Угрозы информационной безопасности. Тенденции, пути, средства и методы борьбы с ними

uchastnik cert_2_12_2009

Информационная безопасность – не последняя по значимости сфера деятельности во всем мире. Информационная безопасность – это процессы и мероприятия, которые во всем сопутствуют информационным технологиям, где-то шествуя с ними параллельно, где-то переплетаясь с ними до степени полного слияния. Информационная безопасность – это цикличный, постоянно совершенствующийся процесс обеспечения безопасности.

На данный момент специалисты по информационной безопасности востребованы практически во всех сферах деятельности человечества. Банки, операторы и провайдеры сетей передачи данных, военный сектор, государственные учреждения, правоохранительные органы – все нуждаются в высококвалифицированных специалистах по защите информации. А как же иначе? В наше время полезная и ценная информация является важнейшим активом для любой организации, учреждения, компании, фирмы, да даже для простого частного пользователя каких-либо данных. И если организации, имея в своем штате хороших специалистов по информационной безопасности, уже имеют какую-то защиту, то обычный пользователь сетей передачи данных является самым незащищенным звеном процесса обеспечения безопасности. Посудите сами – человек, без специального образования или каких-либо навыков работы с компьютером, сетью интернет, с ИТ в целом, является беззащитной жертвой угроз информационной безопасности. Яркий тому пример, работа с пластиковыми зарплатными карточками, выдаваемыми банками с паролем по-умолчанию «1», который многие по незнанию или нехотению не изменяют на более сложный. А ведь при утере или краже такой карточки можно лишиться достаточно большой суммы, так как заблокировать карточку можно не сразу – не существует пока оперативных процедур. И это один из примеров.

Поэтому неудивительно, что зачастую (можно сказать в основном) жертвами мошенников и киберпреступников являются обычные незащищенные пользователи. Даже если атака направлена на инфраструктуру, то жертвой в итоге все равно оказывается пользователь. К примеру, хакер или банда хакеров атаковали веб-хостинг провайдера, разместив вредоносные ссылки на некоторых сайтах. В итоге, зараженными оказываются компьютеры посетителей этих веб-ресурсов.

К сожалению, на данный момент ситуация в Республике Узбекистан складывается не самым благоприятным образом для обычных пользователей. Конечно, можно отметить успехи большинства государственных организаций и хозяйствующих субъектов в вопросах обеспечения информационной безопасности. Например, достаточно грамотно решаются такие вопросы в банковской сфере, в министерствах и ведомствах. По статистике (рис.1) (Служба UZ-CERT) на протяжении 2009 года состояние информационной безопасности серверов и расположенных на них сайтов заметно улучшалось, что говорит о ведущихся работах в направлении безопасности.

cert_2_12_2009_1

Рис.1. Статистика ИБ сайтов и серверов

Как было упомянуто выше, частный пользователь — самое уязвимое звено, и «спасение утопающего – дело рук самого утопающего». Что я хочу этим сказать? Что защититься от угроз информационной безопасности можно только путем самообразования и поиска соответствующей информации. К счастью, сейчас интернет изобилует полезными статьями, советами, рекомендациями по обеспечению безопасности, и любой индивид, имеющий доступ к сети, может почерпнуть много интересного и полезного. Сейчас более или менее продвинутый пользователь уже имеет представление об основах обеспечения ИБ – установить антивирус и межсетевой экран, использовать сложные пароли и регулярно менять их, отличать спам в электронной корреспонденции от нормальных писем.
Тенденции развития информационной безопасности в Узбекистане

Я не сделаю открытия, если скажу, что интернет – это основной источник угроз информационной безопасности, направленных на нарушение трех основных свойств информации: ее целостности, конфиденциальности и доступности. Все атаки киберпреступников направлены на нарушение одного из этих свойств или на все сразу. Поэтому основная задача информационной безопасности – защита данных. Многие связывают сферу информационной безопасности только лишь с информационными технологиями или с сетью интернет. На самом деле это не так. Угрозам подвергается не только информация, хранящаяся в сети или на электронных носителях, но и любые ее виды. Это могут быть конфиденциальные коммерческие данные в виде бумажных носителей, которые хранятся в сейфе. Информация, которая хранится в голове у человека, – те же данные, которые могут быть подвергнуты угрозам. Поэтому сфера деятельности информационной безопасности охватывает многие аспекты.

Развитие ИТ в Узбекистане и их проникновение в различные отрасли и сферы деятельности человека предполагает также и параллельное развитие и внедрение систем обеспечения информационной безопасности. Это неудивительно – ведь чем больше технологий появляется, тем стремительнее развитие угроз и уязвимостей информационной безопасности. За последние несколько лет этот прогресс стал намного заметней и интенсивней. Основное желание киберпреступника – получить выгоду от реализации угроз, а чем больше возможностей предоставляют технологии, тем больше возможности у них (киберпреступников) осуществить свои намерения.

За последние пять лет область обеспечения информационной безопасности в Республике Узбекистан сделала несколько уверенных шагов вперед. На данный момент регулирование вопросов ИБ осуществляется по нескольким направлениям:
1. Совершенствование и развитие нормативно-правовой базы.
2. Разработка и внедрение программного обеспечения по ИБ.
3. Международное взаимодействие и обмен передовым опытом с другими странами.

Однако, несмотря на вышеперечисленные действия, до сих пор остро стоят вопросы координации процедур и мероприятий в сфере ИБ. На данный момент не существует единого координационного центра по вопросам кибербезопасности, объединяющего отделы обеспечения информационной безопасности операторов и провайдеров сетей передачи данных, мобильной связи, государственных учреждений, хозяйствующих субъектов и других заинтересованных в реагировании на возможные инциденты ИБ.

Для успешной реализации вышеуказанной ИБ-инфраструктуры в Узбекистане необходимо осуществление следующих действий:
1. Создание координационного центра информационной безопасности, занимающегося вопросами, соответственно, координации, взаимодействия, обмена опытом подразделений обеспечения ИБ.
2. Разработка, распространение и внедрение рекомендаций, инструкций, директив, руководств по информационной безопасности.
3. Тесное сотрудничество в области реагирования на инциденты ИБ с международными аналогичными организациями.
4. Проведение обучающих курсов, факультативов, внедрение новых специальностей в средних специальных и высших учебных заведениях, рассчитанных на подготовку специалистов в области информационной безопасности, в частности, реагирования на инциденты и их анализ.
5. Внедрение сертификации навыков по информационной безопасности на республиканском уровне. Сертификация на уровне международных стандартов с доступной стоимостью.
6. Сертификация продуктов по информационной безопасности, таких как антивирусная защита, межсетевые экраны, спам-фильтры, криптографическое ПО до их внедрения в различных организациях и компаниях.
7. Консультационная поддержка по вопросам информационной безопасности для физических и юридических лиц.
8. Оперативное реагирование на инциденты информационной безопасности в национальном масштабе.

Угрозы информационной безопасности в интернете и в его узбекском сегменте и меры защиты от них
Угрозы информационной безопасности можно классифицировать, но нельзя сказать, что в различных сегментах сети интернет (узбекском, российском, американском и пр.) существуют свои специфичные угрозы, которые не реализуемы в одной зоне, а в другой стоят на первом месте по степени нанесения вреда. Можно лишь сказать, что некоторые угрозы пока не несут такого деструктивного воздействия из-за отсутствия потенциальных уязвимостей. Для ясного понимания, что представляет собой угроза информационной безопасности, перечислю основные типы, которые являются наиболее распространенными и опасными по степени своего воздействия:
1. Вирусы и черви.
2. Трояны.
3. СПАМ.
4. Фишинг.
5. Веб-сайты с внедренным вредоносным кодом.
6. Компьютеры общего пользования.
7. Поддельные антивирусы.
8. Ботнеты и зомбированные компьютеры.
9. DoS и DDoS атаки.

Рассмотрим каждую угрозу по порядку – по распространению в мире и применительно к узбекскому сегменту сети.
Вирусы и черви – как гласит Википедия, это «разновидность компьютерных программ, отличительной особенностью которой является способность к размножению. В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена зараженная программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом». Вирусы и черви распространяются в локальных и глобальных сетях. Также для заражения компьютер не обязательно должен быть подключен к сети, можно загрузить его с любого внешнего носителя данных. Вирусы распространены по всему миру и для них нет территориальных границ в сети.

Решением по защите от вирусов и червей является антивирусная защита. На данный момент существует множество антивирусного ПО, которое может помочь справиться с большинством из вредоносных программ. Существуют как платные, так и бесплатные антивирусы. Из числа платных можно выделить такие антивирусы, как Kaspersky, ESET NOD32, Dr.Web, Symantec, BitDefender, McAfee, Panda, F-Secure, Trend Micro. Из бесплатных – Avira, AVG, Comodo, ClamAV, Avast, Microsoft Security Essentials (для лицензионных ОС Windows). Информацию по каждому антивирусу можно найти в поисковике, достаточно набрать его название. Также существуют сравнительные тесты различных антивирусов, которые могут помочь определиться с выбором.

Троян (троянский конь, троянская программа) – «вредоносная программа, проникающая на компьютер под видом безвредной — кодека, скринсейвера, хакерского ПО и т. д. Троянские кони не имеют собственного механизма распространения, и этим отличаются от вирусов, которые распространяются, прикрепляя себя к безобидному ПО или документам, и «червей», которые копируют себя по сети. Впрочем, троянская программа может нести вирусное тело — тогда запустивший троянца превращается в очаг «заразы»» (Википедия). Таким образом, трояны отличаются от вирусов и червей по механизму действия и распространения, но преследуют практически те же цели. Так же как и вирусы, распространены везде и не являются исключением для отдельно взятых сегментов сети интернет. На рис. 2 можно видеть действие трояна Kardphisher, который под видом необходимой повторной активации Windows требует ввести персональные данные для отправки на сервер Microsoft (на самом деле прямо в руки хакеров). Проблема заключается в том, что при отказе ввести данные компьютер просто-напросто выключается, и если пользователь достаточно доверчив, то данные он потеряет.

cert_2_12_2009_2

Рис. 2. Троян Kardphisher под видом активации Windows похищает конфиденциальные данные кредитных карточек

Защищать компьютер от троянских коней лучше в связке антивирус+межсетевой экран. В случае, если антивирус «пропустит» заразу (что бывает процентах в 10-20), то межсетевой экран (фаервол) сможет засечь возможную аномальную интернет-активность и предупредить пользователя. В качестве персональных межсетевых экранов можно использовать встроенные в антивирусный комплекс или независимые фаерволы. К ним можно отнести экраны Agnitum Outpost Firewall, ZoneAlarm, Jetico Personal Firewall, Comodo Firewall.

СПАМ – это, пожалуй, самая распространенная угроза информационной безопасности, затрагивающая любого пользователя электронной почты. СПАМ – это не запрошенная электронная корреспонденция (реклама), рассылаемая по большей части автоматическими ботами. Нельзя путать СПАМ с рассылкой, на которую пользователь подписывается добровольно. СПАМ сам по себе не несет какого-либо деструктивного воздействия (являясь при этом раздражающим фактором), однако письма со СПАМом зачастую содержат в себе гиперссылки на вредоносные сайты или же прикрепленные файлы – вирусы или трояны. Как было сказано, со СПАМом имеют дело практически все пользователи электронной почты, что делает его распространение повсеместным. На рис. 3 представлен фрагмент СПАМ-сообщения с рекламой препарата Viagra. Можно отметить, как ухищряются спамеры для того, чтобы обойти существующие СПАМ-фильтры: тема письма не соответствует телу, используются автоматически сгенерированные имя отправителя и адрес, в теле письма ключевые слова разбавлены пробелами.

cert_2_12_2009_3

Рис. 3. СПАМ-сообщение с рекламой

Для минимизации потока СПАМа или, возможно, его предотвращения следует использовать специальные СПАМ-фильтры. Фильтры бывают как персональными, так и используемыми на серверах. Грамотно и правильно настроенный фильтр на 90% избавляет пользователей от данного вида угрозы информационной безопасности. Персональные фильтры в виде плагинов существуют к таким почтовым клиентам, как Outlook и The Bat.

Фишинг — «вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей (Facebook, Вконтакте), банков (Ситибанк, Альфа-банк), прочих сервисов (Rambler, Mail.ru). В письме часто содержится прямая ссылка на сайт, внешне не отличимый от настоящего. Оказавшись на таком сайте, пользователь может сообщить мошенникам ценную информацию, позволяющую получить доступ к аккаунтам и банковским счетам» (Википедия). В основном фишинг в зарубежных странах направлен на получение банковских данных. В Узбекистане интернет-банкинг пока не сильно развит, что делает данную угрозу неактуальной для нашего сегмента. Анализируя веб-сайты в доменной зоне «UZ», я пока не встречал поддельных сайтов наших банков или иных организаций. Конечно, можно сказать, что пользователи из Узбекистана могут посещать сайты зарубежных банков и пользоваться иными сервисами (например, почтой). Однако это будет угрозой, направленной не на пользователей, а на ресурсы, принадлежащие к зарубежным сегментам сети (российскому, американскому, китайскому и др.). На рис. 4 проиллюстрировано фишинг-сообщение якобы от компании Mail.ru, где предлагается сменить свой пароль в связи с обновлением базы данных во избежание утери данных.

cert_2_12_2009_4

Рис. 5. Предупреждение от поисковой системы Google

Защита от сайтов с внедренным вредоносным кодом — это комплекс различных мер. Во-первых, это вышеупомянутая антивирусная защита. Во-вторых, использование последних версий браузеров (так как старые браузеры, например, Internet Explorer 6 подвержены ряду уязвимостей, посредством которых вредоносное ПО может загрузиться и установиться на компьютер пользователя). К примеру, браузер Mozilla Firefox при открытии опасных веб-сайтов предупреждает о риске заражения. В-третьих, необходимо следить за предупреждениями поисковых систем – Yandex и Google ставят специальную отметку на странице с результатами выдачи поиска о возможности угрозы на определенных сайтах. В-четвертых, некоторые антивирусы оснащены модулем определения зараженности веб-сайта. Такой плагин, например, имеет антивирус AVG. На рис. 6 отображено предупреждение браузера Mozilla FireFox при открытии «зараженного» сайта.

cert_2_12_2009_5

Рис. 6. Предупреждение об угрозе браузера Mozilla FireFox
Компьютеры общего пользования – это рабочие станции, на которых могут работать несколько человек под одной учетной записью или несколькими. Компьютеры общего пользования распространены, например, в интернет-кафе, где десятки или сотни людей ежедневно пользуются интернетом. Компьютеры общего пользования могут быть угрозой, в случае если вы используете их на ресурсах, которые требуют авторизации (вводов логинов и паролей), оставляете без присмотра незаблокированный рабочий стол, информация на экране не предназначена для чужих глаз, а за спиной находятся посторонние. Так как в Узбекистане распространенно использование интернета в общественных местах, то угроза является для нас наиболее актуальной.

При работе на компьютерах общего пользования следует соблюдать несколько правил, чтобы обезопасить личные данные. В первую очередь, нельзя сохранять свои учетные данные при вводе их в поля авторизации (логин и пароль). При возможности необходимо всегда стирать все следы пребывания в интернете в браузере (чистить историю, куки, временные файлы и, если все же сохранили, то и логины с паролями). Нельзя оставлять незаблокированный компьютер с конфиденциальными данными на мониторе. Следить за тем, что за вашей спиной может быть посторонний, который может подглядеть не предназначенную для него информацию. И самое главное – стараться не использовать компьютер общего пользования для ввода личных данных.

Поддельные антивирусы (лже-антиврусы, fake antivirus, rogue anivirus, scareware) – хотя можно считать данный вид угрозы компьютерной вредоносной программой (наряду с вирусами и троянами), однако они стоят особняком, поэтому я решил выделить их в отдельный тип. Поддельные антивирусы – это загруженное к вам на компьютер (добровольно или нет) программное обеспечение, выглядящее как антивирусная программа, обладающая некоторым набором лже-функций (проверка диска, проверка файлов и пр.), и в целом заставляющая поверить пользователя, что перед ним настоящая разработка какой-либо антивирусной компании. Действия лже-антивируса на вашем компьютере следующие: периодически (каждые 15-30 минут) появляется окно программы, которое показывает якобы обнаруженные им вирусы на вашем компьютере. Для лечения или удаления вирусов вы должны приобрести лицензию, необходимо отправить платное SMS на определенный номер или перевести деньги посредством кредитной карточки. Некоторые создатели таких вредоносных программ ограничиваются приемом денег, и более антивирус не тревожит пользователя. Но во многих случаях лже-антивирусы скачивают и устанавливают дополнительно вирусы и трояны, воздействие которых описано выше. Также при использовании кредитной карты можно лишиться персональных данных. Главное отличие настоящих антивирусных программ от поддельных в том, что они никогда не требуют оплаты за лечение или удаление обнаруженных вирусов. Поддельные антивирусы так же, как вирусы, трояны и веб-сайты с вредоносным кодом (зачастую с них и можно получить данную заразу), являются широко распространенной угрозой в сети интернет. На рис. 7 показан лже-антивирус Antiviruspro 2009 «в работе».

cert_2_12_2009_7

Рис. 7. Поддельный антивирус «сканирует» компьютер жертвы

Рис. 8 показывает, как фальшивый антивирус отображает пользователю предупреждение о «найденной уязвимости». Злоумышленники подделывают интерфейс своих программ так, что они практически идентичны настоящим антивирусам. В данном случае сообщение практически один в один копирует сообщение о предупреждении антивируса ESET NOD32.

cert_2_12_2009_8

Рис. 8. Поддельные антивирусы делают похожими на настоящие.
Защититься от поддельных антивирусов помогут антивирусные комплексы от доверенных разработчиков, которые были указаны выше. Ни в коем случае не следует устанавливать неизвестное ПО. Следует воздержаться от кликов по ссылкам, которые предлагают установить антивирус и проверить компьютер, не загружать и не запускать вложения из электронных писем от недоверенных источников.

