Министерство науки и образования
Российской Федерации
«Казанский Национальный Исследовательский Технологический Университет»
Казанский Государственный Технологический Университет
Факультет пищевых производств и биотехнологии
Кафедра химической кибернетики
Реферат по информационной безопасности
На тему: «Троянские программы, сетевые черви, социальная инженерия»
Выполнили студенты 1 курса
Группы 6111-11: Ибатуллина Раиля,
Щербаков Сергей, Чирина Диана
Проверил преподаватель:
Понкратов А.С.
Казань, 2012
Содержание
Введение…………………………………………………………………….3
Троянская программа………………………………………………………4
История, маскировка, типы тел троянских программ…………………...4
Цели троянских программ…………………………………………………5
Симптомы заражения трояном……………………………………………6
Методы удаления, принцип действия трояна…………………………….6
Сетевые черви. Структура………………………………………………..10
Механизмы распространения сетевых червей………………………….11
Способы защиты, способы обнаружения червя………………………12
Социальная инженерия. Антропогенная и техническая защита……15
Защита пользователей от социальной инженерии……………………..15
Виды социальной инженерии…………………………………………...16
3 фактора обратной социальной инжнерии…………………………….18
Основные пункты на которых строится вся социальная инженерия…19
Заключение………….……………………………………………………22
Список использованной литературы…………………………………....23
Введение Тема выбранного реферата до боли знакома каждому из нас. Каждый сталкивался с вредоносными программами. Целью реферата является следующее: а) ознакомится с историей, маскировкой, целями, симптомами заражения троянских программ и сетевых червей; б) сделать презентацию по выбранным темам; в) выступить со сделанной презентацией и сделанным рефератом перед публикой и как можно ближе ознакомить группу с троянскими программами, сетевыми червями, социальной инженерией.
Троя́нскаяпрограмма Троя́нская программа (также — троя́н, троя́нец, троя́нский конь)-вредоносная программа,распространяемая людьми. История Название «троянская программа» происходит от названия «троянский конь» — деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальное коварство истинных замыслов разработчика программы. Для достижения последнего, троянские программы помещаются злоумышленниками на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена), носители информации, присылаются с помощью служб обмена сообщениями (например, электронной почтой), попадают на компьютер через бреши безопасности или загружаются самим пользователем с адресов полученных одним из перечисленных способов.
Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в том числе, третьи).
Маскировка
Троянская программа может имитировать имя и иконку существующей, несуществующей, или просто привлекательной программы, компонента, или файла данных (например картинки), как для запуска пользователем, так и для маскировки в системе своего присутствия.
Троянская программа может в той или иной мере имитировать или даже полноценно выполнять задачу, под которую она маскируется (в последнем случае вредоносный код встраивается злоумышленником в существующую программу).
Типы тел троянских программ
Тела троянских программ почти всегда разработаны для различных вредоносных целей, но могут быть также безвредными. Они разбиваются на категории, основанные на том, как трояны внедряются в систему и наносят ей вред. Существует 6 главных типов:
1. удалённый доступ;
2. уничтожение данных;
3. загрузчик;
4. сервер;
5. дезактиватор программ безопасности;
6. DoS-атаки.
Цели
* закачивание и скачивание файлов;
* копирование ложных ссылок, ведущих на поддельные вебсайты, чаты или другие сайты с регистрацией;
* создание помех работе пользователя (в шутку или для достижения других целей);
* похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам (в том числе третьих систем), выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях, криптографической информации (для шифрования и цифровой подписи);
* шифрование файлов при кодовирусной атаке;
* распространение других вредоносных программ, таких как вирусы. Троян такого типа называется Dropper;
* вандализм: уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей и т. п., в том числе в составе ботнета (организованной группы зомбированных компьютеров), например, для организации DoS-атаки на целевой компьютер (или сервер) одновременно со множества зараженных компьютеров или рассылки спама. Для этого иногда используются гибриды троянского коня и сетевого червя — программы, обладающие способностью к скоростному распространению по компьютерным сетям и захватывающие зараженные компьютеры в зомби-сеть.;
* сбор адресов электронной почты и использование их для рассылки спама;
* прямое управление компьютером (разрешение удалённого доступа к компьютеру-жертве);
* шпионство за пользователем и тайное сообщение третьим лицам сведений, таких как, например, привычка посещения сайтов;
* регистрация нажатий клавиш (Keylogger) с целю кражи информации такого рода как пароли и номера кредитных карточек;
* получения несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него;
* установка Backdoor;
* использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах;
* дезактивация или создание помех работе антивирусных программ и файрвола.
Симптомы заражения трояном
* появление в реестре автозапуска новых приложений;
* показ фальшивой закачки видеопрограмм, игр, порно-роликов и порносайтов, которые вы не закачивали и не посещали;
* создание снимков экрана;
* открывание и закрывание консоли CD-ROM;
* проигрывание звуков и/или изображений, демонстрация фотоснимков;
* перезапуск компьютера во время старта инфицированной программы;
* случайное и/или беспорядочное отключение компьютера.
Методы удаления
Поскольку трояны обладают множеством видов и форм, не существует единого метода их удаления. Наиболее простое решение заключается в очистке папки Temporary Internet Files или нахождении вредоносного файла и удаление его вручную (рекомендуется Безопасный Режим). В принципе, антивирусные программы способны обнаруживать и удалять трояны автоматически. Если антивирус не способен отыскать троян, загрузка ОС с альтернативного источника может дать возможность антивирусной программе обнаружить троян и удалить его. Чрезвычайно важно для обеспечения бóльшей точности обнаружения регулярное обновление антивирусной базы данных.
Принцип действия трояна
Трояны обычно состоят из двух частей: Клиент и Сервер. Сервер запускается на машине-жертве и следит за соединениями от Клиента, используемого атакующей стороной. Когда Сервер запущен, он отслеживает порт или несколько портов в поиске соединения от Клиента. Для того, чтобы атакующая сторона подсоединилась к Серверу, она должна знать IP-адрес машины, на которой запущен Сервер. Некоторые трояны отправляют IP-адрес машины-жертвы атакующей стороне по электронной почте или иным способом. Как только с Сервером произошло соединение, Клиент может отправлять на него команды, которые Сервер будет исполнять на машине-жертве. В настоящее время благодаря NAT-технологии получить доступ к большинству компьютеров через их внешний IP-адрес невозможно. И теперь многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой. Многие современные трояны также могут беспрепятственно обходить файрволы на компьютере жертвы.
Где обитают и как часто встречаются троянские программы
В настоящее время троянские программы можно отыскать практически где угодно. Они написаны для всех без исключения операционных систем и для любых платформ. Не считая случаев, когда троянские программы пишутся самими разработчиками программного обеспечения, троянцы распространяются тем же способом, что и компьютерные вирусы. Поэтому самыми подозрительными на предмет присутствия в них троянцев, в первую очередь, являются бесплатные и условно-бесплатные программы, скачанные из Internet, а также программное обеспечение, распространяемое на пиратских компакт-дисках.
Например, в январе 1999 г. было обнаружено, что популярная утилита TCP Wrapper, предназначенная для администрирования UNIX-систем и бесплатно распространяемая через Internet, на многих ftp-сайтах была заменена внешне похожей на нее программой, которая на самом деле являлась троянцем. После инсталляции он отправлял электронное сообщение по определенным внешним адресам, оповещая своего хозяина об успешном внедрении. Потом он ждал, пока будет установлено удаленное соединение с портом 421 зараженного им компьютера, и предоставлял привилегированные права доступа через этот порт.
Другая троянская программа распространялась среди пользователей AOL в виде вложения в письмо, рассылаемое по электронной почте. Открывшие это вложение заражали свой компьютер троянцем, который пытался найти пароль для подключения к AOL и в случае успеха шифровал его. а потом отсылал электронной почтой куда-то в Китай.
В настоящее время существует целый ряд троянских программ, которые можно совершенно свободно скачать, подключившись к глобальной компьютерной сети Internet. Наибольшую известность среди них получили троянцы Back Orifice, Net Bus и SubSeven. На Web-узле группы разработчиков Back Orifice, которая именует себя Cult of Dead Cow (Культ мертвой коровы), можно даже найти с десяток постеров, которые предназначены для рекламы ее последней разработки — троянца Back Orifice 2000.
Таким образом, троянские программы встречаются довольно часто и, следовательно, представляют серьезную угрозу безопасности компьютерных систем. Даже после того как троянская программа обнаружена, ее вредоносное влияние на компьютерную систему может ощущаться еще в течение очень длительного времени. Ведь зачастую никто не может с уверенностью сказать, насколько сильно пострадала компьютерная система в результате проникновения в нее троянской программы.
Дело в том, что большинство троянцев являются частью других программ, которые хранятся в компьютере в откомпилированном виде. Текст этих программ представляет собой последовательность команд на машинном языке, состоящую из нулей и единиц. Рядовой пользователь, как правило, не имеет ни малейшего понятия о внутренней структуре таких программ. Он просто запускает их на исполнение путем задания имени соответствующей программы в командной строке или двойным щелчком на имени ее файла.
Когда выясняется, что в какую-то откомпилированную программу проник троянец, в сети Internet немедленно начинают распространяться бюллетени с информацией об обнаруженном троянце. Чаще всего в этих бюллетенях кратко сообщается о том, какой вред может причинить данный троянец и где можно найти замену пораженной троянцем программе.
Иногда ущерб, который может нанести троянец, оценить довольно легко. Например, если он предназначен для пересылки по электронной почте содержимого файла /etc/passwd, в котором операционные системы семейства UNIX хранят информацию о пользовательских паролях, достаточно установить "чистую" версию программы взамен той, в которой обосновался этот троянец. Затем пользователи должны будут обновить свои пароли, и на этом борьба с ним успешно завершается.
Однако далеко не всегда степень компрометации компьютерной системы, в которой поселилась троянская программа, бывает так легко определить. Предположим, что цель внедрения троянца состоит в создании дыры в защитных механизмах компьютерной системы, через которую злоумышленник сможет, например, проникать в нее, имея администраторские полномочия. И если взломщик окажется достаточно хитрым и смекалистым, чтобы замести следы своего присутствия в системе путем внесения соответствующих изменений в регистрационные файлы, то определить, насколько глубоко он проник сквозь системные защитные механизмы, будет почти невозможно, если учесть еще тот факт, что саму троянскую программу обнаружат лишь несколько месяцев спустя после ее внедрения в компьютерную систему. В этом случае может понадобиться целиком переустановить операционную систему и все приложения.
Как распознать троянскую программу
большинство программных средств, предназначенных для защиты от троянских программ, в той или иной степени использует так называемое согласование объектов. При этом в качестве объектов фигурируют файлы и каталоги, а согласование представляет собой способ ответить на вопрос. изменились ли файлы и каталоги с момента последней проверки. В ходе согласования характеристики объектов сравниваются с характеристиками. которыми они обладали раньше. Берется, к примеру, архивная копия системного файла и ее атрибуты сравниваются с атрибутами этого файла, который в настоящий момент находится на жестком диске. Если атрибуты различаются и никаких изменений в операционную систему не вносилось, значит в компьютер, скорее всего, проник троянец.
Одним из атрибутов любого файла является отметка о времени его последней модификации: всякий раз, когда файл открывается, изменяется и сохраняется на диске, автоматически вносятся соответствующие поправки. Однако отметка времени не может служить надежным индикатором наличия в системе троянца. Дело в том, что ею очень легко манипулировать. Можно подкрутить назад системные часы, внести изменения в файл, затем снова вернуть часы в исходное состояние, и отметка о времени модификации файла останется неизменной. Может быть, иначе обстоит дело с размером файла? Отнюдь. Нередко текстовый файл, который изначально занимал, скажем, 8 Кбайт дискового пространства, после редактирования и сохранения имеет тот же самый размер. Несколько иначе ведут себя двоичные файлы. Вставить в чужую программу фрагмент собственного кода так, чтобы она не утратила работоспособности и в откомпилированном виде сохранила свой размер, достаточно непросто. Поэтому размер файла является более надежным показателем, чем отметка о времени внесения в него последних изменений.
Злоумышленник, решивший запустить в компьютер троянца, обычно пытается сделать его частью системного файла. Такие файлы входят в дистрибутив операционной системы и их присутствие на любом компьютере, где эта операционная система установлена, не вызывает никаких подозрений. Однако любой системный файл имеет вполне определенную длину. Если данный атрибут будет каким-либо образом изменен, это встревожит пользователя.
Зная это, злоумышленник постарается достать исходный текст соответствующей программы и внимательно проанализирует его на предмет присутствия в нем избыточных элементов, которые могут быть удалены безо всякого ощутимого ущерба. Тогда вместо найденных избыточных элементов он вставит в программу своего троянца и перекомпилирует ее заново. Если размер полученного двоичного файла окажется меньше или больше размера исходного, процедура повторяется. И так до тех пор, пока не будет получен файл, размер которого в наибольшей степени близок к оригиналу (если исходный файл достаточно большой, этот процесс может растянуться на несколько дней).
Итак, в борьбе с троянцами положиться на отметку о времени последней модификации файла и его размер нельзя, поскольку злоумышленник может их довольно легко подделать. Более надежной в этом отношении является так называемая контрольная сумма файла. Для ее подсчета элементы файла суммируются, и получившееся в результате число объявляется его контрольной суммой. Например, в операционной системе SunOS существует специальная утилита sum, которая выводит на устройство стандартного вывода STDOUT контрольную сумму файлов, перечисленных в строке аргументов этой утилиты.
Однако и контрольную сумму в общем случае оказывается не так уж трудно подделать. Поэтому для проверки целостности файловой системы компьютера используется особая разновидность алгоритма вычисления контрольной суммы, называемая односторонним хэшированием.
Функция хэширования называется односторонней, если задача отыскания двух аргументов, для которых ее значения совпадают, является труднорешаемой. Отсюда следует, что функция одностороннего хэширования может быть применена для того, чтобы отслеживать изменения, вносимые злоумышленником в файловую систему компьютера, поскольку попытка злоумышленника изменить какой-либо файл так, чтобы значение, полученное путем одностороннего хэширования этого файла, осталось неизменным, обречена на неудачу.
Сетевые черви
Сетевой червь — разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети.
История
Одни из первых экспериментов по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре Xerox в Пало Альто Джоном Шочем (John Shoch) и Йоном Хуппом (Jon Hupp) в 1978 году. Термин возник под влиянием научно-фантастических романов Дэвида Герролда «Когда ХАРЛИ исполнился год» и Джона Браннера «На ударной волне».Одним из наиболее известных компьютерных червей является «Червь Морриса», написанный Робертом Моррисом-младшим, который был в то время студентом Корнельского Университета. Распространение червя началось 2 ноября 1988, после чего червь быстро заразил около 10 % всех компьютеров, подключённых в то время к Интернету.
Структура
Черви могут состоять из различных частей.
Часто выделяют так называемые резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.
Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивирусного программного обеспечения или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (например, DoS-атаки).
Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента или Интернет-браузера добровольно скачивает и запускает червя целиком.
К категории сетевых червей относятся вредоносные программы, главной своей целью имеющие как можно большее распространение. Механизм их распространения в общих чертах строится таким образом:
Сетевой червь попадает на компьютер (через вложение электронного письма, интернет - ссылку, файлообменной сети и т.п.).
Далее создается и запускается копия (копии) червя.
Копии стремятся перейти в следующие устройства (компьютеры) в интернете, локальной сети.
Механизмы распространения
Все механизмы («векторы атаки») распространения червей делятся на две большие группы:
Использование уязвимостей и ошибок администрирования в программном обеспечении, установленном на компьютере. Например, вредоносная программа Conficker для своего распространения использовала уязвимость в операционной системе Windows; червь Морриса подбирал пароль по словарю. Такие черви способны распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме.
Используя средства так называемой социальной инженерии, провоцируется запуск вредоносной программы самим пользователем. Чтобы убедить пользователя в том, что файл безопасен, могут подключаться недостатки пользовательского интерфейса программы — например, червь VBS.LoveLetter использовал тот факт, что Outlook Express скрывает расширения файлов. Данный метод широко применяется в спам-рассылках, социальных сетях и т. д.
Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.
Способы защиты
По причине того, что сетевые черви для своего проникновения в систему пользователя используют уязвимости в стороннем программном обеспечении или операционной системе использования сигнатурных антивирусных мониторов недостаточно для защиты от червей. Также, при использовании методов социальной инженерии пользователя под благовидным предлогом вынуждают запустить вредоносную программу, даже несмотря на предупреждение со стороны антивирусного программного обеспечения. Таким образом, для комплексного обеспечения защиты от современных червей, и любых других вредоносных программ, необходимо использование проактивной защиты.
Как обнаружить червя
Грамотно сконструированный и не слишком прожорливый программный код обнаружить не так-то просто! Есть ряд характерных признаков червя, но все они ненадежны, и гарантированный ответ дает лишь дизассемблирование. Но что именно нужно дизассемблировать? В случае с файловыми вирусами все более или менее ясно. Подсовываем системе специальным образом подготовленные «дрозофилы» и смотрим, не окажется ли какая-то из них изменена. Хороший результат дает и проверка целостности системных файлов по заранее сформированному эталону. В операционных системах семейства Windows на этот случай припасена утилита sfc.exe, хотя, конечно, специализированный дисковый ревизор справится с этой задачей намного лучше. Черви же могут вообще не дотрагиваться до файловой системы, оседая в оперативной памяти адресного пространства уязвимого процесса. Распознать зловредный код по внешнему виду нереально, а проанализировать весь слепок памяти целиком - чрезвычайно трудоемкий и затруднительный процесс, тем более что явных команд передачи управления машинному коду червя может и не быть (подробнее см. раздел «Структурная анатомия червя»). Однако где вы видели вежливого и во всех отношениях корректного червя? Ничуть не собираясь отрицать тот факт, что среди червей попадаются и высокоинтеллектуальные разработки, созданные талантливыми и, бесспорно, профессиональными программистами, автор этой статьи вынужден признать, что все черви, выловленные в живой природе, содержали те или иные конструктивные огрехи, демаскирующие присутствие чего-то постороннего.
Верный признак червя - большое количество исходящих TCP/IP-пакетов, расползающихся по всей сети и в большинстве своем адресованных несуществующим получателям. Рассылка пакетов происходит либо постоянно, либо совершается через более или менее регулярные и при том очень короткие промежутки времени, например, через 3-5 сек. Причем соединение устанавливается без использования доменного имени, непосредственно по IP-адресу (внимание: не все анализаторы трафика способны распознать этот факт, поскольку на уровне функции connect соединение всегда устанавливается именно по IP-адресам, возвращаемым функцией gethostbyname по их доменному имени). Правда, как уже отмечалось, червь может сканировать локальные файлы жертвы на предмет поиска подходящих доменных имен. Это может быть и адресная книга почтового клиента, и список доверенных узлов, и просто архив HTML-документов (странички со ссылками на другие сайты для HTTP-червей в высшей степени актуальны). Ну, факт сканирования файлов распознать нетрудно. Достаточно поместить наживку -файлы, которые при нормальных обстоятельствах никогда и никем не открываются (в т. ч. и антивирусными демонами установленными в системе), но с ненулевой вероятностью будут замечены и проглочены червем. Достаточно лишь периодически контролировать время последнего доступа к ним.
Другой верный признак червя - ненормальная сетевая активность. Подавляющее большинство известных на сегодняшний день червей размножаются с неприлично высокой скоростью, вызывающей характерный взлет исходящего трафика. Также могут появиться новые порты, которые вы не открывали и которые непонятно кто прослушивает. Впрочем, прослушивать порт можно и без его открытия - достаточно лишь внедриться в низкоуровневый сетевой сервис. Поэтому к показаниям анализаторов трафика следует относиться со здоровой долей скептицизма, если, конечно, они не запущены на отдельной машине, которую червь гарантированно не сможет атаковать.
Третьим признаком служат пакеты с подозрительным содержимым. Под «пакетом» здесь понимаются не только TCP/IP-пакеты, но и сообщения электронной почты, содержащие откровенно «левый» текст (впрочем, червь может маскироваться и под спам, а тщательно исследовать каждое спаммерское письмо не хватит ни нервов, ни времени). Вот TCP-пакеты в этом смысле намного более предпочтительнее, поскольку их анализ удается автоматизировать. Что следует искать? Универсальных решений не существует, но кое-какие наметки дать все-таки можно. В частности, применительно к веб-серверам и запросам типа GET характерным признаком shell-кода являются:
а) имена командных интерпретаторов (cmd.exe, sh), системных библиотек типа admin.dll и подобных им файлов;
б) последовательность из трех и более машинных команд NOP, записываемая приблизительно так: %u9090;
в) машинные команды CALL ESP.JMP ESP, INT 80h и другие подобные им (полный список занимает слишком много места и поэтому здесь не приводится);
г) бессмысленные последовательности вроде .\.\.\ или XXX, используемые вирусом для переполнения.
Как побороть червя
Гарантированно защититься от червей нельзя. С другой стороны, черви, вызвавшие крупные эпидемии, все до единого появлялись долго после выхода заплаток, атакуя компьютеры, не обновляемые в течение нескольких месяцев или даже лет! В отношении серверов, обсуживаемых лицами, претендующими на звание «администратора», это, бесспорно, справедливая расплата за небрежность и бездумность. Но с домашними компьютерами не все так просто. У среднестатистического пользователя ПК нет ни знаний, ни навыков, ни времени, ни денег на регулярное выкачивание из сети сотен мегабайт Service Pack и зачастую устанавливающимся только после серии магических заклинаний и танцев с бубном. Неквалифицированные пользователи в своей массе никогда не устанавливали обновления и никогда не будут устанавливать. Важно понять, что антивирусы вообще не могут справиться с червями. В принципе. Потому что, исцеляя машину, они не устраняют брешь в системе безопасности, и вирус приползает вновь и вновь. Не стоит возлагать особых надежд и на брандмауэры. Да, они могут оперативно закрыть уязвимый порт или отфильтровывать сетевые пакеты с сигнатурой вируса внутри. При условии, что вирус атакует порт той службы, которая не очень-то и нужна, брандмауэр действительно действует безотказно (если, конечно, не может быть атакован сам). Хуже, если червь распространяется через такой широко распространенный сервис, как, например, WEB. Закрывать его нельзя и приходится прибегать к анализу TCP/IP-трафика на предмет наличия в нем следов того или иного червя, то есть идти по пути выявления вполне конкретных представителей кибернетической фауны.
Социальная инженерия
Социальная инженерия — это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако это не совсем так. Социальную инженерию можно также использовать и в законных целях — не только для получения информации, но и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете, для получения закрытой информации, или информации, которая представляет большую ценность.
Защита пользователей от социальной инженерии
Для защиты пользователей от социальной инженерии можно применять как технические, так и антропогенные средства.
Антропогенная защита
Простейшими методами антропогенной защиты можно назвать:
1)Привлечение внимания людей к вопросам безопасности.
