Сетевая безопасность содержание: 1. Введение. Постановка проблемы. Статистические данные 2. Основные риски. Методы защиты. Сторона клиента Серверная сторона Человеческий фактор в безопасности организации 3. Заключение.

В то время как технологии обеспечения безопасности в последние годы быстро прогрессируют (особенно в секторе криптографических решений), понимание адекватности и эффективности соответствующих решений по обеспечению безопасности не достигло требуемого уровня. Бизнес настоятельно требует расширения взаимодействия с партнерами, потребителями товаров и услуг, что приводит к изменению взгляда на понятие «безопасность», которое, в конечном счете, приводит к новому качеству бизнес-процессов. An IDC White paper, 2002 г.

Статистика по компьютерным преступлениям:

Отчет ФБР за 2003 год

Цели и мотивы преступной деятельности

Сторона клиента Условно, риски данной стороны можно разделить на три категории, относительно источника появления «течи» в защите: 1. Пользователь самостоятельно лишает себя конфиденциальности, путем запуска вредоносных программ, либо распространения своей личной информации в Интернете. 2. Путем уязвимости в клиентском ПО, пользователь, сам того не замечая, становится жертвой злоумышленников. 3. Ошибки в ОС пользователя, используя которые злоумышленник получает доступ к данным.

Возможности «а311» от ProdexTeam · Ультра-маленькие размеры при полностью визуальном интерфейсе - клиент 29 Kb; сервер - 33 Kb · Upload, Download файлов с возможностью ДОКАЧКИ при обрыве связи (как в ReGet) · Отправка файлов через прямо из файл-менеджера. · Запуск приложений одним кликом. · Перезагрузка/выключение компа/выход пользователя · Обнуление содержимого CMOS · Останов системы (freez). · Коммандная строка с возможностью запуска приложений в скрытом виде. · Запуск сервисов из контекстного меню файл-менеджера. · Управление процессами: (просмотр, убийство, выставление приоритета). · Отсыл лога клавиатуры на . · Заполнение системной папки мусором. · Убийство жестких дисков. · Возможность открывать случайный порт для прокси. · Отсыл паролей в определённое время · Попытка (в основном удачная) закрытия файрволов. (ATGuard, ZoneAlarm, TPF, NPF, Outpost) · Спецтключение файрвола встроенного в Windows ХР (только после перезагрузки) · Блокировка файрволов (2 уровня. экспериментально). A311_readme

Пример маскировки трояна в ICQ

Повышение безопасности в работе с ICQ -запуск icq через собственный сервер с запретом перекачки файлов определенного расширения. -проверка всех входящих файлов антивирусом. -осторожное использование «open now» в меню перекачки. -отказ от передачи любых файлов через icq.

Троянский спам 1 From: "*** Spam alert" Dear user of server "***.com", Some of our clients complained about the spam (negative content) outgoing from your account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions. For details see the attach. For security reasons attached file is password protected. The password is "76572". Best wishes, The ***.com team

Троянский спам 2 From: "office" You use illegal software! We hereby inform you that your computer was scanned under the IP The contents of your computer were confiscated as an evidence, and you will be indicated. If you recognize the fault - look attachment for the further your actions. We'll contact you later.

Методики снижения риска в работе с почтой -хорошие антивирусы, сканирующие принимаемую почту на этапе скачивания с сервера. -просмотр заголовков письма(headers) для проверки хоста отправителя. -выбор почтового сервера с хорошими фильтрами и защитой от спама.

Снижение риска самостоятельного скачивания троянов -не качать файлы с мелких непроверенных сайтов, /pub директорий ftp серверов, чужих винчестеров. -обязательно проверять программы антивирусом, после закачки. -своевременно обновлять антивирусные базы.

Предотвращениеidentify theft -не использовать услуги мелких, неизвестных магазинов, пусть даже с гораздо более выгодной ценой. -стараться использовать максимально анонимные системы оплаты, например, такие как webmoney, fethard. -использовать везде разные пароли. -при необходимости прибегать к услугам сервисов, генерирующих кредитную карту для единовременных покупок.

Подмена адреса в IE,fraud pages Egold login

Затроянивание с помощью IE

Средства повышения защиты -полный отказ в использовании IE и основанных на нем программ, переход на альтернативные браузеры и почтовые программы (например, Mozilla, Opera, The Bat). -просмотр документов безопасности Microsoft и постоянное скачивание патчей. -установка фильтратора пакетов – firewall. В нынешнее время среди пользовательских сетевых экранов ярко выделяется продукт от Agnitum – Outpost Firewall.

Возможности эксплойта KaHt2 (RPC DCOM) -сканирование заданного диапазона(до 255) ip на предмет наличия уязвимых хостов. -получение командной строки(cmd) на найденных уязвимых компьютерах. -система задаваемых макросов, упрощающих использование команд. -доступный для редактирования и настройки исходный код.

Microsoft ASN.1 Причина лазейки - возможность вызвать переполнение буфера в библиотеке Microsoft ASN.1. Злоумышленник, удачно использовавший ошибку переполнения буфера, может исполнить свой код (ограниченный текущими привилегиями пользователя той системы, которая находится под ударом). Диапазон возможных действий злоумышленника широк: инсталляция программ, изменение данных, удаление информации, создание новых аккаунтов с неограниченными привилегиями. Abstract Syntax Notation 1 (ASN.1) - стандарт, используемый многими приложениями и устройствами, для нормализации и распознавания данных среди различных платформ.

Методы повышения безопасности ОС -своевременная установка всех исправлении от Microsoft. -тонкая настройка сетевых фильтраторов. -хранение важной информации в зашифрованном виде, с еженедельными бэкапами. -использование ОС, построенных на *nix платформе.

Человек -> организация Никогда не стоит забывать, что уязвимость системы отдельно взятого человека может привести к тотальному обрушению защиты всей организации. В организации необходимо осуществлять тщательный контроль над каждым пользователем. Жесткая политика безопасности – первый шаг к дисциплинированности, развитию с точки зрения ИТ пользователей и повышению престижа организации.

Сканер nmap: возможности, применение Область применения: сканировние одиночного компьютера, либо диапазона IP по протоколам TCP и UDP. Возможности: -сканирование TCP-соединением -сканирование TCP SYN -сканирование FIN -сканирование ACK -определение удаленной ОС

Intrusion Detecting Systems IDS - система обнаружения и блокировки атак, которая по определённым признакам (сигнатурам) обнаруживает и блокирует атаку. Самые распространённые IDS: SNORT для linux BlackICE Defender для Windows

Взлом через http-сервер, основные причины -файлы конфигурации с неверно определёнными параметрами доступа -скрипты, не фильтрующие входные данные -уязвимые коммерческие скрипты

sql injection, пример Пусть, есть php скрипт, проверяющий есть ли введённый логин и пароль в базе данных. Используется MySQL. Формируется запрос вида: SELECT FROM user WHERE user='$user' AND pass='$password'. Где $user и $password - введённые пользователем логин и пароль соответственно. Допустим $user=admin, а $password=parol, тогда запрос примет вид SELECT FROM user WHERE user='admin' AND pass='parol'. В случае наличия подобной учетной записи, СУБД вернёт 1, в противном случае 0. Однако переменная $password никак не фильтруется и позволяет содержать в себе любые символы. Тогда нападающий введёт $user=admin, а пароль no' OR 1=1 /*. В результате запрос примет вид: SELECT FROM user WHERE user='$user' AND pass='no' OR 1=1 /*$password'. То есть, либо такой юзер с таким паролем есть, либо 1=1, в любом случае СУБД вернёт 1 и нападающий получит доступ, не зная пароля.

Способы решения подобных проблем -всегда фильтровать переменные, которые будут входить в запрос к БД -отключить вывод ошибок СУБД на экран, это затруднит обнаружение уязвимости.

Эксплоиты, позволяющие локально расширить свои права Для ядра linux

Физическая уязвимость В случае с linux достаточно вставить загрузочный linux-диск, выбрать раздел «Восстановление», и вам предоставят консоль с правами root, там же можно легко сменить пароль любому пользователю В WinXP можно выбрать загрузку командной строки из загрузочного меню и Вам предотсавится консоль в правами system, в которой командами: net user NewUser PassWord /add net localgroup Administrators NewUser /add можно добавить нового пользователя NewUser и дать ему права администратора.

«Парализирующие» атаки -dos – «denial of service», атака вызывающая отказ обслуживании посторонних клиентов, блокирующая сервер) -ddos – «distributed denial of service», dos атака, с помощью большого количества компьютеров -smurf - атака DOS с использованием ложных пакетов ICMP, отправляемых на широковещательный адресс)

social engineering Социальная инженерия(СИ) - термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель - обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы.

Основной принцип СИ Один из основных принципов СИ - дать человеку понять, что его ценят и уважают.

Пример СИ Звонок администратору. Хакер: Здравствуйте, вы администратор? Администратор: Да. X.: Извините, что отвлекаю. Не могли бы вы мне помочь? А.: (Ну что еще ему надо?) Да, конечно. X.: Я не могу в своем каталоге выполнить команду ls. А.: (Как будто ему это надо!) В каком каталоге? X.: /home/anatoly. А.: (Вот ведь глупый юзер!) Сейчас посмотрю. (Заходит в этот каталог и набирает команду ls, которая успешно выполняется и показывает наличие нормальных прав на каталог.) А.: Все у вас должно работать! X.: Хммм... Подождите... О! А теперь работает... Странно... А.: (Рррррр!!!) Да? Хорошо! X.: Спасибо огромное. Еще раз извиняюсь, что помешал. А.: (Ну наконец!) Да не за что. (Отстань, противный!) До свидания. Конец разговора.

Классификация СИ по средствам применения -телефон; -электронная почта; -разговор в icq; -обыкновенная почта; - личная встреча.

По уровню социального отношения к объекту -официальный; -товарищеский; -дружеский.

По степени доступа объекта к ИС -администратор - высокая; -начальник - средняя; -пользователь - низкая; -знакомый администратора, начальника или пользователя - отсутствие доступа.

Возможности и методы защиты от социальной инженерии -Тесты на проникновение -Осведомленность

Промежуточный вывод Методы социальной инженерии, применяемые злоумышленником, представляют серьезную угрозу информационной безопасности для любой организации. Нужно создать и разработать различные варианты политики безопасности, определить правила корректного использования телефонов, компьютеров и т. д.

Вывод Сеть Internet создавалась как незащищенная система, не предназначенная для хранения и обработки конфиденциальной информации. Более того, защищенная Сеть не смогла бы стать информационным образом мировой культуры, ее прошлого и настоящего - в этом самостоятельная ценность Internet, и, возможно, отсутствие необходимой безопасности есть плата за такое высокое назначение.

p.s. Не чините то, что работает – создатель и первый разработчик TCP Чем сильнее основные массы общества будут пытаться подчинить себе, категорировать и установить порядки в Интернете, тем большее встретят противостояние – Интернет никогда не станет зеркалом реальности. Основным критерием всеобщего развития Интернета всегда была свобода, ограничивать ее также нецелесообразно, как и невозможно. Первый шаг к упорядочению Интернета будет также и первым к его закату…