Зомби-сети проблемы и перспективы 10-й Российский Интернет Форум «Информационная безопасность» Прозоров Александр Александрович ИСТ ЛАЙН, Управляющая компания. - презентация

1 Зомби-сети проблемы и перспективы 10-й Российский Интернет Форум «Информационная безопасность» Прозоров Александр Александрович ИСТ ЛАЙН, Управляющая компания

2 1.Вступительное слово 2.Причины появления и существования зомби-сетей Мейнстрим: максимизация прибыли Особенности массового ICT-производства Мета-уязвимости ICT-продуктов (рамки среды обитания) Роль ICT в удовлетворении базовых потребностей общества 3.Определения зомби-сети Факт Экономическое определение Технологическое определение 4.Модель спроса и предложения Добавленная стоимость: принцип организации Добавленная стоимость: архитектура Добавленная стоимость: услуги Добавленная стоимость: причины спроса Тренды изменения спроса Тренды изменения среды обитания 5.Тренды эволюции зомби-сетей 6.Способы снижения рисков По направлению Профилактика По направлению Лечение 7.Выводы Структура доклада РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

3 Цель доклада Поставить вопрос о расширении контекста рассмотрения зомби- сетей как сугубо технократического явления, указав при этом на его экономическую и социальную составляющие. Сделать упор на отсутствие случайности, которая могла бы лежать в основе зарождения зомби-сетей. Целевые ориентиры доклада Зомби-сети – побочный продукт эволюции массового ICT- производства Зомби-сети – источник высокотехнологичного интереса, канализирующий умы талантливых разработчиков Зомби-сети – инструментарий в руках экономического интереса Зомби-сети – неутешительные тренды эволюции Зомби-сети – не Судный день, есть еще место под Солнцем Вступительное слово РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

4 Мейнстрим: максимизация прибыли Массовое производство предполагает удешевление продукции за счет: 1.Снижения вариабельности продуктового ряда 2.Усреднения качества продукта 3.Снижения требований к рабочей силе 4.Увеличения специализации технологий и инструментария, используемых в производстве, с целью снизить трудность в их освоении РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы Максимизация прибыли осуществляется за счет: 1.Ускорения цикла жизни товаров/услуг 2.Снижения издержек через массовое производство

5 Особенности массового ICT-производства Скоротечная мода на новые ICT-продукты и средства их производства привела к следующей ситуации: 1.Повсеместно используется массовый продукт с множеством незапланированных и, следовательно, неизвестных свойств 2.Повсеместно востребована массовая, низко квалифицированная рабочая сила, ограниченная в мышлении свойствами узкоспециализированных инструментов и технологий производства 3.Повсеместно используется громоздкий инструментарий, содержащий незапланированные свойства, т.к. сам является продуктом массового производства 4.Повсеместно выстроена система обучения (воспроизводства) рабочей силы, ориентированная на выпуск специалистов узкой квалификации. РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

6 Мета-уязвимости ICT-продуктов (рамки среды обитания) Массовый около-информационный культурно-технологический контекст воспроизводится, но главное, он создает и при этом использует для своего жизнеобеспечения полузнакомую для обывателя среду, имя которой – массовые информационно коммуникационные продукты. Эта среда таит в себе следующие ключевые возможности для злоумышленников : 1.До конца не известны многочисленные свойства, которыми она обладает (есть место уязвимостям) 2.Талантливые и неординарные представители рабочей силы не востребованы в массовом производстве, т.к. не вписываются в его рутинный процесс (ряды злоумышленников и их сторонников пополняются талантливой и неординарной молодежью, внутренне не ассоциирующей себя с конвейером) 3.Массовость приобретает действительно массовые масштабы (вариабельность ICT-продуктов снижается, что ведет к снижению объема работы/сложности поиска уязвимостей). РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

7 Роль ICT в удовлетворении базовых потребностей общества РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

8 Определения зомби-сети Факт: Зомби-сеть – сеть из инфицированных вредоносным программным обеспечением машин (компьютеров), управляемая из центра. Пользователи инфицированных компьютеров не догадываются, что их машина используется кем-то, кроме них, т.к. факт заражения всяческим образом маскируется. РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы Экономическое определение: Зомби-сеть – универсальная вычислительная распределенная среда, обладающая двумя ключевыми свойствами: Скрыт факт ее существования Анонимен ее владелец Технологическое определение: Зомби-сеть – технология тиражирования скрытых сетей сбора, обработки и передачи данных, в задачи которой входит: Создание новых и наращивание популяции существующей сети Гигиена и санация сети