2)Осознание пользователями всей серьёзности проблемы и принятие политики безопасности системы.
3)Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения.
Данные средства имеют один общий недостаток: они пассивны.
Техническая защита
К технической защите можно отнести средства, мешающие заполучить информацию и средства, мешающие воспользоваться полученной информацией.
Наибольшую распространенность среди атак в информационном пространстве социальных сетей с использованием слабостей человеческого фактора получили атаки при помощи электронных писем, как то: e-mail и внутренняя почта сети. Именно к таким атакам можно с наибольшей эффективностью применять оба метода технической защиты. Помешать злоумышленнику получить запрашиваемую информацию можно, анализируя как текст входящих писем (предположительно, злоумышленника), так и исходящих (предположительно, цели атаки) по ключевым словам. К недостаткам данного метода можно отнести очень большую нагрузку на сервер и невозможность предусмотреть все варианты написания слов. К примеру, если взломщику становится известно, что программа реагирует на слово «пароль» и слово «указать», злоумышленник может заменить их на «пассворд» и, соответственно, «ввести». Так же стоит принимать во внимание возможность написания слов с заменой кириллических букв латиницей для совпадающих символов и использование так называемого языка t+[неизвестный термин].
Средства, мешающие воспользоваться полученной информацией, можно разделить на те, которые полностью блокируют использование данных, где бы то ни было, кроме рабочего места пользователя (привязка аутентификационных данных к серийным номерам и электронным подписям комплектующих компьютера, ip и физическому адресам), так и те, которые делают невозможным(или труднореализуемым) автоматическое использование полученных ресурсов (например, авторизация по системе Captcha, когда в качестве пароля нужно выбрать указанное ранее изображение или часть изображения, но в сильно искаженном виде). Как в первом, так и во втором случае известный баланс между ценностью требуемой информации и работой, требуемой для ее получения, смещается, вообще говоря, в сторону работы, так как частично или полностью блокируется возможность автоматизации. Таким образом, даже имея все данные, выданные ничего не подозревающим пользователем, например, с целью массово разослать рекламное сообщение (спам), злоумышленнику придется на этапе каждой итерации самостоятельно вводить полученные реквизиты.
Социальная инженерия, по сути - это управление сознанием группы людей. В интернете ее используют очень часто. Например, когда одна и та же компания представляется разными названиями, чтобы собрать больше клиентов, когда люди выдают себя за популярных звезд, чтобы собрать вокруг себя аудиторию (так называемые фейки), когда мужчина с целью обмана выдает себе за женщину и много других вариантов, и это только на интернет страницах
Но, как правило, этим все не заканчивается, все переходит в обычную жизнь.
Виды социальной инженерии
Социальная инженерия подразделятся на два основных вида:
• Социальная инженерия.
• Обратная социальная инженерия.
У этих двух видов общее только то, что они воздействуют на человека, но при этом их способы воздействия совершенно различны.
Социальная инженерия может быть применима в любой обстановке, без предварительной подготовки, а люди, в отношении которых была направлена социальная инженерия, остаются в неведении настоящей ситуации, иногда и личностей.
Социальная инженерия успешно применяется не только для взлома и получения информации, как написано во многих книгах, но и в реальных ситуациях, для извлечения обыкновенной прибыли.
В обычной жизни мы не взламываем ежедневно компьютеры и сервисы, но почти ежедневно тратим деньги, которые нужно как-то зарабатывать.
Разберем самый обычный пример из жизни. Есть одна компания, под кодовым названием фирма №1. Как и у любой хорошей фирмы у нее много сайтов, на которых представлен один и тот же товар или услуга.
Поисковые системы, которые являются основным источником посетителей на сайт, пытаются сделать выдачу по определенному запросу как можно более разнообразной, чтобы получить еще больше посетителей, а, следовательно, денег.
Раньше одна и та же компания создавала от 10 до 50 сайтов, и старалась вывести их все на первую и вторую страницу в выдаче. И это получалось. В итоге человек обращался в одну и ту же фирму с одним и тем же заказом, не зависимо от того, какой бы он сайт не выбрал.
Почему человек думал, что это разные организации?
Потому что, это были разные сайты, поэтому он звонил, заказывал, иногда к нему даже приезжали люди как бы от разных фирм, но это перестало работать со временем.
Поисковые системы ввели фильтр (antiaffilat фильтр). При обнаружении сайтов одной фирмы, по одному запросу в выдаче, если будет выявлено, что целью организации является продажа товаров и оказание услуг, к этим сайтам будет применен специальный фильтр, который оставляет один сайт, а остальные отбрасывает на самые дальние странички.
