книги хакеры / журнал хакер / специальные выпуски / Специальный выпуск 70_Optimized

партнерам, поставщикам и другим участникам

киоске не первый день, и многие пользователи

Ò Û Î Ò Ø Ï È Î Í Ñ Ê Î Ã Î Ï Î , Ð Å Ã Ó Ë ß Ð Í À ß Ó Ñ Ò À Í Î Â Ê À

жизненного цикла продукта. Иными словами, сеть

уже пострадали от «рук» червей.

Ï À Ò × Å É , Ó Ñ Ò À Í Î Â Ê À Ì Å Æ Ñ Å Ò Å Â Û Õ Ý Ê Ð À Í Î Â ( Ê Î Ð -

компании перестает быть четко очерченной, и ее

Согласно исследованиям Министерства обо-

Ï Î Ð À Ò È Â Í Û Õ È Ï Å Ð Ñ Î Í À Ë Ü Í Û Õ ) , Ï Ð Å Ä Â À Ð È Ò Å Ë Ü -

периметр становится размытым. Другая задача,

роны, каждые 1000 строк кода среднестатистиче-

Í Î Å Ò Å Ñ Ò È Ð Î Â À Í È Å Ï Ð Î Ã Ð À Ì Ì Í Î Ã Î Î Á Å Ñ Ï Å × Å -

которая также требует решения, — стандартиза-

ской программы содержат 15 ошибок (для сравне-

Í È ß , × Ò Å Í È Å Á Þ Ë Ë Å Ò Å Í Å É Ï Î È Í Ô Î Ð Ì À Ö È Î Í Í Î É

ция методов доступа к разрозненным данным,

ния — среднего размера бизнес-приложение со-

БЕЗОПАСНОСТИ.

хранящимся в базе данных. Ее решают с помощью

держит 150000-250000 строк кода). Диагностика

спам — это проблема, которая раздражает

протоколов типа SOAP, XML и т.д. Правда, зача-

одной ошибки требует в среднем 75 минут, а вот

большинство из нас. И, несмотря на это, ни один

стую забывая об их безопасности. А теперь посмо-

ее устранение — уже 6 часов. К тому же практика

из производителей не смог предложить рынку ре-

трим, как эти ИТ-технологии, являющиеся нашим

нам говорит о том, что разработчики обычно фо-

шение, «убивающее» спам раз и навсегда. Связа-

ближайшим будущим, приводят к развитию угроз

кусируются на новых функциях, а не на устране-

но это с тем, что спамеры не останавливаются на

безопасности...

нии старых ошибок.

достигнутом и всегда изобретают новые методы

вирусы cами по себе уже не сделают

Со скоростью распространения червей про-

обхода систем защиты от спама: преднамеренное

серьезный рывок вперед, так как идея классиче-

блемы наступят не завтра — они уже наступили.

использование ошибок в словах («спицеальна для

ских вирусов, заражающих файлы на отдельном

Согласно статистике, среднее время разработки

ваз»), пробелы в словах («с п е ц а к ц и я»), чере-

компьютере, уже вряд ли сможет заинтересовать

«противоядия» у антивирусных вендоров соста-

дование строчных и заглавных букв, использова-

«исследователей». Другое дело — черви, но о них

вляет около 6 часов. А ведь вирусную сигнатуру

ние символов-разделителей («с*п*е*ц*а*к*ц*и*я»),

позже. С другой стороны, вирусы пока не исчер-

надо еще доставить всем средствам защиты, что

преобразование текста в графический файл и т.д.

