`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

Осторожно, водопой!

+33
голоса

Watering hole – одна из разновидностей многоуровневых целенаправленных кибератак. Впервые я услыхал о ней на каком-то семинаре по безопасности, а вот подоспел и весьма показательный пример из реальной жизни.

Дословно watering hole действительно означает водопой, хотя имеется и более современное неформальное значение – бар/паб/кабак, где принято опрокинуть рюмку-другую после работы. Известно, кстати, что такие места уважали шпионы-вербовщики практически всех мировых разведок, так что перенос «лучших практик» в киберпространство вполне ожидаем. Со своей, естественно, спецификой.

Схема атаки примерно такова: находится какой-то более-менее специальный сайт (раздел, страница), который посещает именно необходимая категория жертв; он максимально незаметно взламывается, чаще всего с целью скрытной переадресации на внешний ресурс; с последнего, используя какие-то уязвимости в браузерах, на компьютеры жертв загружается вредоносный код, как правило малоизвестный. Собственно, и все, дальше, как говорится, дело техники.

Упомянутый реальный инцидент, подробно описанный компанией Invincea выглядел следующим образом. Вначале был взломан сайт Министерства труда США, конкретно, его разделы, популярные у сотрудников Министерства энергетики, в частности, посвященные опасности для здоровья персонала, вовлеченного в разработку ядерного оружия.

Внедренный JavaScript-код переадресовал пользователей на сайт злоумышленников, который задействовал неизвестную (0day) уязвимость Internet Explorer 8 для Windows XP. Microsoft ее уже признала и до выпуска патча рекомендует обновить браузер или скорректировать настройки безопасности. С этого сайта загружался необычный вариант трояна Poison Ivy, который распознавался только двумя из 46 популярных антивирусов.

О целях злоумышленников можно только догадываться, хотя выбор целевой аудитории достаточно красноречив. Естественно, после обнаружения атаки ее последствия были ликвидированы, но сколько она продолжалась незамеченной не сообщается.

Вводы из инцидента я бы сделал следующие (кто не согласен, приводите контраргументы):

  1. все чаще для атак используются совершенно легитимные сайты, т.е. правило «просто не ходить куда не надо» вряд ли уже можно считать эффективным. Как видно, угроза может исходить откуда угодно и вряд ли .gov стоит считать заведомо безопаснее .com и пр.
  2. считается, что с каждым годом 0day-уязвимостей обнаруживается все меньше. Однако эта статистика может быть очень обманчивой. Почему не предположить, что атаки просто стали лучше скрывать? А тенденцию к этому отмечают фактически все эксперты.
  3. вероятно, корпоративное правило «не трогать то, что работает» требует пересмотра. Описанная атака эффективна только в Internet Explorer 8 на Windows XP. Оба продукта по меркам ИТ – сильно устаревшие. Современные версии более безопасны и ломаются гораздо сложнее.
  4. поскольку застраховаться от подобных атак в принципе невозможно, нужны какие-то инструменты перманентного контроля, которые помогали бы оперативно реагировать, пусть и на косвенные признаки. Вопрос: что это может быть?
+33
голоса

Напечатать Отправить другу

Читайте также

> нужны какие-то инструменты перманентного контроля, которые помогали бы оперативно реагировать

песочницы, поведенческий анализ, сбор статистики

так ломают и песочницы
http://ko.com.ua/pwn2own_2013_hakery_vnov_pobezhdayut_72056

а два последних вроде и правильно, но сильно общо :)

"... корпоративное правило «не трогать то, что работает» требует пересмотра. Описанная атака эффективна только в Internet Explorer 8 на Windows XP. Оба продукта по меркам ИТ – сильно устаревшие" - так кто в этом виноват кроме МС? Что мешало им позволит ставить хотя бы 9 на ХР? Ничего, ведь на нее становятся новые версии того же Хрома и файрефокса, так что не правы те кто пользуется продукцией такой компании, которая "забивает" на свои продукты еще до официального снятия их с поддержки.

обычно старые браузеры сохраняют ради совместимости с интранет-решениями, во избежание ошибок. обновление централизованно запрещают.
с чего вы решили, что кто-то на что-то забил? разберутся - исправят.

Что МС разрешит наконец ставить ie 9 на ХР? Очень сомневаюсь...

вряд ли, конечно. поддержке XP, если не ошибаюсь, год остался (после всех продлений). а чтобы перенести IE9, надо менять базовые механизмы (Direct2D). так что дело не в запрете, а в довольно естественном нежелании вкладываться в старый продукт. аналогичная проблема была с IE10 для Windows 7, но семерка-то еще вполне перспективна.
будут латать то что есть.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT