Сеть и Безопасность: Опасные письма в дырявом конверте
Ефим ОсиповNet Security News
На прошлой неделе была обнаружена еще одна уязвимость в среде Outlook Express 5.5. и 6.0, которая позволяла тайно "протащить" вирус через фильтры антивирусных программ, например, AV компании McAfee, засунув его в тему письма, - достаточно оригинальный способ, особенно если не учитывать возможность последствий. Сканеры почтовых серверов не могут "просмотреть" корректно данные письма на наличие вирусов, т.к. вирус находится не в прикрепленном файле, а в специально сформированном поле темы письма.
Последствия действия другого вируса, которому на этой неделе была присвоена высокая оценка "потенциала распространения", были более реальными: имея довольно заманчивую тему письма для неискушенного пользователя, звучащую как "sounds of sex and other stuff", вирус, будучи открытым на машине пользователя, переписывал все файлы с расширениями htm, .scr, .com, и .exe. Вирус был назван W32.Alcarys@mm, а информация о нем размножалась гораздо быстрее, чем он сам.
Еще одним из наиболее приметных событий, попавших в тематику вирусологии, стал вирус, который распространялся на этой неделе под видом рассылки немецкого веб-сайта AV. Маскирующим элементом была также тема письма, в которой указывалось, что это 'Trojaner-Info Newsletter [infected computer's current date] с веб-сайта Trojaner-info.de. Открытие прикрепленного файла запускало вредоносную программу, которая наносила ущерб файлам и, в первую очередь, письмам пользователя, - в результате вирус рассылался контрагентам по переписке того или иного пользователя.
Как видно, создатели вируса были тактически "подкованы", что закономерно привело их к успеху: рассылка велась от имени популярного ресурса, который имел высокий кредит доверия у пользователей. Спрятав вирус, как нечто "антивирусное", и заставив пользователя запустить exe-файл, создатели вируса добились желаемого результата. Даже название вредоносного файла yawsetup.exe было похоже на название антивирусной программы YAW (Yet Another Warner), что также располагало доверчивого пользователя к опасному клику.
Все это говорит о том, что большинство активных пользователей, исходя из собственного опыта или из опыта других пользователей, стараются "фильтровать" приходящую почту в частности и "обороняться" от опасностей Сети в целом, которые имеют тенденцию расти вглубь и вширь. При этом квалификация пользователя в этом деле не быстро, но все-таки растет. Поэтому создатели вирусов маскируют свои детища как нечто непохожее на вирус и вызывающее доверие, или пытаются надежно спрятать вирус от сканеров и фильтров, придумывая хитроумные способы, которые, кстати, отлично подходят к открытой среде наиболее "безопасных" продуктов.
Создатели программных продуктов по-прежнему далеки от того, чтобы реализовать безопасность как наиболее важный приоритет, как бы то часто и серьезно ни декларировалось. Например, на этой неделе была найдена уязвимость в компиляторе, включенном в .Net Microsoft, которая дает возможность осуществления атаки, дающей в результате ошибку переполнения буфера. Ошибка такого рода, допущенная в "корне", отражает причину, почему приложения Microsoft уязвимы в отношении переполнения буфера. Как заявила корпорация-гигант, в настоящее время она исследует доклад о данной дыре, сделанный Cigital.
В продолжение истории c .Net корпорация решила в новом выпуске платформы .Net Framework отключить установку приложений по умолчанию. Хоть компания и утверждает, что приложения являются безопасными по умолчанию, что, кстати, является слоганом OpenBSD, отключение такого рода - это вынужденная мера, которая половинчата, как и остальные высказывания и действия монополиста. Одной из наиболее интересных инициатив Microsoft является создание специальной программы Baseline Security Advisor, которая должна помочь пользователю найти уязвимые места на его машине. Все это делается, чтобы вернуть потерянное доверие пользователя. Забавно, нет, скорее, в этом кроется явная ирония, - программа от Microsoft будет искать дыры, уязвимости, слабости в среде ПО, которое больше всего продает тот же Microsoft. Еще программу автоматической подкачки и установки патчей для приложений Microsoft создать бы, да и патчи сделать бы получше.
Хотя дыры, конечно, находят не только у Microsoft: например, недавно была обнародована информация об уязвимостях в известном анонимизаторе SafeWeb. Из-за дыр внутри Java может быть получена истинная персональная информация о пользователе и о его "поведении" в Сети, то есть то, что как раз и призван скрывать данный ресурс. Между тем, информация такого рода собирается не только правительственными органами в странах, которые практикуют слежение в своих политических целях, но и частными корпорациями.
В связи с лихорадкой безопасности или эйфорией слежения, кому как угодно, специальные продукты по мониторингу, бывшие одно время для большинства из нас в диковинку, становятся обыденностью, занимая растущую нишу на рынке. Установив программу, можно следить за перепиской и серфингом пользователя, анализируя искомый предмет, а именно "предпочтения и привычки" пользователя. Понятно, что программы такого рода нужны для того, чтобы бороться с безалаберностью работника, любовью к детской порнографии или супружеской неверностью, однако с моральной точки зрения их применение не является однозначно оправданным. Ведь "незнание" может сохранить брак, слежение не создаст нужной атмосферы в коллективе, а тяга к запрещенному лежит в сердце нашей цивилизации.
В целом, частные корпорации в настоящее время рассматривают все возможности по усилению безопасности своих систем: это касается как работников корпораций (тренинг, слежение за инсайдом, поиск внутренних атак), так и юридического преследования тех, кто осуществляет внешние атаки. И хотя проблемой является не только поиск злоумышленника, но и корректное определение ущерба, практика законного преследования должна, по мнению экспертов, в дальнейшем расширяться. Между тем, сейчас, как показывают исследования, сохранится тенденция к небольшому увеличению бюджетов, связанных с информационной безопасностью: увеличение на менее чем 10% планируют 25% компаний, на 10-25% - 21,9%, на более чем 25% - 9,4%. Данные также говорят о том, что корпорации уже достаточно трезво оценивают субъекты угрозы. Как показывают данные, у самих компаний, представляющих продукты и сервисы по безопасности, происходит рост доходов.
Тем временем компании, выпускающие программные продукты, начинают использовать номинации "безопасности" в маркетинговых целях, однако, как видно из яркого и впечатляющего примера с Microsoft, часто слова расходятся с делом. Продуктов становится все больше и больше, но их безопасность оставляет желать лучшего.
Кроме проведения кампаний под лозунгом "Unbreakable", корпорации также ищут иные шаги, которые помогли бы им сохранить позиции на рынке, продолжить экспансию или борьбу за выживание на том или ином сегменте.
Эти шаги типично включают новые инициативы, новые продукты, новые партнерства. Например, как стало известно на прошлой неделе, код Freedom Network стал доступен Сети. Также на прошедшей неделе была предложена децентрализация Linux, призванная усилить безопасность продвинутых пользователей. В свою очередь, российская компания "Лаборатория Касперского", разработчик антивирусов, продолжает экспансию на рынке Великобритании при помощи расширения канала продаж. Компания успешно добилась партнерства с дистрибьютором UniDirect и 40 продавцами, при этом планируется довести число дистрибьюторов до 4, а продавцов - до 100. Также "Лаборатория Касперского" анонсировала выпуск межсетевого экрана и контент-фильтра в ближайшем будущем.
Также на прошедшей неделе были обнародованы партнерства между Phoenix и Standard Microsystems и Compaq и SafeNet. Воспользовавшись удобным моментом, а именно конференцией RSA 2002, многие компании представили свои новые продукты: корпорация Symantec обнародовала свой новый, как говорится, "первый интегрированный и при этом весьма легкий в использовании" продукт - Gateway Security Appliance, который позволит использующей его стороне осуществлять и поддерживать максимально широкий комплекс мероприятий, связанных с сетевой безопасностью. Computer Associates продолжила активное продвижение систем PKI. Компания Lockstep Systems предложила рынку новую версию WebAgain, который позволяет быстро поднять атакованную сетевую структуру. В свою очередь, VerySign разродилась инициативой по интеграции своих веб-сервисов и компонентов в сетевые архитектуры после заключения партнерских соглашений с Microsoft, IBM, Sun, Oracle, HP, BEA и webMethods.
Возвращаясь к темам предыдущей недели, стоит также отметить появление новой позиции по спаму: многие из корпоративных пользователей и большинство руководителей признают, что, несмотря на то, что спам - это зло, на борьбу с ним можно потратить слишком много средств и энергии. И хотя количество спама растет невиданными темпами (по определенным данным, в прошлом месяце было зарегистрировано 2,8 миллиона сообщений), бороться против него можно с помощью средств обычной сетевой "гигиены": дорожить электронными адресами, не распространяться о них, не выкладывать их в Сети. Кроме того, часто бывает так, что нужная информация из-за строгих параметров настроенных фильтров не доходит до пользователя. А это, как говорится, - другая сторона проблемы.
Построение системы информационной безопасности компании:
|