17.1.2.7. Вирусы и приложения типа "троянский конь"

Описание

Рабочие станции конечных пользователей очень уязвимы для вирусов и троянских коней. Вирусами называются вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. В качестве примера можно привести вирус, который прописывается в файле command.com (главном интерпретаторе систем Windows) и стирает другие файлы, а также заражает все другие найденные им версии command.com. "Троянский конь" – это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль. Примером типичного "троянского коня" является программа, которая выглядит, как простая игра для рабочей станции пользователя. Однако пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все абоненты получают по почте игру, вызывая ее дальнейшее распространение.

Решение

Борьба с вирусами и "троянскими конями" ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и, возможно, на уровне сети. Антивирусные средства обнаруживают большинство вирусов и "троянских коней" и пресекают их распространение. Получение самой свежей информации о вирусах поможет эффективнее бороться с ними. По мере появления новых вирусов и "троянских коней" предприятие должно устанавливать новые версии антивирусных средств и приложений.

17.1.3. Ключевые термины

Безопасность информации, Информационная безопасность, Политика безопасности, Политика безопасности информационно-телекоммуникационных технологий, Средства защиты от несанкционированного доступа, Системы мониторинга сетей, Анализаторы протоколов, Антивирусные средства, Межсетевые экраны, Криптографические средства, Системы аутентификации, Сетевые атаки.

17.2. Xss Filter

17.2.1. Общее описание

XSS (Сross Site Sсriрting – "межсайтовый скриптинг") – тип уязвимости интерактивных информационных систем в Интернете [14]. XSS возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера они используют уязвимый сервер в качестве средства атаки на клиента.

По данным securitylab.ru за второй квартал 2008 XSS составляют около 15 % всех обнаруженных уязвимостей [15]. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP-Cookie могут быть весьма уязвимые данные (например, идентификатор сессии администратора). На популярном сайте скрипт может устроить DoS-атакy.

По данным исследования Web Application Security Consortium за 2007 год [16] самой распространенной уязвимостью является Cross-Site Scripting, эта уязвимость присутствует почти в 60% проанализированных сайтов (рис. 17.2).

Рис. 17.2.  Исследование распространенности веб-уязвимостей

Источник: Security Statistics Projects [16]

Поскольку XSS относятся к классу атак, направленных на клиента (т.е. на браузер пользователя), логичным является решение сконцентрировать защитные механизмы, противодействующие атаке, также на стороне клиента.

Так в новой версии Internet Explorer 8 появился XSS-фильтр, который делает реализацию XSS-атаки в нем намного более сложной задачей для злоумышленника [16].

Архитектура XSS Filter в Internet Explorer 8 показана на рис. 17.3.

Рис. 17.3.  Архитектура XSS Filter в Internet Explorer 8

Источник: IE 8 XSS Filter Architecture / Implementation [17]

Логика работы XSS Filter в Internet Explorer 8 показана на рис. 17.4.

Рис. 17.4.  Логика работы XSS Filter в Internet Explorer 8

Источник: IE 8 XSS Filter Architecture / Implementation [17]

XSS-фильтр работает как компонент IE8, который просматривает все запросы и ответы, проходящие через браузер [18]. Когда фильтр обнаруживает XSS в межсайтовом запросе, он нейтрализует атаку, если она зависит от ответа сервера.

С XSS-фильтром пользователи IE8, которые столкнутся с Type-1 XSS-атакой, увидят приблизительно такое предупреждение, как на рис. 17.5.

Рис. 17.5.  Предупреждение XSS-фильтра при Type-1 XSS-атаке

Источник: IE8 Security Part IV: The XSS Filter [19]

В данном случае XSS-фильтр обнаружил атаку межсайтового скриптинга в URL, страница была модифицирована и XSS-атака была заблокирована. Фильтр нейтрализировал атаку, так как идентифицированный скрипт отсылал данные на страницу ответа. В данном случае фильтр эффективен без модификации первоначального запроса к серверу или блокировки всего запроса.

Как можно понять, есть множество сценариев, которые фильтр должен обрабатывать правильно. Вот некоторые из них [18]:

• фильтр должен быть эффективен, даже если атака направлена на артефакт часто используемых рабочих сред веб-приложений;

• при фильтрации наш код не должен предоставить новый сценарий для атаки, которая бы отличалась от существующей;

• фильтр должен эффективно бороться со всеми векторами XSS-атак, которые еще не были закрыты другими способами сокращения поверхности для XSS-атаки.