Человеческий фактор и его роль в обеспечении информационной безопасностиИсточник: viruslist Константин Сапронов
Эта статья не является страшилкой, которая имеет своей целью напугать читателей или заставить купить ПО для защиты своего компьютера. Цель - просто поделиться мыслями, навеянными чтением различных журналов, аналитических статей, форумов, а также некоторым опытом работы в качестве вирусного аналитика, когда ежедневно приходится анализировать мегабайты кода и читать десятки писем от пользователей с просьбами о помощи. Компьютерная безопасность как системаБезопасность в сфере информационных технологий - это комплекс мер, и она должна восприниматься как система. Компьютерная безопасность имеет различные аспекты, среди которых нельзя выделить более значимые или менее. Здесь важно все. Нельзя отказаться от какой-либо части этих мер, иначе система не будет работать. Компьютерная безопасность мало отличается от безопасности в общем смысле. В обычной жизни никто не будет ставить железную дверь с хорошим замком на деревянный амбар с дыркой в стене. Точно так же и автомобиль с хорошей резиной, но неисправными тормозами будет небезопасен. Аналогично и при обеспечении компьютерной безопасности важно соблюдать меры защиты во всех точках соприкосновения с агрессивной средой. Каждый информационный ресурс, будь то компьютер пользователя или сервер организации, должен быть полностью защищен. Защищены должны быть файловые системы, сеть и т.д. Способы реализации мы не обсуждаем, но доступ к данным тоже должен быть безопасным, и люди, работающие с информацией, могут рассматриваться как звено в цепочке механизма, который обеспечивает работоспособность и безопасность всей системы. Человек - часть системыСуществует много различного защитного ПО, например файрволы, системы обнаружения вторжений, антивирусы и т. д., каждое из которых выполняет определенные функции и направлено на решение определенных задач. Однако мы можем использовать самое лучшее ПО, в котором применяются самые передовые технологии, криптостойкие алгоритмы, но при этом нельзя быть уверенным на все 100%, что наша система неуязвима. Потому что в реализации всех решений и применении их на практике участвуют люди, а людям свойственно ошибаться. Человек, являясь частью системы, был и остается самым уязвимым местом в системе безопасности. Человеческий фактор является причиной успеха многих атак, и тому есть масса примеров. Но давайте посмотрим, почему же злоумышленники используют человека как брешь в системе защиты. Возможные уязвимости в системе безопасности и их примерыМногие пользователи компьютеров не осознают реальной угрозы, которая подстерегает их при иcпользовании "дырявого" ПО. Большинство из них воспринимают компьютер как "черный ящик", не понимают, как он работает, да им это и не надо. Люди хотят пользоваться компьютерами, как бытовой техникой (стиральными машинами, пылесосами, холодильниками), не вникая в тонкости их работы. Многие думают, что взломы, вирусы, хакеры - все это выдумки производителей того самого защитного ПО. Но что говорить о простом обывателе, если даже некоторые "специалисты" в области безопасности считают, что вирусы - это для "глупых юзеров", а антивирусы - это пустая трата денег. "Вот я поставлю себе такую ОС, в которой нет никаких вирусов, и программы без уязвимостей - и не страшен мне серый волк", - говорят они. Неправильная оценка существующей угрозы - это только часть проблемы. Человеческий фактор играет не последнюю роль и при разработке и реализации мер безопасности. Многие "дыры" появляются еще на этапах проектирования технологий. Так, например, безопасность беспроводных Wi-Fi сетей находится в таком плачевном состоянии благодаря тому, что при разработке протокола были допущены некоторые просчеты. Про безопасное программирование написано чуть ли не столько же, сколько было сделано ошибок в программах, но я уверен что по-прежнему будут находиться старые ошибки и создаваться новые. И даже при абсолютной безупречности выбранной технологии (как при проектировании, так и в реализации), ее еще надо внедрить. А ведь этим тоже занимаются люди, и будь у вас самый лучший файрвол, он вас не спасет, если у вас плохой системный администратор. Когда я пишу эти строки, в интернете набирает силу очередной червь Lupper, который для своего распространения использует уже известные уязвимости, и если администратор