Так терминалы иногда стоят в общедоступных помещениях, а сотрудник может ненадолго отойти от дисплея, не прерывая сессию, посторонний может сесть на его место, поменять пароль или загрузить троянского коня, получив доступ в систему. Злоумышленник может подсмотреть пароль и через плечо работающего легального пользователя. Хорошей практикой является отсутствие документов и тем более паролей на вашем рабочем столе. Длительная пауза в работе должна автоматически запирать дисплей. Критическая информация в компьютере должна быть зашифрована. Одним из возможных средств атак является использование IDN (International Domain Name). Дело в том, что в системах, поддерживающих IDN, допускается использование букв национальных алфавитов, а, например, некоторые буквы латинского и русского алфавитов пишутся идентично. Этим могут воспользоваться злоумышленники, они могут зарегистрировать имена, которые выглядит как имена известной фирмы, например, microsoft.com, где некоторые буквы заменены на русские, так что это внешне не заметно, например, буквы с или о. Тогда при ошибочной замене одной или нескольких букв на русские клиент попадет не на сайт компании Microsoft, а на внешне неотличимый от него сайт злоумышленника.
При получении почтового сообщения, содержащего URL, возможна фальсификация адресов. Например, написана ссылка www.microsoft.com, а на самом деле уход может происходить на адрес barmaley.com. Для этого можно записать URL в виде: <A href=http://barmaley.com>www.microsoft.com</a>. Хакер при этом может справедливо полагать, что читатель почтового сообщения не станет рассматривать HTML-код сообщения, а будет руководствоваться тем, что видит на экране.
Разновидностью такого рода атак является атака через DNS (или каким-то иным способом), когда страница известного URL подменяется страницей злоумышленника (spoofing).
При получении почты следует иметь в виду, что поле сообщения From можно легко фальсифицировать. Злоумышленник может сделать это для того, чтобы вы отнеслись с большим доверием к присланному сообщению. Протокол же SMTP и почтовые приложения не осуществляют проверку соответствия IP-адреса отправителя и поля From.
Традиционные программы не могут идентифицировать Фишинг. Такие сообщения не содержат ключевых слов, по которым детектируется SPAM, они отправлены с адресов, еще не попавших в черные списки. Часто это адреса ваших хороших знакомых или коллег.
Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.
Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении.
Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Некоторые, например, PayPal, всегда обращаются к своим адресатам по именам, а письмо с общим обращением «Уважаемый клиент PayPal» может расцениваться как попытка фишинга. Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали, что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения. Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали.
Антифишинговая рабочая группа считает, что обычные методы фишинга в скором времени устареют, поскольку люди всё больше узнают о социальной инженерии, используемой фишерами. Эксперты считают, что в будущем более распространёнными методами кражи информации будут фарминг и различные вредоносные программы.
Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera. Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust.
Также есть методика использования специальных DNS-сервисов, фильтрующих известные фишинговые адреса: этот метод работает при любом браузере и близок использованию hosts-файла для блокировки рекламы.
Сайт Bank of America предлагает пользователям выбрать личное изображение и показывает это выбранное пользователем изображение с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение. Однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля.
Специализированные спам-фильтры могут уменьшить число фишинговых электронных сообщений, получаемых пользователями. Эта методика основывается на машинном обучении и обработке естественного языка при анализе фишинговых писем.
Некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов. Физические лица могут помогать подобным группам, сообщая о случаях фишинга.
Спам
Спам (Spam) – анонимная, массовая почтовая корреспонденция нежелательного характера. Так, спамом являются рассылки политического и агитационного характера, письма, призывающие помочь кому-нибудь. Отдельную категорию спама составляют письма с предложениями обналичить большую сумму денег или вовлекающие в финансовые пирамиды, а также письма, направленные на кражу паролей и номеров кредитных карт, письма с просьбой переслать знакомым (например, письма счастья) и т. п. Спам существенно повышает нагрузку на почтовые сервера и повышает риск потери информации, важной для пользователя.
Спам используется и для заражения машин вредоносными кодами. Для этой цели обычно применяются приложения со встроенными скриптами и другими опасными программами.
DoS-атаки
DoS – хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. В настоящее время DoS и DDoS– атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.
Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации.
Первым делом злоумышленник сканирует крупную сеть с помощью специально подготовленных сценариев, которые выявляют потенциально слабые узлы. Выбранные узлы подвергаются нападению, и злоумышленник получает на них права администратора. На захваченные узлы устанавливаются троянские программы, которые работают в фоновом режиме. Теперь эти компьютеры называются компьютерами-зомби, их пользователи даже не подозревают, что являются потенциальными участниками DDoS-атаки. Далее злоумышленник отправляет определенные команды захваченным компьютерам и те, в свою очередь осуществляют мощную DoS-атаку на целевой компьютер.
Существуют также программы для добровольного участия в DDoS-атаках.
В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.
Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределённых бот-сетей.
Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (распределённая атака типа «отказ в обслуживании»). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации.
Схема проведения DDoS атаки изображена на рисунке 1.1.
Рисунок 1.1 – DDoS атака
MAC-flooding
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
