Отличаете ли вы f от ph?

Начало

Я пришел к выводу, что самое сложное в жизни не найти, а сохранить. И неважно что: жену, миллион долларов, новый автомобиль или лишь пароль. Как только у вас появляется что-то, то сразу появляется потенциальная возможность это потерять, особенно в Интернете. И тут вы уже думаете, что, может быть, не стоило это заводить. Тут уж "думайте сами, решайте сами, иметь или не иметь", как поется в известной песне.

К сожалению защитить себя нельзя один раз и навсегда. Как известно безопасность непрерывный процесс. (Стоит только на мгновение ока отвлечься и ты уже без кошелька.) В последнее время появились новые угрозы, поэтому, для всех администраторов пришла пора пересмотреть политику безопасности и вписать новые главы. В этой статье мне хотелось бы привести мое видение этих новых глав и рассказать о способах защиты от новых угроз, которые появились в последний год. Не хотелось бы теоретизировать, перечисляться случившиеся факты и заново объяснять какие угрозы представляют собой фишинг или фарминг, зачем вирусы зашифровывают файлы и т.д. Для этого есть много других статей, например по-английский здесь или по-русски здесь. Кроме того неплохой список актуальных информационных угроз есть тут. Все ссылки здесь и ниже по тексту открываются в новом окне.

Пересматривая свою политику безопасности и обдумывая те советы которые я сам даю другим, я обнаружил, что некоторые пункты или неактуальны или невыполнимы или являются бесполезными в последнее время. Попробую привести пару-тройку пунктов. Чтобы доказать, что теория не соотвествует практике буду приводить контрпримеры.

1. Нужно проводить обучение сотрудников и домашних пользователей, объясняя что делать можно, а что нельзя.

• Сложно даже посчитать сколько абонетов dial-up и ADSL расшарили свои файлы и принтеры на весь Интернет (я имею в виду работающий на TCP порту 445 протокол SMB). Так, например, чтобы такого не было с абонентами "Стрима" их слегка ограничили (Не могу только понять зачем там комментарии на английском. Чтобы никто не догадался?).
• Число компаний которые выложили на свои сайты документы, содержащие надписи "конфиденциально, не для распространения" можно даже посчитать при помощи Google, например, так.
• А сколько людей полагается на межсетевые экраны... (Смотрим табличку результатов Leak Testов и понимаем, что ни одного надежного персонального межсетевого экрана НЕТ)
• А сколько людей знает какой сайт откроется в результате нажатия на ссылку http://www.microsoft.com%01@freebsd.org/?
• Мало кто из бухгалтеров понимает, что его антивирус начинает распознавать злонамеренные программы лишь после того как завершился долгий эволюционный путь: новый вирус кого-то заразил, этот человек послал этот вирус антивирусной компании, антивирусная компания выпустила сигнатуру, кто-то скачал эту сигнатуру с сайта антивирусной компании на его компьютер. Мало того если использовалась уязвимость Windows, то нужно еще и подождать когда эта уязвимость будет устранена фирмой Microsoft и выложена на сайт. Зато все они знают историю, как один человек вставил в компьютер дискету и больше ничего не делал и вирус с дискеты сам перепрыгнул на жесткий диск. Поэтому они перед тем как записать(!) что-либо на дискету проверяют ее антивирусом. И переубедить их нельзя. Стоит заметить, что согдасно обзору 2004 года опубликованному CSI/FBI, 99% компаний используют антивирусы, 78% из них пострадало от вирусов, червей и троянов.

Вывод: Объяснять что-то пользователям - пустая трата времени и сил. Нужны программные средства контроля и противодействия как внутренним так и внешним врагам.

Хотя не все так плохо:

2. Рекомендуется пользоваться защитой от кейлоггеров - клавиатурных шпионов, которые перехватывают пароли вводимые с клавиатуры.