регулярно читает списки рассылки по безопасности и закрывает обнаруженные "дыры", то этот червь не заразит его систему. Такая ситуация характерна практически для любого известного червя. Сначала появляется уведомление о найденной ошибке, но на это мало кто обращает внимание; даже после того как появляется concept-код, показывающий, как можно использовать данную ошибку, не многие понимают серьезность проблемы. И факт широкого распространения Lupper'а и других червей лишь подтверждает это. Другой пример безалаберного подхода к проблеме безопасности - то, как пользователи обращаются с секретной информацией. Хочется еще раз провести аналогию с обычной жизнью. Вряд ли кто-нибудь оставляет ключи в замочной скважине или вешает их на гвоздик в общедоступном месте. А сколько систем используют пустой пароль или пароль, совпадающий с именем пользователя? Хорошо, если администратор заставил пользователя придумать хороший с точки зрения безопасности пароль. Никто из вас не видел пароль, записанный на бумажке и приклеенный к монитору? Я видел, и не раз. А ведь злоумышленник с удовольствием может воспользоваться предоставленной ему лазейкой в систему. Подавляющее большинство из нас в той или иной мере сталкивались с почтовыми червями и знают, что они распространяются в виде почтовых вложений. Но послать червя - это только половина дела. Нужно сделать так, чтобы червь активировался на удаленной машине и начал свое дальнейшее размножение. Казалось бы, многие пользователи понимают всю опасность от неизвестных вложений, которые они получают неизвестно от кого и не станут запускать их. Но тут на помощь киберхулиганам приходит банальное человеческое любопытство, которое, как оказалось, очень трудно победить. Стоит лишь сопроводить письмо правдоподобным текстом, да еще дать файлу соответствующее имя - и большинство пользователей запустят его, что наглядно показывают приведенные ниже данные нашего очередного опроса: Что заставляет вас открывать подозрительные вложения? Более того, несмотря на постоянные разъяснения со стороны антивирусных компаний, количество пользователей, которые не открывают зараженные вложения, не увеличивается. Объяснить это достаточно просто: авторы вредоносных программ не стоят на месте и активно изобретают новые приемы использования и человеческого любопытства, и человеческой доверчивости. Но почтовые черви распространяются не только в виде прикрепленных к файлам письмам. В последнее время все чаще вместо самого тела червя рассылают ссылки на него. В этой цепочке распространения червя также необходим пользователь. Но как его заставить зайти по ссылке и запустить червя? Оказалось, что очень просто. Рассмотрим это на примере червя Email-Worm.Win32.Monikey, который рассылает письма следующего вида: Вид писем, рассылаемых червем Email-Worm.Win32.Monikey. На первый взгляд, это обычное письмо. И логично было бы зайти по указанной ссылке и посмотреть пришедшую электронную открытку. На это и рассчитывают авторы вредоносной программы: ничего не подозревающий пользователь, пытаясь просмотреть открытку, активирует тело червя. Так какой же возможен выход из подобной ситуации? Как отличить вредоносное письмо от обычного? Посмотрим для этого на настоящее письмо, пришедшее непосредственно от службы POSTCARD.RU: Вид писем, рассылаемых службой POSTCARD. Прежде всего следует обратить внимание на тот факт, что письмо на рисунке 1 написано с использованием HTML. Это необходимо червю для того, чтобы замаскировать в письме вредоносную ссылку на сайт злоумышленников и выдать ее за ссылку на POSTCARD.RU. Если вы обратите внимание на письмо, приведенное на рисунке 2, то именно об этом предупреждает пользователей служба POSTCARD.RU (выделено красной жирной линией). Для просмотра пришедшей открытки можно просто скопировать и запустить присланную ссылку в ваш браузер. Если ссылка не содержит подмены, то вы без проблем получите свою открытку. Но ни в коем случае не щелкайте мышью на ссылках, указанных в письмах в HTML. В этом случае активизируется подложный URL, который невидим для пользователя. Не так давно мы обнаружили спам, в конце которого содержался текст вида "Если Вы желаете отписаться и больше не получать наши электронные письма - пройдите по следующей ссылке". Что тут такого, спросите вы. И будете правы, так как вполне очевидно желание пользователей не получать всевозможный спам, и они