Опубликован: 10.10.2007 | Уровень: специалист | Доступ: платный
Лекция 12:

Виды сетевых атак и основные уязвимости

< Лекция 11 || Лекция 12: 12345 || Лекция 13 >

SPAM

Слово " SPAM " — это компьютерный жаргон. На самом деле, спам — это такие консервы, вроде китайского колбасного фарша, популярного в годы застоя. Расшифровывается это слово как SPiced hAM — перченая ветчина. Слово это придумано (и зарезервировано) корпорацией Hormel.

В начале 1970-х английские анархисты Monty Python сочинили сюрреальный скетч о спаме. Действие происходит в кафе, в котором меню состоит из спама, яичницы с беконом из спама, спама с яичницей, и беконом из спама, яичницы со спамом и сосиской из спама, сосиски из спама, спама и помидоров со спамом... (тут официантку прерывает компания викингов, сидящих за соседним столиком. Викинги поют: спам, спам, спам! вкусный спа-а-ам!)

До 1994 года Интернет был сетью сугубо не коммерческой, а пользователями Интернета были студенты и профессора университетов. С 1994-1995 доступ к Интернет был открыт человеку с улицы, то есть торговцу. Каналы информации UseNet, прежде заполненные научными дискуссиями, порнографией или пустым трепом, были украшены сотней сообщений под заголовком типа "make money fast". Такие сообщения стали называть спамом.

Начав с конференций UseNet, спаммеры переключились на е-майл (электронную почту). Составив списки из миллионов адресов, спаммеры рассылают коммерческую рекламу сомнительных продуктов, сайтов и полулегальных услуг. В последнее время, впрочем, распространённым продуктом рекламы являются программы для рассылки спама. Купив такую программу, желающие могут разослать по 100 и более миллионам адресов предложение купить у них какой-нибудь товар. Спам практически ничего не стоит для отправителя — временем и деньгами за него расплачивается сплошь и рядом жертва рассылки.

Согласно исследованиям GVU, только 9,2% пользователей читают спам-сообщения. При этом данная цифра сформирована благодаря пользователям-новичкам, а из тех, кто провел в сети более 3 лет, спам читают лишь 5,4 %. 12% пользователей сети пишут возмущенные письма по обратному адресу, а 1,5 % пользователей производят вендетту (это могут быть "почтовые бомбы" в адрес злоумышленника, жалоба провайдеру и т.д.).

Что касается меня лично, я спам не читаю, и это уже вынужденная мера, так как я получаю более 300 сообщений в сутки. Специальная программа фильтрует мою почту и укладывает такие сообщения в специальный ящик с названием " SPAM ". Конечно, можно их там прочесть, но гораздо быстрее нажать последовательно клавиши "Ctrl A" и "Del". Некоторые распространители спама настолько обнаглели, что предлагали год назад за 20 долларов исключить мой адрес из списка рассылки. Но ведь есть более дешевый способ — автоматически уничтожать такие сообщения, а не укладывать в специальный ящик. Если же вы заплатите хотя бы раз, вам посыпятся такого рода предложения от десятков подобных "фирм".

Спамерным атакам подвергаются не только корпоративные пользователи сети, но и владельцы домашних PC, имеющих выход в Internet. Этот факт существенно осложняет борьбу со спамом и вовлекает в неё не только самих пользователей, но и широкую общественность. В частности, 1 марта 1999 года Открытым Форумом Интернет-Сервис-Провайдеров был одобрен документ "Нормы пользования сетью" http://www.ofisp.org (Acceptable Use Policy), который регламентирует нормы работы в сети, в том числе, накладывает ограничения на информационный шум (спам) и обязателен для всех пользователей, а в июле минувшего года Палата Представителей США одобрила меры по борьбе со спамом. Согласно законопроекту, электронное послание должно иметь реальный обратный адрес для того, чтобы получатели спама могли заблокировать его отправителя; нарушение этого закона грозит злоумышленнику штрафом в размере до $150.000. Почему СПАМ — это действительно плохо? С практической точки зрения эта проблема раскладывается на несколько компонент (RFC 2505):

  1. Объём, т.е. пользователи получают огромное количество спамсообщений в свои почтовые ящики.
  2. В 99% процентах случаев содержание таких писем не коррелирует с интересами адресатов.
  3. Для получателей СПАМ стоит реальных денег. Например, те, кто имеют выход в сеть через модем и платят за время, проведенное в Интернет, вынуждены тратить деньги на фильтрацию полезных писем.
  4. СПАМ также стоит денег и для тех, кто поддерживает и отвечает за корректную работу почтовых серверов. Предположим, что злоумышленник послал письмо объёмом 10 килобайт 10 000 пользователям на одну ЭВМ. Несложно подсчитать, сколько места займут его все его сообщения, а именно 100 мегабайт. А что произойдёт, если спамер не один и отправляет не по одному письму?
  5. Большинство спамеров идут на всевозможные уловки, чтоб адресат взглянул хоть краем глаза на их сообщение. Например, пишут письмо таким образом, чтоб получатель подумал, что его с кем-то перепутали, или же помечают письмо так, что якобы внутри него содержится информация, запрашиваемая адресатом. Разумеется, о морали и этике здесь не может идти и речи.

Признаки спам

  • Заголовки <Received> образуют последовательную цепочку, начиная от верхней части сообщения и заканчивая нижней частью.
  • Любые заголовки <Received>, расположенные ниже заголовка <Date>, — поддельные.
  • Следует обращать внимание на любой заголовок <Received>, в котором имена двух узлов не совпадают. Вероятно, почтовое сообщение было ретранслировано через первый узел (узел, имя которого заключено в круглые скобки, является действительным источником сообщения).
  • Заголовок <Received>, имеющий старую дату, вероятнее всего, подделан.
  • Сетевая часть заголовка <From> должна согласоваться с последним заголовком <Received>.
  • Домен заголовка <Message-Id> должен совпадать с доменом заголовка <From>.
  • Следует проверить, нет ли в заголовках <Received> признаков того, что сообщение ретранслировано через посторонний узел.
  • Убедитесь, что все перечисленные узлы действительно существуют в базе данных DNS
  • Поле <From> не должно быть пустым.
  • Обилие в тексте опечаток и прочих искажений может также указывать на нелегальную природу сообщения, так как программа рассылки может работать без контроля подтверждений, чтобы скрыть истинный адрес рассылки, или такие модификации вносит сама программа рассылки, чтобы замаскировать массовую рассылку идентичного текста.

В последнее время появилось достаточное число коммерческих и общедоступных программ фильтрации SPAM.

SPAM составляет до 90% полного объема почтовых сообщений. Рассылка SPAM стала достаточно доходной частью полукриминального бизнеса. Это сопряжено с потерями сетевых ресурсов, о времени получателей я уже не говорю. Часть таких сообщений часто заражена вирусами, червями или троянскими конями. Эффективность современных фильтров SPAM достигает 90%. При этом следует учитывать, что фильтры сильно загружают серверы DNS. Для минимизации SPAM обычно рекомендуется иметь несколько почтовых адресов, например, один для частной переписки, один для деловой и один для информационных обменов, подписки и пр. Это облегчает распознавание SPAM. Полезно самому создавать уникальные адреса для каждого вида обменов и время от времени их менять (см. email.about.com/library/weekly. Это легко делать в случае подписных листов. Рекомендуется удалить свой почтовый адрес из своего WEB-сервера. Не рекомендуется покупать что-либо по рекомендациям SPAM -рассылок, тем более что в 95% случаях это могут оказаться недобросовестные поставщики. (Смотри также http://email.about.com/cs/spamfiltering, email.about.com/library/howto/htnegativespamfilter.htm, spam.abuse.net/spam/ и http://www.scambusters.org/stopspam/stop-spam.html.)

SCAM — мошеннический трюк, заключающийся в том, чтобы, ссылаясь на авторитетных лиц, втереться в доверие и извлечь коммерческую выгоду. Первооткрывателями этого вида мошенничества были адресаты из Нигерии. (Смотри en.wikipedia.org/wiki/Scam.)

Все перечисленные программы создавались людьми специально для нанесения вреда, их мотивации — предмет изучения психологов и социологов. Но есть потенциально опасные объекты, не создаваемые специально для нанесения вреда. Это, прежде всего, программы, разработанные не профессионалами и содержащие ошибки. Следует иметь в виду, что любая ошибка в программе опасна сама по себе, но она может также стать объектом атаки хакера. По этой причине бездумное использование не сертифицированных программ несет в себе достаточно высокий уровень риска.

В организациях с 10000 сотрудников сплошь и рядом имеется до 16000 акаунтов за счет уже давно не используемых (люди уволились). Такие неиспользуемые акаунты могут стать объектом атаки, тем более что их создание может относиться ко времени, когда безопасности паролей не уделялось должного внимания. По этой причине администратор должен требовать регулярного обновления паролей и удалять устаревшие, неиспользуемые акаунты.

При разработке новых устройств и программ надо уже на стадии проектирования встраивать в них средства безопасности. Должны быть созданы специальные курсы обучения тому, как писать безопасные программы, например, CGI.

Существует много методов обмануть IDS (Intrusion Detection System) — скажем, перегрузив его. Некоторые IDS имеют механизмы улучшения эффективности, и это может быть использовано хакером, например, многие IDS игнорируют параметры, передаваемые в запросе GET. Можно обмануть IDS, используя медленное сканирование. Существует известная сигнатура атаки, содержащая в себе определенную строку в URL-запросе. Если представить ее в альтернативной кодировке с использованием символов %, IDS эту строку не распознает. Настройка IDS должна выполняться с учетом реальных угроз конкретной сети. Полагаться на то, что сервис-провайдер имеет свою систему IDS, ни в коем случае нельзя. Следует также учитывать, что поставляемые вместе с IDS программы анализа журнальных файлов, требуют хорошей настройки. Настройка IDS сильно зависит от используемой ОС. Одним из способов атак является шестнадцатеричное кодирование параметров HTTP-запросов или использование для этих целей уникодов. Идея атаки заключается в том, что дешифровка такого представления параметров может в определенных случаях производится некорректно, и это открывает хакерам дополнительные возможности. Еще одним недостатком IDS являются ложные тревоги, которые при достаточно высокой частоте могут, в конце концов, притупить внимание администратора к реальным угрозам.

IDS предоставляет информацию для сетевого администратора, чтобы он, если сочтет нужным, предпринял определенные меры. Иногда оказывается, что действия администратора уже запоздали. Исследования показывают, что запаздывание в 10 часов дает 80% для успеха хакера, при 20 часах вероятность вторжения оказывается равной 95%, при 30 часах задержки — успех хакера гарантирован, каким бы искусным ни был администратор. При нулевой задержке реакции на подготовку атаки хороший администратор не оставляет никаких шансов хакеру.

Быстрая реакция на угрозу сокращает возможный ущерб не только для атакуемого объекта, но иногда и для всего Интернет сообщества (может сократиться число пораженных сетевых объектов).

Именно эти обстоятельства повышают интерес к системам IPS (Intrusion Protection System) или IMS (Intrusion Management system). В сетевом контексте можно считать, что такие системы комбинируют в себе свойства IDS и Firewall. В случае отдельной ЭВМ такая система мониторирует все системные и API-вызовы и блокирует те, которые могут нанести вред. Схема подключения IDS и IPS показана на рис. 12.2. Хотя IPS существуют уже несколько лет, применение их ограничено.

Схема подключения IDS и IPS (IDS or IPS: what is best, Maria Papadaki and Steven Furnell, Network Security v2004, Issue 7, июль 2004, стр. 15-19)

Рис. 12.2. Схема подключения IDS и IPS (IDS or IPS: what is best, Maria Papadaki and Steven Furnell, Network Security v2004, Issue 7, июль 2004, стр. 15-19)
< Лекция 11 || Лекция 12: 12345 || Лекция 13 >
Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????