Сейчас, чтобы противостоять этому фильтру, придумано много методов, один из которых – это скрытие данных владельца домена по запросу whois. Почту и телефон же стараются указывать для каждого домена разные. Тоже самое дело и с телефонами и адресами на самом сайте. Названия фирм очень часто пишут, в соответствии с названиями доменов. Например, для этого домена specialist-seo.ru фирма, скорее всего, называлась бы, ООО «Специалист СЕО».
Социальная инженерия применяется не только для обмана, но и в качестве способа ведения статистики. Пример, на сайте продаются дорогие автомобили. Под товаром какой-нибудь многоканальный телефон и подпись, «Спрашивайте Вашего персонального менеджера Ивана». Под другим товаром - «Спрашивайте Вашего персонального менеджера Александра» и т.п.
Рекомендуется указывать имена людей вообще не работающих в этой организации, чтобы точно вести статистику звонков посетителей с конкретных страничек или сайтов.
Реально таких людей даже не существует, а все звонки могут обрабатывать один – два человека. Но такие подписи придают солидность организации, повышают уровень доверия и используются в маркетинговых целях.
Социальная инженерия очень часто используются в целях повышения уровня доверия посетителя, причем повсеместно.
Обратная социальная инженерия
Этот недостаток пытается устранить обратная социальная инженерия или как часто пишется ОСИ.
Обратная социальная инженерия строится на трех факторах.
• Создание ситуации, которая вынуждает человека обратиться за помощью
• Реклама своих услуг или опережение оказания помощи другими людьми
• Оказание помощи и воздействие
В данном случае вначале нужно создать ситуацию, а для создания ситуации нужно изучить человека (или группу лиц), на которого будет оказываться воздействие.
Сейчас не проходят трюки, описанные ранее, замените название файла и т.п. Все решается простой переустановкой программ, да и запустить программу в большинстве случаев не удастся, уже не те времена.
Остается один вариант. Исследовать людей, их интересы, пристрастия и пытаться воздействовать за счет них, причем программы и любые способы электронного воздействия должны быть полностью работоспособны и до определенного времени не вызывать никаких опасений.
Возьмем один из старых вариантов, описанных в большинстве книг. Пошлем по почте адресату новый диск его любимого исполнителя с записанным вирусом.Думаете, сработает? Очень сомневаюсь. Большинство проигрывателей запустит диск без запуска вируса, да и антивирус заблокирует такой вирус очень быстро.
Лучше всего не использовать такие методы, они просто не эффективны. Гораздо эффективнее разработать программу, которая будет полезна этому предприятию, разработана специально для него, но через определенное время ее нужно обслуживать, обновлять и так далее.
Вот вам и доступ и зависимость. О чем еще мечтать. Наверное, о том, чтобы научиться делать такие программы.
Таким образом, обратная социальная инженерия позволяет управлять людьми, но для этого нужно много сил и знаний. Социальная инженерия воздействует в большинстве своем на более широкую аудиторию и более выгодна, хотя Вы и находитесь в зависимом состоянии.
Защита от социальной инженерии.
Нужно не только знать, как нападать, нужно знать и как защищаться
Во всех крупных компаниях регулярно проводятся тесты на проникновение с использованием социальной инженерии.
Действия сотрудников обычно носят не умышленный характер, но очень опасны для информационной безопасности. От опасности из вне можно защититься, а от опасности изнутри, практически невозможно.
С целью повышения безопасности проводятся специальные тренинги, постоянно контролируется уровень знаний и конечно же совершаются внутренние диверсии, которые позволяют выявить уровень подготовленности сотрудников в реальных условиях. Как правило, это звонки, icq, skype и электронные письма различного содержания, сервисы общения и социальные сети.
Тестирование помогает не только блокировать доступ нарушителя, но позволяет проверить реакцию сотрудников на попытки нарушения, проверить их честность.
Метод основан на человеческих слабостях, то есть злоумышленник просто напросто втирается вам в доверие или действует как либо иначе, но вы ему сами рассказываете всю необходимую информацию. Сейчас речь пойдет об основных пунктах, на которых, и строится вся социальная инженерия:
1.Доверчивость.
Доверчивость порой связана с ленью: легче поверить на слово, чем пытаться проверить правдивость слов. Или, например, слушая рассказы о том, как кого-то кинули, и, думая, что никогда не окажемся на его месте, встаем на одни и те же грабли.
Некоторые, по причине правильно воспитания просто не могут сказать собеседнику о своих подозрениях и, надеясь на честность «кидалы» верят ему на слово.
Еще один из главных факторов – уверенность в себе. Если вам говорит якобы авторитет, который не может ошибаться, люди поверят в любую чепуху, которую он скажет. Конечно, не каждый, но многие.
