Файл: Анализ технологий совершения компьютерных преступлений (Кто такие хакеры).pdf
Добавлен: 18.06.2023
Просмотров: 63
Скачиваний: 3
Введение
Потери от атак хакеров во всем мире в ближайшие пару лет могут увеличиться в 4 раза - до двух триллионов долларов. Такой прогноз озвучил заместитель председателя правления Сбербанка Станислав Кузнецов, оговорившись, что такое развитие событий предполагает пессимистичный сценарий.
Сейчас в разных странах мира работают не менее 40 миллионов киберпреступников. Примерный ущерб от их действий оценивается в 500 миллиардов долларов. При этом количество вирусных атак в мире растёт по 3 процента в месяц, атак на веб-сервисы - по 2,5 процента, а число краж денег с различных устройств или электронных кошельков - по 3,5 процента. В России, по данным Сбербанка, потери от киберпреступников составили в 2015 году 550-600 миллиардов рублей. Эта цифра превышает примерно вдвое ущерб от всех других экономических преступлений. В этих условиях важно знать основные виды угроз для всех пользователей электронных сетей и методы защиты от них.
Каждый человек – от пользователя домашнего компьютера до крупной компании и правительства – должен иметь возможность защитить то, что дорого для него. Неважно, идет ли речь о частной жизни, семье, финансах, бизнесе или критической инфраструктуре. Специалисты преуспели в этом благодаря опыту и экспертным знаниям, благодаря сотрудничеству с международными организациями и правоохранительными органами, а также благодаря технологиям, решениям и сервисам, которые помогают оставаться в безопасности, несмотря на все киберугрозы. Наша задача будет состоять в том, что бы понять, что такое киберпреступность и кратко рассмотреть технологии совершаемых преступлений и методы защиты против них.
Глава 1. Кто такие хакеры
Понятие "хакер" зародилось, когда только начинала распространяться первая сеть ARPANET. Тогда это понятие обозначало человека, хорошо разбирающегося в компьютерах. Некоторые даже подразумевали под хакером человека, "помешанного" на компьютерах. Понятие ассоциировали со свободным компьютерщиком, человеком, стремящимся к свободе во всем, что касалось его любимой "игрушки" — компьютера. Хакеры помогли развитию Интернета. Благодаря им появились UNIX-подобные системы с открытым исходным кодом, на которых сейчас работает большое количество серверов. В те далекие времена еще не было вирусов, и никто даже не думал о взломе сетей, сайтов или отдельных компьютеров. Но бурное развитие Интернета породило новую многоликую угрозу для государств и их граждан: киберпреступность. Пользователи Интернета, бизнес, государство, творческое сообщество – все страдают от ее повседневных проявлений: спама, вирусов, нарушения авторских прав, кражи личных и банковских реквизитов, экономической преступности.
Борьбой с преступлениями в сфере компьютерной информации в России занимается Управление «К» БСТМ МВД России. Также оно активно взаимодействует с правоохранительными органами иностранных государств, как на двусторонней, так и многосторонней основе (ООН, «восьмерка», СНГ, СЕ, ЕС, ШОС, АТР и др.).
Мир технологий не только разделяет людей, но и объединяет. Яркий тому пример - ежегодная конференция хакеров DEF CON, она объединяет в себе обе стороны специалистов. Например, руководитель Агентства национальной безопасности США Кит Александер выступил на конференции в 2012 году. Он подчеркнул общность позиций у американского правительства и хакеров, добавив, что необходимо сохранять секретность личной информации и что они могут ему в этом помочь, разработав для этого новые инструменты.
Официальные лица и представители служб безопасности США посещают Defcon не в первый раз, однако Кит Александер станет наиболее высокопоставленным чиновником, когда-либо принимавшим участие в конференции.
Defcon проводится ежегодно с 1992 года и является открытым для публики мероприятием. В рамках конференции проводятся лекции, хакерские соревнования и круглые столы на тему компьютерной безопасности. Организатор конференции Джефф Мосс с 2009 года является членом консультационного совета министерства внутренней безопасности США.
Таким образом, если бы увеличилось число таких мероприятий для хакеров, то возможно бы сократилось количество атак, т.к. хакерам не пришлось бы скрываться и они были бы заняты полезной официальной деятельностью на благо цивилизации.
