UZCERT

Одним из важнейших аспектов проблемы обеспечения безопасности информационных систем является определение, анализ и классификация возможных угроз информационной безопасности. Перечень значимых угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для проведения анализа рисков и формулирования требований к системе зашиты информационных ресурсов. Большинство современных автоматизированных систем обработки информации в общем случае представляет собой территориально распределенные системы интенсивно взаимодействующих (синхронизирующихся) между собой по данным (ресурсам) и управлению (событиям) локальных вычислительных сетей и отдельных ЭВМ.
В распределенных информационных системах возможны все "традиционные" для локально расположенных (централизованных) вычислительных систем способы несанкционированного вмешательства в их работу и доступа к информации. Кроме того, для них характерны и новые специфические каналы проникновения в систему и несанкционированного доступа к информации, наличие которых объясняется целым рядом их особенностей.
Adware (англ.; от advertisement — «реклама» и software — «программное обеспечение») — программное обеспечение, содержащее рекламу. Также, термином «adware» называют вредоносное программное обеспечение, основной целью которого является показ рекламы во время работы компьютера. Основным назначением деятельности по показу рекламы является получение прибыли и покрытие расходов на разработку программного обеспечения (например, конвертера видео или клиента системы мгновенных сообщений), таким образом, adware — это неявная форма оплаты за использование программного обеспечения, осуществляющаяся за счёт показа пользователю рекламной информации.
Схема монетизации adware-приложений достаточно проста. Разработчики adware-приложений работают или с рекламными агентствами, которые в данном случае выполняют функцию посредника, или же, что бывает значительно реже, напрямую с рекламодателями.
Многие adware осуществляют действия, присущие spyware (шпионским программам): показывают рекламные заставки, базирующиеся на результатах шпионской деятельности на компьютере, могут устанавливаться без согласия пользователя. Примеры: Exact Advertising от BargainBuddy. Некоторые adware-программы при удалении оставляют рекламный модуль.
Другие действия, характерные для spyware, такие как доклад о веб-сайтах, посещаемых пользователем, происходят в фоновом режиме. Данные используются для целевого рекламного эффекта. Примером программы adware может служить официальный клиент ICQ (в отличие, например, от клиентов QIP, Miranda IM, Kopete и т. д.) или медиаконвертер MediaCoder, распространяемый на условиях свободно распространяемого программного обеспечения, но официальная сборка которого содержит многочисленные рекламные баннеры.
Для защиты от adware-приложений, устанавливающихся непосредственно на компьютер пользователя можно использовать антивирусные продукты, имеющие функциональность песочницы, что позволяет запустить приложение в ограниченной среде, не опасаясь за безопасность всей системы.
Backdoor Trojan
Бэкдор-троян позволяет злоумышленнику взять под контроль над компьютером пользователя без его разрешения. Бэкдор-троян может представлять собой правомерное программное обеспечение, созданное чтобы обмануть пользователей при его запуске.
Такое троянское программное обеспечение может проникнуть на компьютер пользователя при переходе по ссылке в спам-рассылке или через заражённые сайты.
После того как троян попадает на комьютер пользователя он прописывает себя в автозапуск. Затем он может контролировать компьютер, пока пользователь не подключен к Интернету. Когда компьютер компьютер получает доступ в Интернет, злоумышленник может выполнять различные действия, например, загрузку программ на зараженный компьютер, доступ к личным данным или рассылать спам. Известные бэкдор трояны: Netbus, OptixPro, Subseven, , Zbot, ZeuS.
Чтобы избежать попадания бэкдор троянских программ на компьютер, следует держать компьютеры в актуальном состоянии с последними патчами (Закрывать уязвимые места в операционной системе), и пользоваться анти-спам программами и антивирусами. Также рекомендуется использовать брандмауэр, который может запретить трояну доступ к Интернету для вступления в контакт с хакером.
Ботнет (англ. botnet, произошло от слов robot и network) — компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.
Управление обычно получают в результате установки на компьютер невидимого необнаруживаемого пользователем в ежедневной работе программного обеспечения без ведома пользователя. Происходит обычно через:
• Заражение компьютера вирусом через уязвимость в программном обеспечении (ошибки в браузерах, почтовых клиентах, программах просмотра документов, изображений, видео).
• Использование неопытности или невнимательности пользователя — маскировка под «полезное содержимое».
• Использование санкционированного доступа к компьютеру (редко).
• Перебор вариантов администраторского пароля к сетевым ресурсам с общим доступом (в частности, к ADMIN$, позволяющей выполнить удалённо программу) — преимущественно в локальных сетях.
Механизм защиты от удаления аналогичен большинству вирусов и руткитов, в частности:
• маскировка под системный процесс;
• использование нестандартных методов запуска (пути автозапуска, унаследованные от старых версий программного обеспечения, подмена отладчика процессов);
• использование двух самоперезапускающихся процессов, перезапускающих друг друга (такие процессы практически невозможно завершить, так как они вызывают «следующий» процесс и завершаются раньше, чем их завершают принудительно);
• подмена системных файлов для самомаскировки;
• перезагрузка компьютера при доступе к исполняемым файлам или ключам автозагрузки, в которых файлы прописаны.