9 Добавленная стоимость: принцип организации РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

10 Добавленная стоимость: архитектура РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

11 Добавленная стоимость: услуги связи Anonymizer – услуга по сокрытию информационной трансакции. Гарантирует сокрытие факта обмена информацией, саму информацию и контрагентов, которые участвуют в трансакции. Используется для: Проведения сеанса обмена информацией, когда нужно скрыть сам факт обмена Распространения информации, когда нужно скрыть истинного инициатора обмена РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы Скрытая сеть – услуга по сокрытию канала обмена информацией. Гарантирует сокрытие канала обмена информацией, саму информацию и контрагентов, которые участвуют в информационном обмене. Используется для: Регулярного обмена конфиденциальной или противоправной информацией

12 Добавленная стоимость: услуги распределенных вычислений Стартовая площадка – услуга по организации скрытой, массовой стартовой площадки. Гарантирует одновременные, массированные, не поддающиеся контролю со стороны провайдеров, распределенные атаки или рассылки контента различного содержания. Используется для: Расширения популяции зомби-сети Создания новых зомби-сетей по заказу Рассылки рекламы (спама) Проведения атак DDoS РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы Вычислительная площадка – услуга по сокрытию канала обмена информацией. Гарантирует одновременные, массированные, не поддающиеся контролю со стороны провайдеров, распределенные вычисления различного назначения. Используется для: Шпионажа различного вида и назначения Кражи конфиденциальной информации Кражи ICT ресурсов пользователей (вычисления за чужой счет)

13 Добавленная стоимость: причины спроса Зомби-сети: проблемы и перспективы РИФ 2006: Информационная безопасность Причины проведения вычислений за чужой счет: Тариф может быть ниже, чем в вычислительных центрах (чужие мощности в аренду) Цель вычислений противоречит международной морали и праву (изыскания по клонированию человека, новым формам биологического оружия) Необходимо скрыть факт вычислений/владельца результатов вычислений (например, по причине отсутствия лицензии на исследования ) Причины проведения скрытых сеансов обмена информацией: Тайный сговор участников рынка, например, биржевых трейдеров, с целью изменить стоимость заданных акций Тайный сговор преступных, террористических или иных организаций Распространение информации, компрометирующей влиятельные силы Иные причины.

14 Тренды изменения спроса Устойчивые тенденции, так или иначе влияющие на перспективы спроса услуг зомби-сетей : 1.Растет масштаб традиционной преступной деятельности Объем мирового преступного рынка, нуждающегося в услугах по скрытому обмену информацией, по оптимистической оценке за 2005 год составил $1,5 трлн Европейская обсерватория по информационным технологиям (EITO) оценина мировой рынок ICT за 2005 год в размере 2 трлн. 2.Растет масштаб информационного насилия The Washington Post оценила расходы США на поддержание демократии в мире в 2004 году в размере $1,2 млрд, половина из которых пошла на развитие Ближнего Востока Сенат США запланировал на 2006 год дополнительное финансирование процесса развития молодых демократий в следующем размере: Грузии – $70 млн, России – $85 млн, Украине – $95 млн. 3.Растет размер акционерного капитала, торгуемого на биржах Годовой товарооборот биржи NYSE (New York Stock Exchange) в 2005 году составил $14 трлн. 4.Растет масштаб корпоративного мошенничества Вице-премьер РФ Александр Жуков, октябрь 2004: Главной причиной роста цен на бензин в России является картельный сговор нефтяных компаний. Антимонопольный комитет подтверждений его словам найти не смог. PricewaterhouseCoopers: за 2004 и 2005 годы сумма ущерба, понесенного компаниями от поддающегося оценке мошенничества, составила в среднем $3.1 млн на одну российскую компанию и около $1.7 на западную. Общий совокупный ущерб 1127 компаний из 34 стран, участвующих в исследовании, составил порядка $2 млрд. РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

