Характерные особенности сетевых атак

Проблемы безопасности IP-сетей

Анализ угроз сетевой безопасности.

Для организации коммуникаций в неоднородной сетевой среде применяется на­бор протоколов ТСР/IР, обеспечивающий совместимость между компьютера­ми разных типов. Совместимость - одно из основных преимуществ TCP/IP, по­этому большинство компьютерных сетей поддерживает эти протоколы. Кроме того, протоколы TCP/IP предоставляют доступ к ресурсам глобальной сети Интернет.

Благодаря своей популярности TCP/IP стал стандартом де-факто для межсете­вого взаимодействия. Однако повсеместное распространение стека протоколов TCP/IP обнажило и его слабые стороны. Создавая свое детище, архитекторы сте­ка TCP/IP не видели причин особенно беспокоиться о защите сетей, строящихся на его основе. Поэтому в спецификациях ранних версий протокола IP отсутство­вали требования безопасности, что привело к изначальной уязвимости его реали­зации.

Стремительный рост популярности интернет-технологий сопровождается ростом серьезных угроз разглашения персональных данных, критически важных корпора­тивных ресурсов, государственных тайн и т.д.

Каждый день хакеры и другие злоумышленники подвергают угрозам сетевые ин­формационные ресурсы, пытаясь получить к ним доступ с помощью специальных атак. Эти атаки становятся все более изощренными по воздействию и несложны­ми в исполнении. Этому способствуют два основных фактора.

Во-первых, это повсеместное проникновение Интернета. Сегодня к этой сети подключены миллионы компьютеров. Многие миллионы компьютеров будут подключены к Интернету в ближайшем будущем, поэтому вероятность доступа ха­керов к уязвимым компьютерам и компьютерным сетям постоянно возрастает. Кроме того, широкое распространение Интернета позволяет хакерам обмениваться ин­формацией в глобальном масштабе.

Во-вторых, это всеобщее распространение простых в использовании операцион­ных систем и сред разработки. Этот фактор резко снижает требования к уровню знаний злоумышленника. Раньше от хакера требовались хорошие знания и навыки программирования, чтобы создавать и распространять вредоносные программы. Теперь, для того чтобы получить доступ к хакерскому средству, нужно просто знать IP-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышкой.

Проблемы обеспечения информационной безопасности в корпоративных ком­пьютерных сетях обусловлены угрозами безопасности для локальных рабочих стан­ций, локальных сетей и атаками на корпоративные сети, имеющие выход в обще­доступные сети передачи данных.

Сетевые атаки столь же разнообразны, как и системы, против которых они на­правлены. Некоторые атаки отличаются большой сложностью. Другие способен осуществить обычный оператор, даже не предполагающий, какие последствия мо­жет иметь его деятельность.

Нарушитель, осуществляя атаку, обычно ставит перед собой следующие цели:

v нарушение конфиденциальности передаваемой информации;

v нарушение целостности и достоверности передаваемой информации;

v нарушение работоспособности системы в целом или отдельных ее частей.

С точки зрения безопасности распределенные системы характеризуются прежде всего наличием удаленных атак, поскольку компоненты распределенных сис­тем обычно используют открытые каналы передачи данных и нарушитель может не только проводить пассивное прослушивание передаваемой информации, но и мо­дифицировать передаваемый трафик (активное воздействие). И если активное воздействие на трафик может быть зафиксировано, то пассивное воздействие прак­тически не поддается обнаружению. Но поскольку в ходе функционирования распределенных систем обмен служебной информацией между компонен­тами системы осуществляется тоже по открытым каналам передачи данных, то служебная информация становится таким же объектом атаки, как и данные пользо­вателя.

Трудность выявления факта проведения удаленной атаки выводит этот вид не­правомерных действий на первое место по степени опасности, поскольку препятствует своевременному реагированию на осуществленную угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализа­ции атаки.

Безопасность локальной сети по сравнению с безопасностью межсетевого взаи­модействия отличается тем, что в этом случае на первое по значимости место вы­ходят нарушения зарегистрированных пользователей, поскольку в основном кана­лы передачи данных локальной сети находятся на контролируемой территории и защита от несанкционированного подключения к ним реализуется администра­тивными методами.

На практике IP-сети уязвимы для ряда способов несанкционированного вторже­ния в процесс обмена данными. По мере развития компьютерных и сетевых техноло­гий (например, с появлением мобильных Java-приложений и элементов ActiveX) список возможных типов сетевых атак на IP-сети постоянно расширяется [ Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети – анализ технологий и синтез решений. М.: ДМК Пресс, 2004.].

Рассмотрим наиболее распространенные виды сетевых атак.

Подслушивание (sniffing). По большей части данные по компьютерным сетям пе­редаются в незащищенном формате (открытым текстом), что позволяет злоумыш­леннику, получившему доступ к линиям передачи данных в вашей сети, подслуши­вать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.

В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако, ввиду того что некоторые сетевые приложения передают данные в текстовом фор­мате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полез­ную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Перехват пароля (password sniffing), передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслуши­вания. Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и си­стем. Многие пользователи вообще имеют один пароль для доступа ко всем ресур­сам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам.

В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает атрибуты нового пользователя, кото­рые можно в любой момент использовать для доступа в сеть и к ее ресурсам.

Предотвратить угрозу сниффинга пакетов можно с помощью следующих
мер и средств:

v применение для аутентификации однократных паролей;

v установка аппаратных или программных средств, распознающих
снифферы;

v применение криптографической защиты каналов связи.

Изменение данных. Злоумышленник, получивший возможность прочитать
ваши данные, сможет сделать и следующий шаг - изменить их. Данные в
пакете могут быть изменены, даже если злоумышленник ничего не знает ни
об отправителе, ни о получателе. Даже если вы не нуждаетесь в строгой
конфиденциальности всех пере­даваемых данных, наверняка вы не захотите,
чтобы они были изменены по пути.

Анализ сетевого трафика. Целью атак подобного
типа являются прослушива­ние каналов связи и анализ передаваемых
данных и служебной информации с це­лью изучения топологии и архитектуры
построения системы, получения крити­ческой пользовательской информации
(например, паролей пользователей или номеров кредитных карт, передаваемых
в открытом виде). Атакам данного типа подвержены такие протоколы, как FTP
или Telnet, особенностью которых явля­ется то, что имя и пароль пользователя
передаются в рамках этих протоколов в открытом виде.

Подмена доверенного субъекта. Большая часть сетей и операционных
систем использует IP-адрес компьютера для того, чтобы определять, тот ли
это адресат, который нужен. В некоторых случаях возможно некорректное
присвоение IP-ад­реса (подмена IP-адреса отправителя другим адресом) - такой
способ атаки назы­вают фальсификацией адреса (IP-spoofing).

IP-спуфинг имеет место, когда злоумышленник, находящийся внутри корпо­рации или вне ее, выдает себя за законного пользователя. Злоумышленник может воспользоваться IP-адресом, находящимся в пределах диапазона санкциониро­ванных IP-адресов, или авторизованным внешним адресом, которому разрешает­ся доступ к определенным сетевым ресурсам. Злоумышленник может также ис­пользовать специальные программы, формирующие IP-пакеты таким образом, чтобы они выглядели как исходящие с разрешенных внутренних адресов корпо­ративной сети.

Атаки IP-спуфинга часто являются отправной точкой для других атак. Класси­ческим примером является атака типа «отказ в обслуживании» (DoS), которая начинается с чужого адреса, скрывающего истинную личность хакера. Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложе­нием или по каналу связи между одноранговыми устройствами.

Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

v правильная настройка управления доступом из внешней сети;

v пресечение попыток спуфинга чужих сетей пользователями своей сети.

Следует иметь в виду, что IP-спуфинг может быть осуществлен при условии проведения аутентификации пользователей на базе IP-адресов, поэтому введение дополнительных методов аутентификации пользователей (на основе одноразовых паролей или других методов криптографии) позволяет предотвратить атаки IP-спуфинга.

Посредничество. Атака типа «посредничество» подразумевает активное подслуши­вание, перехват и управление передаваемыми данными невидимым промежуточным узлом. Когда компьютеры взаимодействуют на низких сетевых уровнях, они не всегда могут определить, с кем именно они обмениваются данными.

Посредничество в обмене незашифрованными ключами (атака Man-in-the-Middle). Для проведения атаки Man-in-the-Middle (человек в середине) злоумыш­леннику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем па­кетам, передаваемым от провайдера ISP в любую другую сеть, может, например, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации.

В более общем случае атаки Man-in-the-Middle проводятся с целью кражи ин­формации, перехвата текущей сессии и получения доступа к частным сетевым ре­сурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанк­ционированной информации в сетевые сессии.

Эффективно бороться с атаками типа Man-m-the-Middle можно только с помо­щью криптографии. Для противодействия атакам этого типа используется инфра­структура управления открытыми ключами PKI (Public Key Infrastructure).

Перехват сеанса (Session hijacking). По окончании начальной процедуры аутентификации соединение, установленное законным пользователем, например, с почтовым сервером, переключается злоумышленником на новый хост, а исходно­му серверу выдается команда разорвать соединение. В результате «собеседник» законного пользователя оказывается незаметно подмененным.

После получения доступа к сети у атакующего злоумышленника появляются большие возможности:

v он может посылать некорректные данные приложениям и сетевым службам, что приводит к их аварийному завершению или неправильному функциони­рованию;

v он может также наводнить компьютер или всю сеть трафиком, пока не про­изойдет останов системы в связи с перегрузкой;

v наконец, атакующий может блокировать трафик, что приведет к потере дос­тупа авторизованных пользователей к сетевым ресурсам.

Отказ в обслуживании (Denial of Service, DoS). Эта атака отличается от атак других типов. Она не нацелена на получение доступа к вашей сети или на извлече­ние из этой сети какой-либо информации. Атака DoS делает сеть организации не­доступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. По существу, эта атака лишает обычных пользователей доступа к ресурсам или компьютерам сети организации.

Большинство атак DoS опирается на общие слабости системной архитектуры. В случае использования некоторых серверных приложений (таких, как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская

обслуживания обычных пользователей. В ходе атак DoS могут использоваться обыч­ные Интернет - протоколы, такие как TCP и ICMP (Internet Control Message Protocol).

Атаки DoS трудно предотвратить, так как для этого требуется координация дей­ствий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже не сможете, потому что вся полоса пропускания будет занята.

Если атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке отказа в обслуживании DDoS (distributed DoS).

Простота реализации атак DoS и огромный вред, причиняемый ими организа­циям и пользователям, привлекают к этим атакам пристальное внимание админи­страторов сетевой безопасности.

Парольные атаки. Целью этих атак является завладение паролем и логином за­конного пользователя. Злоумышленники могут проводить парольные атаки, ис­пользуя такие методы, как:

v О подмена IP-адреса (1Р-спуфинг);

v подслушивание (сниффинг);

v простой перебор.

IP-спуфинг и сниффинг пакетов были рассмотрены выше. Эти методы позволя­ют завладеть паролем и логином пользователя, если они передаются открытым тек­стом по незащищенному каналу.

Часто хакеры пытаются подобрать пароль и логин, используя для этого много­численные попытки доступа. Такой подход носит название атака полного перебора (brute force attack). Для этой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленнику удается подобрать пароль, он получает доступ к ресурсам на правах обычного пользователя. Если этот пользователь имеет значи­тельные привилегии доступа, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если пользователь изме­нит свой пароль и логин.

Средства перехвата, подбора и взлома паролей в настоящее время считаются практически легальными и официально выпускаются достаточно большим числом компаний. Они позиционируются как программы для аудита безопасности и вос­становления забытых паролей, и их можно на законных основаниях приобрести у разработчиков.

Парольных атак можно избежать, если не пользоваться паролями в тексто­вой форме. Использование одноразовых паролей и криптографической аутен­тификации могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные методы аутен­тификации.

При использовании обычных паролей необходимо придумать такой пароль, кото­рый было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, $, &, % и т.д.).

