Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 1:

Информационная безопасность и программное обеспечение с открытыми исходными текстами

Лекция 1: 12345678 || Лекция 2 >

Состояние компьютерной преступности

Компьютерные преступления стали эпидемией, которая затрагивает всех пользователей - от руководителя компании из списка Fortune 500 до домохозяйки. Согласно ежегодному исследованию ФБР по компьютерным преступлениям, проведенному совместно с Институтом Компьютерной Безопасности (CSI), более 90% компаний в США стали жертвами какой-либо формы компьютерного преступления. Восемьдесят процентов опрошенных понесли в связи с этими атаками определенные финансовые потери. Если в 2000 г. потери составили 337 миллионов долларов, то в 2001 г. они составили уже 445. И можно с уверенностью утверждать, что большинство атак не фиксируется. Многие компании не хотят признавать, что их компьютерные системы были взломаны или скомпрометированы, и избегают обращаться к официальным лицам, так как боятся, что дурная слава может повлиять на цены акций или бизнес, особенно в таких отраслях как банковское дело, которые опираются на доверие общественности.

По прогнозам Центра Защиты Национальной Инфраструктуры (NIPC), компьютерные атаки в 2002 г. участятся и станут более сложными, часто с использованием нескольких методов нападения, как в случае с "червем" Code Red в 2001 г. Предполагается, что хакеры сконцентрируются на маршрутизаторах, межсетевых экранах и других некомпьютерных устройствах, так как они менее заметны и обеспечивают при незаконном использовании более полный доступ к корпоративной сети. Предсказывается также, что время между обнародованием новой уязвимости и появлением средств, которые ее используют, будет сокращаться, предоставляя меньше времени для ответа на потенциальную угрозу. Действительно, среднее время между сообщением об уязвимости и публикацией программы ее использования сократилось с месяцев до недель. Например, "червь" Blaster появился всего лишь через шесть недель после обнаружения в начале 2003 г. уязвимости в механизме удаленного вызова процедур от Мicrosoft.

Группа реагирования на нарушения информационной безопасности (CERT), которая действует совместно с Университетом Карнеги Меллон и федеральным правительством, отслеживает возникающие угрозы и старается предупредить компании о вновь обнаруженных уязвимостях и пробелах безопасности. Выяснилось, что количество отчетов об инцидентах, связанных с компьютерной безопасностью более чем удвоилось в 2001 г. по сравнению с предыдущим годом, с 21756 до 52658. Отмечен рост числа атак более чем на 100% каждый год, начиная с 1998 г. В 2003 г. число инцидентов выросло на 70%, хотя общее число новых уязвимостей, определяемых как слабые места в аппаратном или программном обеспечении, которые позволяют получить несанкционированный доступ, упало (рис. 1.2). Это связано с появлением "червей", которые быстро распространяются в Интернете, заражая множество систем.

График уязвимостей и инцидентов (источник - CERT).

Рис. 1.2. График уязвимостей и инцидентов (источник - CERT).

Экспоненциальный рост как числа атак, так и методов их осуществления, является тревожной тенденцией, поскольку все больше организаций подключаются к Интернету. К сожалению, многие из них предпочитают оставаться в неведении и игнорируют информацию о проблемах безопасности. Обычное объяснение недостаточной защищенности компьютерной сети: "Зачем хакеру наша организация? У нас нет ничего такого, что им нужно". В прошлые годы такая позиция могла быть оправданной. Хакеры старой школы, как правило, охотились на крупные организации, которые имели ценные данные.

Однако радикальные изменения в информационных технологиях сделало потенциальной целью хакеров все организации, даже представителей малого бизнеса. Фактически организации малого и среднего размера теперь являются целями более 50% атак, о которых сообщает ФБР. Это изменение было вызвано несколькими факторами, которые описаны в следующих разделах.

Появление Интернет

Когда в Интернете были соединены всего несколько сетей, организациям в основном приходилось беспокоиться о риске того, что кто-то получит доступ к консоли компьютера, или о вирусе, который будет занесен через дискету. Защитой от физических угроз такого вида компании занимались годами. Дверные замки, системы сигнализации и даже вооруженная охрана могли защитить компьютеры и системы от физического доступа. Единственными программно-техническими средствами защиты до наступления эры Всемирной Паутины были антивирусное ПО и пароли.

С распространением сети Интернет хакеры получили возможность осуществлять нападения, находясь на удалении в тысячи миль, и похищать критически важные активы компании, обходя все физические барьеры. Им на руку анонимность, которую предоставляет Интернет. Они могут находиться в иностранных государствах, не имеющих соглашения об экстрадиции преступников. Они оставляют мало информации о том, кто они такие и что они сделали. Когда вы подключаетесь к Интернету, то оказываетесь буквально в нескольких нажатиях клавиш от любого хакера, взломщика и просто бездельника. Защиты паролем и антивирусным ПО уже недостаточно, чтобы удержать незваного гостя от проникновения в ваш виртуальный офис.

Повсеместно распространенная, недорогая широкополосная сеть

Относительно недавно подключение к Интернету по выделенным линиям было привилегией крупных организаций. Теперь можно получить доступ через цифровую абонентскую линию или кабельный модем для компании или домашнего использования менее чем за $100 в месяц. Организации становятся доступными в Интернете тысячами, и это в целом хорошо для бизнеса. Однако наличие выделенного соединения подвергает их большему риску, чем используемые ранее коммутируемые соединения через телефонную линию. Прежде всего, широкополосная сеть совершенно отлична от простого соединения через модем с точки зрения сети. Обычно при использовании коммутируемого доступа вы подключены, только пока вы работаете. При постоянно подключенной широкополосной сети хакеры могут продолжать атаки, повторяя попытки входа столько раз, сколько потребуется. Они особенно любят действовать в поздние ночные часы, когда системные администраторы, которые могут заметить что-то подозрительное, ушли домой.

Наличие доступа к производственной площадке с выделенным широкополосным доступом очень привлекательно для хакеров. Они могут использовать полосу пропускания для атак на другие организации. Если цель хакера состоит в блокировании таких популярных сайтов, как Yahoo или Amazon, с помощью простой грубой силы, ему потребуется широкая полоса пропускания. Большинство этих сайтов обладают полосой пропускания, которая измеряется гигабитами, а не мегабитами. Чтобы подавить эти сайты запросами, требуется канал с огромной пропускной способностью, которую средний хакер не может себе позволить. Однако если он проникает в другие машины в Интернете с широкополосными соединениями, он может использовать эти машины для атаки своей реальной цели. Если он смог овладеть достаточным количеством плацдармов, он как бы получает в свое распоряжение огромную пушку. Это называется распределенной атакой на доступность. Она обладает дополнительным преимуществом, сбивая со следа правоохранительные органы, так как атаки идут с компьютеров ничего не подозревающих жертв, а не от самих атакующих. Эти машины-жертвы называются "зомби", и хакеры располагают специальным программным обеспечением, которое они могут загружать, чтобы заставить зомбированные компьютеры "проснуться" по специальной команде, которую могут послать только они. Эти программы часто очень трудно обнаружить и уничтожить, так как хост не проявляет никаких нездоровых признаков, пока ПО зомби неактивно. Единственное, что требуется хакерам, - ваша полоса пропускания; обычно им мало интересно, кто вы такой.

Другой причиной, по которой хакеры проникают в компьютеры, является хранение инструментов и полученной незаконным путем добычи. Используемые для этого машины хакеры называют "шкафчиками", туда они помещают противозаконные данные - порнографию, пиратское ПО, фильмы или хакерские инструменты. Вместо того чтобы хранить эти данные на своей машине, где они могут быть найдены и использованы против них в суде, хакеры предпочитают укрывать их на серверах своих жертв. Широкополосное соединение очень удобно, так как обладает большой пропускной способностью для пересылки файлов. Предпочтительнее использовать для этого небольшую организацию, которая вряд ли содержит обширный штат в отделе информационных технологий, чтобы следить за своим соединением с Интернетом, и, вероятно, использует не очень развитые средства защиты. Хакеры могут передать IP-адрес взломанного сервера своим приятелям и использовать его для неформальных встреч и обмена. Такие виды вторжения трудно обнаружить, так как компьютер при этом работает нормально, хотя можно заметить снижение производительности или скорости загрузки файлов.