Глава 2. Виды хакерских атак
2.1 Mailbombing
Почтовые бомбы (Mail bombs) — хакерский саботаж, один из простейших видов сетевых атак. Злоумышленником посылается на компьютер пользователя или почтовый сервер компании одно огромное сообщение, или множество (десятки тысяч) почтовых сообщений, что приводит к выводу системы из строя.
Почтовые бомбы способны быстро переполнить отдельный почтовый ящик, что будет препятствовать получению на него новых писем. Также интенсивная почтовая бомбардировка или просто отправка больших писем может вывести из строя почтовый сервер. Иногда вложения писем-бомб многократно архивируют, чтобы сервер тратил время на их распаковку при обработке входящей почты.
Распаковка пустого PKT файла, pазмеpом около гигабайта, в архиве он занимает приблизительно 5 килобайт. Как итог – поломка ОС или заполнение информацией жесткого диска. Зависание системы достигается правкой заголовка в ZIP архиве (делается ссылка на один и тот же файл).
Есть очень опасный тип mail-bombing’а - запуск .exe файла на станции. Но установленные аппаратные средства защиты на сервер вылавливают вирусы из файлов, присоединённых к почтовым сообщениям, до их доставки к месту назначения и ограничивать трафик для определенных пользователей или конечных доменов в Internet по специальному списку. Например, утилита фильтрации Procmail доступна в большинстве операционных систем Linux. Она выборочно блокирует или фильтрует определенные типы сообщений.
В мерах безопасности, также рекомендуется предупреждать пользователей о том, чтобы в письме указывали какую-нибудь информацию, например определенную фразу в теме письма.
2.2 Сниффинг — это перехват сетевых пакетов
Снифферами (от англ. Sniff - вынюхивать) называют утилиты для перехвата сетевого трафика, адресованного другому узлу (или, в более общем случае – всего доступного трафика, проходящего или не проходящего через данный хост). Большинство снифферов представляют собой вполне легальные средства мониторинга.
Объектом атаки может выступать как локальная так и глобальная сеть, спутниковый и мобильный интернет, беспроводные средства связи.
Дело в том, что злоумышленник должен получить доступ к одному из маршрутизаторов, через который проходят пакеты компьютера-жертвы. Только в этом случае он сможет перехватить их и прочитать содержащиеся в них данные. Сниффинг в большинстве случаев используется для кражи логина и пароля пользователей различных серверов. Так, например, при попытке аутентификации в каком-либо сервисе пользователь вводит и отправляет свои авторизационные данные. Эта информация находится внутри сетевых пакетов и ничем не защищена. Так что хакеру достаточно загрузить эти пакеты к себе на компьютер, чтобы получить действующие логин и пароль законного пользователя данного сервиса.
При работе в Интернете желательно придерживаться режима анонимности.
На сегодняшний день разработано три эффективных способа борьбы со сниффингом. К ним относятся использование специальных программ-антиснифферов (они измеряют время реагирования хостов и определяют, не приходится ли им обрабатывать "лишний" трафик) и особых средств аутентификации наподобие одноразовых ключей (способ аутентификации, для которой используются одноразовые, то есть бесполезные для перехвата, пароли, генерируемые некоторыми защищенными токенами). Интернет трафик защищается криптографией. Речь идет о применении для передачи конфиденциальных данных специальных протоколов с шифрованием информации. Сегодня существует достаточно широкий выбор таких стандартов, которыми можно заменить обычные протоколы: Secure Shell* (SSH), Secure Socket Layer* (SSL), Secure FTP (SFTP) и т. д. Их использование надежно защищает информацию пользователя и его пароли и гарантирует защиту от снифферов.
Кстати, в последнее время наблюдается устойчивая тендеция перехода на протоколы аутентификации, устойчивые к перехвату трафика.
2.3 IP-спуфинг
Вид атаки на сеть при которой хакер, находящийся внутри корпоративной сети или вне ее, выдает себя за добросовестного пользователя, подделывая санкционированные внешние или внутренние IP-адреса системы. Для обеспечения двухсторонней связи хакер изменяет все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Атаки IP-спуфинга часто являются исходными для производства атак другого рода, например DOS, для сокрытия личности хакера.
На сетевом уровне этот вид атаки можно предотвратить с помощью фильтра пакетов, который настроен таким образом, чтобы не пропускать пакеты, поступившие через неопределенные сетевые интерфейсы. Еще одним способом защиты от IP-спуфинга является Проверка Адреса Отправителя (Source Address Verification), которая выполняется программами маршрутизации.