Ботнеты и зомбированные компьютеры — «это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании» (Википедия). Ботнеты в основном связаны с такими угрозами, как вирусы и трояны. В принципе, можно сказать, что эти два типа угроз являются неотъемлемой частью друг друга, так как зомбирование компьютера возможно только после установки специального программного обеспечения. Самым неприятным для обычного пользователя является тот факт, что зачастую бот не проявляет никакой активности, тем самым не дает повода заподозрить инфицирование компьютера. В большинстве случаев дает о себе знать, когда внезапно интернет-трафик пользователя начинает стремительно расходоваться (в этом случае происходит рассылка спама по списку, который может содержать миллионы адресов электронной почты). На рис. 9 проиллюстрирована схема управления хакером ботнетом, при которой осуществляется DDoS атака на веб-сервер.

cert_2_12_2009_9

Рис. 9. Ботнет под управлением злоумышленника атакует веб-сервер
Защитой от зомбирования компьютера является антивирус и межсетевой экран. Плюс все другие вышеперечисленные меры защиты от вредоносных программ будут полезными для исполнения.

DoS и DDoS атаки – «(от англ. Denial of Service, отказ в обслуживании) — атака на вычислительную систему с целью вывести ее из строя, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднен. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к овладению системой (если во внештатной ситуации ПО выдает какую-либо критическую информацию — например, версию, часть программного кода и т. д.)» (Википедия). DDoS – это более масштабное действие, когда атака производится с большого числа хостов (Distributed Denial of Service, распределенная атака). DoS и DDoS атаки являются следствием заражения компьютеров вредоносным программным обеспечением и последующим его зомбированием для использования в ботнете. Данный тип атаки в основном направлен на интернет-сервисы (веб-сайты, сервера хостинга, почтовые и FTP-сервера и др.). Целью атаки является сделать недоступным тот или иной упомянутый сервис. Причины, по которым злоумышленники совершают атаки, бывают разными, начиная от простого хулиганства, заканчивая заказами от конкурентов. По большому счету, данный вид атак в меньшей степени направлен на обычных пользователей (за исключением, если атака ведется на персональный сайт или сервер, расположенный на хостинге), и в большей на организации – компанию, владеющую корпоративным сайтом, сервера или сервисы на хостинге провайдера. Целью DoS и DDoS атаки может стать любой хост, расположенный в любой точке земного шара и имеющий доступ извне.

Так как основной целью защиты от DoS и DDoS атак являются сервера, то и меры должны принимать в основном операторы и провайдеры сетей передач данных и хостинга. Стопроцентной защиты от сильной атаки нет, но можно снизить уровень ее интенсивности. Следует применять ряд мер для возможности предотвращения атаки. Это использование систем обнаружения и предотвращения вторжений, межсетевых экранов, грамотная настройка серверов, использование систем типа sinkhole, когда вредоносный трафик переправляется в специальную заглушку, тем самым снижая нагрузку на атакуемый сервер.

Заключение
Подводя итог своей статье, хочу тезисно изложить то, что было написано выше:
— роль информационной безопасности приобретает все большее и большее значение в мире, с развитием информационных технологий параллельно увеличивается рост угроз информационной безопасности, но и сама сфера ИБ не стоит на месте. Работа специалиста по информационной безопасности играет не последнюю роль в общей иерархии организаций и компаний, однако отдельно взятые пользователи информационных систем являются слабым звеном в обеспечении информационной безопасности;

— развитие сферы информационной безопасности в Узбекистане также прогрессирует, в частности государственный сектор уделяет не последнее внимание вопросам обеспечения защиты данных. Однако для достижения уровня других стран (Америки, Европы, Азиатско-Тихоокеанского региона) в деле обеспечения информационной безопасности на национальном уровне необходимо внедрение дополнительных мер, описанных в данной статье;

— существуют меры защиты от угроз информационной безопасности, но эффективность их не стопроцентная. Есть угрозы, от которых защититься практически нельзя. Поэтому принятие мер безопасности это постоянный непрерывный процесс защиты, требующий обновления, пересмотра, знаний и сил.

Использованные источники информации: http://ru.wikipedia.org/wiki/

Orphus system