- •4.7.3 Направления и тенденции развития ит-технологий Семенов ю.А. (гнц итэф)
- •1. Процессоры и их архитектура (по материалам Кеннета Кайтона и Джеда Скарамелла "ibm SystemX4: Delivering High Value Through Scale up")
- •Суперкомпьютеры
- •Зеленый компьютинг
- •2. Конфигурирование машин и программного обеспечения
- •3. Системы резервного копирования
- •4. Оптимизация параметров wan для глобальных виртуальных сетей
- •5. Управление полосой пропускания
- •Унифицированные коммуникации uc
- •5. Новые технологии и новые проблемы
- •6. Многофакторная аутентификация
- •Прогнозы
- •Инвестиции в широкополосные каналы в сша
- •Хранение информации в облаке Интернет
- •Широкое использование дешевых компьютеров
- •Возможности в области энергопитания
- •Интеграция
- •Рост информационных объемов
- •Рост сетевых угроз
- •Использование приложений с переключением портов
- •Использование приложений с распознаванием голоса
- •Концепция информационных центров
- •Квантовые комрьютеры
- •Литература
Рост сетевых угроз
К началу 2007 года хакерство перешло на коммерческую основу, в этой сфере возникла конкуренция, что способствовало быстрому росту качества вредоносных программных продуктов и падению цен услуг в этой области. Темпы роста числа взломанных машин в мире заставляет говорить об индустриальной революции в этой сфере. Тем более, что с одной стороны это стало одним из важнейших видов преступного бизнеса, с другой - уровень организации, автоматизации и разделение труда в этой отрасли достигли небывалых масштабов.
Раньше хакеры концентрировались на прорыве периметра обороны сети. Теперь цели сменились, основной мишенью атаки стали данные и приложения, которые управляют потоками данных. 60% атак предпринимается против WEB-приложений. Смотри The Industrialization of Hacking, а также Обзоры компаний Symantec, McAfee, Sophos, лаб Касперского, Cenzic, IBM, Sunbelt и др. об угрозах безопасности с 2006 до наших дней.
Началась разработка кибероружия. Этим делом занялись практически все развитые страны. Речь уже идет о подготовке кибервйн. Сообщений о разработках кибероружия становится все больше (см. Report suggests that U.S. helped create super cyber weapon, а также UPDATE 2-Cyber attack appears to target Iran-tech firms). Эти сообщения связаны с американо-израильской разработкой нового вида кибероружия (сетевой червь Stuxnet), поражающего контроллеры технологического оборудования, в частности суперцентрифуг для разделения изотопов урана в Иране. Сообщение New York Times официальными источниками в США не подтверждается. Иранский президент Махмуд Ахмадинежад подтвердил проблемы с технологическим оборудованием на обогатительных заводах. Разработка червя заняла около 2-х лет. Эта программа достаточно универсальна и пригодна для нарушения работы, например, энергетических предприятий. Заразиться червем компьютер может при загрузке USB-паамяти, при этом ни одна существующая на сегодня антивирусная защита его не обнаружит.
В 2007 году состоялась массированная сетевая атака на Государственный департамент США, министерство экономики, обороны, энегретики, NASA и некоторые другие правительственные структуры США. Это событие некоторые американцы называют информационным Пирл-Харбором. По оценкам экспертов украденный объем данных составил терабайты (сравнимо с суммарным объемом информации в библиотеке Конгресса США). В 2010 году президент Б.Обама объявил защиту от кибероружия приоритетной государственной задачей
Конгресс США выделил в 2010 году 17 млрд долларов на противодействие кибератакам. За истекший (2010) год из банков США украдено через Интернет примерно 100.000.000 долларов (традиционные гангстеры с кольтами и автоматами проливают слезы зависти...). Скорости изъятия денег достигали $10.000.000 в сутки. Сообщено, что в штате Вирджиния хакер получил доступ к медицинской базе данных, зашифровал ее и предложил прислать ключ расшифровки за 10 млн. долларов. Бывший глава системы национальной безопасности США адмирал Майк МакКоннел утверждает, что китайцы вторглись в банковскую сеть США и оставили там программы, которые могут быть ими использованы позднее.
На рынке появились программные продукты, предназначенные для взлома и заражения машин вредоносными кодами, а также для управления botnet. Эти программы пригодны для немедленной загрузки и использования.
Число машин в botnet достигло 14 миллионов. Установлено, что 92% WEB-приложений имеет уязвимости. В сутки предпринимается до 250000 атак SQL-injections. Смотри McAfee Q2 Threats Report Reveals Spam, Botnets at an All Time High.
Индустриальный подход к взлому машин предполагает разделение труда, в этом бизнесе сформировались как минимум три группы:
-
Исследователи: ищут уязвимости в приложениях и прочих программных продуктах, но, как правило, сами не занимаются взломом. Продают свои находки за деньги различным преступным структурам.
-
Фермеры: формируют botnet максимально возможного размера, заражают вредоносными кодами возможно большее число машин по всему миру, пишут программы управления botnet. Для этого они:
-
Пытаются извлечь нужную информацию из WEB-серверов.
-
Пытаются подобрать параметры доступа путем прямого перебора
-
Рассылают SPAM (содержащий вредоносные коды)
-
Распространяют любые возможные виды вредоносных кодов
-
-
Дилеры: арендуют botnet (возможно использование технологии российской разработки "partnerka" - совместное использование botnet двумя и более пользователями), осуществляют атаки по заказам клиентов или в собственных коммерческих интересах. К этом классу относятся преступники, которые теми или другими способами завладевают важной информацией и торгуют ей.
Обычно массовые атаки предпринимаются в два этапа. Сначала фермеры наращивают размеры botnet, например путем манипулирования поисковыми серверами. Многие, вероятно, получали по почте предложение, сделать так, чтобы ваш WEB-сервер попал в десятку самых :популярных". Хакеры используют эту же технологию для продвижения своих вредоносных сайтов. "Раскрутке" на поисковых серверах могут быть подвергнуты и вполне легальные но зараженные ранее сайты. Это приводит к увеличению числа их просмотров и, как следствие, к росту числа зараженных машин. Для аналогичных целей могут использоваться и компании массовой рассылки SPAM с приложениями, содержащими вредоносные коды. На втором этапе дилеры предпринимают атаку, стремясь получить доступ к важной информации. При этом широко используются прокси-серверы, помогающие скрыть истинный источник атаки, и специальные программы, автоматизирующие процесс. Атака может предполагать попытку подбора параметров доступа, когда для этой цели используется порядка десятка машин, разбросанных по всему миру.
Намечается переход от кражи персональных данных и номеров кредитных карт к параметрам доступа к приложениям, при этом сформировалось три типа атак:
-
Кража данных или SQL-injection: эта технология в последнее время стала наиболее широко используемой для кражи или искажения данных (например, изменения цен в Интернет-магазинах). С января по июнь 2009 года по данным IBM совершалось ежедневно около 250.000 атак типа SQL-injection.
-
Атаки против бизнес-логики: - это совершенно новый тип атак. Здесь используется не уязвимость приложения, а несовершенство или непродуманность логики бизнес-операций. Такие атаки чаще всего остаются незамеченными, так как традиционные средства регистрации атак в этом случае оказываются бессильны.
Мишенью атаки в последнем случае является не уязвимость приложения, а сам бизнес-процесс. Например, WEB-сайт North Carolina’s Cable News позволяет зарегистрированным пользователям вносить уведомления, связанные с погодой, чтобы предупредить о возможных проблемах. В этом случае атакер отправляет сообщение серверу новостей и ждет одобрения модератора. После получения одобрения атакер редактирует свое исходное сообщения, внося в него вредоносный код. Система не предполагала просмотра отредактированного сообщения модератором.
-
По-прежнему важной компонентой сетевых угроз остается распределенные атаки отказа в обслуживании (DDoS). Почти 75% респондентов сообщают, что подвергались один или более раз DoS-атакам за последние 12 месяцев. Жертвами таких атак все чаще становятся сервис-провайдеры. СмотриThe Trends and Changing Landscape of DDoS Threats and Protection.
Возникает вопрос, как минимизировать сетевые угрозы в новых условиях? К сожалению ничего нового предложить пока нельзя - автоматические системы обновления ОС и приложений, усовершенствованные средства аутентификации и антивирусные программы. Традиционные средства сигнатурной идентификации атак становятся совершенно неэффективными, так как число сигнатур превысило 2.000.000 и продолжает быстро расти.
Botnet становятся оружием на национальном уровне. В июле 2009 года была предпринята массовая атака (DoS) сетевых объектов в Южной Корее и США со стороны Северной Кореи. Атака предпринималась из десятков тысяч машин, разбросанных по всему миру.
В последнее время все шире используются приложения, которые могут туннелировать через другие приложения, что позволяет скрыть реальную активность (для этих же целей используются прокси-серверы). Их перечень включает в себя все более широкий список программ (полное число весной 2010 составляет 177 (TOR, UltraSurf, Gpass, Gbridge и др.), помимо традиционных SSH, SSL и VPN (IPSec or SSL).
|
Следует, впрочем, иметь в виду, что только 40% вредносных кодов может быть детектировано современными антивирусными программами (данные на начало 2010 года; Yankee Group). |
Отмечается рост размеров компаний, занимающихся рассылкой SPAM. В среднем одна компания ответственна за рассылку 4% общего объема такого трафика.
Средства детектирования атак становятся все более изощренными. К число эффективных средств следует отнести технологии DPI (Deep Packet Inspection), которые осуществляют просмотр не только заголовков, но и полей данных пакетов. Будущее принадлежит методам безсигнатурного распознавания сетевых атак (число сигнатур перевалило за 2,5 миллионов). Рост информационных потоков (≥100Гбит/сек) делает проблему распознавания атак c учетом растущего числа сигнатур все более сложной. Задача усложняется, если вы хотите установить источник заражения машин вашей сети, так как сегодня атаки предпринимаются через прокси-сервер или из взломанной ранее машины.