Угадывание ключа. Криптографический ключ представляет собой код или число, необходимое для расшифровки защищенной информации. Хотя узнать ключ до­ступа тяжело и требуются большие затраты ресурсов, тем не менее это возможно. В частности, для определения значения ключа может быть использована специаль­ная программа, реализующая метод полного перебора. Ключ, к которому получает доступ атакующий, называется скомпрометированным. Атакующий использует скомпрометированный ключ для получения доступа к защищенным передаваемым данным без ведома отправителя и получателя. Ключ дает возможность расшифро­вывать и изменять данные.

Атаки на уровне приложений. Эти атаки могут проводиться несколькими спо­собами. Самый распространенный из них состоит в использовании известных сла­бостей серверного программного обеспечения (FTP, HTTP, Web-сервера).

Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран.

Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведе­ниям, что позволяет им учиться.

Невозможно полностью исключить атаки на уровне приложений. Хакеры посто­янно открывают и публикуют на своих сайтах в Интернете все новые уязвимые места прикладных программ.

Здесь важно осуществлять хорошее системное администрирование. Чтобы сни­зить уязвимость от атак этого типа, можно предпринять следующие меры:

v анализировать log-файлы операционных систем и сетевые log-файлы с по­мощью специальных аналитических приложений;

v отслеживать данные CERT о слабых местах прикладных программ;

v пользоваться самыми свежими версиями операционных систем и приложе­ний и самыми последними коррекционными модулями (патчами);

v использовать системы распознавания атак IDS (Intrusion Detection Systems).

Сетевая разведка - это сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации.

Сетевая разведка проводится в форме запросов DNS,
эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально ра­ботают в данной среде. Получив список хостов, хакер использует средства скани­рования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. В результате добывается информация, которую можно использовать для взлома.

Полностью избавиться от сетевой разведки невозможно. Если, к примеру, от­ключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы изба­витесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса.

Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которо­го установлена система, проявляющая чрезмерное любопытство.

Злоупотребление доверием. Данный тип действий не является атакой в полном смысле этого слова. Он представляет собой злонамеренное использование отноше­ний доверия, существующих в сети. Типичным примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте обычно располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадле­жат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети.

Риск злоупотребления доверием можно снизить за счет более жесткого контро­ля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным дове­рием со стороны систем, защищенных межсетевым экраном.

Отношения доверия должны ограничиваться определенными протоколами и по воз­можности аутентифицироваться не только по IP-адресам, но и по другим параметрам. Вредоносные программы. К таким программам относятся компьютерные вирусы, сетевые черви, программа «троянский конь».

Вирусы представляют собой вредоносные программы, которые внедряются в дру­гие программы для выполнения определенной нежелательной функции на рабо­чей станции конечного пользователя. Вирус обычно разрабатывается злоумыш­ленниками таким образом, чтобы как можно дольше оставаться необнаруженным в компьютерной системе. Начальный период «дремоты» вирусов является меха­низмом их выживания. Вирус проявляется в полной мере в конкретный момент времени, когда происходит некоторое событие вызова, например пятница 13-е, известная дата и т.п.

Разновидностью программы-вируса является сетевой червь, который распрос­траняется по глобальной сети и не оставляет своей копии на магнитном носителе. Этот термин используется для именования программ, которые, подобно ленточным червям, перемещаются по компьютерной сети от одной системы к другой. Червь использует механизмы поддержки сети для определения узла, который может быть поражен. Затем с помощью этих же механизмов червь передает свое тело в этот узел и либо активизируется, либо ждет подходящих условий для активизации. Сетевые черви являются опасным видом вредоносных программ, так как объектом их атаки может стать любой из миллионов компьютеров, подключенных к глобаль­ной сети Интернет. Для защиты от червя необходимо принять меры предосторож­ности против несанкционированного доступа к внутренней сети.

К компьютерным вирусам примыкают так называемые «троянские кони» (троян­ские программы). «Троянский конь» - это программа, которая имеет вид полезного приложении я, а на самом деле выполняет вредные функции (разрушение программного
обеспечения, копирование и пересылка злоумышленнику файлов с конфиденци­альными данными и т.п.). Опасность «троянского коня» заключается в дополни­тельном блоке команд, вставленном в исходную безвредную программу, которая затем предоставляется пользователям АС. Этот блок команд может срабатывать при наступлении какого-либо условия (даты, состояния системы) либо по команде извне. Пользователь, запустивший такую программу, подвергает опасности как свои файлы, так и всю АС в целом.

