інсайдер - radfiz.org.ua
Download
Report
Transcript інсайдер - radfiz.org.ua
Chapter 9: Security
Основи безпеки
IT Essentials: PC Hardware and Software v4.0
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
1
Chapter 9 Objectives
9.1 Пояснення причин важливості питань безпеки.
9.2 Опис загроз безпеці.
9.3 Знайомство з процедурами забезпечення
безпеки.
9.4 Знайомство зі стандартними процедурами
профілактичного обслуговування, спрямованими на
забезпечення безпеки.
9.5 Усунення несправностей в системі забезпечення
безпеки.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
2
Chapter 9 Worksheets and Activity
9.1 Worksheet: Security Attacks
9.2.1 Worksheet: Third-Party Anti-Virus Software
9.2.3 Activity: Adware, Spyware, and Grayware
9.4.2 Worksheet: Operating System Updates
9.5.6 Worksheet: Gather Information from the Customer
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
3
The Importance of Security
Приватна інформація, секрети
компанії, фінансові дані,
комп'ютерна техніка та
елементи національної безпеки
поставлені під загрозу, якщо не
дотримувалися належних
заходів безпеки.
Основні обов'язки інженера
включають безпеку даних і
безпеку мереж.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
4
Security Threats
Типи загроз системі безпеки комп'ютера:
Фізична загроза
події і атаки, які призводять до крадіжки, пошкодження або руйнування
обладнання, наприклад, сервери, комутатори і проводка.
Загроза даними
події або атаки, які призводять до видалення, псування, відмови в доступі або
крадіжки даних.
Загроза безпеки може виходити зсередини чи ззовні організації, а рівень
потенційних пошкодження може істотно варіюватися :
Внутрішня загроза - співробітники мають доступ до даних, обладнання та мережі.
Зловмисні загрози мають місце в тому випадку, якщо працівники мають намір
завдати шкоди.
Випадкові загрози мають місце в тому випадку, якщо користувач пошкоджує дані
або обладнання ненавмисно.
Зовнішні - користувачі зовні організації, які не мають санкціонованого доступу до
мережі або ресурсів.
Неструктуровані - зловмисники використовують наявні ресурси, такі як паролі або
сценарії, для одержання доступу та запуску програм, призначених для зловмисних
дій.
Структуровані - зловмисники використовують код для доступу до операційних
систем і програмного забезпечення.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
5
Внутрішні загрози
Сьогодні найбільш небезпечною загрозою IT-безпеки є витік
корпоративних секретів, про що свідчать тенденції розвитку галузі,
результати опитувань компаній, аналізу ринку і наукові дослідження з
даної теми.
До внутрішніх загроз належать будь-які дії з інформацією, які порушують
хоча б один з постулатів інформаційної безпеки (цілісність, доступність і
конфіденційність), виходять зсередини інформаційної системи компанії і
завдають шкоди компанії.
будь-які порушення правил і процедур внутрішньої безпеки мережі, здатні призвести до крадіжки даних;
неавторизований пошук / перегляд / зміна / знищення конфіденційних даних;
підбір паролів до облікових записів, установка користувачами всередині мережі шкідливих програм;
цілеспрямований «злив» інформації на зовнішні накопичувачі HDD, USB Flash, Card-reader, запис на
CD / DVD з метою винесення інформації за межі компанії;
крадіжка обчислювальної техніки, на якій є конфіденційні дані: ноутбуки, жорсткі диски, кишенькові
комп'ютери та ін;
крадіжка корпоративної бази даних цілком або частково;
неавторизована установка зсередини мережі бездротових мережевих з'єднань з метою зовнішнього
доступу до даних;
роздруківка важливих документів на принтері з метою винести тверду копію за межі компанії.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
6
Внутрішні загрози
Витік даних безпосередньо пов'язаний з операційними ризиками
бізнесу. У результаті витоку, компанія може сильно постраждати:
втратити клієнтів, якщо втекла клієнтська база даних;
позбутися технологій, якщо витекли технологічні секрети;
якщо втекла фінансова інформація, то будуть незадоволені засновники
та інвестори;
невідповідність вимогам держави та різних органів до захисту даних
користувачів може призвести до відкликання ліцензії на право
здійснення діяльності.
Але ще гірше, що компанія може втратити ділову репутацію в особі
своїх контрагентів, і, як наслідок призупинити або взагалі припинити
діяльність.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
7
Інсайдер
Ключовим персонажем в інциденті, пов'язаних з витоком інформації, є інсайдер
- конкретна людина. Існує кілька основних портретів таких людей.
Недбалий інсайдер
«Халатний» інсайдер є найбільш поширеним типом внутрішнього порушника. Як
правило, такі співробітники відповідають образу службовця рядового складу,
часто вкрай неуважного. Його порушення щодо конфіденційної інформації
носять немотивований характер, не мають конкретних цілей, наміру, користі.
Ці співробітники створюють незловмисні загрози, тобто вони порушують
правила зберігання конфіденційної інформації, діючи з кращих спонукань.
Найбільш часті інциденти з такими порушниками - винесення інформації з офісу
для роботи з нею вдома, у відрядженні і т.д., з подальшою втратою носія або
доступу членів родини до цієї інформації. Незважаючи на добрі наміри, збиток
від таких витоків може бути нітрохи не менше, ніж від промислових шпигунів.
Зіткнувшись з неможливістю здійснити копіювання інформації, цей тип
порушників буде діяти за інструкцією - звернеться по допомогу до колег або
системного адміністратора, які пояснять йому, що виніс інформації за межі
офісу заборонено. Тому проти таких порушників дієвими є прості технічні засоби
запобігання каналів витоку - контентна фільтрація вихідного трафіку в поєднанні
з менеджерами пристроїв введення-виведення.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
8
Інсайдер
Маніпульований інсайдер.
Поширений сценарій такого інциденту виглядає наступним чином. В офісі лунає
дзвінок від директора існуючої філії, який дуже впевнено і відкрито
представляється, виключно правдоподібно описує проблему, пов'язану з
неможливістю доставки пошти в мережу філій (тимчасові технічні труднощі) і
просить переслати йому деяку інформацію на його особистий ящик де-небудь у
публічній поштовій службі. У співробітника навіть не виникає підозри, що той,
що дзвонив зовсім не є тим, ким він представився, настільки переконливо
звучали його слова. І в лічені хвилини на вказану адресу відправляється
запитана інформація, що представляє строго конфіденційні дані. Ким насправді
був той, що дзвонив - залишається тільки здогадуватися. Ясно одне, що він був
дуже зацікавлений в отриманні цих даних. І ясно, що не в самих благих цілях.
Оскільки маніпульовані та недбалі співробітники діють зі свого розуміння
«блага» компанії (виправдовуючись тим, що іноді заради цього блага потрібно
порушити «дурні» інструкції, які тільки заважають ефективно працювати), два
цих типи порушників іноді об'єднують в тип «незловмисних». Але шкода не
залежить від намірів, зате від намірів залежить поведінка порушника в разі
неможливості здійснити дію. Як лояльні співробітники, ці порушники,
зіткнувшись з технічним блокуванням їх спроб порушити регламенти зберігання
і руху інформації, звернуться за допомогою до колег, технічного персоналу або
керівництва, які можуть вказати їм на неприпустимість запланованих дій.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
9
Інсайдер
Наступна група порушників - зловмисні. На відміну від
співробітників, описаних вище, вони усвідомлюють, що
своїми діями завдають шкоди компанії, в якій працюють. За
мотивами ворожих дій, які дозволяють прогнозувати їх
поведінку, вони поділяються на чотири типи - «ображені»,
«нелояльні», «підробляють» і «впроваджені».
Ображені інсайдери
«Ображені» - це співробітники, які прагнуть завдати шкоди
компанії з особистих мотивів. Найчастіше мотивом такої
поведінки може бути образа через недостатню оцінки їх ролі
в компанії - недостатній розмір матеріальної компенсації,
неналежне місце в корпоративній ієрархії, відсутність
елементів моральної мотивації або відмову у виділенні
корпоративних статусних атрибутів (ноутбука, автомобіля,
секретаря).
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
10
Інсайдер
Підробляючі інсайдери
Однак якщо ще до викрадення інформації ображений або нелояльний
співробітник вийде на потенційного «покупця» конкретної інформації, будь то
конкурент, преса, кримінальні структури або спецслужби, він стає найбільш
небезпечним порушником - мотивованим ззовні. Тепер його подальша доля робота, добробут, а іноді життя і здоров'я прямо залежать від повноти та
актуальності інформації, яку він зможе викрасти. «Підробляючі» і
«впроваджені» порушники - це співробітники, мету яких визначає
замовник викрадення інформації. В обох випадках інсайдери прагнуть
якомога надійніше завуалювати свої дії (принаймні, до моменту успішного
розкрадання), проте мотивація їх все ж таки відрізняється. «Підробляючий» тип
охоплює досить широкий пласт співробітників, що вступили на шлях
інсайдерства з різних причин. Сюди включаються люди, які вирішили
«подхалтурити» на пару тисяч, яких їм не вистачає для покупки автомобіля.
Непоодинокі випадки інсайдерів мимоволі - шантаж, здирництво ззовні
буквально не залишають їм вибору і змушують виконувати накази третіх сторін.
Саме тому «підробляюючі» можуть робити найрізноманітніші дії при
неможливості виконання поставленого завдання. Залежно від умов вони
можуть припинити спроби, імітувати виробничу необхідність, а в найбільш
важких випадках піти на злом, підкуп інших співробітників, щоб отримати доступ
до інформації будь-якими іншими способами.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
11
Інсайдер
Заслані інсайдери
Небезпека цього типу порушників полягає в тому, що у разі технічних обмежень на виніс
інформації за межі корпоративної інформаційної мережі, «роботодавці» можуть
забезпечити його відповідними пристроями або програмами для обходу захисту.
З шпигунських трилерів часів холодної війни добре відомий останній тип внутрішніх
порушників - «засланий». У сучасних умовах до таких методів все частіше вдаються не
тільки для державного шпигунства, але також для промислового. Типовий приклад з
практики. Системному адміністратору великої компанії надходить дуже приваблива
пропозиція про перехід на іншу роботу. Багато грошей, чудовий соціальний пакет, гнучкий
графік роботи. Відмовитися неможливо. Одночасно в HR-службу надходить блискуче
резюме схожого фахівця, від якого також неможливо відмовитися. Цей фахівець
пропонується як заміна системного адміністратора (на зразок того, що це входить в
комплект послуг рекрутингового агентства). Поки перший здає справи, другий швидко
отримує доступ до конфіденційної інформації і зливає її замовнику. Після цього сліди
агентства та спеціаліста губляться - вони просто випаровуються. Компанія залишається
без корпоративних секретів, а системний адміністратор без роботи.
Небезпека цього типу порушників полягає в тому, що у разі технічних обмежень на виніс
інформації за межі корпоративної інформаційної мережі, «роботодавці» можуть
забезпечити його відповідними пристроями або програмами для обходу захисту. І
«впроваджений» порушник піде до кінця, щоб отримати дані. У його арсеналі будуть самі
витончені засоби і великий професійний досвід злому.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
12
попередити і запобігти діям інсайдера
Застосування наступних практичних порад дозволить організаціям зорієнтуватися
в різноманітних методах попередження крадіжки даних і пом'якшити ризик
витоку інформації:
Періодично проводьте аудит ризиків ІТ-безпеки
Для компаній вкрай складно визначити правильний баланс між довірою до своїх
співробітниками і захистом від них же. Компанія повинна захищати себе від
внутрішніх взломів нарівні з зовнішніми посяганнями шляхом слідування
принципам управління інформаційними ризиками:
- спочатку потрібно оцінити наявну інфраструктуру, визначити критичні
інформаційні активи;
- встановити поточні можливі загрози та вразливості, тобто створити модель
загроз для компанії;
- оцінити можливі грошові збитки внаслідок витоку;
- виробити стратегію управління, продумати план негайного реагування.
Важливо пам'ятати, що уникнути ризику повністю не можна. Зменшення ризику
означає знаходження золотої середини між безпечною роботою компанії та
ефективністю бізнесу.
Навчайте співробітників основам інформаційної безпеки
У компанії має бути й розвиватися культура навчання співробітників основам
інформаційної безпеки.
У компанії має бути й розвиватися культура навчання співробітників основам
інформаційної безпеки. Співробітники повинні розуміти, що таке політики,
процедури і навіщо їх треба дотримуватися при роботі, які засоби захисту
використовуються в мережі. Перша лінія захисту від інсайдерів - це
поінформовані співробітники.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
13
попередити і запобігти діям інсайдера
Розмежовувати посадові обов'язки і права доступу до даних
Якщо всі співробітники компанії досить добре навчені принципам
безпеки, і відповідальність за критичні функції розподілена між
співробітниками, ймовірність змови між людьми з метою крадіжки цінних
відомостей різко знижується. Таким чином, ефективне розмежування
бізнес-обов'язків і привілеїв при роботі з інформацією призводить до
того, що кожен працює тільки з тими документами, з якими повинен. Не
забувайте, що максимальна кількість процедур має бути
автоматизовано.
Введіть суворі політики управління обліковими записами та
паролями
Незважаючи на те, що всі співробітники компанії лояльні та вкрай
пильні, якщо облікових записів в комп'ютерної мережі будуть
упорядочені, інсайдер отримає в свої руки всі інструменти підміни своїх
дій і зможе вкрасти дані і, при цьому, не засвітитися.
Підсильте аутентифікацію та авторизацію в мережах
Користувачі, що працюють з важливими даними, повинні пройти
аутентифікацію та авторизацію при доступі до інформаційних ресурсів.
Не нехтуйте простими і старими способами захисту інформації, а також
впроваджуйте все більш досконалі засоби, особливо анти-інсайдерські
засоби «останнього ешелону».
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
14
Попередити і запобігти діям інсайдера
Проведіть моніторинг і збір логів дій співробітників в режимі реального часу
Поряд з довірою до співробітників не нехтуйте моніторингом підозрілою і небезпечною активності, що
може іноді виникати на робочих місцях користувачів. Наприклад, сильно збільшився внутрішній
мережевий трафік, зросла кількість запитів до корпоративної бази даних, сильно збільшилися витрату
тонера або паперу. Ці та багато інших подій повинні фіксуватися й розбиратися, тому що за ними також
може ховатися атака або підготовка до атаки на дані.
Уважно проводите зовнішній моніторинг системних адміністраторів і привілейованих
користувачів
Зазвичай в компаніях проводять вибірковий моніторинг користувачів, використовуючи засоби
віддаленого робочого столу, URL-фільтрації та систем підрахунку трафіку, але також важливо не
забувати, що і відповідальний може бути в змові і здійснювати крадіжку даних. Тому ефективний захист
від інсайдера повинен знаходитися вище привілейованих користувачів і системних адміністраторів.
Активно захищайтеся від шкідливого коду хорошими антивірусними продуктами, які
використовують не тільки сигнатурні методи, а й попереджають проактивні технології.
Використовувати захист від віддалених атак і спроб злому. Бажано, щоб захист був багаторівневим:
хоча-б на рівні контролю користувача додатків і на рівні мережевих пакетів.
Впроваджувати резервне копіювання і процедури відновлення даних. У випадку втрати даних,
завжди є можливість відновити вихідні дані.
Здійснюйте тематичну фільтрацію вихідного мережевого трафіку. Електронна пошта, швидкі
повідомлення ICQ, веб-пошта, постінги на форуми, блоги та інша інтернет-активність повинна
перевірятися на предмет витоку даних.
Встановіть політики роботи з периферійними, змінними та мобільними пристроями, на які можна
записати і понести конфіденційний документ (FDD, CD / DVD RW, Cart Reader), що приєднуються за
різними шинам (USB і PCMCIA). Важливо не забути і бездротові мережі (IrDA, Bluetooth, WiFi).
Для швидкої перевірки потік документів, що відсилаються на друк, щоб запобігти крадіжці документів
у твердій копії.
Фільтр всі запити до баз даних на наявність в них небезпечних запитів (які витягають секретні
відомості).
PC v4.0
ITE
Шифруйте
критичну інформацію на блокових пристроях і на ноутбуках.
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
15
Viruses, Worms, and Trojan Horses
Комп'ютерні віруси свідомо створюються і розсилаються атакуючими. Вірус
прикріплюється до невеликих елементів комп'ютерного коду, програмного забезпечення
або документів. Вірус виконується під час запуску програмного забезпечення на
комп'ютері. Якщо вірус поширюється на інші комп'ютери, то вони теж можуть стати
переносниками вірусу.
Вірус -- це програма, написана зі злим умислом, яка розсилається атакуючими. Вірус
переноситься на інший комп'ютер за допомогою електронної пошти, передачі файлів і
обміну миттєвими повідомленнями. Вірус ховається, прикріплюючи себе до файлу на
комп'ютері. При відкритті файлу вірус активується і заражає комп'ютер. Вірус може
пошкодити або навіть видалити файли з комп'ютера, використовувати електронну пошту
для поширення самого себе на інші комп'ютери або навіть пошкодити весь жорсткий диск.
Хробак (worm) -- це самовідтворювана програма, що несе небезпеку для мереж. Черв'як
використовує мережу для дублювання свого коду на вузли мережі, часто без будь-якого
втручання користувача. Він відрізняється від вірусу тим, що черв'якові не потрібно
прикріплятися до програми для ураження вузла. Навіть якщо черв'як не пошкоджує дані
або програми на сайтах, які він заражає, він небезпечний для мереж, тому що займає
смугу пропускання.
З технічної точки зору троян (Trojan horse) є хробаком. Троян не потрібно прикріплювати
до іншого програмного забезпечення. Замість цього троян ховається в програмі, яка має
виконувати одну функцію, а насправді приховано виконує зовсім іншу. Трояни часто
маскуються під корисне програмне забезпечення. Програму "троян" можна відтворювати
подібно вірусу і передавати на інші комп'ютери. Пошкодження комп'ютерних даних і втрата
продуктивності можуть бути істотними.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
16
Web Security
Оскільки щоденно всесвітню павутину відвідує велика кількість людей, веббезпека має велику важливість. Деякі функціональні можливості, що роблять
всесвітню павутину корисною та цікавою, також можуть нести в собі загрозу
комп'ютера.
ActiveX
технологія, створена Microsoft для
управління інтерактивністю веб-сторінок.
Якщо на сторінці є елемент ActiveX, необхідно
завантажувати аплет або невелику програму
для отримання доступу до всіх функцій.
Java
мова програмування, що дозволяє
виконувати аплети в межах веб-браузера.
Як приклади аплетів можна назвати
калькулятор або лічильник.
JavaScript
ITE PC v4.0
Chapter 9
мова програмування, розроблена для
взаємодії з вихідним HTML-кодом для того,
щоб веб-сайти стали інтерактивними.
Як приклад можна назвати банер або
спливаюче вікно.
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
17
Adware, Spyware, and Grayware
Атакуючі можуть використовувати будь-який з цих
інструментів для установки програми на комп'ютери. Щоб
перешкодити цим атакам, в більшості браузерів є
настройки, які примушують користувача комп'ютера
завантажувати або використовувати елементи ActiveX,
Java або JavaScript.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
18
Визначення рекламного, шпигунського і
небажаного ПЗ
Рекламне ПЗ - це реалізована програма, яка відображає рекламу на комп'ютері.
Рекламне ПЗ звичайно поширюється з завантаженим програмним забезпеченням.
Найчастіше рекламне ПЗ відображається у спливаючих вікнах. Рекламні спливаючі
вікна іноді важко піддаються управлінню, і вони відкриваються швидше, ніж користувачі
можуть закрити їх.
Небажане ПЗ або шкідливі програми - це файл або програма, яка відрізняється від
вірусу, який є потенційно небезпечнішим. Атаки небажаного ПЗ є атаками фішингу, які
призначені для того, щоб користувач, не знаючи про це, надав атакуючим доступ до
персональних даних. Коли ви заповнюєте інтерактивну форму, дані передаються
атакуючому. Видалення шкідливого ПЗ можна виконати за допомогою інструментів для
видалення шпигунського та рекламного ПЗ.
Шпигунське ПЗ - це різновид небажаного ПЗ, аналогічного рекламному. Воно
поширюється без відома або втручання користувача. Після установки шпигунська
програма контролює діяльність комп'ютера. Після цього шпигунська програма
відправляє дані в компанію шпигунів.
Фішинг - це різновид атаки типу "соціальна інженерія", коли атакуючі намагаються
видати себе за уповноважену сторонню організацію, наприклад, банк. До потенційної
жертви звертаються по електронній пошті. Атакуючий може попросити підтвердити
інформацію, наприклад, пароль або ім'я користувача, для того, щоб запобігти можливим
жахливим наслідкам, які можуть відбутися.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
19
Фишинг (phishing)
Фішинг (англ. phishing, від fishing - рибна ловля, вивудження і password - пароль) - вид інтернетшахрайства, мета якого - отримати особисті дані користувачів. Сюди відносяться крадіжки паролів,
номерів кредитних карт, банківських рахунків і іншої конфіденційної інформації.
Фішинг - поштові підроблені повідомлення від банків, провайдерів, платіжних систем та інших
організацій про те, що з якої-небудь причини одержувачу терміново потрібно передати / оновити особисті
дані. Причини можуть називатися різні. Це може бути втрата даних, поломка в системі та інше.
Атаки фішерів стають все більш продуманими, застосовуються методи соціальної інженерії. Але в будьякому випадку клієнта намагаються налякати, придумати критичну причину для того, щоб він видав свою
особисту інформацію. Як правило, повідомлення містять загрози, наприклад, заблокувати рахунок у
випадку невиконання одержувачем вимог, викладених у повідомленні ( «якщо ви не повідомите ваші дані
протягом тижня, ваш рахунок буде заблоковано»). Забавно, але часто як причину, по якій користувач
нібито повинен видати конфіденційну інформацію, фішери називають необхідність поліпшити
антіфішингові системи ( «якщо хочете убезпечити себе від фішингу, пройдіть по цьому посиланню і
введіть свій логін і пароль»).
Фішингові сайти, як правило, живуть недовго (в середньому - 5 днів). Так як анти-фішингові фільтри
досить швидко отримують інформацію про нові загрози, Фішеру доводиться реєструвати все нові і нові
сайти. Зовнішній вигляд їх залишається незмінний - він співпадає з офіційним сайтом, під який
намагаються підробити свій сайт шахраї.
Характерною особливістю фішингових листів є дуже високу якість підробки. Адресат отримує лист з
логотипами банку / сайту / провайдера, що виглядають в точності так само, як справжні. Нічого не
підозрюючи користувач переходить за посиланням «Перейти на сайт і залогіньтеся», але потрапляє
насправді не на офіційний сайт, а на його фішерський аналог, виконаний з високою точністю.
Ще однією хитрістю фішерів є посилання, дуже схожі на URL оригінальних сайтів. Адже досить
користувачеві звернути увагу на те, що в командному рядку браузера висвічується посилання,
абсолютно відмінне від легітимного сайту. Такі «ліві» посилання теж зустрічаються, але вони розраховані
на менш досвідченого користувача. Часто вони починаються з IP-адреси, хоча відомо, що справжні
солідні компанії давно не використовують подібні посилання.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
20
Фишинг (phishing)
Тому фішингові URL часто схожі на справжні. Вони можуть включати в себе назву цього
URL, доповнене іншими словами. Також останнім часом популярний фішингових прийом посилання з точками замість слеш, зовні дуже схоже на справжнє.
Також в самому тілі листа може висвітлюватися посилання на легітимний сайт, але
реальний URL, на який вона посилається, буде іншим. Пильність користувача
притупляється ще тим, що в листі може бути декілька другорядних посилань, що ведуть на
офіційний сайт, але основне посилання, по якому користувачеві треба пройти і
залогіньтеся, веде на сайт шахраїв.
Іноді особисті дані пропонується ввести прямо в листі. Треба пам'ятати, що жоден банк
(або інша організація, яка запитує конфіденційну інформацію) не буде цього робити так
само.
Технології фішерів удосконалюються. Так, з'явилося поєднане з фішингом поняття –
фармінг (“pharming"- похідне від слів"phishing“ і англ."farming "- заняття сільським
господарством, тваринництвом). Це теж шахрайство, що ставить за мету отримати
персональні дані користувачів, але не через пошту, а прямо через офіційні веб-сайти.
Фармери замінюють на серверах DNS цифрові адреси легітимних веб-сайтів на адреси
підроблених, внаслідок чого користувачі перенаправляються на сайти шахраїв. Цей вид
шахрайства ще небезпечніший, так як помітити підробку практично неможливо.
Найбільш популярні фішерські мішені - аукціон Ebay і платіжна система PayPal. Також
страждають різні банки по всьому світу. Атаки фішерів бувають випадковими і цільовими. У
першому випадку атака проводиться «навмання». Атакують найбільш великі й популярні
об'єкти - такі як аукціон Ebay - тому що ймовірність того, що випадковий одержувач має там
обліковий запис, досить висока. У другому випадку шахраї дізнаються, яким саме банком,
платіжною системою, провайдером, сайтом користується адресат. Цей спосіб більш
складним і витратним для фішерів, зате більше шансів, що жертва купиться на провокацію.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
21
Фишинг (phishing)
Фішингові листи в третьому кварталі 2009 року склали
близько 1% (0,99%) всіх електронних листів.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
22
Denial of Service (DoS)
Відмова в обслуговуванні
форма атаки, що перешкоджає доступу користувача до звичайних
службам, таким як електронна пошта і веб-сервер, оскільки система
перевантажена і не може відгукуватися на аномально велику кількість
запитів.
провадиться розсилання запитів до системи, кількості яких достатньо
для того, щоб служба виявилася перванаженою і припинила роботу.
Ping of Death - Пінг смерті - ряд повторюваних, більших, ніж
звичайно, ехо-запитів, які ушкоджують приймає комп'ютер.
E-mail Bomb - Поштова атака - велика об'єм електронної пошти,
яке переповнює поштовий сервер і перешкоджає доступу
користувачів до нього.
Distributed DoS - Розподілена відмова в обслуговуванні - це ще
одна форма атаки, для запуску якої використовується багато
уражених комп'ютерів, що іменуються зомбі (zombies). Метою такої
атаки є намір перешкодити або заборонити доступ до цільового
сервера. Комп'ютер-зомбі розташовані в різних географічних регіонах,
що ускладнює відстеження походження атаки.
23
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
Spam and Popup Windows
Спам і спливаючі вікна
Spam Спам, також відомий під назвою "небажана пошта" - розсилка
без запиту електронної пошти. У більшості випадків спам
використовується як спосіб реклами. Однак спам можна
використовувати для відправлення шкідливих посилань.
Посилання на інфікований веб-сайт або вкладення, що може
інфікувати комп'ютер. У результаті відкриття таких посилань або
вкладень на екрані може з'явитися велика кількість вікон, які будуть
відволікати увагу користувача і відводити його на рекламні сайти.
Такі вікна називаються спливаючими (Popups are windows).
Антивірусні і поштові програми автоматично видаляють спам з
поштової скриньки. Тим не менше, якась частина спаму може
проникнути в ящик, тому для її виявлення керуйтеся наступними
ознаками:
- відсутня тема повідомлення,
- немає адреси відправника,
- відповіді на повідомлення електронної пошти, не відправлялися
користувачем
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
24
Spam
«Спам» - це складноскорочене слово. Утворилося воно від усіченого «spiced
ham» - «шинка зі спеціями», «ковбаса з перчиком», «перчена шинка». Тому
прямим перекладом англійського «spam» можна вважати щось на кшталт
«спешинка» - «спеції» плюс «шинка».
Історія цієї «шинки» така: у 1937 році американська фірма «Hormel Foods»
випустила ковбасний фарш із «неліквідного» м'яса третьої свіжості.
Малоапетитний продукт американці не стали купувати, тому господар
корпорації містер Хормель розгорнув масштабну маркетингову кампанію,
широко розрекламував свій продукт і почав постачати свої консерви у військові
відомства і флот.
Термін «спам» в новому значенні (нав'язливою електронної розсилки,
поштового сміття) з'явився в 1993 році. Адміністратор комп'ютерної мережі
Usenet Річард Депью написав програму, помилка якої 31 березня 1993
спровокувала відправку двох сотень ідентичних повідомлень до однієї з
конференцій. Його незадоволені співрозмовники швидко знайшли відповідну
назву для нав'язливих повідомлень - «спам».
Cпам (незапрошена користувачем інформація) залежно від цілей і завдань
відправника (спамера) може містити комерційну інформацію або не мати до
неї ніякого відношення. Таким чином, за змістом повідомлення розрізняють
«комерційний» спам - «unsolicited commercial e-mail» (загальноприйнята
абревіатура - UCE) і «некомерційний» - «unsolicited bulk e-mail» (UBE).
Згідно з визначенням «Лабораторії Касперського», спам - це анонімне масове
непрохане розсилання.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
25
Шкода від спаму
Навантаження на комунікації. Спам засмічує канали зв'язку, створює трафік,
оплачувати який доводиться або провайдеру, або користувачеві (самому чи
роботодавцю, якщо мова йде про робочий поштовій скриньці). Ще три роки
тому президент Асоціації документального електрозв'язку Олександр Іванов
оцінив збитки від спаму операторів мережі Інтернет в 55 млн. доларів США. І
це тільки витрати на трафік. Але ж є ще фізичні потужності - поштові сервери,
що приймають та обробляють це сміття. Є фахівці, які ці сервери
обслуговують. Ця інфраструктура теж коштує грошей.
Втрата часу. Якщо спам добрався до кінцевого поштової скриньки, то його
власник буде змушений вручну вичищати сміттєву пошту. Співробітник, який
читає в день 10-20 листів з роботи, разом з ними може отримати 160-180
спамерських повідомлень. Час, витрачений на видалення спаму - а це 5-6
годин на місяць, - буде втрачено з робочого процесу, і воно ж буде оплачено з
кишені роботодавця.
Роздратування і невдоволення. Видаляючи спам, користувач по суті працює
прибиральницею, тільки «електронної» - вигрібає сміття. Це не може його не
дратувати, ось і ще один негативний чинник - емоційний.
Випадкова втрата потрібного листа в пачці спаму. Коментарі в даному
випадку зайві - хто хоч раз стикався з такою ситуацією, все зрозуміє.
Криміналізація спаму.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
26
Еволюція спаму
Еволюція методів розсилки спаму
Еволюція змісту листів
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
27
Еволюція методів розсилки спаму
Прямі розсилки
Спам починався з прямих розсилок - спамери розсилали повідомлення від власного імені з власних
поштових серверів. Такий спам блокується достатньо просто (за адресою поштового сервера або
адресою відправника). Як тільки такі блокування стали поширеними, спамери були вимушені почати
підробляти адреси відправників та іншу технічну інформацію.
Розсилання через «відкриті релеї»
Відкритий релей (open relay) - це поштовий сервер, який дозволяє довільному користувачеві
безпідставного відправити електронний лист на довільний адресу. У середині 90-х років усі поштові
сервери були відкриті релеї, тому знадобилося змінювати і переналаштовувати програмне
забезпечення на всіх поштових серверах світу. Не всі адміністратори поштових систем робили це
досить швидко, тому з'явилися сервіси пошуку «відкритих Релеїв», а потім і їх списки (в тому числі
засновані на технології DNS списки реального часу - RBL, realtime blackhole list) і блокування прийому
пошти з таких машин. На сьогоднішній день цей метод розсилки все ще застосовується, тому що
відкриті релеї досі існують.
Розсилання з модемних пулів
Як тільки розсилки через відкриті релеї перестали бути ефективними, спамери почали застосовувати
розсилку з dialup-підключень, використовуючи наступні можливості:
- як правило, поштовий сервер провайдера приймає пошту від своїх клієнтів і пересилає її далі;
- dialup-підключення отримує динамічний (змінюється після кожного нового з'єднання) IP-адрес, таким
чином, спамер може розсилати пошту з безлічі IP-адрес.
У відповідь провайдери почали вводити ліміти на кількість листів, надісланих від одного користувача,
з'явилися чорні списки dialup-адрес і блокування прийому пошти з «чужих» модемних пулів.
Розсилання з proxy-серверів
На початку 2000-х років одночасно з поширенням високошвидкісних підключень (ADSL, Cable) спамери
почали використовувати вразливості в клієнтському обладнанні. Багато ADSL-модеми мали вбудований
SOCKS-сервер або HTTP proxy (програмне забезпечення, що дозволяє здійснювати розділення
інтернет-каналу між багатьма комп'ютерами), причому доступ до них дозволялося з усього світу без
паролів і контролю доступу (для спрощення установки кінцевим користувачам). Таким чином, можна
було зробити будь-яку дію (у тому числі і розсилку спаму) з IP-адреси ADSL-користувача. Тому що таких
користувачів по всьому світу - мільйони, то проблема була частково вирішена лише зусиллями
виробників обладнання - відкриті всьому світу «посередники» останні роки до складу обладнання не
ITE PC
v4.0
входять.
28
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
Еволюція методів розсилки спаму
Злом призначених для користувача машин
В даний час основна маса розсилок проводиться з призначених для
користувача комп'ютерів, на які тим або іншим способом встановлено
«троянські» програмне забезпечення, що дозволяє спамерам (і іншим
недобросовісним людям) здійснювати доступ до призначеним для користувача
машин без відома та контролю користувача. Для злому призначених для
користувача машин використовуються наступні методи:
- троянські програми, що розповсюджуються разом з піратським ПО з
файлообмінним мереж (Kazaa, eDonkey і пр.);
- використання вразливостей в різних версіях Windows і широко
розповсюдженого ПЗ (в першу чергу MSIE і MS Outlook) для взлому
користувацьких комп'ютерів;
- email-черв'яки останніх поколінь, також використовуються для для взлому
користувацьких комп'ютерів.
За найскромнішими оцінками троянські програми встановлені на кількох
мільйонах машин по всьому світу. На сьогоднішній день ці програми досить
хитромудрі - вони можуть оновлювати свої версії, отримувати інструкції із
заздалегідь підготовлених сайтів або каналів IRC, розсилати спам, здійснювати
DDoS-атаки і т. п. За даними компанії Return Path, 96,7% комп'ютерів, з яких
розсилається електронна пошта, контролюються спамерами, тобто входять в
так звані зомбі-мережі.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
29
Еволюція змісту листів
Поява засобів виявлення спаму, заснованих на аналізі змісту листа (контентний аналіз),
привело до еволюції змісту спамерських листів - їх готують таким чином, щоб автоматичний
аналіз був ускладнений. Як і у випадку зміни методів розсилки, спамери змушені боротися з
антиспам-засобами.
Прості текстові і HTML-листи
Перші спам-повідомлення були однаковими - всім одержувачам розсилався один і той же
текст. Такі повідомлення тривіально фільтруються (наприклад, за частотою повторення
однакових листів).
Персоналізовані повідомлення
Наступним кроком було додавання персоналізації (наприклад, «Hello, joe!» - На початку
листа на адресу [email protected]), що зробило всі повідомлення різними. Тепер для їх
фільтрації треба було вишукувати незмінні рядки та заносити її в список правил фільтру. В
якості методу боротьби були запропоновані нечіткі сигнатури - стійкі до невеликих змін
тексту і статистичні - методи фільтрації які навчаються (байєсівської фільтрація і т. п.).
Внесення випадкових текстів, «шуму», невидимих текстів
У початку або в кінці листа спамер може помістити уривок з класичного тексту або просто
випадковий набір слів. У HTML-повідомлення можна внести «невидимий" текст (дуже
дрібним шрифтом або кольором, що збігається з кольором фону). Ці долучення
ускладнюють роботу нечітких сигнатур і статистичних методів. У відповідь з'явився пошук
цитат, стійкий до доповнень текстів, детальний розбір HTML і інші методи поглибленого
аналізу змісту листа. У багатьох випадках можна визначити сам факт використання
«спамерського трюку» і класифікувати повідомлення як спам, не аналізуючи його текст в
деталях.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
30
Еволюція
змісту
листів
«Графічні» листи
Рекламне повідомлення можна надіслати користувачеві у вигляді графічного файлу - це вкрай
ускладнить автоматичний аналіз. У відповідь з'явилися способи аналізу зображень, що виділяють з них
текст. Графічний спам являє собою найрізноманітніші розсилки. Деяка частина такого спаму - це прості
малюнки, які можна детектувати спам-фільтрами. Однак спамери все більше вдаються до ускладненим
видів графічних листів: використовують картинки з зашумленими фоном, стрибаючими буквами і
рядками (тобто букви розташовані нерівно щодо рядка), замінюють окремі літери на зображення,
розгортають зображення на кілька градусів, використовують на картинках рідкісні шрифти або шрифти
різного розміру, намагаючись таким чином обійти спам-фільтри. При цьому текст спамерської картинці
часто стає практично нечитаний, в результаті одержувач не може оцінити спамерське пропозицію, і
основна мета розсилки не досягається (реклама не працює).
Ще один технічний прийом спамерів - використання анімації. Це спам, що розсилається не у вигляді
звичайних статичних «картинок» (графічних вкладень), а у вигляді анімованої графіки. Спамери
використовують GIF-анімацію, тому що вона розпізнається і автоматично відтворюється усіма
популярними браузерами. Зазвичай анімований спам містить від 2 до 4 кадрів, з яких тільки один кадр є
значущим, тобто містить інформаційну складову.
Спамери регулярно роблять спроби відновити технології генерації графічних вкладень у спам. У
першому півріччі 2007 року з'явилося кілька нових способів доставки та демонстрації користувачеві
спамерської «картинки»:
- Розміщення графічних файлів на сторінках безкоштовного хостингу зображень (наприклад,
imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com і т.п.). У тілі спамерського
повідомлення вказувалася посилання на URL із «картинкою». Коли одержувач відкривав повідомлення,
в більшості популярних поштових клієнтах зображення довантажувати з зазначеного URL.
- Використання спамерської «картинки» у вигляді фонового зображення. Графічний файл не
вкладався в повідомлення, а, знову ж таки, публікувався на тому чи іншому сайті. У тілі повідомлень був
вказаний тільки URL сайта, поміщений у тег 'body', атрибут 'background'. В результаті зображення могло
автоматично довантажувати в деяких поштових клієнтах , а також у веб-інтерфейси частини поштових
служб.
- Спам з вкладеннями формату PDF. Цей вид вкладень не відкривається і не підвантажується
автоматично. Щоб побачити спамерських контент, користувач повинен самостійно відкрити вкладення.
- Спам з вкладенням формату FDF. У певному сенсі це аналог PDF-вкладень, тим більше, що
відкрити і побачити вкладення можна з використанням того ж Adobe Acrobat Reader.
Всі ці новинки виявилися досить ефективними в момент появи, але вже через кілька місяців, а іноді й
тижнів, спам-фільтри підлаштуватися під нові спамерські прийоми.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
31
Методи боротьби зі спамом
Сучасні спам-розсилання поширюється в сотнях тисяч
примірників усього за кілька десятків хвилин. Найчастіше
спам йде через заражені вірусами комп'ютери користувачів зомбі-мережі. Що можна протиставити цьому натиску?
Сучасна індустрія IT-безпеки пропонує безліч рішень, і в
арсеналі антиспамеров є різні технології. Проте жодна з
існуючих технологій не є магічної «срібною кулею» проти
спаму. Універсального рішення просто не існує. Більшість
сучасних продуктів використовують декілька технологій,
інакше ефективність продукту буде не висока.
Нижче перераховані найбільш відомі і поширені технології.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
32
Методи боротьби зі спамом
Чорні списки
Вони ж DNSBL (DNS-based Blackhole Lists). Це один з найбільш старих антиспамтехнологій. Блокують пошту, що йде з IP-серверів, перелічених у списку.
Плюси: Чорний список на 100% відсікає пошту з підозрілого джерела.
Мінуси: Дають високий рівень помилкових спрацьовувань, тому застосовувати слід з
обережністю.
Контроль масовості (DCC, Razor, Pyzor)
Технологія передбачає виявлення в потоці пошти масових повідомлень, які абсолютно
ідентичні або незначно відрізняються. Для побудови працездатного «масового» аналізатора
потрібні величезні потоки пошти, тому цю технологію пропонують великі виробники, що
володіють значними обсягами пошти, яку вони можуть піддати аналізу.
Плюси: Якщо технологія спрацювала, то вона гарантовано визначила масову розсилку.
Мінуси: По-перше, «велика» розсилка може виявитися не спамом, а цілком легітимною
поштою (наприклад, Ozon.ru, Subscribe.ru тисячами расилают практично однакові
повідомлення, але це не спам). По-друге, спамери вміють «пробивати» такий захист за
допомогою інтелектуальних технологій. Вони використовують ПЗ, що генерує різний
контент - текст, графіку і т.п. - у кожному спамерського листа. У підсумку контроль масовості
не спрацьовує.
Перевірка інтернет-заголовків повідомлення
Спамери пишуть спеціальні програми для створення спамерських повідомлень та їх
миттєвого розповсюдження. При цьому вони допускають помилки в оформленні заголовків,
в результаті спам далеко не завжди відповідає вимогам поштового стандарту RFC, що
описує формат заголовків. За цих помилок можна обчислити спамерське повідомлення.
Плюси: Процес розпізнавання і фільтрації спаму прозорий, регламентований стандартами і
досить надійний.
Мінуси: Спамери швидко вчаться, і помилок у заголовках спаму стає все менше.
Використання тільки цієї технології дозволить затримати не більше третини всього спаму.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
33
Методи боротьби зі спамом
Контентная фільтрація
Також одна зі старих, перевірених технологій. Спамерські повідомлення
перевіряються на наявність специфічних для спаму слів, фрагментів
тексту, зображень та інших характерних спамерських рис. Контентная
фільтрація починалася з аналізу теми повідомлення і тих його частин, які
містили текст (plain text, HTML), але зараз спам-фільтри перевіряють всі
частини, включаючи графічні вкладення.
У результаті аналізу може бути побудована текстова сигнатура або
вироблений підрахунок «спамерської ваги» повідомлення.
Плюси: Гнучкість, можливість швидкої «тонкого» настроювання. Системи,
що працюють на такій технології, легко підлаштовуються під нові види
спаму і рідко помиляються з розмежуванням спаму і нормальної пошти.
Мінуси: Звичайно потрібні оновлення. Налаштування фільтру
займаються спеціально навчені люди, іноді - цілі антиспам-лабораторії.
Така підтримка дорого коштує, що позначається на вартості спамфільтра. Спамери винаходять спеціальні трюки для обходу цієї
технології: вносять в спам випадковий «шум», що ускладнює пошук
спамерських характеристик повідомлення та їх оцінку. Наприклад,
використовують у словах символи (от так, наприклад, може виглядати
при використання цього прийому слово viagra: vi_a_gra або vi @ gr @),
генерують варіативний кольоровий фон в зображеннях і т.п.
34
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
Методи боротьби зі спамом
Контентная фільтрація: Байєс
Статистичні байєсівської алгоритми також призначені для аналізу контенту.
Байєсівські фільтри не потребують постійної налаштуванні. Все, що їм потрібно це попереднє навчання. Після цього фільтр підлаштовується під тематики
листів, типові для даного конкретного користувача. Тим самим, якщо
користувач працює в системі освіти та проводить тренінги, то особисто у нього
повідомлення цієї тематики не будуть розпізнаватися як спам. У тих, кому
пропозиції відвідати тренінг не потрібні, статистичний фільтр віднесе такі
повідомлення до спаму.
Плюси: Настроювання.
Мінуси: Найкраще працює на індивідуальному потоці пошти. Налаштувати
«Байєс» на корпоративному сервері з різнорідної поштою - складне і невдячне
завдання. Головне, що кінцевий результат буде набагато гірше, ніж для
індивідуальних скриньок. Якщо користувач лінується і не навчає фільтр, то
технологія не буде ефективною. Спамери спеціально працюють над обходом
байєсівської фільтрації, і це в них виходить.
Грейлістінг
Тимчасовий відмова в прийомі повідомлення. Відмова йде з кодом помилки, яку
розуміють всі поштові системи. Через деякий час вони повторно надсилають
повідомлення. А програми, що розсилають спам, в такому разі повторно листа не
відправляють.
Плюси: Рішення проблеми.
Мінуси: Затримка в доставці пошти. Для багатьох користувачів таке рішення є
неприйнятним.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
35
Профілактика спаму
Проблеми з рекламними розсилками (спамом) у приватного користувача
починаються в той момент, коли його email-адреса потрапляє в базу
даних до спамерам. Виконання наведених нижче рекомендацій фахівців
допоможуть максимально віддалити цей момент.
Звідки спамери дізнаються вашу адресу
Спамери знаходять email-адреси своїх жертв різними способами:
- скануючи веб-сайти;
- скануючи дошки оголошень, форуми, чати, Usenet News і так далі;
- підбираючи «легкі» адреси (jonh @, mary @, alex @, info @, sales @,
support @) по словнику імен та частих слів;
- підбираючи «короткі» адреси (aa @, an @, bb @, abc @) простим
перебором.
Виходячи з цього, приватному користувачеві можна
порекомендувати наступні заходи
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
36
Заходи профілактики спаму
1. Заведіть собі дві адреси - приватну, для листування (приватна і маловідома, що ви
ніколи не публікуєте в загальнодоступних джерелах), і публічний - для публічної діяльності
(форумів, чатів і так далі).
2. Адреса для листування ніколи не має публікуватися у відкритому доступі.
3. Адреса для листування не повинна бути легка у запам'ятовуванні або «красивою». Ваше
ім'я або гарне слово - не підходять. Vasily.M.Pupkin-IV - підходить цілком. Чим довше
адреса і чим менше вона зрозуміла - тим краще.
4. Якщо потрібно повідомити свій приватний адреса (у конференції, на сайті) - робіть це
способом, непридатною для автоматичного прочитання. «Ivan-точка-Susanin-собака-mailточка-ру» - гарний спосіб. «Ivan.Susanin at mail.ru» - набагато гірше, Ivan.Susanin @ mail.ru нікуди не годиться. Якщо мова йде про публікацію на сайті, можна опублікувати адресу у
вигляді картинки.