15 Тренды изменения среды обитания Технологические перспективы Высокий уровень источников легальных научно-практических знаний (теоретические знания и опыт по GRID, распределенным вычислительным проектам типа созданию интерпретаторов, виртуальных машин и т.д. и.т.п.) Высокий уровень автоматизации работ по созданию вредоносного кода (генераторы вирусов, библиотеки руткитов, базы данных уязвимостей, специализированные файлообменные сети и т.д. и.т.п.) Технические перспективы Сокрытие трафика, курсирующего внутри зомби-сети (инкапсуляция в служебном трафике, таком как ICMP или DNS; инкапсуляция в пользовательском трафике, таком как HTTP или SMTP) Сокрытие вычислительной активности зомби-агентов (дозирование использования вычислительных ресурсов в зависимости от мощности компьютера-жертвы и режима его санкционированного использования) Недопущение широкомасштабных эпидемий (жесткий контроль распространения вредоносного кода заданным сегментом сети, типом компьютеров жертв, скоростью и временем распространения и т.п.) Использование массового ПО разных производителей (возделывание уязвимостей в ПО Adobe, Mozilla, ICQ, Oracle, Sun, IBM и др.) Социальные перспективы Рост значения социальной инженерии (дальнейшая эксплуатация невежества/ неосведомленности/ рассеянности жертвы (пользователя) средствами социальной инженерии) Новое, неординарное и интересное – магнит для талантов (отсутствие массовости и грубых нарушений морали, а также присутствие элемента уникальности и щедрая компенсация – идеальное средство канализации талантов в рядах разработчиков зомби-сетей) РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

16 Тренды эволюции зомби-сетей (итог) Снижение количества массовых эпидемий Рост профессионализма разработчиков зомби-сетей Рост числа адресных атак Смещение фокуса атак на человека (слабое звено) Усложнение условий работы для антивирусных компаний Увеличение количества узкоспециализированных зомби-сетей с небольшими популяциями Рост числа неизвестных зомби-сетей и сроков их жизни Эволюция жертвы: жертва вируса объект атаки или мул Усложнение условий работы для корпоративных служб информационной безопасности РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

17 Направления снижения рисков: Профилактика Снижение риска влияния слабого звена, за счет: Повышения информированности пользователей о возможных источниках информационных угроз и путях формирования зомби-сетей. Повышения лояльности сотрудников бизнес-курсу компаний, снижения общей текучки персонала и, особенно, ротации персонала на позициях, имеющих доступ к важной для бизнеса информации. Увеличение защищенности пользователей в сетях провайдеров, предоставляющих, в первую очередь, широкополосный доступ, за счет: Предоставление провайдерами услуг по фильтрации трафика и антивирусной защите пользователей на постоянной основе. Льготы, которые могут быть предоставлены провайдерам, помогут облегчить бремя расходов на организацию такого рода услуг. А организованная конкуренция заставит провайдеров искать пути оптимизации цепочек добавленной стоимости за счет новых сервисов по фильтрации трафика и антивирусной защиты. Увеличения вариабельности ПО для работы с сетью, через поощрение провайдерами пользователей, применяющих немассовое ПО для получения массовых сетевых услуг. Например, поощрять применять ПО с открытым исходным кодом (Linux, клоны BSD), либо иное нестандартное ПО (Mac OS X, Solaris, BeOS и проч.). Организации и поощрения автоматического обновления ПО на предмет установки заплаток и иных средств, повышающих его защищенность от вредоносного кода. Увеличение защищенности пользователей в корпоративных сетях, за счет: Жесткой, глубокоэшелонированной политики разграничения прав доступа к сетевым услугам и конфиденциальной информации Наличия в штате компаний высококвалифицированных специалистов по информационной безопасности Применения автоматизированных систем централизованного обнаружения вирусной, и иной информационной опасности Тотальной фильтрации всего легального пользовательского трафика и полного исключения трафика, который не требуется для непосредственного выполнения служебных обязанностей. РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

18 Направления снижения рисков: Лечение По факту обнаружения зомби-сетей – проводить тотальный аудит информационной безопасности, выявлять и публично наказывать виновных. Необходимо отдавать себе отчет: формирование у пользователя чувства неотвратимости наказания за нарушение режима информационной безопасности, является самым действенным стимулом этот режим не нарушать. По факту обнаружения заражения вредоносным кодом устранять технические причины заражения и пытаться проанализировать эти причины на предмет изменения общей стратегии ИБ, чтобы исключить появление этих и подобных причин впредь. РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

19 Выводы Зарождается новая отрасль экономики с огромным объемом рынка – теневые вычисления (Dark Computing) Рост рисков утечки конфиденциальной информации Рост рисков несанкционированного расхода ИТ и смежных ресурсов Рост расходов на безопасность в целом и на ИБ в частности. РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

20 Координаты Прозоров Александр Александрович Доцент кафедры КИС РОСНОУ Зомби-сети: проблемы и перспективы РИФ 2006: Информационная безопасность Конструктивные вопросы приветствуются!