2.4 Man-in-the-Middle
Man in the middle, «человек посередине» – это способ осуществления фрода - вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи, при которых злоумышленник внедряется в канал связи между отправителем и получателем информации и может видоизменять эту информацию «на лету» непосредственно в процессе ее передачи.
Примером успешной реализации такой атаки в целях распространения вредоносного ПО можно назвать инцидент с использованием троянца OnionDuke, заражавшего выходные узлы сети TOR, в результате чего весь трафик, транслировавшийся через эти узлы, оказывался инфицированным. При попытке пользователя скачать какую-либо программу из сети TOR через скомпрометированный узел она автоматически оказывалась зараженной вирусом.
В последнее время встречается и вариант MITM-атаки «Человек-в-браузере». В этом случае злоумышленник использует один из нескольких возможных методов для того, чтобы занести вредоносный код, работающий внутри браузера, на компьютер жертвы. Это ПО потом незаметно записывает все данные, передаваемые между браузером и различными сайтами, после чего отсылает полученные сведения злоумышленнику. Такой вариант становится все более распространенным, так как он может применяться к большой группе пользователей-жертв, а также не требует, чтобы злоумышленник находился поблизости.
Есть несколько эффективных средств защиты от MITM-атак, но почти все они используются либо в самом маршрутизаторе, либо на серверах, к которым обращается потенциальная жертва. При этом самой жертве невдомек, на настоящем она сервере либо это подделка, подставленная злоумышленником. Одним из способов защиты от такой атаки является использование стойкого шифрования между клиентом и сервером. В таком случае сервер может идентифицировать себя посредством предоставления цифрового сертификата, после чего между пользователем и сервером устанавливается шифрованный канал для обмена конфиденциальными данными. Но в этом случае возникает зависимость от самого сервера и выбора им метода шифрования.
Другим вариантом защиты от некоторых видов MITM-атак является полный отказ от использования открытых Wi-Fi-сетей для работы с личными данными. Хорошую защиту дают некоторые плагины для браузеров. Например, HTTPS Everywhere или ForceTLS, которые самостоятельно устанавливают защищенное соединение всякий раз, когда эта опция доступна на стороне сервера. Но, как бы то ни было, все способы защиты имеют определенные ограничения. Кстати, не стоит забывать и об уже проведенных с целью демонстрации возможностей атаках, таких как SSLStrip или SSLSniff, которые легко сведут на нет безопасность SSL-соединения.
2.5 Переполнение буфера
Ошибка переполнения буфера стала известна еще где-то в ~1980 годах. Вообще, данная ошибка считается одной из самых распространенных уязвимостей на данный момент. Количество эксплоитов, написанных на основе этой ошибки перевалило уже за несколько тысяч.
Переполнение буфера происходит, когда программа не выполняет проверку длины вводимых данных. Таким образом, любые неожиданные данные ввода попадают в непредназначенную дял них область стека исполнения процессора. Программист может так подобрать вводимые данные, чтобы в результате их исполнения был запущен его собственный код. Самое главное при использовании этого метода – создать так называемый код командного интерпретатора (shellcode) и разместить его в том месте, где буфер переполнится и «вылезет» в стек исполнения. Тогда код хакера окажется в определенной позиции стека, которая предоставит возможность возвращения программы (возврат функции) и, следовательно, выполнения вредоносного когда.
Проблему переполнения буфера сегодня можно попытаться решить, используя специализированные аппаратные или программные решения. Довольно таки хорошо с подобными проблемами справляются современные межсетевые экраны, в том числе и включенные в UTM-устройства WatchGuard Firebox. Пользователи этих устройств имеют дополнительный рубеж обороны, который заключается в следующем. Когда Вы настраиваете свой межсетевой экран на использование служб прокси, это ПО отслеживает использование чрезвычайно длинных входных данных для защищаемых сервисов: электронной почты, HTTP, FTP и DNS. Не являясь идеальной защитой, прокси, тем не менее, могут остановить многие атаки, направленные на переполнение буфера. Если вы используете пакетные фильтры, даже с динамическим анализом, вы лишаетесь этого преимущества.
Если ваш межсетевой экран поддерживает шлюзы приложений или прокси, используйте их. Когда служба информирования LiveSecurity предупреждает вас о критичных уязвимостях, связанных с переполнением буфера, используйте заплатки для приложений. Используйте эти меры, Ваши новые знания о переполнениях буфера и все будет в порядке.