2.Страх
У многих людей есть свои страхи, которые они не хотят раскрывать. Это может быть что угодно. Если учесть все эти комплексы, и правильно надавив на них, можно с легкостью втереться в доверие собеседнику.
Страх – естественная реакция нашего организма. Испуганного человека больше волнует то, как он выйдет из состояния дискомфорта, чем ложь собеседника. У каждого человека свои страхи и переживания, и узнав о них можно давить на человека столько, сколько влезет.
В страхи входит, например: боязнь своей смерти, смерти близких, боязнь стать объектом насмешек и тому подобное. Кстати, если вы заметили, в «письмах счастья» тоже используются страхи: например, недавно пришло сообщение мол «отправь это сообщение 5 друзьям или твоя мать умрет». И люди, напуганные и верящие в эту ерунду, бегут отправлять эти проклятые сообщения своим друзьям, чем делают им только хуже.
3.Жадность
О, жадность, пожалуй, одно из самых главных качеств в социальной инженерии. Люди ведутся на столько очевидное кидалово, сулящие невиданную прибыль буквально из ниоткуда, что верят во все, что говорит мошенник.
Использовать жадность довольно-таки просто – просто узнай, что хочет собеседник, и пообещай ему это. Это может быть что угодно: от легких денег до секса. Вы должны быть как пиарщик – выставлять то, что обещаете в самом лучшем свете, обязательно забыв про минусы (или максимально их завуалировав) и выставляя только плюсы.
Но, как говориться прогресс идет в ногу со временем и 5 миллионам с неба никто не поверит. А вот две-три сотни долларов – запросто!
4.Отзывчивость
Когда этот метод используют в социальной инженерии, то никаких угрызений совести у мошенника не возникает, а даже наоборот, ибо он дает человеку почувствовать состояние, когда помогаешь ближнему. Парадокс, но сострадание есть у всех. Даже у отпетого маньяка, который зарезал 15 детей и убил 7 бабуль в парке, он может спокойно сесть и отдать последнюю кроху хлеба воробью.
Надавить на отзывчивость гораздо сложнее, чем на жалость, ибо заставить помочь человеку может только что-то весомое. Давно читал, что один хитрый, который хотел, что называется «на халяву» достать книгу, которая стоит около 40 долларов написал автору этой книги письмо со слезным текстом, мол «я хочу стать журналисткой, как и вы, может эта книга в будущем мне поможет». И автор, не особо пожалевший двадцать долларов для маленькой девочки, выслал-таки мошеннику эту книжонку.
Женщины очень уязвимы, если им давить на жалость. Многие, например, играют на материнских чувствах и заставляют перечислять средства на «благотворительность» для помощи маленьким сироткам. Играть на чувствах, особенно материнских, это, безусловно, по-свински. Но, социальная инженерия сама по себе наука довольно-таки эгоистичная.
По отношению к мужскому полу, больше играет роль внешнего аспекта, так как любой мужчина легче поверит сногсшибательной блондинке (какими представляются многие интернет-кидалы), чем волосатому, потному мужику. На этом и играют мошенники в общении с мужчинами. А это все потому, что мы надеемся получить что-нибудь в ответ, ну а что можно получить от сногсшибательной блондинки, как думаете?
Если у вас есть подруга, обладающая ангельским голоском (причем в реальной жизни она может быть полной «квазимодо»), и умеющую правильно надавить на парня, то это идеальный вариант дли социальной инженерии. Чем больше девушка заинтересует жертву, тем выше будет желание парня помочь потенциальной подруге, в чем бы то ни было.
5.Превосходство
Превосходство это состояние, когда ты чувствуешь себя на вершине. Можно сказать иначе – это пафос. Ты ощущаешь себя гораздо лучше и выше других. Но если попытаться доказать что ты не победитель, а наоборот «конкретный неудачник», то естественно это заденет самолюбие и жертва начнет доказывать что именно она тут доминирует.
Соль в том, что задев, чью-то гордость можно подергать за ниточки и заставить жертву выдавить то, что просто так бы он не сказал.
Эта методика опасна тем, что пользоваться ей надо разумно. Тупое «слабо» уже в большей степени не катит, максимум это подействует на людей, зависимых от чужого мнения. Но на планете куча людей, которые плевать с высокой колокольни хотели на твое мнение и им проще послать тебя на три веселые, чем что-то с пеной у рта доказывать.
Заключение Из выше сказанного следует отметить, что существуют несколько способов удаления троянских программ и сетевых червей. Так же существует достаточно много способов защиты удаления как троянских программ, так и сетевых червей.
У двух видов социальной инженерии общее только то, что они воздействуют на человека, но при этом их способы воздействия совершенно различны.
В заключении, хотелось бы сказать, что в презентации изложен основной текст. Достаточно информации было услышено слушателями.