В принципе в той или иной степени и антивирусы типа Касперского и Панды, и системы контроля целостности типа tripwire или Adinf, и другие полезные утилиты типа WinPatrol позволяют защищаться от кейлоггеров. Это все можно установить на один компьютер, и работать, не взирая на то, что все это вместе глючит и жутко тормозит компьютер. Тем более, что в последнее время много развелось различных кейлоггеров. Можно такой кейлоггер скачать самому, стоит только посмотреть в Google, а можно получить нахаляву по почте. Но если в ответ на эту заразу появились анти шпионы например Anti-Keylogger, то что делать с аппаратными кейлоггерами? Вот как они выглядят:

Или даже USB варианты:

Все они запоминают до 2 миллионов нажатий клавиш. Чтобы с ними бороться нужно заставить администратора проверять все кабели каждый день и каждый раз после того как в комнате навела порядок уборщица. Или установить видеокамеру позади каждого десктопа.

Вывод: программные средства не панацея. Нужен комплексный подход.

3. Чтобы защититься от фишинга и фарминга нужно пользоваться HTTPS.

Ну как можно от этого защититься? Можно конечно под дулом пистолета заставить клиентов прочитать статью: "Как обнаруживать опасные веб-узлы и гиперссылки и защищаться от них". Но, даже если они это запомнят, то, все равно, это не стопроцентная гарантия. Ниже расскажу как сделать лучше всего.

Справедливости ради стоит заметить, что фишинг атакам подвергаются многие известные банки, в том числе Bank of America, U.S. Bank, самые лакомые куски: платежные системы VISA и Mastercard, полулярные интернет-магазины Amazon.com, Ebay.com. Не были исключением Bank One, Fleet, Wells Fargo Bank, PayPal, Yahoo!, MSN, AOL и другие известные и неизвестные конторы.

Вывод: даже если ты очень внимательный пользователь, смотришь в строке статуса куда указывает ссылка, отличаешь от (как, например, было недавно использовано в фишинг атаке на amazon), то все равно 100% гарантии, что это не подстава, нет. Поэтому, нужно искать различные средства для защиты.

4. Никогда не нужно отвечать на письма спамеров, на различные предложения о сотрудничестве.

Да, не все так просто. Случаи такого неожиданного шантажа наводят на мысль, что злоумышленники не обычные "малыши" которым интересно пошалить, а достаточно взрослые индивидуумы которые знают чего они хотят и идут к этой цели, не взирая на явное нарушение законов.

Вывод: для защиты от искажения данных нужно пользоваться соответсвующими программами. Если недавно это были очень уважаемые мною Acronis True Image, и Norton Ghost, то сейчас я пользуюсь программой ShadowUser, поскольку она не требует времени и места на создание бекапа, но при этом все данные хранятся в неизменном виде! Там используется технология снапшотов (другой перевод: снимки, срезы), которая позволяет совершенно не изменяя информацию на диске запустить операционную систему и пользоваться диском в виртуальном режиме который называется ShadowMode. Все накопленные изменения можно сбросить и вернуться к начальному состоянию нажатием кнопки Reset на корпусе.

Кстати, вы знаете что бекапы надо шифровать и хранить в сейфе, чтобы их не украли вместе с заархивированной туда информацией?

Какие программные средства защиты от фишинга могут использовать пользователи

Уже создано достаточно много программ, которые пытаются защитить клиентов от фишинга. Во-первых это целое семейство toolbarов которые встраиваются в Internet Explorer и Firefox:

Netcraft Anti-Phishing Toolbar - проверяет нет ли специальных символов внутри URL, которые используются чтобы скрыть атаку; защищает от всплывающих окон, которые перенаправляют на подложные сайты; выдает информацию о стране в которой находится сайт, на сайте собрана разная статистика по фишинг сайтам и можно даже послать самому себе фишинг письмо

SpoofStick Toolbar проверяет URL и говорит на каком сайте реально человек находится. Например для URL http://signin.ebay.com@10.19.32.4/ он говорит что вы находитесь на сайте 10.19.32.4. Собственно на этом его функции оканчиваются.

Fraud Eliminator Toolbar - проверяет не находится ли сайт в черном списке, обновления черного списка проверяются каждые 15 минут, кроме того блокирует всплывающие окна, показывает местоположение сайта, так что можно понять что сайт американского банка расположенный в Южной Корее, очевидно, поддельный.

EarthLink Toolbar - кроме возможностей предупреждений что вы на сайте фишера, еще и включает возможности поиска в Google и в чтение новостных групп.

Кроме того есть другие продукты, которые включают функции защиты от фишинга.

Здесь есть небольшое сравнение различных средств защиты от фишинга. Стоит заметить, что если вы выбираете такой продукт то кроме проверки "правильности" URL одним из ключевых факторов является своевременное обновление черного списка сайтов фишеров.

Есть и другие способы борьбы с фишингом, например, уже в браузере DeepNet встроена технология блокирования доступа к фишинг сайтам. Чтобы не повторяться, более подробно с функциями этой программы можно ознакомиться тут.

Какие программные средства защиты от фишинга можно использовать на серверах электронной почты

И все таки источником фишинг атак является электронная почта, поэтому стоит посмотреть на существующие программные продукты выявляющие такие поддельные письма уже на вашем почтовом сервере. Очевидно что если вы пользуетесь web-mail то помогут только plugin в Explorer которые проверяют webmail сайты. Например Clear Search Anti-Phishing может отслеживать веб почту на приведенных в этом списке бесплатных почтовых серверах. Clear Search Anti-Phishing анализирует не только загруженные страницы, но и почтовые сообщения в почтовых программах пользователей. База данных фишеров в этой программе обновляется раз в день.

Когда вас на улице останавливают и спрашивают документы, то почему вы их показываете? Единственный критерий как правило - одетая на человека милицейская форма. Эта форма, как вы понимаете, не наделяет его правом проверять документы. Этим правом его наделило государство, дав ему соответсвующую должность и книжечку в которой эта должность записана. Эту книжечку у него вы никогда не спрашиваете (если не обладаете другой такой же).

Одной из технологий защиты от поддельных электронных писем является DomainKeys Эта технология основана на том, что DNS сервер компании хранит открытый ключ (или некоторое множество ключей), почтовые сервера знают секретные ключи и используется технологиюя несимметричного шифрования для генерации цифровой подписи сообщений на отсылающем сервере и проверка подлинности цифровой подписи на принимающем сервере, используя открытый ключ, опубликованный на DNS сервере.

Эта технология уже поддерживается в почтовых серверах, например в Mdaemon 8.0. Есть plugin для sendmail, версия Exim с поддержкой domain keys и библиотека C# под MS Exchange 2003, и также эта технология реализована в некоторых других MTA.

Кроме того можно использовать специализированные продукты для фильтрации почтовых сообщений, которые также способны защищать от фишинга, например MimeSweeper.

Другие способы защиты от фишинга

У Google недавно открылся сервис Copysentry, который позволяет отслеживать появление дубликатов вашего собственного сайта. Фарминг именно так и работает: создается дубликат сайта и пользователь перенаправляется на него. Очевидно, что Copysentry сможет найти такие дубликаты, поэтому всем сайтам имеющим уязвимые для фарминга сервисы НУЖНО пользоваться этой услугой. Как меру защиты с точки зрения фишера было бы логично перенести свой сайт с 80 порта на любой другой, например 1234 и тогда Google просто не сможет узнать что этот сайт есть. Как известно перенаправить Internet Explorer на любой порт (включая 1234) - не проблема.

Итак, поскольку pharming и phishing отличаются от farming и fishing, то и пользователи наших компаний должны отличаться от незащищенных овечек и избежать попадания на удочку фишеров. К сожалению это та цена, которую мы платим за владение кредитными картами. И не наша вина, что есть стаи "волков" которые стремятся присвоить чужое. Но, как говорится в басне Эзопа (в переводе Крылова): "Ты виноват уж тем, что хочется мне кушать".

Денис Батранков

denisNOSPAMixi.ru

Интернет-магазин www.watches.ru входит в состав крупной специализированной сети часовых салонов МОСКОВСКОЕ ВРЕМЯ, которая насчитывает более 40 торговых точек по Москве и регионам России. В нашем магазине представлены более 3000 моделей часов производства Швейцарии, Германии, Франции и Кореи. Доставка по Москве - бесплатно. Для постоянных клиентов существует гибкая система скидок и выдается накопительная дисконтная карта «Московское время».