Ранее управление производилось или «слушанием» определённой команды по определённому порту, или присутствием в IRC-чате. До момента использования программа «спит» — (возможно) размножается и ждёт команды. Получив команды от «владельца» ботнета, начинает их исполнять (один из видов деятельности). В ряде случаев по команде загружается исполняемый код (таким образом, имеется возможность «обновлять» программу и загружать модули с произвольной функциональностью). Возможно управление ботом помещением определенной команды по заранее заготовленому URL.
Browser hijacker Браузер угонщик (иногда называемый hijackware) является одним из видов вредоносных программ и приводит к изменению настроек браузера компьютера, при этом запросы пользователя будут перенаправлены на совершенно иные веб-сайты. Большинство угонщиков браузера пытаются изменить по умолчанию домашние и поисковые страницы браузера для генерации трафика на те страницы за которые платит клиент. Более сильнодействующие версии могут осуществлять следующие функции: добавлять закладки на веб-сайты с противоправным контентом; генерировать всплывающие окна быстрее, чем пользователь может закрыть их.
Brute force attack Перебор по словарю (англ. dictionary attack) — атака на систему защиты, использующая метод полного перебора (англ. brute-force) предполагаемых паролей, используемых для аутентификации, осуществляемого путём последовательного пересмотра всех слов (паролей в чистом виде или их зашифрованных образов) определенного вида и длины из словаря с целью последующего взлома системы и получения доступа к секретной информации. Данное мероприятие, в большинстве случаев, имеет негативный характер, противоречащий моральным и законодательным нормам. Существует несколько способов противостоять online атакам по словарю:
1. задержка ответа (англ. delayed response): для предоставленной пары login/password сервер использует небольшую, специально сгенерированную задержку ответа Yes/no (например, не чаще одного ответа в секунду;
2. блокировка учетной записи (англ. account locking): учетная запись блокируется после нескольких (заранее установленное число) неудачных попыток ввода login/password (для примера, учетная запись блокируется на час после пяти неправильных попыток ввода пароля);
3. использование Proof-of-Work;
4. использование соли и медленных хеш-функций на стороне клиента.
Buffer overflow Переполнение буфера (англ. Buffer Overflow) — явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. Переполнение буфера обычно возникает из-за неправильной работы с данными, полученными извне, и памятью, при отсутствии жесткой защиты со стороны подсистемы программирования (компилятор или интерпретатор) и операционной системы. В результате переполнения могут быть испорчены данные, расположенные следом за буфером (или перед ним).
Переполнение буфера является одним из наиболее популярных способов взлома компьютерных систем, так как большинство языков высокого уровня используют технологию стекового кадра — размещение данных в стеке процесса, смешивая данные программы с управляющими данными (в том числе адреса начала стекового кадра и адреса возврата из исполняемой функции).
Переполнение буфера может вызывать аварийное завершение или зависание программы, ведущее к отказу обслуживания (denial of service, DoS). Отдельные виды переполнений, например переполнение в стековом кадре, позволяютзлоумышленнику загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, от которой она выполняется.
Известны примеры, когда переполнение буфера намеренно используется системными программами для обхода ограничений в существующих программных или программно-аппаратных средствах. Например, операционная система iS-DOS (для компьютеров ZX Spectrum) использовала возможность переполнения буфера встроенной TR-DOS для запуска своего загрузчика в машинных кодах (что штатными средствами в TR-DOS сделать невозможно).
Fake antivirus malware
Лжеантиви́рус (или псевдоантивирус) — компьютерная программа, которая имитирует удаление вредоносного программного обеспечения, или сначала заражает, потом удаляет. В последнее время значимость лжеантивирусов как угрозы персональным компьютерам повысилась. В первую очередь, это связано с тем, что в США частично взяли под контроль индустрию spyware и adware, а UAC и антивирусы оставляют всё меньше шансов ПО, проникающему без ведома пользователя. Во-вторых, полноценных антивирусных программ стало настолько много, что сложно запомнить их все. Так, VirusTotal на конец 2015 года располагла 57 антивирусами.
Лжеантивирусы относятся к категории троянских программ, то есть программ, распространяемых с целью вымогательства банковских данных. В отличие от «нигерийских писем» (которые играют на алчности и сострадании), фишинга и ложных лотерейных выигрышей, лжеантивирусы похожи на винлокеры — они играют на страхе заражения системы, шантажируя пользователя для получения нужной информации. Встречаясь чаще всего под видом всплывающих окон веб-браузера, они якобы сканируют операционную систему пользователя и тут же выявляют в ней вирусы и другие вредоносные программы. Для наибольшей достоверности этот процесс также может сопровождаться внедрением одной или нескольких программ такого типа в систему путём обхода конфигурации, особенно если компьютер обладает минимальной и легкообходимой защитой. В итоге компьютер-жертва начинает выдавать сообщения о невозможности продолжения работы ввиду заражения, а лжеантивирус — упорно предлагать купить услугу или же разблокировать её, введя данные кредитной карты.