пытаются воспользоваться указанной ссылкой для отписки. Но дело в том, что сразу при нажатии той злополучной ссылки, открывается HTML-страница, которая якобы проверяет базу подписчиков, а потом выдает сообщение "Ваш адрес удален из рассылки". На самом деле пользователю устанавливаются две вредоносные программы - Trojan-Dropper.Win32.Small.gr и Trojan-Spy.Win32.Banker.s. Из этого следует очевидный вывод: спамеры никогда не будут заботиться о благополучии пользователей, и если к ним попал ваш адрес, то спам они вам будут посылать в любом случае, вне зависимости от вашего желания. И не надо от него "отписываться", просто удаляйте его. Летом 2005 года был зарегистрирован новый вид таргетинга (таргетинг - целевая рассылка). Злоумышленники стали рассылать спам на корпоративные электронные адреса сотрудникам от имени их начальства. Подобная атака возможна потому, что электронное письмо можно сформировать специальным образом, и в поле отправителя получатель действительно может увидеть адрес своего начальника. Но в случае ответа на такое письмо в качестве обратного будет подставлен адрес злоумышленника. Очевидно, что получивший подобное письмо сотрудник попытается выполнить указание "руководства" и с большой вероятностью запустит вредоносную программу. Стоит заметить, что такие инциденты очень редко афишируются ввиду того, что службы безопасности пострадавших компаний часто блокируют распространение подобной информации. В рассылках вредоносных программ часто используется популярность антивирусных средств. И этим киберпреступники убивают сразу двух зайцев: непросвещенный пользователь запускает червя, а сама рассылка дискредитирует антивирусную компанию. О последнем следует сказать особо, так как после подобных рассылок ряд пользователей действительно начинает думать, что антивирусные компании рассылают зараженные обновления, и просто перестают обновлять свои антивирусные программы, что приводит к их бесполезности. Стоит понимать, что ни одна антивирусная компания не занимается подобной рассылкой своих антивирусных обновлений, и ничего из того, что приходит по почте, не надо устанавливать на своем компьютере. Ярким примером рассмотренной спекуляции на популярности антивирусных средств защиты является почтовый червь Email-Worm.Win32.Swen, который выдавал себя за патч от компании Microsoft и за короткий срок поразил несколько сотен тысяч компьютеров по всему миру. Автору вируса удалось успешно использовать сложившуюся на тот момент ситуацию, когда пользователи были напуганы недавним инцидентом с Lovesan. Особо стоит отметить скорость, с которой злоумышленники реагируют на события в мире - лишь бы получить новую возможность заражения пользователей: после террористических актов в Лондоне, после летнего энергокризиса 2005 года в Москве, после урагана "Катрина" и других крупных трагедий сразу регистрируются массовые спам-рассылки троянских программ, использующих информацию об этих событиях в теле письма. Не сильно отличается ситуация среди интернет-пейджеров (ICQ. Miranda и др.). Как же происходит заражение компьютеров пользователей через программы этой группы? Чаще всего злоумышленники рассылают ссылки на тело червя, которое будет активизировано после того, как пользователь щелкнет по присланной ему вредоносной ссылке. Для того чтобы увеличить вероятность активизации ссылки, злоумышленниками используются те же способы обмана, которые мы рассмотрели в разделе об электронной почте. Но здесь киберхулиганы пошли еще дальше, что подтверждает троянская программа Trojan-PSW.Win32.LdPinch. Они правильно решили, что, получив через интернет-пейджер ссылку, пользователь захочет пообщаться (как минимум предполагается обмен дежурными фразами). И авторы указанной вредоносной программы разработали программу-бот для генерации правдоподобных ответов получившим ссылку пользователям. Не могут злоумышленники забыть и довольно старый метод использования ссылок. Это связано с его эффективностью. Основан этот метод на изменении ссылок таким образом, чтобы пользователь на первый взгляд не заметил подмены. Например, изменение буквы I на l или аналогичную. Пример использования данного метода мы могли наблюдать летом 2005 года, когда был перехвачен очередной IM-Worm, который распространялся через MSN Messenger. Ссылка была якобы на сайт авторитетной антивирусной организации - спамеры сыграли на доверии пользователей. Ссылка