пали всех своих возможностей. Тем более что их

зачастую требует еще нескольких часов или даже

Сталкиваясь с различными системами за-

авторы преподносят все больше и больше сюр-

дней. За это время эпидемия червя уже успевает

щиты от спама, можно выделить два недостатка

призов, заражая такие, казалось бы, неподвласт-

распространиться по всему интернету и заразить

(которые, кстати, есть и у других средств контроля

ные им форматы, как PowerPoint, Acrobat Reader,

многие миллионы узлов. И скорость будет только

вредоносного контента — антивирусов, систем об-

мультимедиа и т.д. Все это является следствием

расти. Согласно исследованиям, проведенным в

наружения атак и т.п.): ложные срабатывания и

недооценки вопросов безопасности при разра-

Америке, возможно создание червя, способного

несрабатывания. В первом случае система блоки-

ботке форматов и стандартов. А учитывая, что

заразить весь интернет всего за 15 минут. То есть

рует сообщения, которые не являются спамом.

«гонка вооружений» только нарастает, и произво-

такой «молниеносный» червь успеет 24 раза

Яркий пример — проект «Проверь здоровье своей

ОПАСНОСТЬ ГРОЗИТ В ДВУХ НАПРАВЛЕНИЯХ:

сети» (www.freescan.ru). После регистрации на сайте

пользователю, желающему протестировать защи-

РОСТ ЧИСЛА КАНАЛОВ ПРОНИКНОВЕНИЯ И УВЕЛИЧЕНИЕ

щенность своих интернет-ресурсов, приходит уве-

домление по e-mail. Но часто случалось, что уве-

СКОРОСТИ РАСПРОСТРАНЕНИЯ

домление воспринималось как спам и не доходи-

ло до адресата. Во втором случае системы пропу-

скали спам, считая его безобидным электронным

сообщением.

Рекламные рассылки на русском языке

дители стремятся «выбрасывать» на рынки еще

«обогнуть» всемирную сеть, прежде чем антиви-

представляют собой еще большую проблему для

сырое ПО, можно представить, что в ближайшем

русные производители успеют выпустить соответ-

антиспамовых систем, что связано с нашей мор-

будущем число потенциально уязвимых форма-

ствующую «заплатку».

фологией. Даже разработанные в России системы

тов будет только возрастать. А значит, у злоумы-

CПОСОБЫ ЗАЩИТЫ: ИСПОЛЬЗОВАНИЕ АНТИВИ-

блокирования спама, использующие лингвистиче-

шленников появится много новой работы, как и у

РУСОВ И СИСТЕМ ПРЕДОТВРАЩЕНИЯ АТАК, РЕГУЛЯР-

ские, графические, сигнатурные и иные методы

борцов с вирусами.

НАЯ УСТАНОВКА ПАТЧЕЙ, УСТАНОВКА МЕЖСЕТЕВЫХ

идентификации нежелательных массовых рассы-

СПОСОБЫ ЗАЩИТЫ: АКТИВНОЕ ИСПОЛЬЗОВА -

ЭКРАНОВ (КОРПОРАТИВНЫХ И ПЕРСОНАЛЬНЫХ), ПРЕД-

лок, к сожалению, не справляются с этой пробле-

НИЕ АНТИВИРУСОВ, ИСПОЛЬЗОВАНИЕ ТОЛЬКО НУЖ -

ВАРИТЕЛЬНОЕ ТЕСТИРОВАНИЕ ПО, ЧТЕНИЕ БЮЛЛЕТЕ-

мой. Согласно проведенному в 2005 году тестиро-

НЫХ ДЛЯ РАБОТЫ ПРОГРАММ, РЕГУЛЯРНАЯ УСТАНОВ-

НЕЙ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

ванию российских систем «Спамтест» и «Спамо-

КА ПАТЧЕЙ, ПРЕДВАРИТЕЛЬНОЕ ТЕСТИРОВАНИЕ ПО,

spyware. Черви и вирусы опасны, но они не

оборона», они не полностью решают проблему

ЧТЕНИЕ БЮЛЛЕТЕНЕЙ ПО ИНФОРМАЦИОННОЙ БЕЗО -

несут никакой коммерческой выгоды своим созда-

спама (www.ifap.ru/as/050524d1.pdf). Чего уж говорить

ПАСНОСТИ.

телям (или практически не несут). Другое дело —

о западных решениях. По словам Евгения Альтов-

черви. Более опасны черви, которые распро-

программы, объединенные общим термином

ского, координатора проекта «Антиспам», «филь-

страняются от компьютера к компьютеру и зара-

spyware (шпионское ПО). Установленные на ком-

тры могут использоваться как временная мера

жают целые сети, используя уязвимости в при-

пьютере «жертвы», они воруют конфиденциаль-

для снижения остроты проблемы спама, однако

кладном и системном программном обеспечении.

ную информацию и пересылают ее владельцам

настоящий заслон на его пути может поставить

Опасность грозит в двух направлениях: рост числа

spyware. Развитие этого типа вредоносного ПО

только закон и негативное отношение к спаму со

каналов проникновения (или, иными словами, уяз-

пойдет по пути расширения каналов его проникно-

стороны общества».

вимостей) и увеличение скорости распростране-

вения на компьютер — почта, Instant Messaging

Но так ли уж нерешаема данная проблема?

ния. С первой проблемой мы, к сожалению, делать

(например, ICQ или Mirabilis), P2P (например, Ka-

Есть метод, который позволит существенно сни-

ничего не можем — число программ и версий ОС

zaa или eDonkey), web-браузер и т.п. Чем боль-

зить объем спама. Перенос оборонительных рубе-

растет с невиданной скоростью, и специалисты по

шим количеством коммуникационных возможно-

жей с линии отдельной компании на уровень опе-

тестированию не успевают проверять все возмож-

стей станут обладать будущие компьютеры, тем

ратора связи. Конечно, такой перенос должен со-

ные ответвления в этом бесчисленном множестве

больше возможностей появится у spyware.

провождаться и сменой методов обнаружения

программ. А уж латать эти дыры начинают только

Ñ Ï Î Ñ Î Á Û Ç À Ù È Ò Û : È Ñ Ï Î Ë Ü Ç Î Â À Í È Å À Í Ò È -

спама, ведь применение ключевых слов, белых и

после того, как продукт уже продается в каждом

ВИРУСОВ, СИСТЕМ ПРЕДОТВРАЩЕНИЯ АТАК И ЗАЩИ-

черных списков в данном случае также будет не

столь эффективным. Вспомни, как рассылается

чи-другой машин и «дать команду», все остальное —

то вероятность заражения компьютера между об-

спам. Это делается спамерами не со своих соб-

дело техники. Так как за многими нападениями

новлениями возрастает многократно. Особенно

ственных компьютеров, а через заранее взломан-

стоит коммерческая выгода, то ботнеты будут

опасно такое бездействие во время эпидемий,

ные узлы. И число сообщений с таких узлов ежед-

только развиваться по пути увеличения числа ма-

когда вредоносная программа распространяется

невно измеряется сотнями. Будет ли обычный

шин в сети «зомби» и разработке новых методов

по сети с огромной скоростью. Математически до-

пользователь отправлять каждый день столько

управления ботнетом, помимо предварительного

казан факт создания червя, способного заразить

писем? Вряд ли. Поэтому можно попробовать кон-

программирования, IRC-каналов и т.п.

все узлы интернета (при современном развитии

тролировать поток почтового трафика с каждого

СПОСОБЫ ЗАЩИТЫ: ВСТРОЕННЫЕ МЕХАНИЗМЫ

информационных технологий) всего за 15 минут!

узла и, в случае превышения некоторого порого-

ЗАЩИТЫ ИНФРАСТРУКТУРНОГО ОБОРУДОВАНИЯ, ИС-

Даже при ежечасном обновлении антивируса та-

вого значения, предпринимать определенные дей-

ПОЛЬЗОВАНИЕ СИСТЕМ ПРЕДОТВРАЩЕНИЯ АТАК НА

кой червь 4 раза «обогнет» всю сеть, прежде чем

ствия: автоматически блокировать трафик, уведо-

УРОВНЕ ОПЕРАТОРА СВЯЗИ, СКАНИРОВАНИЕ КОМ -

его «засекут» антивирусные сторожа.