Атаки "командных детишек"

Другим моментом, который изменил картину компьютерных правонарушений, является рост числа нарушителей, особенно с низким уровнем подготовки. Этих хакеров-новичков называют "командными детишками", так как они часто используют простейшие хакерские инструменты или командные файлы, которые находят в Интернете, а не свои собственные знания. Когда-то хакеры были частью элитарного сообщества высококвалифицированных (хотя и с моральными проблемами) индивидов, мастеров программирования, они понимали компьютеры на самом фундаментальном уровне. Они даже соблюдали неформальный кодекс хакера, который, хотя и отвергал идею приватности, гласил, что взламываемым компьютерам не следует наносить никакого вреда. Жизнь хакера была посвящена изучению и исследованию. Однако вскоре это сообщество разделилось, и в него влились новички. Теперь несложно найти сотни web-сайтов, которые могут научить, как проникнуть в чужую систему за пару минут. Многие так называемые хакеры являются подростками со слабым знанием программирования. Их целью является не поиск знания, а использование взломанных компьютеров, хвастовство и откровенный вандализм. Криминальные элементы, пополняющие сообщество хакеров, ищут наиболее легкие "способы взлома". Эти неопытные преступники атакуют системы небольших организаций, которые располагают менее сильной защитой и менее опытными администраторами, неспособными заметить ошибки этих неофитов. Большинство из них не осмелятся напасть на компьютеры Пентагона или ЦРУ, поскольку эти организации имеют развитую защиту и серьезные возможности судебного преследования. Немногие небольшие организации могут позволить себе расследование, еще меньшее количество - возбудить судебное преследование компьютерного злоумышленника, даже если они установят его личность. И, поскольку по большей части основной целью "командных детишек" является не изучение, а причинение вреда, они часто вызывают больше повреждений, чем опытный компьютерный преступник.

"Черви", автосуперы и другие вредоносные программные средства

Наконец, основная причина принципиального изменения картины компьютерной безопасности состоит в том, что большая часть взломов в настоящее время автоматизирована, а выбор жертвы осуществляется случайным образом. "Командные детишки" могут использовать инструменты, которые сканируют IP-адреса случайным образом в поисках имеющих уязвимости компьютеров. Эти программы часто работают целыми ночами, собирая урожай потенциальных жертв. Существуют пакеты, называемые "автосуперами", которые получают на компьютере привилегии суперпользователя или администратора. Эти инструменты не только проводят разведку, но выполняют реальное проникновение в компьютер и размещают там троянские или другие вредоносные программы. В результате с помощью одного щелчка мышью кто-то с компьютерным образованием не выше чем у шестилетнего ребенка может взломать десятки машин за один вечер.

С появлением в Интернете таких "червей", как Nimda в 2001 г., даже человеческий элемент был исключен из этой картины. Эти автономные родственники компьютерных вирусов странствуют в Интернете в поисках компьютеров с определенным набором уязвимостей. Когда таковой находится, они помещают себя в этот компьютер, выполняют запрограммированные действия, а затем настраивают систему на поиск новых жертв. Эти автоматически действующие системы по взлому компьютеров заразили значительно больше сетей, чем сделали люди-нарушители порядка. Они также распространяются невероятно быстро. Согласно оценкам, "червь" Code Red распространился на более чем 300000 серверов в течение нескольких дней с момента своего появления.

Лекция 1: 12345678 || Лекция 2 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Гончик Цымжитов
Гончик Цымжитов
Россия, Санкт-Петербург
Александр Косенко
Александр Косенко
Украина, Днепропетровск