`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Елена Хомутова

Нечестная война…

+418
голосов

Возможно вы были в отпуске, когда летом 2010 г. впервые были опубликованы данные о Stuxnet – самом сложном из известных кибер-оружии, направленном на иранскую ядерную программу. Возможно, вы были заняты работой годом позже, в сентябре 2011 г., когда был обнаружен код вредоносного программного обеспечения Duqu – компьютерного вируса, который имеет много общего с кодом Stuxnet, но был предназначен исключительно для сбора информации. Вполне возможно, что вы были в командировке всего несколько месяцев назад, в мае 2012 г., когда было обнаружено изощренное кибер-шпионское ПО Flame, заразившее информационные системы на всем Ближнем Востоке. А что насчет совсем недавнего времени, когда был обнаружен еще более узкоспециализированный сородич предыдущих вирусов? Его имя Gauss и он был ориентирован на сбор сведений о банковской деятельности, в первую очередь в Ливане.

Вирус Flame – далеко не первое высокотехнологичное целенаправленное кибер-оружие, и я более чем уверена, что не последнее. Если вы думаете, что вам это не грозит, потому что вам случилось жить не на Ближнем Востоке или потому что вы не вовлечены в программы по производству ядерного оружия, подумайте еще раз. В эпоху Интернета знания распространяются со скоростью света. Технологии, которые были использованы одним атакующим, быстро распространяются и в скором времени используются другими атакующими с различной мотивацией (информация, финансовая составляющая, идеология и т.д.)

Очень важно осознать этот момент. Мы вступили в новую цифровую эру, где атакующие имеют высокотехнологичные дистанционные инструменты, и мы будем становиться все более уязвимыми, если не будем осознавать реальности происходящего и рисков, связанных с этим.

Возможно, вы уже слышали, что размер вируса Flame 20 МБ!, что он может подключаться и взаимодействовать с Bluetooth гарнитурами, подключаться к WiFi сетям, записывать информацию с микрофона, регистрировать ввод данных с клавиатуры, делать скриншоты, фальсифицировать обновления Microsoft и многое другое. Вы также, наверное, слышали, что Stuxnet атаковал промышленные компьютеры иранской ядерной программы. Думаю, что вы также могли слышать об операции Aurora, которая подвергла сервисы Google целой серии целенаправленных атак два года назад.

Таким образом, если вы слышали об этом то, что вы думаете о том, о чем еще не слышали никогда? Неужели вы думаете, что других высокотехнологических вирусов и вредоносного ПО не существует? Если вирус или вредоносное ПО крадет вашу интеллектуальную собственность или персональные данные или разрушает вашу ИТ инфраструктуру, но антивирусные списки сигнатур не содержат информации об этом ПО, как вы думаете, вы достаточно защищены?

Вирус Flame оставался незамеченным всеми антивирусными программами на протяжении 2-5 лет. Он также был незаметен для брандмауэров, систем предотвращения вторжений IDS/IPS, а также поведенческих HIPS решений. На сегодня мы уже знаем о нем и антивирусное ПО может обнаружить его. Но что касательно вирусов и вредоносного ПО, о котором мы не знаем? И что можно сказать о тех 2-5 годах, когда этот вирус оставался незамеченным, ведь в течение этого периода времени Flame проник в информационную среду, распространился и выполнил свою миссию, оставаясь незамеченным ни для одной антивирусной программы, как в прочем, и для всех остальных традиционных средств обеспечения информационной безопасности.

Когда мы используем антивирусные программы, которые сами выбирают от чего вас защитить, то это напоминает старые фильмы, где героя заставляют выбрать способ, как он хочет умереть, например, прыгнуть со скалы, посадить в яму со змеями или утонуть.

С другой стороны, а почему бы не использовать только те приложения, которые вы точно знаете, что они безопасны, а все остальное программное обеспечение запретить к использованию? Разве такой подход не кажется более рациональным? Если установить в системе контроль приложений, который позволит использовать только доверенное программное обеспечение, тем самым выбрав проактивную позицию информационной безопасности в компании. Тогда вопросы относительно известных или неизвестных вирусов и вредоносного ПО станут просто несущественными.

Как отметил в своем последнем отчете вице-президент и известный аналитик компании Gartner: «Flame, как и любое другое вредоносное программное обеспечение, использует уязвимости корпоративных систем и процессов, а люди, которые создают такое целенаправленное и мощное вредоносное ПО, являются высокопрофессиональными специалистами, которые имеют различную мотивацию». Он также добавил, что основной рекомендацией считает: «Необходимость использования технологии доверенного ПО (белых списков приложений) для критических серверов, а также везде, где это возможно».

На сегодня, компания Bi9 является единственной, которая официально подтвердила то, что она остановила Flame. Повторюсь, единственной! И не один раз, и не два раза, а на протяжении всего периода времени. Решение от Bit9 защищало пользователей, даже не зная, с чем на самом деле имеет дело. Как такое могло произойти, вы спросите? Дело в том, что Bit9 не нужно знать «что это», для того чтобы защитить пользователя. В отличие от антивирусных программ, которые полагаются в основном на базы данных сигнатур вирусов и вредоносного ПО, стараясь предупредить неправильное поведение, основываясь на бесконечном количестве возможных вариаций, что теоретически невозможно предугадать – Bit9 разработали прогнозируемую систему на основе тех вещей, которым мы можем доверять, а именно, доверенному программному обеспечению.

Вирус Flame действовал на протяжении нескольких лет, сканируясь практически каждым мировым производителем антивирусного ПО и поведенческих HIPS решений. Как заявил представитель Kaspersky Lab: «В связи с тем, что структура вируса была слишком сложной, а также учитывая его территориальную ориентацию атак, ни одна из программ не смогла зафиксировать его».

Некоторые антивирусные компании заявили, что уже давно в их базах сигнатур имелись части кода вируса Flame, но только сейчас они осознали, что это представляет опасность. Вирус Flame функционировал, скрываясь на ровном месте, используя готовые утилиты для коммуникации и общие библиотеки для сбора информации. Более того, его размер был как у обычного приложения. У антивирусных компаний не было причин подозревать эти компоненты, таким образом, вся модель антивирусной защиты оказалась предсказуемой, а вирус Flame просто остался незамеченным. Но ведь задача определения, что является «опасным» гораздо труднее задачи определения «доверенного».

Таким образом, пока антивирусные компании «подчищают свои хвосты», поспешно обновляя базы данных сигнатур и стараясь определить новые вирусы и вредоносное ПО, до того как о них станет известно общественности, Bit9 продолжает останавливать атаки подобного рода, а также атаки, которые еще никому неизвестны.

Мико Хиппонен (Mikko Hypponen), главный научный сотрудник компании F-Secure, недавно опубликовал достаточно правдивую статью, посвященную провалу традиционных средств информационной защиты в борьбе с высокотехнологичными вирусами и целенаправленными атаками. По его словам: «Антивирусные продукты потребительского класса не могут защитить вас от специально созданных вредоносных программ, которые разрабатываются ресурсами государства с огромными бюджетами. Они могут защитить вас от самодельных вредоносных программ, таких как банковские трояны, клавиатурные шпионы и почтовые черви. Что касается целенаправленных атак, то там по определению делается все возможное, чтобы избежать антивирусных проверок. Более того, уязвимостей нулевого дня, которые используются в этих атаках, неизвестны антивирусным компаниям по определению… Это несправедливая война между нападающими и защитниками, когда нападающие имеют доступ к нашему оружию».

По моему мнению, «нечестная война» – это использование чуть усовершенствованного оружия 25-летней давности, в то время, как враг давно поменял и тактику и технику ведения боевых действий. Но бывают ли честные войны? Именно поэтому важно использовать простое и надежное оружие для защиты своих ресурсов.

+418
голосов

Напечатать Отправить другу

Читайте также

В корпоративе более-менее понятно, а вот как пользователям SOHO составить список доверенного ПО не набив при этом шишек?

Неужели ответ не очевиден? Эта статья прямой загон овец аппловский концлагерь.

В случае SOHO проблема не столько в "доверенном" ПО, сколько в "доверенном" источнике этого ПО. В этом смысле "концлагерь" хоть в виде репозитория, хоть в виде Аппстора - не самый плохой вариант.

Не согласен.
При описанном в этой статье подходе, попасть в тот "источник" легче легкого. А потом как "волк в овчарне" - уже делай что хочешь и никто тебя не остановит. Зато иллюзия безопасности и куча бабла апплу.
Если у пользователя нет моСка - не поможет ничего. А откуда ему взяться? Ведь "добрый дядя джобс уже обо всем позаботился". Главное свято верить в источник. Кроме сюжета из Буратино про поле чудес ничего больше на ум не приходит.

Вместо "компьютерной грамотности" мы бешеными темпами мчимся к полнейшему компьютерному даунизму, уж извините за мой французский. Вот это и обидно.

"враг давно поменял и тактику и технику ведения боевых действий"

елена, а можно для нэдалэкых и нэрозумных читачив прямым текстом - хто цэй враг?

и хто вы? написато, шо работаете в компании ит лэнд. а по тексту вроде как вы - иранский йадерный физик, на которово напал нечесный враг.

???

1)Данная статья прямая реклама Bit9
2)Мысль о том что надо доверять какомуто доверенному кругу приложений - ущербна. Простой пример скандалы с вредоносными программами в Андроид Маркет, программы с логотипом проверено в Facebook - которые никто не проверял. Кроме того в известных приложениях уровня ОС, оффис и проч. могут содержать черные двери оставленные по просьбам властей "особо демократических стран" и прочих.
3)Использование известных программ ничего не гарантирует - Порой всплывают дырки в программах присутствующих еще в программах 15 летней давности и не закрытые по сей день не смотря на кучу версий и сервиспаков.
4)Использование "безопасных ос" - не безопасно как бы ратовали апологеты яблока и пингвина, как только их ос стали массовыми стали всплывать дырки родом еще из Unix (для тех кто не в курсе МакОС Х - разновидность Линукс), да и современных багов хватает.

Вывод: НЕ подключать ни к каким сетям компьютеры с данными имеющими значение для крупных корпорация и государств, а лучше вообще не хранить их на компьютере.
Все остальное это компромис между ценностью данных и удобством раьоты с ними.

Только макось не линукс (SYSV), а BSD.

Homer Simpson, я не совсем понимаю вашу иронию по поводу "врагов"... или вы считаете, что ежедневные информационные утечки, кражи персональной информации и финансовых средств, открытый доступ и организация back doors в информационных системах режимных государственных объектов и проч. совершаются исключительно друзьями? (по опыту проведения тестов на проникновение и уязвимости Украинских заказчиков)

Хотелось бы добавить, что все приведенные примеры не относятся к корпоративному уровню решения проблемы, более того уводят нас в сторону от понимания основной сути рассматриваемого решения... Которое по сути своей предлагает внедрять систему контроля приложений на основе метаданных и hash, запрещая при этом запускать какие-либо другие приложения в системе, кроме тех, которые были определены ИТ отделом.

если все так просто, то есть стандартный механизм AppLocker и SmartScreen плюс к нему, их не достаточно?