млять администратора и т.п. По такому принципу

ПЬЮТЕРОВ.

Рекомендация однократного обновления

действует, например, система Cisco Service Con-

другие атаки. Мы перечислили лишь малую

родилась в то время, когда об интернете никто и

trol Engine. Разумеется, в данном случае суще-

толику тех атак, которые нам угрожают в ближай-

не думал, а основной парк вычислительной тех-

ствует проблема ложных срабатываний, но она

шем будущем. В среднесрочной перспективе нам

ники составляли автономные компьютеры, никак

решается гораздо проще, чем в случае с тради-

придется задумываться о защите получающих все

между собой не связанные. Обмен информацией

ционными методами защиты от спама.

большее распространение беспроводных устрой-

происходил на 5-дюймовых дискетах, програм-

Возможно, со временем ситуация суще-

ствах — КПК, смартфонах, мобильных телефонах,

мное обеспечение не обновлялось годами и ви-

ственно улучшится, но пока приходится констати-

лэптопах и т.п. Они перестанут быть модной иг-

русной эпидемией считалось распространение

ровать, что спамеры более изобретательны, чем

рушкой и прочно войдут в арсенал большинства

обычного загрузочного вируса в рамках одного

их оппоненты. Спам исчез бы сам, если бы мы, ря-

деловых людей. А значит, у злоумышленников по-

отдела в течение нескольких недель. Тогда обно-

довые пользователи, перестали бы покупать ре-

явится новая цель приложения сил. Учитывая не-

вление антивируса «один раз в день» считалось

кламируемые товары. Но, согласно статистике

большие размеры данных устройств и нехватку

колоссальным достижением, которое должно бы-

компаний Mirapoint и Radicati Group, 11% пользо-

ресурсов, можно быть уверенным, что эффектив-

ло свести на нет все усилия вредоносных про-

вателей приобретают товары и услуги, реклами-

ные средства защиты для мобильных устройств

грамм. С тех пор много воды утекло, компьютеры

руемые в массовых рассылках. Значит, спрос на

будут разработаны нескоро.

объединились не только в локальные, но и в гло-

них есть. А пока есть спрос, будет и предложение.

Другая проблема связана с портативными

бальные сети, скорости обмена информации воз-

DNS и другие инфраструктурные атаки. Как и

устройствами, которые могут служить как кана-

росли многократно (когда-то считалось крупным

в случае со спамом, spyware-коммерция управля-

лом утечки информации, так и каналом проникно-

достижением выйти в интернет на скорости

ет и многими другими атаками, например, на DNS.

вения угрозы в защищаемую сеть. Если КПК или

14400 бод, а сегодня не хватает 7-мегабитного

Зачем ломать какой-либо сайт, когда можно под-

смартфон еще можно как-то защитить, то что де-

ADSL-канала). А вот рекомендация обновлять

менить запись в таблице DNS, что позволит пере-

лать с флешками, iPod’ами, цифровыми камера-

свои антивирусы один раз в день почему-то оста-

направить весь трафик на подставной IP-адрес.

ми и другими портативными устройствами — не

лась. Даже обычные человеческие лекарства на-

Серьезную проблему этот вид нападений предста-

совсем понятно. Установить средства защиты на

до принимать не один, а 2-3 раза в день (гоме-

вляет потому, что от него не спасают ни межсете-

них не всегда возможно, а вот защищать их надо

опатию и того чаще — каждый час при первых

вые экраны, ни системы предотвращения атак, ко-

обязательно.

симптомах заболевания).

