Информбезопасность: глобальный фактор

Интернет уже стал ключевым фактором развития человечества – в этом мало кто сомневается. Но, как результат, и киберпреступность стала глобальным фактором. Сегодня вирусы атакуют ядерные производства (Stuxnet) и финансовую инфраструктуру (Zeus), а утечки данных сотрясают международные отношения (WikiLeaks). Так получилось, что нынешний обзор событий в сфере информационной безопасности по большей части посвящен проблемам мирового масштаба.

Интернет можно обрушить

Эксперт Макс Шукард вместе со своими коллегами из Миннесотского университета (Миннеаполис, США) заявил, что его группе удалось найти способ нарушить работу Интернета в глобальном масштабе.

Суть этого способа заключается в запуске распределенной DDoS-атаки, причем мишенью этой атаки должны стать так называемые «пограничные роутеры», обслуживающие протокол BGP (Border Gateway Protocol – протокол граничных шлюзов). Именно такие роутеры используются для подключения национальных магистральных сетей к сетям других государств.

Протокол BGP имеет огромную важность для работы современного Интернета. Фактически, это протокол маршрутизации, который используется для обмена информацией о маршрутах по всей Сети. Без протокола BGP провайдеры не могут подключать свои сети друг к другу, а пользователи, соответственно, не могут подключаться к web-сайтам и web-сервисам вне своего локального интранета. Поскольку конфигурация сетевых подключений и роутеров постоянно меняется, роутеры и коммутаторы, обслуживающие протокол BGP, должны постоянно работать, чтобы поддерживать актуальность сетевых карт для Интернета в целом. Проще говоря, работоспособность Сети в глобальном масштабе зависит от BGP-роутеров.

В своей статье для отраслевого издания ACM (Association for Computing Machinery – ассоциация по вычислительной технике) «Losing control of the Internet: using the data plane to attack the control plane» (Потеря контроля над Интернетом: использование уровня данных для атаки уровня управления) Шукард описывает теоретическое нападение, как «Скоординированное межуровневое прерывание сеансов» (CXPST – Coordinated Cross Plane Session Termination). Фактически, это распределенная DDoS-атака на управляющий уровень Интернета. Концепция CXPST расширяет прежние работы, в которых показана уязвимость в роутерах, помогающая злоумышленникам разъединить пару роутеров, используя лишь трафик на уровне данных. Точный выбор BGP-сеанса для прерывания позволяет нанести «хирургический удар» и запустить целую волну BGP-обновлений, которые будут отображаться практически на всех ключевых роутерах Интернета. Волна BGP-обновлений превосходит вычислительные возможности атакуемых роутеров, так что эти роутеры не смогут корректно принимать решения о маршрутизации пакетов.

Принцип CXPST-атаки предусматривает использование порядка 250 тысяч ПК, объединенных в ботнет. Стоит помнить, что современные ботнеты включают в себя до 12,7 млн ПК, как это доказано для «ботнета» Mariposa. Получается, что по меркам современных ботнетов 250 тысяч ПК для CXPST-атаки – это совсем немного.

Когда ботнет для скоординированной атаки 250 тыс. ПК будет создан, концепция CXPST предлагает использовать алгоритм, который Шукард назвал ZMW по фамилиям авторов – Zhang, Mao и Wang (Чжан, Мао и Ван). Эти трое исследователей описали алгоритм ZMW-атаки в своей работе «A Low-Rate TCP- Targeted DoS Attack Disrupts Internet Routing» (Нацеленная на протокол TCP атака малого масштаба нарушает роутинг в Интернете). Чжан, Мао и Ван обнаружили, что сеансы BGP-маршрутизации в серийных роутерах подвержены действию удаленных атак, что ведет к сбросу сеансов и серьезным нарушениям в стабильности маршрутизации и доступности внешних сетей.

Работа Шукарда с соавторами показывает, хотя и в теории, что уже сейчас существуют методы для нарушения работы Интернета в глобальном масштабе. Источник таких атак довольно трудно отследить, а вот последствия могут оказаться разрушительными. В зависимости от конкретного атакованного BGP- роутера пострадать может отдельное учреждение или Интернет в масштабах целого государства. Предполагается, что на уровне государства можно остановить распространение сбоев, отключив национальный сегмент Интернета от глобальных магистральных сетей.

Как пытались уничтожить WikiLeaks

Информация, обнародованная во время хакерской атаки, произведенной группировкой Anonymous, оказалась корпоративным планом Bank of America по уничтожению WikiLeaks.

Некто Аарон Барр, глава компании HBGary Federal, специализирующейся на информационной безопасности, заявил, что выявил лидеров хакерской группировки Anonymous и может определить главных игроков. Меньше чем 24 часа спустя группировка атаковала серверы HBGary Federal и опубликовала контент на файлообменных ресурсах.

Исследование контента привело к обнаружению предложения, написанного HBGary Federal и направленного ведущей американской юридической фирме Hunton & Williams относительно того, как уничтожить WikiLeaks при помощи комбинации атак и дезинформации. Оно было разработано совместно с аналитическими компаниями Palantir Technologies и Berico Technologies.

Документ предлагает провести кампанию по дезинформации, включающую внедрение фальшивых документов в WikiLeaks и затем их разоблачение, чтобы дискредитировать сайт. Также планировались хакерские атаки на центральный сервер WikiLeaks в Швеции.

Презентация также рекомендует исследовать данные людей, вовлеченных в деятельность WikiLeaks, чтобы определить «подозрительное поведение» и провести медиакампанию, которая «вызовет беспокойство и сомнения среди умеренных».

Эта медиакампания может также включать атаки на журналистов, которые являются сторонниками WikiLeaks. Глен Гринвальд (Salon.com) был отмечен как ключевая мишень.

«Эти специалисты имеют либеральную направленность, но в конечном счете большинство из них при давлении выберут профессиональную неприкосновенность, таков склад ума у большинства бизнес-специалистов», – гласит документ. «Без поддержки таких людей, как Глен, WikiLeaks прекратит свое существование».

HBGary Federal сообщила New York Times, что некоторые украденные и выставленные на обозрение файлы могли быть фальсифицированы, но теперь две другие компании, упомянутые в презентации, высказались о произошедшем.

Berico Technologies признала, что она сначала сотрудничала с фирмой HBGary, и составила лишь предложение «о защите информации и взаимоотношениям с общественностью». «Наши лидеры не приветствуют какие-либо действия, проводимые против американских фирм, организаций или частных лиц, – сообщили основатели Гай Филиппелли и Ник Хэллем. — Мы находим такие действия предосудительными, мы обещали сотрудничать с лучшими компаниями в нашей индустрии, которые разделяют наши ключевые ценности. Вследствие этого мы разорвали все связи с HBGary Federal».

Palantir Technologies также сообщила о разрыве связей с HBGary Federal. «Свобода слова и право неприкосновенности частной жизни важны для процветающей демократии. С этой точки зрения Palantir Technologies поддержала данные идеалы и продемонстрировала ориентацию на ПО, которое защищает частную жизнь и гражданские свободы, – сообщил сооснователь Алекс Карп. — Более того, лично и от лица компании я хочу публично извиниться перед передовыми организациями в общем и мистером Гринвальдом в отдельности за возможные последствия данной ситуации».

Согласно переписке, презентация готовилась для Hunton & Williams, которая обслуживает Bank of America. Hunton & Williams постоянно об этом упоминала, но на днях компания Bank of America опубликовала заявление, в котором отрицалась ее вовлеченность в разработку презентации. «Мы не были вовлечены в операцию HBGary и не имеем таких планов», – сказал Лоренс Ди Рита, представитель Bank of America.

Вредоносные коды и политические атаки

На сегодняшний день наибольшее число вредоносного кода приходится на уязвимости в Java, заявили специалисты компании G Data Software. Кроме того, аналитики прогнозируют повышенный интерес злоумышленников к распространению вредоносного кода с помощью социальных сетей и политически мотивированных атак, нацеленных на компании и государственные структуры.

«Java очень популярна во всем мире: на 8 из 10 компьютеров установлены программные модули Java. Обнаружив уязвимости в Java, киберпреступники открыли большой потенциал для нового способа распространения вирусов, – отметил Ральф Бенцмюллер, руководитель лаборатории безопасности компании G Data Software. – В 2011 году мы ожидаем увеличения вредоносного кода, основанного на уязвимостях в Java. Пользователям необходимо своевременно загружать обновления для своего антивирусного решения, чтобы закрыть все уязвимости в безопасности Java как можно быстрее».

В 2010 году было выявлено рекордное количество новых вирусов – более 2 млн. Даже несмотря на то, что во втором полугодии был отмечен небольшой спад активности злоумышленников, число новых вирусов превысило результат 2009 года на 32%.

«Я считаю, что индустрия создания вредоносного кода достигла абсолютного апогея, – продолжил Ральф Бенцмюллер. – Киберпреступникам, распространяющим новые вирусы, больше нет смысла инвестировать в развитие и создание новых вирусов, число которых превысило бы результат 2010 года. Хотя мы не можем дать точных прогнозов на 2011 год, но не ожидаем увеличения темпов роста это сектора киберэкономики».

Специалисты напоминают, что во время так называемой «операции PayBack» политически мотивированные активисты провели DDoS-атаки против швейцарского PostFinance, Mastercard, Visa, PayPal, EveryDNS и Amazon. В результате сайты этих компаний были временно недоступны.

«Сторонники WikiLeaks подтвердили эффективность политически обусловленных атак на IТ-инфраструктуры крупных предприятий. Уличные беспорядки уже в прошлом, поколение Web 2.0. использует для этого Интернет, – сказал Ральф Бенцмюллер. – Хакерство, кибершпионаж или киберсаботаж станут главными проблемами 2011 года».

Анонимность поступков пользователя в Сети и возможность доступа к практически любым ресурсам, по мнению аналитиков, повышают вероятность совершения преступлений по Интернету. Действия последователей WikiLeaks становятся новой формой свободы слова, социально допустимой в киберпространстве. Поэтому стоит ожидать продолжения политически мотивированных атак на бизнес, политические партии и правительственные структуры. Кроме того, одной из основных целей киберпреступников в 2011 году станут социальные сети. Информационная насыщенность и предложения различных услуг, которые возможно использовать независимо друг от друга, позволяют осуществлять более целенаправленные атаки на частных лиц и компании.

Вирусы против «Маков»

Атаки на Mac участились, и пользователям Apple уже пора бы начать вкладывать деньги в антивирусы, заявила компания Panda Security, запустив свой новый продукт по защите пользователей Mac.

Рыночная уловка по сбору денег с пользователей Apple или оправданное предостережение? Panda апеллирует к цифрам. На сегодняшний день существует 5000 разновидностей вредоносных программ по взлому Mac-систем. Более того, в компании уверяют, что 500 новых программ, направленных непосредственно на подрыв безопасности Mac, появляются ежемесячно.

В 2009 году в операционной системе Apple было обнаружено 34 уязвимости, которых в 2010 году насчитывалось уже 175, с более чем 170.000 макровирусов, нацеленных на платформу за 20-летний период ее существования.

Проще говоря, подобные угрозы связаны только с десктопами и ноутбуками Apple и не имеют отношения к iPad, которые уязвимы только в случае их «джейлбрейка» или какого-либо иного способа установки сторонних приложений.

Компании по обеспечению безопасности уже не видят ничего удивительного в постоянно пополняющихся рядах пользователей Apple, и каждая из них выпускает продукт, предназначенный специально для Mac.

Однако возникают вопросы по поводу масштабов угрозы. Пока сравнивать с Windows все же не приходится. На одну новую угрозу Apple приходится от 100 до 500 угроз Windows. И это если не брать во внимание, насколько продуманней и утонченней порой бывают атаки на Windows.

Panda отмечает, что многие из уязвимостей были кроссплатформенными браузерными дырами, которые не были привязаны конкретно к Mac. Что же касается 170.000 макровирусов, то они настолько устарели, что большинство поставщиков ПК просто не берут их в расчет. Утверждение базируется на числе именно новых угроз и их сложности. Сейчас же все говорит о том, что вирусы под Mac останутся непримечательными.

«Мы всегда придерживались теории, что когда компания Apple достигнет значительной доли на рынке, примерно 15% (а учитывая стремительный рост, это произойдет достаточно скоро), тогда хакеры и начнут направлять свои атаки на платформу», – заявил вице-президент Panda Иван Фермон. «Сейчас мы бы даже сказали, что ОС Windows находится в большей безопасности, чем Mac, просто потому, что Microsoft уже многие годы активно работает над безопасностью своих продуктов», – добавил он.

На сегодняшний день существует мало достоверных источников информации о доле Apple на рынке. Да и все они, так или иначе, связаны только с рынком США. По мере падения актуальности десктопов, шансы Apple заполучить 15% рынка видятся крайне незначительными. Данные о популярности ОС очень важны, ведь именно они провоцируют интерес хакеров.

Беря во внимание небольшую, но вполне правдоподобную угрозу, есть предположение, что сама компания Apple должна предоставить антивирусы в комплекте с основным предложением, а не перекладывать эту работу на сторонних производителей ПО. Это то, к чему, в конце концов, пришла Microsoft, которая создала файрвол для работы с XP и с недавнего времени раздает бесплатное антивирусное ПО – Security Essentials.

Интересно, что причина того, что Microsoft долгое время не делала этого – опасение антимонопольных проверок, которые растолковали бы подобные действия как «мешающие свободной конкуренции». Подобные ценности свободного рынка не позволили осознать природу и масштабы угрозы, и мир до сих пор не может очиститься от последствий сделанных ошибок.

Антивирус от Panda для Mac предлагает защиту в режиме реального времени, сканирование файлов и возможность проверять iPhone или iPad на предмет использования вредоносных программ, даже если они не могут навредить устройству.

Арестован взломщик базы данных пользователей Nintendo Wii

Полиция Испании объявила об аресте хакера, угрожавшего публичным разглашением персональной информации 4000 пользователей консоли Nintendo Wii. По словам хакера, он обнаружил данные, когда получил доступ к бэк-энду сетевого сервиса Nintendo.

Подразделение Nintendo Iberica, представляющее интересы японского производителя в Испании и Португалии, получило от хакера многочисленные письма с угрозами и признаками шантажа, сообщили в Министерстве внутренних дел Испании. Полиция заявляет, что действия молодого человека, имя которого публично не разглашается, нарушают сразу несколько статей уголовного законодательства страны.

Во-первых, молодой человек говорил о взломе базы данных, что противоречит законодательству, во-вторых, он планировал масштабное разглашение персональных данных, наконец в-третьих, он занимался шантажом с целью личной финансовой наживы. Как говорят в полиции страны, Nintendo обратилась к ним еще в начале февраля.

Компания написала в полиции заявление, в котором говорилось, что Nintendo отказывается сотрудничать с похитителем данных и просит полицию разобраться в ситуации.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 07 за 2011 год в рубрике безопасность

©1997-2024 Компьютерная газета