5. Адресу для публікації потрібно заздалегідь вважати тимчасовою. Не варто її жаліти - ви
завжди можете завести нову. Як правило, спам починає приходити на неї через кілька днів
після публікації. Оскільки цю адресу можуть використовувати не тільки спамери (туди буде
приходити і нормальна пошта), варто її періодично переглядати. Ви можете читати пошту,
що приходить на неї, раз на тиждень чи раз на місяць.
Реєстрації на сайтах
Деякі інтернет-магазини, конференції, форуми і т. п. вимагають реєстрації із зазначенням
працюючої електронної пошти. Іноді передані таким чином адреси потрапляють до
спамерів. Далеко не завжди це злий намір, але користувачам від цього не легше. Тому:
6. При реєстрації завжди вказуйте публічну адресу. Вона все одно може вважатися
втраченою. Можна на кожну реєстрацію заводити нову адресу на безкоштовних поштах тоді ви будете знати, хто з магазинів і форумів «продав» вашу адресу спамерам.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
37
Заходи профілактики спаму
Якщо спаму приходить трохи і з ним ще можна миритися, то слід дотримуватися
простих правил:
7. Ніколи не відповідайте спамеру. Можливо, нічого поганого не станеться. Але може
статися і так, що ваша відповідь прочитає «робот» - в результаті спаму буде приходити ще
більше.
8. Не намагайтеся скористатися посиланням «відписатися», якщо ви не впевнені, що вона
спрацює. Можливо, вас дійсно відпише даний конкретний розсильник. Але при цьому вашу
адресу можуть позначити як діючу ... і спаму побільшає.
Якщо миритися зі спамом вже ніяк не можна:
9. Змініть свою «приватну» адреса. На певний час це допоможе.
Я нікому не давав адресу, крім близьких знайомих, але на нього приходить спам
На жаль, вашу адресу міг бути вкрадений з адресної книги вашого знайомого поштовим
вірусом (який розсилається по адресній книзі). Якої-небудь розумного способу вберегтися
від цього не існує - навіть якщо у всіх знайомих є антивірусна програма, в неї повинні бути
оновлені бази даних і т. д.
Мені потрібна адреса, куди кожен бажаючий міг би написати!
Якщо ви хочете все-таки мати загальновідому і загальнодоступну адресу, приготуйтеся
отримувати туди сотні спам-повідомлень на добу. Якщо не пощастить - то тисячі на добу.
Якщо від такого адреси ви не хочете відмовлятися, то залишається остання порада:
10. Використовуйте антиспам-фільтр - або на сервер, вибравши провайдера з послугою
фільтрації спаму, або у себе на комп'ютері, вибравши засіб, що підходить для вашого
поштового клієнта. Сучасні фільтри мають досить високу якість (відсоток фільтрованої
спаму у хороших і добре налаштованих фільтрів досягає 95-99%), і їх використання різко
знизить гостроту проблеми.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
38
Інфраструктура спам-ринку
Виробники ПЗ
Це ті, хто виробляє програмне забезпечення для спамерів - програми для збору адрес з
сайтів і форумів (мережеві павуки), програми для швидкої масової розсилки, програми
для перевірки існування і працездатності адрес і т. д.
Програмне забезпечення для спам-розсилки можна як купити (для встановлення на свій
або орендований сервер), так і орендувати. Знайти в Мережі пропозиції щодо купівлі та
оренди спамерського ПО зовсім неважко - його автори зазвичай не ховаються.
Збирачі баз адрес
Цей вид гравців обслуговує потреби спамерів і збирає для них поштові адреси, які
об'єднує в бази адрес. Для цього використовується різноманітне програмне
забезпечення, яке шукає адреси в інтернеті, перевіряє їх працездатність і поміщає в
базу. Застосовуються різноманітні методи - від крадіжки адрес у провайдера за
допомогою завербованих агентів до підбору адрес «на кінчику пера» за допомогою
різних евристичних алгоритмів і так званих словникових атак.
Програмісти вірусів
Важливою частиною спам-індустрії є Програмісти вірусів . Вони створюють шкідливі
програми з метою перетворення комп'ютерів користувачів в машини для розсилки спаму
- так званих зомбі. Користувачі при цьому можуть навіть не здогадуватися, що їхні
машини використовуються спамерами. Вже в 2004 році основна маса спаму
розсилалися не прямо з поштових серверів, а за допомогою заражених призначених для
користувача комп'ютерів, об'єднаних у зомбі-мережі.
Спамери
Власне спамери - це ті, хто розсилає спам. Якщо ділити спамерів за ступенем
підготовленості, можна виділити такі рівні:десятки великих спамерських фірм; сотні
дрібних фірм і окремих професіоналів; тисячі непрофесіоналів (студентів, безробітних).
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
39
Інфраструктура спам-ринку
Професійні служби розсилок
Це групи дуже кваліфікованих людей, озброєних досконалим
програмним забезпеченням, що вміє розсилати листи з величезною
швидкістю використовують останні досягнення спамерської думки.
Самодіяльні спамери
Тут є дві категорії - початківці спамери і несподівані спамери (
«сумлінні»).
«Початківці спамери». Такий спамер намагається організувати свій
бізнес розсилки «на коліні», користуючись технічно непридатними
засобами - купується картка провайдера, розсилка часто йде через
модем або домашню виділену лінію. З розсилкою листів в такий спосіб
пов'язано дуже багато проблем (швидкість розсилки дуже низька, база
адрес застаріла, провайдер може помітити і закрити акаунт ...). Тому
такі листи не складають велику частку в спамі.
«Сумлінні спамери». Це найчастіше маркетингові співробітники
звичайних компаній, які раптом відкрили для себе фантастичні
можливості реклами електронної пошти: пиши, кому хочеш, і
розсилання практично нічого не варто! Зазвичай адреси вони беруть
просто з сайтів, чесно вказують всі свої координати, справжню
зворотну адресу і так далі.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
40
Категорії спаму (третій квартал 2009 р):
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
41
Social Engineering Соціальний інженер
Це людина, яка вміє отримати доступ до обладнання чи мережі,
обманом змушуючи людей надати необхідну для доступу
інформацію. Часто соціальні інженери завойовують довіру
співробітника і переконують його повідомити ім'я користувача і
пароль.
Запобіжні заходи для захисту від соціальної
інженерії:
Ніколи не розкривайте свій пароль.
Завжди запитуйте документи у незнайомих осіб.
Обмежте доступ несподіваних відвідувачів.
Супроводжуйте всіх відвідувачів.
Ніколи не залишайте інформацію про пароль на місці роботи.
Залишаючи робоче місце, блокуйте комп'ютер.
Ніколи не допускайте, щоб в приміщення, вхід в яке вимагає
наявності картки доступу, разом з вами заходив інша людина.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
42
TCP/IP Attacks
Атаки TCP / IP
TCP / IP - це сімейство протоколів, що використовується для керування усіма
взаємодіями в Інтернеті. На жаль, TCP / IP також може робити мережу
вразливою для зловмисників.
Найбільш поширені атаки:
Синхронна атака - відкриття TCP-портів при спробі завалити мережеве обладнання чи
комп'ютерні ресурси великою кількістю фальшивих запитів, що призведе до відхилення
сеансів роботи інших користувачів.
Відмова в обслуговуванні - відправлення в систему аномально великої кількості
запитів, що перешкоджає доступу до служб.
Розподілена відмова в обслуговуванні - використання комп'ютерів-зомбі для того,
щоб ускладнити відстеження місця походження атаки типу "Відмова в обслуговуванні".
Спуфінг - отримання доступу до ресурсів на пристроях, видаючи себе за реальний
"довірений" комп'ютер.
"Людина посередині" - перехоплення або вставка неправдивих даних до трафіку між
двома вузлами.
Відтворення - використання мережевих перехоплювачів для видобування імен
користувачів і паролів, які згодом будуть використовуватися для отримання доступу.
Зараження DNS - зміна записів DNS в системі з метою спрямування на помилкові
сервери, де записуються дані.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
43
TCP/IP Attacks
TCP/IP is used to control all Internet communications.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
44
Computer Disposal and Recycling
Руйнування та утилізація апаратного забезпечення
Руйнування апаратного забезпечення - це процес видалення
вразливих даних з апаратного та програмного забезпечення перед
їх переробкою та утилізацією. Щоб перешкодити можливості
відновлення даних за допомогою спеціальних програм, дані на
жорстких дисках повинні бути повністю стерті. Видалення файлів і
навіть форматування диска буде недостатньо.
За допомогою сторонніх інструментів можна переписати дані
кілька разів, в результаті чого незнищені дані можна відобразити.
Єдиний спосіб повністю гарантувати неможливість відновлення
даних з жорсткого диска полягає в тому, щоб повністю розбити
його пластини молотком і безпечним чином утилізувати ці уламки.
Носії типу компакт-дисків або дискети теж необхідно знищити.
Скористайтеся подрібнювачем, призначеним спеціально для цієї
мети.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
45
Процедури забезпечення безпеки
Необхідно скласти план забезпечення безпеки, за допомогою
якого можна було б визначити, як слід діяти в критичній ситуації.
План забезпечення безпеки необхідно постійно оновлювати, щоб
він відображав найновіші загрози мережі. У плані забезпечення
безпеки необхідно вказати процедури, які є основою дій технічного
спеціаліста.
Частиною процесів забезпечення безпеки є виконання тестів, які
повинні визначити слабкі місця в системі безпеки. Тестування
необхідно виконувати регулярно. Щодня з'являються все нові й
нові загрози. Регулярне тестування покаже будь-які можливі слабкі
місця поточного плану забезпечення безпеки, які необхідно буде
усунути.
Існує кілька рівнів захисту мережі, у тому числі фізичні
компоненти, бездротові компоненти і дані. Атаку може зазнати
кожен рівень. Технічний спеціаліст повинен розуміти, як слід
реалізовувати процедури забезпечення безпеки для захисту
обладнання і даних.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
46
Security is Strengthened in Layers
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
47
Security Policy
(процедури забезпечення безпеки)
Незважаючи на те, що політика локальної безпеки
може варіюватися залежно від організації, є
питання, які повинні бути задані у всіх організаціях:
Які компоненти вимагають захисту?
Які можливі загрози?
Що робити у випадку порушення
системи безпеки?
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
48
Protecting Equipment
методи фізичного захисту комп'ютерного обладнання:
контроль доступу до засобів,
блокування обладнання тросами з замком,
замикання на замок телекомунікаційних
приміщень,
закріплення обладнання захисними
гвинтами,
установка навколо обладнання захисних
грат,
маркування і встановлення на обладнанні
датчиків, наприклад радіоміток (RFID).
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
49
Protecting Data
Способи захисту даних:
Захист паролем
Шифрування даних
Захист портів
Резервне копіювання
даних
Захист файлової
системи
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
50
Protecting Data Захист паролем
Захист паролем може перешкодити несанкціонованому доступу:
BIOS - перешкоджає зміні налаштувань BIOS без відповідного пароля;
вхід в систему - перешкоджає несанкціонованого доступу до мережі.
рівень управління паролем повинен відповідати необхідному рівню
захисту:
- Термін дії паролів повинен закінчуватися через певний проміжок часу.
- Паролі повинні представляти собою комбінацію букв і цифр, щоб їх не
можна було легко підібрати.
- Правила користування паролями повинні забороняти користувачам
записувати паролі і залишати їх у незашифрованому вигляді на загальний
огляд.
- Необхідно визначити правила закінчення терміну дії і блокування паролів.
Правила блокування застосовуються у разі невдалої спроби доступу до
системи або при виявленні певних змін у конфігурації системи.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
51
Protecting Data Шифрування даних
При шифруванні даних використовуються коди і шифри.
За допомогою шифрування даних, які передаються в
мережі між ресурсами та комп'ютерами, можна ускладнити
моніторинг і запис транзакцій зловмисниками. Протягом
певного часу зловмисники не зможуть використати
захоплені дані, тому що їх необхідно буде розшифрувати.
Шифрування з метою захисту даних використовується в
віртуальной приватной мережі. Віртуальна приватна
мережа дозволяє віддаленому користувачеві безпечним
чином отримати доступ до ресурсів так, як якби його
комп'ютер був фізично підключений до локальної мережі.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
52
Protecting Data Захист портів
Кожне з'єднання з використанням TCP / IP пов'язано з
номером порту. Наприклад, за умовчуванням для HTTPS
використовується порт 443. Брандмауер (або мережевий
екран) є засобом захисту комп'ютера від вторгнення через
порти. Користувач може керувати типами даних, що
пересилаються на комп'ютер, вибираючи, які порти слід
відкрити, а які слід захистити. Дані, що передаються по
мережі, називають трафіком.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
53
Protecting Data Резервне копіювання даних
Процедура резервного копіювання даних повинна входити в план захисту.
Дані можуть бути втрачені або пошкоджені за таких обставин, як крадіжка,
відмова устаткування або нещасний випадок типу пожежі або затоплення.
Резервне копіювання даних є одним з найбільш ефективних способів
захисту від втрати даних. Нижче перераховані деякі аспекти резервного
копіювання даних:
Періодичність резервного копіювання. Процес резервного копіювання може
займати багато часу. Іноді легше виконувати повне копіювання щомісячно чи
тижні, а потім часто виконувати часткове копіювання тільки тих даних, які були
змінені з моменту останнього повного резервного копіювання. Однак наявність
великої кількості резервних копій збільшує час, який необхідно буде витратити
на відновлення даних.
Зберігання резервних копій. Для додаткової безпеки резервні копії слід
зберігати в належному безпечному місці в іншому приміщенні. Носії з поточними
резервними копіями можна щодня, щотижня або щомісяця відправляти у
безпечне місце і чергувати їх у міру необхідності в організації.
Безпека резервних копій. Резервні копії можна захистити паролями. Ці паролі
необхідно буде ввести перед відновленням даних з резервного носія.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
54
Protecting Data - Захист файлової системи
У всіх файлових системах проводиться відстеження
ресурсів, але тільки в файлових системах з журналами
можна фіксувати доступ по користувачам, дату і час. У
файловій системі FAT 32, яка використовувалася в деяких
старих версіях Windows, відсутні як функції журналів, так і
можливості шифрування. В результаті для ситуацій, що
вимагають гарного захисту, звичайно використовують
файлову систему NTFS, що є частиною Windows 2000 і
Windows XP. Якщо необхідна посилений захист, можна
запустити спеціальні утиліти, такі як CONVERT, для
відновлення файлової системи FAT 32 до NTFS. Процес
перетворення незворотній. Перш ніж виконувати
перетворення, важливо чітко визначити свої цілі.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
55
Levels of Wireless Security
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
56
Levels of Wireless Security
Оскільки в бездротових мережах дані передаються за допомогою
радіохвиль, зловмисники можуть легко відстежувати і
перехоплювати дані без необхідності фізичного підключення до
мережі. Зловмисники дістають доступ до мережі, знаходячись в
області дії незахищеною бездротової мережі. Технічний спеціаліст
повинен знати, як налаштувати точки доступу та бездротові
мережні адаптери для забезпечення належного рівня захисту.
При установці бездротових служб необхідно відразу ж застосувати
технології забезпечення безпеки бездротового зв'язку для того,
щоб запобігти небажаному доступу до мережі. У бездротових
точках доступу необхідно налаштувати базові параметри безпеки,
сумісні з існуючою системою безпеки мережі.
Зловмисник може одержати доступ до даних у момент їх передачі
за допомогою радіосигналу. Для запобігання небажаного
перехоплення і використання даних можна використовувати
систему шифрування для бездротового зв'язку, в якій передана
інформація кодується. На обох кінцях кожного каналу зв'язку
повинні використовуватися однакові стандарти шифрування.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
57
Levels of Wireless Security
Перш ніж розглянути методи захисту, розглянемо основні принципи організації бездротової мережі.
Бездротові мережі складаються з вузлів (будемо називати їх точками) доступу і клієнтів, оснащених
бездротовими адаптерами. Точки доступу і безпровідні адаптери обмінюються даними один з одним
через радіоканал. Кожна точка доступу та бездротовий адаптер отримує MAC-адресу, яка аналогічний
апаратной MAC-адресі мереж Ethernet. Точки доступу забезпечують бездротовим клієнтам доступ до
ресурсів провідної мережі. Бездротова мережа завжди має ідентифікатор SSID (Service Set Identifier),
який використовується при зверненні до неї. Зв'язок з точкою доступу можливий, якщо її SSID
транслюється (так званий beacon-режим) та пристрої можуть його знайти, або якщо на самих клієнтів
задано таке ж SSID. Якщо зоні покриття адаптера клієнта кілька різних SSID, клієнти можуть
перемикатися між ними.
В даний час поширені бездротові стандарти сімейства 802.11. Один з основних, 802.11b, широко
поширений зараз, забезпечує роботу бездротових мереж в діапазоні 2,4 ГГц і швидкість передачі даних
до 11 Мбіт / с. Його розвитком є заміщає прародителя стандарт 802.11g. Пристрої, що працюють за
стандартом 802.11g сумісні з 802.11b. Інший варіант, 802.11a, описує пристрої, що працюють в діапазоні
5,8 Ггц зі швидкістю 54 Мбіт / с, хоча деякі реалізації допускають швидкість до 108 Мбіт / с. Сучасне
бездротове обладнання зазвичай підтримує два або більше варіантів 802.11 - як правило, 802.11a і
802.11b (g). Розвивається також стандарт 802.16 (WiMAX), який повинен дозволити забезпечити
бездротовий доступ через станції, схожі на станції звичайної стільникового зв'язку. Зона покриття точки
доступу залежить від підтримуваного варіанта 802.11, частоти роботи устаткування, потужності
передавача, антени, стін та перешкод.
Контроль доступу до бездротових мереж здійснюється декількома способами. Спочатку був розроблений
стандарт WEP (Wired Equivalent Privacy). WEP використовує загальний ключ, який задається на
бездротових клієнтах і точках доступу, з якими вони обмінюються інформацією. У WEP ключ шифрується
по алгоритму шифрування RC4, і спочатку передбачався 40-розрядний користувальницький ключ, який
доповняться 24-розрядних вектором ініціалізації - всього 64 розряди. Згодом був розроблений алгоритм з
128-розрядними ключами, що складаються з 104-розрядної і призначеної для користувача частини і
вектора ініціалізації. WEP має масу недоліків, зокрема, слабкі механізми аутентифікації і ключі
шифрування, які добре документовані. WEP слід застосовувати тільки в крайніх випадках, коли
обладнання не підтримує інших стандартів захисту.
Для подолання цих недоліків був розроблений стандарт WPA (Wi-Fi Protected Access). WPA перевершує
WEP завдяки додаванню протоколу TKIP (Temporal Key Integrity Protocol) і надійному механізму
аутентифікації на базі 802.1x і протоколу EAP (Extensible Authentication Protocol). WPA передбачається
використовувати разом з розширенням протоколу 802.11. Розширення стандарту, 802.11i,
ITE
PC v4.0
запроваджується
як нова версія WPA, WPA2. WPA2 сумісні з WPA.
