Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южно-Российский государственный технический университет (Новочеркасский политехнический институт) (ЮРГТУ (НПИ))
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
9_Курс лекций МиСЗИ.doc
Скачиваний:
77
Добавлен:
11.04.2015
Размер:
142.85 Кб
Скачать
►Содержание►

Современные информационные угрозы, II квартал 2006

II квартал 2006 года внешне выглядит одним из самых спокойных за последние годы. Практически полное отсутствие более или менее заметных эпидемий почтовых и сетевых червей совпало с выпуском бета-версий и полноценных продуктов нового поколения от большинства ведущих антивирусных вендоров. Вирусописатели взяли паузу для разработки новых методов противодействия антивирусным программам, поэтому основные «боевые действия» развернулись в невидимой для обычного пользователя области технологического противостояния. Однако иногда отголоски этой скрытой войны проникали на страницы газет и интернет-сайтов.

Множественные уязвимости в продуктах MS Office

Все мы помним, что последние три года прошли под знаком громадного количества критических уязвимостей в операционной системе Windows. Такие термины, как RPC-DCOM, LSASS, WINS, PnP стали не только объектом речи системных администраторов и программистов, но и головной болью для аналитиков антивирусных компаний и настоящим кошмаром для обычных пользователей. Дыры в сетевых приложениях Windows размером с Мальстрем, открывали доступ к десяткам и сотням миллионов уязвимых компьютеров по всему миру, чем вирусописатели не преминули воспользоваться. Именно благодаря этим уязвимостям обрели жизнь такие эпохальные черви, как Lovesan, Sasser, Mytob, не говоря уже о сотнях других, менее известных широкой публике, однако не менее опасных.

Постепенно, примерно к осени 2005 года, компании Microsoft более или менее удалось сбить этот вал обнаруженных уязвимостей, чему в немалой степени способствовало и активное продвижение второго сервис-пака для XP. Тогда хакеры переключили свое внимание с основных модулей Windows на второстепенные. Наибольшего успеха они добились в декабре 2005 года, открыв и использовав брешь в обработке WMF-файлов. Другая часть хакерского сообщества занялась поиском проблемных мест в антивирусах и сетевом оборудовании. Но в конце весны — начале лета 2006 года под прицел попала вторая важнейшая разработка Microsoft (а если посмотреть на структуру доходов этой компании, то первая) — пакет MS Office.

Реализованная в MS Office модель работы с OLE-файлами уже давно привлекала внимание экспертов по информационной безопасности. Данный формат, несмотря на то что он достаточно хорошо документирован, до сих пор остается своеобразным черным ящиком с множеством ячеек. Слишком большое количество критически важных областей, слишком запутанная структура взаимодействия между областями OLE-объектов — все это еще в 2003 году привело к появлению опасной уязвимости в документах MS Office, позволяющей выполнить произвольный код при открытии специально сформированного документа. Эту уязвимость долгое время активно использовали некоторые китайские хакерские группы для своих атак. Есть все основания подозревать, что именно эти группы и оказались причастны к тому, что началось в марте 2006 года.

Уязвимость затронула все продукты, входящие в состав MS Office версий начиная с 2000. Это был первый звоночек, который привлек внимание не только Microsoft, но и множества хакеров. Формат OLE-документов моментально стал объектом самого пристального изучения. К сожалению, надо признать, что хакеры оказались более внимательными исследователями, чем сама Microsoft. Обнаруженные в течение последующих трех месяцев дыры отличались друг от друга по своей сути крайне незначительно — в основе каждой лежала одна и та же проблема — неправильная проверка некоторых данных в описании OLE. Microsoft ограничивалась выпуском «костылей», почему-то не утруждая себя проверкой соседних полей в файлах, и после выпуска в свет очередного патча на следующий же день появлялась информация о новой уязвимости.

Уязвимость от 19 мая стала основной угрозой. Информационное сообщество узнало о ее существовании только по факту обнаружения массовой рассылки троянской программы, использующей данную уязвимость. Это был тот самый случай, когда вирусописатели очередной раз использовали еще никому кроме них не известную дыру — так называемый «0-day exploit». Подобные уязвимости представляют наибольшую опасность, поскольку производителю софта приходится тратить время на анализ проблемы и выпуск патча, в то время как в интернете уже активно распространяется вредоносный код.

«Взломщики кодов» – новый класс вредоносных программ Ransomware. Вирусы-шантажисты, во главе с печально известным Gpсode, впервые появились на сцене в конце 2004 года, активно развивались на протяжении всего 2005 года и в этом году оказались на пике своей активности.

Если первое время авторы подобных вирусов ограничивались примитивными алгоритмами шифрования (Gpcode) или простой порчей системного реестра (Krotten), то в итоге они добрались до наиболее стойких методов шифрования (RSA) и использования техники помещения данных в запароленные архивы.

Например, троянец Cryzip атаковал американских пользователей, архивируя файлы в ZIP-архив с паролем, состоявшим более чем из 30 символов. В мае 2006 года подобная идея была осуществлена в Великобритании. Троянец MayArchive делал все то же самое и ряд антивирусных экспертов склонен считать его просто новой версией Cryzip. В целом троянцы-архиваторы продолжают оставаться угрозой для западных пользователей. В России же наибольшее распространение получила практика шифрования файлов.

Впервые алгоритм шифрования RSA был использован в январе 2006 года в вирусе Gpcode.ac. Автор ограничился длиной ключа в 56 бит, что не вызвало у антивирусных компаний никаких проблем в его взломе и восстановлении пораженных файлов.

Легкость, с которой задача взлома ключа и восстановления файлов, очевидно, заставила автора вируса пойти по пути наименьшего (как ему казалось) сопротивления. В июне Рунет поразила эпидемия новой версии вируса. На этот раз был использован значительно более длинный ключ — длиной 260 бит. Однако снова наши эксперты оказались на высоте, справившись с подбором ключа менее чем за пять минут. Началась настоящая гонка: кто окажется упорней, чьи вычислительные мощности и познания в криптографии окажутся сильней, чем у противника. Но если автор Gpcode мог сдаться, то у антивирусных компаний такая возможность исключалась — надо было защитить пострадавших пользователей. На взлом 260 бит вирусописатель отвечает выпуском новой версии — 330 бит! Это было уже серьезно. Некоторые из антивирусных компаний на этой стадии сошли с дистанции. Но «Лаборатория Касперского» справилась с ключом менее чем за сутки. Автор Gpcode что называется закусил удила. 7 июня 2006 года с вирусного сайта на тысячи компьютеров в России началась загрузка Gpcode.ag. В нем использовался ключ максимальной длины, которая когда либо взламывалась, — 660 бит. По самым приблизительным подсчетам на взлом такого ключа потребовалось бы более 30 лет работы одного компьютера частотой 2,2 Ghz. Но... Процедуры расшифровки для файлов, зашифрованных ключом RSA-660 были добавлены в антивирусные базы лаборатории Касперского в тот же день. Подробности не раскрываются, но данная лаборатория считает, что это было самым красивым решением криптографической задачки за всю историю компьютерной вирусологии.

Одновременно специалисты лаборатории Касперского предприняли все возможные усилия по закрытию вирусного сайта, с которого происходило распространение Gpcode, и утром следующего дня он прекратил свое существование. На момент написания этой статьи нами не зафиксировано новых вариантов данного вируса, однако исключать появления в любой момент Gpсode с еще более длинным ключом нельзя.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности