Завдання

1. Опишіть такі види вірусів: Win32.Sality, Win32.Neshta, Conficker Worm. Їхній вплив на операційну систему.

2. Що таке Trojan.Winlock? його вплив та лікування.

3. За що вірус Win95CIH отримав назву «Чорнобиль»? Його історія.

4. Вірус Sobig та поштові скриньки.

5. Охрактеризуйте віруси, що розповсюджуються на флеш-носіях.

6. Складіть короткий звіт.

4. Захист електронної пошти: відкриті системи

Електронна пошта стала повсюдно використовуваної «комунальної» послугою, однак, не можна не визнати, вона не досягла поки такого ж досконалості у своєму функціонуванні, як водопровід. Рівень захисту даних в системі електронної пошти впливає на загальний рівень інформаційної безпеки організації, а, отже, і ефективність її діяльності. Це обумовлює важливість створення надійного захисту для цього виду комунікацій. 

Більшість проблем, з якими стикаються користувачі електронної пошти (спам, віруси, різноманітні атаки на конфіденційність листів і т. д.), пов'язане з недостатнім захистом сучасних поштових систем. 

З цими проблемами доводиться мати справу і користувачам загальнодоступних публічних систем, і організаціям. Практика показує, що одномоментне вирішення проблеми захисту електронної пошти неможливо. Спамери, творці і розповсюджувачі вірусів, хакери винахідливі, і рівень захисту електронної пошти, цілком задовільний вчора, сьогодні може виявитися недостатнім. Для того щоб захист електронної пошти була на максимально можливому рівні, а досягнення цього рівня не вимагало надмірних зусиль і витрат, необхідний систематичний і комплексний, з урахуванням усіх загроз, підхід до вирішення даної проблеми. 

Боротьба зі спамом та вірусами 

Сьогодні є безліч програмних продуктів, в тому й числі й безкоштовних, призначених для боротьби з цією загрозою. Найяскравішими представниками російських антивірусних засобів можна назвати продукти компаній «Лабораторія Касперського» і «Діалог-Наука», на основі яких здійснюється захист від вірусів, що вбудовується в поштові клієнти і публічні поштові системи. Що ж стосується рішень по боротьбі зі спамом, тут можливо декілька варіантів захисту. 

Можна реалізувати систему фільтрів, що дозволяють відсікати вхідну кореспонденцію за адресою, темою чи змістом листа. Фільтри зазвичай розміщуються на клієнтської стороні, і користувач сам може задавати необхідні параметри. Як приклад можна назвати системи Spam Buster виробництва компанії Contact Plus, MailWasher, Active Email Monitor (VicMan Software), eMailTrackerPro (Visualware), Spamkiller (Novasoft) та ін Крім фільтрації спаму такі програми можуть виконувати функції очищення поштової скриньки, перевірки пошти, читання заголовків листів і т.д. 

Система фільтрів встановлюється на поштовому сервері; в такому випадку нагадують спам листи відсікаються ще до потрапляння в скриньку користувача. Також може бути реалізований захист на основі «спам-листів», що містять список Internet-провайдерів, з адрес яких проводиться несанкціонована розсилка рекламного характеру. Прикладами можуть служити служба Mail-Filtering Service проекту Mail Abuse Prevention Project і Realtime Blackhole List, база даних по відкритих поштових серверів (під відкритістю в даному випадку розуміється відсутність адекватного адміністрування, що призводить до неконтрольованих розсилках спаму через такі поштові сервери). 

Огляди подібних продуктів регулярно публікуються. Створити систему антивірусного і антиспамового захисту в общем-то нескладно як для користувача загальнодоступній комунікаційного середовища, так і для ІТ-підрозділу організації, яка розгорнула на своїй обчислювальної інфраструктурі корпоративну поштову систему. Після вибору і установки засобів антивірусного і антиспамового захисту найголовніше - їх акуратне і своєчасне оновлення. Головне пам'ятати, що думки вірусописьменників не стоять на місці, а спамери з кожним днем ​​стають все активніше. 

Хакери 

Передумови деяких проблем, пов'язаних безпосередньо з конфіденційністю поштових повідомлень, закладалися при виникненні електронної пошти три десятиліття тому. Багато в чому вони не дозволені до цих пір. 

Жоден зі стандартних поштових протоколів (SMTP, POP3, IMAP4) не включає механізмів захисту, які гарантували б конфіденційність переписки. 

Відсутність надійного захисту протоколів дозволяє створювати листа з фальшивими адресами. Не можна бути впевненим на 100% в тому, хто є дійсним автором листа. 

Електронні листи легко змінити. Стандартний лист не містить засобів перевірки власної цілісності і при передачі через безліч серверів, може бути прочитане і змінено; електронний лист схоже сьогодні на листівку. 

Зазвичай в роботі електронної пошти немає гарантій доставки письма. Незважаючи на наявність можливості отримати повідомлення про доставку, часто це означає лише, що повідомлення дійшло до поштового сервера одержувача (але не обов'язково до самого адресата). 

Як видно з опитувань, проблема захисту змісту електронного листування від цікавості та втручання сторонніх осіб, забезпечення її конфіденційності сьогодні в Росії явно недооцінюється. Так, за даними журналу «Експерт», 73% респондентів не використовують будь-яких засобів захисту листування; правда, 18% застосовують методи шифрування. Цьому є і суб'єктивне пояснення. З появою Мережі народився стереотип, що до повідомлень, що пересилаються по електронній пошті, добратися складніше, ніж до паперових документів. Часті аргументи: «мою переписку ніхто не зрозуміє», «вона нікому не потрібна» і т.д. Як оцінити інформацію? Скільки коштує, приміром, віртуальна копія податкової декларації або реквізити банківського рахунку, що пересилаються в страхову компанію? Дуже часто цінність відкрито пересилаються даних набагато перевищує вартість доступу до них. Ніхто не дасть гарантії, що персонал Internet-провайдерів та комунікаційних вузлів не використовує свій доступ до чужого листуванні в корисливих (або просто непорядних) цілях, а зловмисники можуть отримати масу конфіденційних відомостей з абсолютно непотрібного, на перший погляд, тексту. Так, варто тільки конкурентам заплатити за перехоплення пошти, і робота дилерської мережі може засмутитися, а потенційні партнери отримають вигідні пропозиції від іншої організації. 

Які найбільш типові засоби використовують хакери для атак систем електронної пошти? Це можуть бути «сніфери» (sniffer - дослівно «той, хто нюхає»), які представляють собою програми, що перехоплюють усі мережні пакети, що передаються через певний вузол. Сніффери використовуються в мережах на цілком законній підставі для діагностики несправностей і аналізу потоку даних для передачі. З огляду на те, що деякі мережеві програми, зокрема поштові, передають дані в текстовому форматі (SMTP, POP3 та ін), за допомогою сніффер можна дізнатися текст листа, імена користувачів і паролі. 

Інший спосіб - IP-спуфінга (spoofing) - можливий, коли зловмисник, що знаходиться усередині організації або поза її видає себе за санкціонованого користувача. Атаки IP-спуфінга часто є відправною точкою для інших атак, наприклад, DoS (Denial of Service - «відмова в обслуговуванні»).Зазвичай IP-спуфінга обмежується вставкою помилкової інформації або шкідливих команд в звичайний потік переданих по мережі даних. Це відбувається у випадку, якщо головне завдання полягає в отриманні важливого файлу. Однак зловмисник, помінявши таблиці маршрутизації даних і направивши трафік на помилковий IP-адресу, може сприйматися системою як санкціонований користувач і, отже, мати доступ до файлів, програм, і в тому числі до електронної пошти. 

Атаки для отримання паролів можна проводити за допомогою цілого ряду методів, і хоча вхідний ім'я і пароль можна отримати за допомогою IP-спуфінга і перехоплення пакетів, їх часто намагаються підібрати шляхом простого перебору за допомогою спеціальної програми. 

Ще один тип атаки на конфіденційність - Man-in-the-Middle («людина в середині») - полягає в перехопленні всіх пакетів, що передаються по маршруту від провайдера в будь-яку іншу частину Мережі. Подібні атаки з використанням снифферов пакетів, транспортних протоколів і протоколів маршрутизації проводяться з метою перехоплення інформації, отримання доступу до приватних мережевих ресурсів, спотворення переданих даних. Вони цілком можуть використовуватися для перехоплення повідомлень електронної пошти та їх змін, а також для перехоплення паролів та імен користувачів. 

І, нарешті, атаки на рівні додатків використовують добре відомі слабкості серверного програмного забезпечення (sendmail, HTTP, FTP). Можна, наприклад, отримати доступ до комп'ютера від імені користувача, що працює з додатком тієї ж електронної пошти. 

Отже, захист електронної пошти повинна починатися ще на рівні ІТ-інфрастуктури організації і насамперед її мережевий інфраструктури. 

Основні методи та засоби захисту від атак на електронну переписку 

Для захисту мережевої інфраструктури використовується чимало всіляких заслонів і фільтрів: SSL (Secure Socket Layer), TSL (Transport Security Layer), віртуальні приватні мережі. Основні методи захисту від атак хакерів будуються саме на основі цих коштів. Це, перш за все, сильні засоби аутентификации, наприклад, технологія двофакторної аутентифікації, при якій відбувається поєднання того, що у вас є, з тим, що ви знаєте. Ця технологія використовується, наприклад, в роботі звичайного банкомату, який ідентифікує по картці і за кодом. Для аутентифікації в поштовій системі теж потрібно «картка» - програмне або апаратне засіб, що генерує за випадковим принципом унікальний одноразовий пароль. Його перехоплення марний, оскільки він буде вже використаний і виведений з ужитку. Проте така міра ефективна тільки проти перехоплення паролів, але не проти перехоплення іншої інформації (наприклад, повідомлень електронної пошти). 

Інші засоби захисту полягають в ефективному побудові та адмініструванні мережі. Йдеться про побудову комутованої інфраструктури, заходи контролю доступу і фільтрації вихідного трафіку, закритті «дір» в програмному забезпеченні за допомогою модулів-»заплаток» і регулярному його оновлення, встановлення антивірусних програм і чому іншому. 

І, нарешті, найефективніший метод - криптографія, яка не запобігає перехоплення інформації і не розпізнає роботу програм для цієї мети, але робить цю роботу марною. Криптографія також допомагає від IP-спуфінга, якщо використовується при аутентифікації. Найбільш широко для криптографічного захисту переданих по каналах зв'язку даних, включаючи листи електронної пошти, застосовується протокол SSL, в якому для шифрування даних використовуються ключі RSA. Однак SSL захищає листи тільки при передачі; якщо не використовуються інші засоби криптозахисту, то листи при зберіганні в поштових ящиках і на проміжних серверах знаходяться у відкритому вигляді. 

Сукупність усіх цих засобів можна представити як багаторівневу ешелоновану систему оборони. І, тим не менше, як показує практика, існує можливість пробратися крізь усі ці рівні і отримати доступ до даних. У березні цього року Financial Times повідомила про скандал в Туреччині, пов'язаному з перехопленням листів електронної пошти Карен Фогг, чиновниці Європейської Комісії. Вона приїхала до Туреччини для перевірки відповідності цієї країни вимогам на вступ в ЄС і в своїх звітах, пересланих по електронній пошті, оцінила це відповідність не найсприятливішим для Туреччини чином. Турецькі спецслужби, очевидно, перехопили ці звіти і, побачивши змову проти себе, підняли скандал і в обгрунтування своїх заяв розкрили факт перехоплення листів Фогг. Отже, останнім рубежем оборони є криптографічні засоби захисту всередині системи електронної пошти. 

«Сильні» криптоалгоритми 

Найефективнішим способом захисту листів електронної пошти від перехоплення фахівці з безпеки комп'ютерних мереж визнають їх кодування на основі «сильних» криптографічних алгоритмів. Таке кодування і формування електронного підпису унеможливлюють зміну листа і дозволяють легко виявляти підроблені листи. Існує велика кількість алгоритмів і протоколів шифрування. Серед алгоритмів симетричної криптографії, яких безліч, можна згадати RC4, RC5, CAST, DES, AES і т.д.Оптимальна довжина ключів шифрування для цих алгоритмів - 128 розрядів. Що стосується асиметричного шифрування, то тут в основному використовуються алгоритми RSA, Diffie-Hellman і El-Gamal, при цьому довжина ключів шифрування звичайно становить 2048 розрядів. За оцінками дослідницьких компаній, у всьому світі лише близько 1% користувачів публічних поштових систем використовували кодування на основі криптографії, а серед користувачів корпоративних поштових систем таких не більше 10-15%. 

У чому причина? Перш за все, в складності використання коштів кодування, як правило, зовнішніми по відношенню до програмного забезпечення електронної пошти. Навіть пакети на основі стандарту OpenPGP, найбільш популярні засоби кодування електронного листування, досить прості у використанні і не викликають утруднень, вимагають додаткових навичок і дій. Крім того, і ця причина видається більш суттєвою, відкриті ключі розподілені між учасниками листування, що не може бути рішенням для широких кіл користувачів. Можливо два концептуальних типу кодування електронної пошти. 

1. Часткове кодування. Прикладом системи з частковим кодуванням переданих даних є популярний поштовий клієнт Eudora (разом з додатковим модулем, випущеними в 2001 році), який забезпечує передачу закодованих листів на двох ділянках маршруту листи: від відправника до найближчого поштового сервера і від одержувача до найближчого поштового сервера. З російських систем до цього класу відносяться Hotbox і Zmail, які здійснюють захист листування на основі SSL. 

2. Повне кодування. Повне або наскрізне (end-to-end) кодування полягає в тому, що кодування електронного листа виконується на комп'ютер відправника і розкодування тільки на комп'ютері одержувача, а його пересилання по Мережі, включаючи зберігання на проміжних серверах, відбувається в закодованому вигляді. 

Основна складність застосування такого роду систем пов'язана з необхідністю створення та супроводу PKI (Personal Key Infrastructure) - інфраструктури розподілу, зберігання та захисту ключів учасників електронного листування. 

В останні роки розроблено кілька систем електронної пошти, в яких з урахуванням ряду кількох допущень проблема розгортання PKI для користувачів вирішена. По-перше, передбачається, що всі учасники даної системи електронної пошти можуть писати один одному, по-друге, процедура генерація секретного ключа відбувається на основі пароля користувача. Ці припущення дозволили повністю автоматизувати всю роботу з відкритими і секретними ключами. Немає необхідності розподіляти по користувачам відкриті ключі: вони можуть зберігатися на відкритому сервері і доступ до них може відбуватися по імені користувача. Користувачі в явному вигляді не працюють з ключами, а виконують тільки типові операції обробки листів. 

Прикладом такої системи є служба захищеної електронної Web-пошти S-Mail.com, в якій захист даних на основі «сильних» криптоалгоритмів (для кодування даних використовується PGP з ключем RSA довжиною 2048 байт; в протоколі SSL використовується ключ завдовжки в 1024 байт) реалізованаспочатку. Реалізовано заходи для запобігання небезпек, пов'язаних з використанням HTML для написання листів. 

S-Mail.com можна використовувати як через браузер, так і через Microsoft Outlook. Приватні особи можуть використовувати S-Mail.com в якості безкоштовної загальнодоступної пошти для особистої переписки (аналогічна система - Hushmail). 

Захист корпоративної поштової системи 

Поштову систему із засобами криптозахисту має сенс використовувати в якості корпоративної поштової системи, яку можна розгорнути на власній ІТ-інфраструктурі, проблеми безпеки при цьому вирішуються найчастіше за рахунок установки шлюзу / заслонів на з'єднанні корпоративної мережі з Internet і на поштовому сервері. Цей варіант призначений, перш за все, для крупних організацій з сильними ІТ-підрозділами і великими бюджетами, у тому числі і на ІТ. Для середніх і малих організацій переважніше варіант оренди корпоративної поштової системи у ASP-провайдера. Від корпоративних поштових систем часто вимагають додаткових функцій підтримки спільної діяльності співробітників компанії. Як корпоративних поштових систем часто згадуються Lotus Notes і Microsoft Exchange, які містять занадто багато цих додаткових функцій і менш підходять для Web-хостингу, ніж «легкі» корпоративні поштові системи, які по функціональності мало відрізняються або зовсім не відрізняються від загальнодоступних поштових систем. 

Як приклад корпоративної системи захищеної електронної пошти для середніх і малих організацій на умовах оренди можна привести систему на основі S-Mail.com. Впровадження на підприємстві цієї поштової системи дозволяє захистити електронне листування від несанкціонованого втручання.Система збільшує функціональні можливості звичайної електронної пошти, оскільки тепер співробітники підприємства зможуть передавати по Мережі конфіденційні матеріали та документи, не побоюючись за їх цілісність і безпеку. 

Перед відправкою електронного листа (текст і все додані до нього файли) буде закодовано на комп'ютері відправника і розкодувати тільки безпосередньо на комп'ютері одержувача; весь шлях по мережі електронного листа проходить в закритому вигляді. Також в закритому вигляді листа зберігаються на сервері S-Mail. Для кодування листування і файлів в S-Mail.com використовується PGP з ключем RSA довжиною 2048 байт, а в протоколі SSL використовується ключ завдовжки в 1024 байт. 

Робота із захищеною поштою не вимагає від користувача ніяких додаткових знань - вона виглядає, як робота зі звичайною електронною поштою. Від співробітника компанії не потрібно ніяких додаткових дій для забезпечення захисту кореспонденції. Інтерфейс системи S-Mail простий і функціональний, але, разом з тим, дозволяє проводити всі традиційні дії з листами....