Ransomware (от англ. ransom — выкуп и software — программное обеспечение) — вредоносное программное обеспечение, предназначенное для вымогательства.
В настоящий момент существует несколько кардинально отличающихся подходов в работе программ-вымогателей:
• шифрование файлов в системе
• блокировка или помеха работе в системе
• блокировка или помеха работе в браузерах
После установки на компьютер жертвы, программа зашифровывает большую часть рабочих файлов (например, все файлы с распространёнными расширениями). При этом компьютер остаётся работоспособным, но все файлы пользователя оказываются недоступными. Инструкцию и пароль для расшифровки файлов злоумышленник обещает прислать за деньги.
К таким программам-мошенникам относятся
• Trojan-Ransom.Win32.Cryzip
• Trojan-Ransom.Win32.Gpcode
• Trojan-Ransom.Win32.Rector
• Trojan-Ransom.Win32.Xorist
• и т. д.
После установки Trojan.Winlock\LockScreen на компьютер жертвы, программа блокирует компьютер с помощью системных функций и прописывается в автозагрузке (в соответствующих ветках системного реестра). При этом на экране пользователь видит какое-либо выдуманное сообщение, к примеру о якобы незаконных действиях, только что совершенных пользователем (даже со ссылками на статьи законов), и требование выкупа, нацеленное на испуг неопытного пользователя — отправить платное СМС, пополнить чей-либо счёт, в том числе анонимным способом вроде BitCoin. Причём трояны этого типа часто не проверяют пароль. При этом компьютер остаётся в рабочем состоянии. Часто присутствует угроза уничтожения всех данных, но это всего лишь попытка запугать пользователя. Иногда в вирус все же включают инструменты уничтожения данных, таких как шифрование по ассиметричному ключу, но они либо не срабатывают должным образом, либо имеет место низкоквалифицированная реализация. Известны случаи наличия ключа расшифровки файлов в самом коде трояна, а также технической невозможности расшифровки данных самим взломщиком (несмотря на оплаченный выкуп) по причине отсутствия или утери этого ключа даже у него.
Иногда удается избавиться от вируса, воспользовавшись формами разблокировки на антивирусных сайтах или специальными программами, созданными антивирусными компаниями для разных географических регионов действия троянов и, как правило, доступными свободно.
Программы, относящиеся к ransomware, технически представляют собой обычный компьютерный вирус или сетевой червь, и заражение происходит точно так же — из массовой рассылки при запуске исполняемого файла или при атаке через уязвимость в сетевой службе.
Основные пути распространения ransomware:
• уязвимости веб-браузеров (эксплойты iframe, XSS и пр.)
• уязвимости клиентов электронной почты
• уязвимости операционной системы
• скачивание вредоносного контента с заражённых веб-сайтов
• через ботнет-сеть
• через игровые серверы (Trojan-Ransom.Win32.CiDox)
Несмотря на широкую распространенность антивирусных программ, вирусы продолжают распространяться. Чтобы справиться с ними, необходимо создавать более универсальные и качественно-новые антивирусные программы, которые будут включать в себя все положительные качества своих предшественников. К сожалению, на данный момент нет такой антивирусной программы, которая гарантировала бы защиту от всех разновидностей вирусов на 100%, но некоторые фирмы, например «Лаборатория Касперского», на сегодняшний день достигли неплохих результатов.
Защищенность от вирусов зависит и от грамотности пользователя. Применение вкупе всех видов защит позволит достигнуть высокой безопасности компьютера, и соответственно, информации. В первую очередь стоит сказать об общих правилах личной информационной дисциплины:
• наличие на компьютере антивируса уровня Internet Security со свежими базами
• проверка антивирусом всех новых программ перед первым запуском
• запуск подозрительных программ в виртуальной среде ("безопасная среда", "песочница"), если антивирус предоставляет такую возможность
• резервное копирование важных файлов
• регулярное обновление компонентов операционной системы (Windows Update)
• презумпция виновности и предвзятости ко всем получаемым бинарным файлам любым способом и даже от знакомых людей
В силу ряда причин, таких как производительность и энергопотребление, допускается не пользоваться антивирусами. В таком случае важно принципиально не запускать бинарные файлы, полученные из сомнительных или полусомнительных источников, и, при острой необходимости, сперва выполнять их на резервной виртуальной машине ("песочнице"), которую не жалко потерять, и убедиться в последствиях. В случае когда заражение уже произошло, стоит воспользоваться утилитами и сервисами, которые предоставляют антивирусные компании. Однако устранить заражение без выплаты выкупа удается далеко не всегда. Но, как было отмечено выше, даже выкуп не всегда помогает. Поэтому лучшая профилактика — собственная дисциплина.