имела вид: http://www.vbulettin.com/xxxxxxx. На самом деле ссылка на сайт издания Virus Bulletin имеет вид: www.virusbtn.com, но многие пользователи, не задумываясь над этим, активировали червя. Во всех рассмотренных случаях вредоносную программу тем или иным способом присылают пользователю. При таком подходе часть пользователей в запуске программы все же сомневается. Куда эффективнее сделать так, чтобы пользователю ничего не приходило, а он сам натыкался на вредоносную программу в процессе исследования просторов всемирной паутины. Именно по этой причине в последнее время отмечен рост количества взломов сайтов с целью размещения на них вредоносных программ. Для этой цели злоумышленники стараются выбирать сайты известных компаний. И хотя время жизни вредоносных программ на таких сайтах не превышает несколько дней, этого вполне достаточно для заражения тысяч пользователей. Яркой иллюстрацией описанного выше подхода стал почтовый червь Monikey, о котором мы уже упоминали выше. Мы говорили, что в зараженных письмах червь прятал ссылки на сайты, где было расположено тело червя. Так вот, это самое тело червя располагалось на вполне легальных сайтах, но было размещено там авторами вредоносной программы. В данной ситуации точно установить механизм проникновения червя не удалось, но мы подозреваем, что это было сделано с помощью украденных учетных записей для доступа к ресурсам зараженных сайтов. В данном случае вызывают удивление действия администраторов скомпрометированных систем, которые просто удаляли тело червя, даже не блокируя учетную запись. Стоит ли говорить, что червь с завидным постоянством снова появлялся на тех же самых сайтах, на ряде которых мы до сих пор можем видеть сообщение следующего вида: Сообщение на одном из скомпрометированных сайтов. Еще более изощренный способ распространения своих творений через сайты придумали злоумышленники из Нижнего Новгорода, которые предлагали выплачивать веб-мастерам по 6 центов за одно заражение троянской программой, которую те должны были разместить у себя на сайте. Вызывает опасение тот факт, что значительное количество веб-мастеров откликнулось на предложение. Все это говорит о том, что пользователи не могут оставаться защищенными при путешествии по необъятным просторам сети интернет. Вообще использование психологии человека , особенностей его поведения можно выделить в отдельную область, называемую социальной инженерией. Это большая и интересная тема , заслуживающая отдельного разговора. Часто злоумышленник не знает с чего начать, как попасть в систему. Но стоит ему познакомиться с кем-нибудь из персонала в организации, куда он хочет пробраться, как у него появляются ниточки, потянув за которые, он может распутать клубок. Иногда, если повезет, можно войти в систему даже не прибегая к каким-либо техническим трюкам. Например, взломщик может позвонить в интересующую его организацию и, представившись сотрудником этой же компании, получить интересную информацию: cписок сотрудников с номерами телефонов, ip-адреса интернет-серверов компании или другую интересующую его информацию. Владея этой информацией, злоумышленник получает начальную точку для атаки на систему. ЗаключениеИнформационные технологии все больше проникают в различные сферы жизнедеятельности человека, и поэтому киберпреступность набирает обороты с большой скоростью. Построить надежную систему безопасности в современном компьютерном мире очень и очень непросто. Существует большое количество слабых мест в системе; процесс нахождения новых дыр и их залатывания - это непрерывная работа. Для решения текущих проблем на смену устаревшим технологиям приходят новые, в которых в свою очередь обнаруживаются свои недостатки. Изобретаются новые трюки для обхода казалось бы совершенной защиты. Две противоборствующие стороны - компьютерные преступники и специалисты защиты - находятся в непрерывной борьбе. К нашему сожалению, надо отметить, что эта схватка протекает с переменным успехом. При этом поведение рядовых пользователей может наклонить чашу весов в ту или иную сторону. Человек с его непредсказуемым (или предсказуемым) поведением может свести на нет огромные усилия, затраченные на возведение надежной системы безопасности. Все же хочется надеяться, что после прочтения этой статьи часть читателей задумается на тему компьютерной безопасности и станет уделять ей больше внимания. |