58
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
технології забезпечення безпеки
бездротового зв'язку
Протокол Wired Equivalent Privacy (WEP) - протокол шифрування в
бездротового зв'язку - стандарт безпеки для бездротового зв'язку
першого покоління.
WEP - старий метод забезпечення безпеки бездротової мережі. Він
все ще доступний (для підтримки застарілих пристроїв), але не
рекомендується до використання. При включенні протоколу WEP
виконується настройка ключа безпеки мережі. Цей ключ здійснює
шифрування інформації, яку комп'ютер передає через мережу
інших комп'ютерів. Однак захист WEP відносно легко зламати.
По можливості рекомендується використовувати WPA2.
Використовувати WEP не рекомендується. Методи WPA і WPA2
надають більш високий рівень безпеки. Якщо при спробі
використовувати WPA і WPA2 вони не працюють, рекомендується
замінити мережевий адаптер на новий, що підтримує WPA або
WPA2 пристрій.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
59
технології забезпечення безпеки
бездротового зв'язку
Захищений доступ Wi-Fi (WPA та WPA2) - Wi-Fi Protected
Access.
Захищений доступ Wi-Fi здійснює шифрування інформації, але
крім цього перевіряє, чи не був змінений ключ безпеки мережі.
Захищений доступ Wi-Fi також здійснює перевірку користувачів,
що забезпечує доступ до мережі тільки авторизованих
користувачів.
Існують два типи перевірки автентичності WPA: WPA і WPA2. WPA
призначений для роботи з усіма бездротовими мережевими
адаптерами, але може виявитися несумісним із старими
маршрутизаторами та точками доступу. WPA2 забезпечує більш
високий рівень безпеки, ніж WPA, але може бути несумісний з
деякими старими мережевими адаптерами. WPA розроблено для
спільного використання з сервером перевірки автентичності
стандарту 802.1X, який надає всім користувачам різні ключі. Такий
протокол називається WPA-підприємство або WPA2-підприємство.
Він також може використовуватися в режимі з попередньо
поширеним загальним ключем (PSK), коли всім користувачам
надається однакова парольна фраза. Такий протокол називається
WPA-персональний або WPA2-персональний.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
60
технології забезпечення безпеки
бездротового зв'язку
Основа WPA - Temporal Key Integrity Protocol (TKIP). Якщо коротко, TKIP набагато
перевершує WEP: механізм шифрування його більш стійкий, до того ж його
можна впровадити на існуючому обладнанні. TKIP змінює ключ для кожного
переданого пакета і тим самим усуває будь-яку можливість підбору. (Існує і
полегшена версія WPA - WPA Pre-Shared Key (WPA-PSK). Вона більше підходить
для невеликих мереж. У ній як і в WEP існує статичний ключ, але
використовується і TKIP, автоматично змінює ключ в певних часових інтервалах.)
Інша варіація WPA - WPA-Enterprise, що використовує TKIP, а плюс до цього
аутентифікує сервер або пристрій, що працює за Extensible Authentication Protocol
(зверніть увагу, що тут необхідний додатковий сервер, який буде роздавати
привілеї, наприклад RADIUS, таку ситуацію називають EAP-over - RADIUS; є й
інше, більш дешеве рішення - так званий Wireless Guard, він авторизує
користувача ім'ям і паролем).
Природно, технологія WPA не позбавлена і своїх проблем. Ключова фраза WPA
може бути зламана. Це відбувається через те, що хакер може змусити точку
доступу регенерувати обмін ключами менш ніж за 60 секунд. І навіть якщо обмін
ключами достатньо безпечний для миттєвого злому, його можна буде зберегти і
використовувати для офлайнового перебору. ще одне питання полягає в тому, що
EAP передає дані відкритим текстом. Спочатку для шифрування EAP сесій
використовувався Transport Layer Security (TLS), але для його роботи на кожному
клієнтові потрібно сертифікат. TTLS кілька виправив цю проблему, але Microsoft
(в Windows XP SP1 є підтримка WPA) і Cisco вирішили питання за своїм і
створили Protected EAP, відмінну від TTLS. Зараз дві технології конкурують і
ймовірно підтримка таких грандів схилить перемогу до PEAP.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
61
технології забезпечення безпеки
бездротового зв'язку
Спрощений розширюваний протокол аутентифікації (LEAP Lightweight Extensible Authentication Protocol), також
іменований EAP-Cisco - протокол бездротової захисту,
створений компанією Cisco для усунення слабких сторін
WEP і WPA. LEAP є оптимальним варіантом при
використанні обладнання Cisco в поєднанні з такими
операційними системами, як Windows і Linux.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
62
Installing Updates and Patches - стандартні
процедури профілактичного обслуговування,
спрямованими на забезпечення безпеки
У зв'язку з постійними загрозами безпеці технічний
спеціаліст повинен розуміти, як слід встановлювати
виправлення та оновлення. Необхідно вміти дізнаватися
про появу нових оновлень і виправлень. Деякі виробники
випускають оновлення в один і той же день місяця, але
критично важливі оновлення можуть випускатися і в міру
необхідності. Інші виробники надають послуги автоматичного
оновлення для виправлення ПЗ при кожному включенні
комп'ютера, або розсилають по електронній пошті
повідомлення про випуск нового виправлення або
оновлення.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
63
Updating Protection Programs
.
Програми захисту від вірусів, шпигунського та
рекламного ПЗ шукають шаблони коду в
програмному забезпеченні, встановленому на
комп'ютері. Ці шаблони визначаються шляхом
аналізу вірусів, які перехоплюються в Інтернеті
та локальних мережах. Такі шаблони коду
називаються сигнатурами. Розробники
програм захисту компілюють сигнатури в
таблиці визначень вірусів. Для оновлення
файлів сигнатур антивірусних і антішпіонскіх
програм спочатку з'ясуйте, чи є файли
сигнатур сучасними. Це можна зробити за
допомогою функції "Про програму", яка є в
будь-якій програмі захисту, а також шляхом
запуску інструменту оновлення програми
захисту. Якщо файли сигнатури застаріли,
поновіть їх вручну за допомогою команди
"Перезавантажити зараз", наявну в більшості
програм захисту.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
64
Operating System Updates and Patches
Виробники ПЗ об'єднують виправлення та оновлення в комплексні програми,
іменовані пакетами оновлення. Багато з сумно відомих і руйнівних атак вірусів
могли бути набагато менш серйозними, якби користувачі завантажували і
встановлювали самі останні версії пакетів оновлень.
Залежно від обраних налаштувань Windows
автоматично завантажує та встановлює
високопріоритетні оновлення, необхідні
комп'ютеру або повідомляє вас про те, коли такі
оновлення стають доступними.
Оновлення потрібно не тільки завантажити, але
й встановити. Якщо ви використовуєте функцію
автоматичного налаштування, то можете
запрограмувати час і день виконання цієї
процедури. В іншому випадку нові оновлення за
умовчанням встановлюються в 3 години ночі.
Якщо під час запланованого оновлення
комп'ютер вимкнено, то оновлення
встановлюються під час наступного запуску
комп'ютера. Ви можете вибрати варіант
повідомлення вас про наявність нового
оновлення і встановити його самостійно.
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
65
Troubleshooting Process
Усунення несправностей в системі
забезпечення безпеки
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
66
1. Gather Data from the Customer
Customer information
Company name, contact name, address, phone number
Computer configuration
Protection software, OS, network environment, connection type
Description of problem
Open-ended questions
What changes were made to the security settings?
Closed-ended questions
Are the protection software signature files up-to-date?
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
67
Неоднозначні питання
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
68
Однозначні питання
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
69
Наявність очевидних проблем
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
70
Швидкі рішення
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
71
Реалізація рішення
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
72
Угода з користувачем
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
73
Chapter 9 Summary
У цьому розділі розглядалися питання комп'ютерної
безпеки і причини, за якими так важливо захищати
комп'ютерне обладнання, мережі та дані. Тут
описувалися загрози, процедури та операції
профілактичного обслуговування, пов'язані із
забезпеченням фізичної безпеки та захисту даних,
які допоможуть підтримувати безпеку комп'ютерного
обладнання та даних.
Загроза безпеки може виходити як зсередини, так і ззовні
організації.
Найбільш поширеними формами атаки є віруси та хробаки.
Розробіть і виконуйте план забезпечення безпеки для того,
щоб запобігти втраті даних і устаткування.
Встановлюйте пакети оновлень і виправлень операційних
систем і додатків .
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
74
Additional Resources
Whatis?com: IT Encyclopedia and Learning Center
http://whatis.com
TechTarget: The Most Targeted IT Media http://techtarget.com
ZDNet: Tech News, Blogs and White Papers for IT Professionals
http://www.zdnet.com
HowStuffWorks: It's Good to Know
http://computer.howstuffworks.com
CNET.com http://www.cnet.com
PC World http://www.pcworld.com
ComputerWorld http://www.computerworld.com
WIRED NEWS http://www.wired.com
eWEEK.com http://www.eweek.com
http://www.securelist.com/ru/
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
75
Q and A
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
76
ITE PC v4.0
Chapter 9
© 2007 Cisco Systems, Inc. All rights reserved.
Cisco Public
77