торые устанавливаются перед защищаемым сай-

Не менее актуальными через несколько лет

Аналогичные действия надо производить и

том. Более того, эти средства даже не зафиксиру-

станут атаки на IP-телефонию (протоколы SIP и

для защиты компьютерного организма — очищать

ют данную атаку, так как последние направлены

H.323), технологии RFID, SOA, XML, SOAP и мно-

свою систему защиты от вредоносных программ

не на сам защищаемый сайт, а на систему, его об-

гие другие. Но, к счастью, пока эти новые стандар-

надо как можно чаще. Хотя, разумеется, переги-

служивающую.

ты не так распространены в мире, и у разработчи-

бать палку тоже не стоит. Если производитель ан-

Аналогичная ситуация может возникнуть,

ков средств защиты есть время для разработки

тивируса не выпускает обновления своего продук-

когда атака направлена на сетевое оборудование

действенных методов противодействия. А пока

та чаще, чем раз в день, то и настраивать куплен-

(маршрутизаторы и коммутаторы), через которые

нам остается бороться с уже ставшими привычны-

ный антивирус на проверку новых сигнатур по нес-

проходит трафик. Недооценка данной проблемы

ми нападениями и угрозами, не забывая при этом

кольку раз в день тоже не стоит — это будет лиш-

может привести к изменению маршрутов следова-

о правильном применении средств защиты.

ней тратой ресурсов.

ния сетевых пакетов (а значит, их перехвату и воз-

финальная рекомендация. Говоря о правиль-

Надо знать не только то, что грозит нам в бли-

можной модификации) и даже их блокированию,

ном применении, нельзя не упомянуть один доста-

жайшем будущем, но и уметь защищаться от того,

что повлечет за собой «отказ в обслуживании».

точно важный аспект. Речь идет об обновлении

с чем приходится сталкиваться уже сегодня

СПОСОБЫ ЗАЩИТЫ: ВСТРОЕННЫЕ МЕХАНИЗМЫ

средств отражения атак (антивирусов, IPS, антис-

ЗАЩИТЫ ИНФРАСТРУКТУРНОГО ОБОРУДОВАНИЯ, ПРА-

пама, контроля содержимого и т.д.). Нередко при-

www.ifap.ru/as/050524d1.pdf

ВИЛЬНЫЙ ДИЗАЙН ЯДРА СЕТИ ОПЕРАТОРА СВЯЗИ,

ходится видеть, что пользователи обновляют свои

тестирование российских систем

«Спамтест» и «Спамооборона»

ИСПОЛЬЗОВАНИЕ СИСТЕМ ПРЕДОТВРАЩЕНИЯ АТАК

антивирусные программы (это же касается обно-

www.kaspersky.ru/removaltools

НА УРОВНЕ ОПЕРАТОРА СВЯЗИ.

влений систем обнаружения атак, антиспамовых

утилиты для устранения наиболее опасных вирусов

ботнеты. Если заговорили о DoS-атаках, то

систем и т.п.) один раз в день — как правило,

от «Лаборатории Касперского», причем бесплатно

нельзя не вспомнить о ботнетах, которые выводят

утром, в момент загрузки компьютера. Достаточ-

www.spamcop.net

спам и DoS-атаки на новый уровень. Если раньше

но ли этого? Можно с уверенностью сказать, что

один из популярных и часто используемых спам-листов

для автоматической блокировки мусора, который

злоумышленнику приходилось бояться, что его

нет. Ежедневно появляется 30-50 новых вирусов,

усредно шлют на почту спаммеры

обнаружат, когда он будет реализовывать нападе-

которые начинают распространяться по сетям и за-

www.antispam.ru

ние со своего компьютера, то сегодня ситуация из-

ражать все новые и новые жертвы. Если ты обно-

проект компании «Зенон Н.С.П.» — максимум информации

по теме спама: полезные советы, статьи, программы и много

менилась. Достаточно арендовать ботнет из тыся-

вляешь свою антивирусную базу один раз в день,

не менее интересных ссылок