Согласно данным обзора угроз информационной безопасности Sophos Security Threat Management Report в первой половине 2006 года число распространяемых «троянских» программ превысило количество вирусов и червей в четыре раза, по сравнению с двукратным перевесом за первые шесть месяцев 2005. Sophos также со­общает о появлении нового вида «троянских» программ, получившего название ransomware. Такие программы похищают данные с зараженных компьютеров, а за­тем пользователю предлагается заплатить за них определенный выкуп.

Рабочие станции конечных пользователей очень уязвимы для вирусов, сетевых червей и «троянских коней».

Особенностью современных вредоносных программ является их ориентация на конкретное прикладное ПО, ставшее стандартом де-факто для большинства пользо­вателей, в первую очередь это Microsoft Internet Explorer и Microsoft Outlook. Массовое создание вирусов под продукты Microsoft объясняется не только низким уровнем безопасности и надежности программ, важную роль играет глобальное распространение этих продуктов. Авторы вредоносного программного обеспечения все активнее начинают исследовать «дыры» в популярных СУБД, связующих ПО и корпоративные бизнес-приложения, построенные на базе этих систем.

Вирусы, черви и «троянские» программы постоянно эволюционируют, основной тенденцией их развития является полиморфизм. Сегодня уже довольно сложно провести границу между вирусом, червем и «троянской» программой, они исполь­зуют практически одни и те же механизмы, небольшая разница заключается лишь в степени этого использования. Устройство вредоносного программного обеспече­ния стало сегодня настолько унифицированными, что, например, отличить почто­вый вирус от червя с деструктивными функциями практически невозможно. Даже в «троянских» программах появилась функция репликации (как одно из средств противодействия антивирусным средствам), так что при желании их вполне мож­но назвать вирусами (с механизмом распространения в виде маскировки под при­кладные программы).

Для защиты от указанных вредоносных программ необходимо применение ряда мер:

v исключение несанкционированного доступа к исполняемым файлам;

v тестирование приобретаемых программных средств;

v контроль целостности исполняемых файлов и системных областей;

v создание замкнутой среды исполнения программ.

Борьба с вирусами, червями и «троянскими конями» ведется с помощью эф­фективного антивирусного программного обеспечения, работающего на пользова­тельском уровне и, возможно, на уровне сети. По мере появления новых вирусов, червей и «троянских коней» нужно устанавливать новые базы данных антивирусных средств и приложений.

Спам и фишинг относятся к непрограммным угрозам. Распространенность этих двух угроз в последнее время значительно выросла.

Спам, объем которого сейчас превышает 80% от общего объема почтового тра­фика, может создавать угрозу доступности информации, блокируя почтовые сер­веры, либо использоваться для распространения вредоносного программного обес­печения.

Фишинг (phishing) является относительно новым видом интернет-мошенниче­ства, цель которого - получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов, PIN-кодов и другой конфиденциальной информации, дающей доступ к деньгам пользователя. Фишинг использует не технические недостатки программного обеспечения, а лег­коверность пользователей Интернета. Сам термин phishing, созвучный с fishing (рыбная ловля), расшифровывается как password harvesting fishing - выуживание пароля. Действительно, фишинг очень похож на рыбную ловлю. Злоумышленник закидывает в Интернет приманку и «вылавливает всех рыбок» - пользователей Интернета, которые клюнут на эту приманку.

Злоумышленником создается практически точная копия сайта выбранного бан­ка (электронной платежной системы, аукциона и т.п.). Затем при помощи спам-технологии по электронной почте рассылается письмо, составленное таким обра­зом, чтобы быть максимально похожим на настоящее письмо от выбранного банка. При составлении письма используются логотипы банка, имена и фамилии реаль­ных руководителей банка. В таком письме, как правило, сообщается о том, что из-за смены программного обеспечения в системе интернет-банкинга пользователю необходимо подтвердить или изменить свои учетные данные. В качестве причины для изменения данных может быть назван выход из строя ПО банка или же напа­дение хакеров. Наличие правдоподобной легенды, побуждающей пользователя к необходимым действиям, - непременная составляющая успеха мошенников-фишеров. Во всех случаях цель таких писем одна - заставить пользователя нажать на приведенную ссылку, а затем ввести свои конфиденциальные данные (пароли, но­мера счетов, PIN-коды) наложном сайте банка (электронной платежной системы, аукциона). Зайдя на ложный сайт, пользователь вводит в соответствующие строки свои конфиденциальные данные, а далее аферисты получают доступ в лучшем слу­чае к его почтовому ящику, в худшем - к электронному счету.

Технологии фишеров совершенствуются, применяются методы социальной ин­женерии. Клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свои конфиденциальные данные. Как правило, сообщения содер­жат угрозы, например заблокировать счет в случае невыполнения получателем тре­бований, изложенных в сообщении.

Появилось сопряженное с фишингом понятие - фарминг. Это тоже мошенниче­ство, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные Web-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных Web-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенниче­ства еще опаснее, так как заметить подделку практически невозможно.

В настоящее время мошенники часто используют «троянские» программы. Задача фишера в этом случае сильно упрощается - достаточно заставить пользователя перебраться на фишерский сайт и «подцепить» программу, которая самостоятель­но разыщет на жестком диске жертвы все, что нужно. Наравне с «троянскими» про­граммами стали использоваться и кейлоггеры. На подставных сайтах на компьюте­ры жертв загружают шпионские утилиты, отслеживающие нажатия клавиш. При использовании такого подхода необязательно находить выходы на клиентов конк­ретного банка или компании, а потому фишеры стали подделывать и сайты общего назначения, такие как новостные ленты и поисковые системы.

Успеху фишинг-афер способствует низкий уровень осведомленности пользовате­лей о правилах работы компаний, от имени которых действуют преступники. В част­ности, около 5% пользователей не знают простого факта: банки не рассылают писем с просьбой подтвердить в онлайне номер своей кредитной карты и ее PIN-код.

По данным аналитиков (www.cnews.ru), ущерб, нанесенный фишерами мировой эко­номике, составил в 2003 году 14 млрд долларов, а год спустя он достиг 44 млрд долла­ров. По статистике Symantec, в середине 2004 года фильтры компании еженедельно блокировали до 9 млн писем с фишинговым контентом. К концу года за тот же период отсеивалось уже 33 млн.

Основной защитой от фишинга пока остаются спам-фильтры. К сожалению, программный инструментарий для защиты от фишинга обладает ограниченной эффективностью, поскольку злоумышленники эксплуатируют в первую очередь не бреши в ПО, а человеческую психологию. Активно разрабатываются технические средства безопасности, прежде всего плагины для популярных браузеров. Суть за­щиты заключается в блокировании сайтов, попавших в «черные списки» мошен­нических ресурсов. Следующим шагом могут стать системы генерации одноразо­вых паролей для интернет-доступа к банковским счетам и аккаунтам в платежных системах, повсеместное распространение дополнительных уровней защиты за счет комбинации ввода пароля с использованием аппаратного USB-ключа.

Перечисленные атаки на IP-сети возможны в силу ряда причин:

v использование общедоступных каналов передачи данных. Важнейшие данные передаются по сети в незашифрованном виде;

v уязвимости в процедурах идентификации, реализованных в стеке TCP/IP. Идентифицирующая информация на уровне IP передается в открытом виде;

v отсутствие в базовой версии стека протоколов TCP/IP механизмов, обеспе­чивающих конфиденциальность и целостность передаваемых сообщений;

v аутентификация отправителя осуществляется по его IP-адресу. Процедура аутентификации выполняется только на стадии установления соединения, а в дальнейшем подлинность принимаемых пакетов не проверяется;

v отсутствие возможности контроля за маршрутом прохождения сообщений в сети Интернет, что делает удаленные сетевые атаки практически безна­казанными.

Дата добавления: 2013-12-12; Просмотров: 6318; Нарушение авторских прав?; Мы поможем в написании вашей работы!