"Александр Рыбка" Вы извините... там выше было насчет уязвимостей программ 15 летней выдержки. Я думаю, проверенность IT отделом тоже входит в эту категорию.
"ежедневные информационные утечки, кражи персональной информации и финансовых средств, открытый доступ и организация back doors" я не Гомер Симпсон, но я считаю, что большая часть этих проблем создаются "друзьями" т.е. инсайдерами. И вопрос это скорее к социальной психологии, чем к IT.
Так приятно думать, что ты занимаешься чем-то необычным... никогда не встречавшимся. Между тем проблема хорошо известна в живой природе. И ею же найдено решение (Вы не поверите - это отнюдь не цифровая подпись кода! хотя в рамках столь любимой природой многоуровневой модели - да, система иммунитета работает где-то так...). Это - гетерогенная среда. Другими словами: если поле засеяно картошкой, колорадский жук есть катастрофа (есть варианты, но в желудок неизбежно попадет... разная всякая химическая кухня... кто знает, что лучше...) если это - луг (т.е. разнотравье) - всего лишь мелкая неприятность. Думает ли отрасль IT (да простят мне Боги такую смелую формулировку!) об этом? Да нет же!.. ибо Майкрософт (+ Аппл на худой конец... впрочем для него нужен не очень худой...) наше все. И максимальное разнообразие - это солянка из Виндовз 95-98-2000-7-8-9, ну и так далее. И что Вы хотите? Хотя Вы. на самом деле, хотите одного - частой сменяемости железа (и софта). Что ускоряет оборот денежных средств. И регулярные падения систем в этом плане - вполне приемлемая плата и стимул для хомячков по обе стороны прилавка.
Что касается легкой апокалиптичности эссе - мы же понимаем, что это всего лишь художественный прием. Вроде символа, иронии, гиперболы, литоты и т.д (да, много их, но считаны они). А прием - это способ отвлечение от сути (или ее подчеркивания - если читатель на уровне).

На правах рекламы статья?

Никаких бинарных программ, только самостоятельная сборка из подписанных исходников, только хардкор!

А ведь когда-то так и было... (ностальгическое вздыхание)

Хочется снова набирать компилятор в машинных кодах? )

А что такое "набирать компилятор в машинных кодах"? ничегонепонял.жпг. Мне всегда казалось что компилятор он того, сам "набирает машинные коды" из исходных...

Так а "первый" компилятор, которым всё собирается, откуда брать? Бинарный нельзя по условию, из исходников собирать ещё нечем, в общем 7F 45 4C 46 и далее до победного конца! )))

и личная проверка этих исходников на backdoorы...

Даже в таких случаях не все просто, на ум сразу же приходит компрометация кода proftpd, при том у них же в репозитории исходников, хотя в целом мне эта идея близка и я с радостью ее использую на BSD-серверах

Еще 10 лет назад тот же Касперский говорил, что работа с сигнатурами рано или поздно себя исчерпает и что-то нужно булет делать с точки зрения построения динамических поведенческих моделей. Вот этот момент и наступил. Антивирус уже часто "не замечает" кода в 5-10-100-1000МБ и тем более, не следит за его поведением. Иммунитет, говорите... Пожалуй пора ДНК править, а не искать новые лекарства от старых болезней.

Я, как человек, которому часто приходилось по работе сталкиваться с лечением различных вирусов (как "глупых" винлоков и авторанов, так и "умных" троянов/руткитов) хочу более детально прочитать об этих самых

"Bit9 продолжает останавливать атаки подобного рода, а также атаки, которые еще никому неизвестны."

Ибо сам автор признает тот факт, что SkyWalker или Flamer оставался не обнаруженным длительное время.
Где гарантия что Bit9 станет защитой?

Для защиты от такого рода атак может спасти только комплексный подход на всех уровнях ИТ инфраструктуры.

Система безопасна на столько, насколько пользователь за ней работающий понимает что он делает.
Человеческий фактор, к сожалению, является решающим, даже в самых защищенных системах.

Кстати, вот "свежачок", т.н. Shamoon
http://www.bbc.com/news/technology-19293797

p.s.
Может компании стоит провести тестовое внедрение рекламируемого решения в странах ближнего востока?
Их энергетические компании как раз находятся на острии атаки различных "боевых" вирусов.

Чем SELinux не устроил?

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT