Являются ли атаки вирусов и червей, происходившие за последние месяцы, прелюдией к более крупным нападениям на наши технологические инфраструктуры?

Подготовлены ли мы к такому сценарию?

Фото любезно предоставил: Джордж Крукс

Каковы стратегии и подходы, которые могли бы нам предложить эксперты по безопасности для уменьшения шансов такой вот технологической катастрофы?

Являются ли дальнейшая защита и дополнительные ограничения систем единственным путем противодействия этим угрозам, или же существуют совершенно альтернативные подходы к этой проблеме, которые мы пока не принимали во внимание?

Вот что пишет итальянская организация ANSSAIF (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria, Национальная ассоциация специалистов по безопасности в компаниях, занимающихся финансовых посредничеством) в недавней статье под названием "Cosa bolle in pentola" (Что кипит/варится в кастрюле? - статья на итальянском языке - А. А.)

"Многие эксперты по безопасности внимательно и с беспокойством наблюдают за эволюцией вирусов, червей и троянских коней, рассматривая разные способы и стили атак.

Эта статья фокусируется в основном на так называемых дремлющих вирусах (dormant viruses), и на сотнях различных вариантов такого типа вирусов. Наша задача - попытаться лучше понять, какие опасности могут поджидать нас, если мы более критично взглянем на факты и данные, уже имеющиеся у нас в наличии.
Хотя мы и не совсем твердо уверены в этом, многие эксперты опасаютя, что уже готовится "мега-атака" - либо с целью загнать западную финансовую систему в кризис, литбо с целью еще более ухудшить последствия "физических" террористических актов, произведенных с помощью взрывчатки или, не дай Б-г, биохимических веществ.

Доказательства того, что это уже вполне по силам современным разработчикам вредоносных программ и вирусов, широко доступны.

Мощные вирусные атаки могут также нанести ущерб операциям по спасению людей, глубоко расшатав их информационные и коммуникационные инфраструктуры при помощи направленного потока лишнего сетевого траффика, оключения сетей мобильных телефонов или поражения серверов, используемых для контроля воздушного движения.

Анализ фактов

Во-первых, давайте подытожим мотивы нашей обеспокоенности. В прошлом мы были свидетелями свирепых атак некоторых вирусов - таких, как Red Code, Nimda и Gaobot, которые поразили практически все компании мира.

За этими атаками последовало снижение в частоте нападений и их серьезности (19 предупреждений в 2002 году, 16 в 2003 году), однако защита систем за это время не улучшилась, согласно отчетам ИКБ (Института компьютерной безопасности (Computer Security Institute, CSI) и ФБР, Австралийского центра исследований преступлений в сфере высоких технологий и других организаций.

Параллельно, серьезность и частота террористических атак тоже упала.

Однако в 2004 году было снова зарегистрировано повышение, и за последние 18 месяцев мы стали свидетелями гораздо более высокого числа предупреждений о вирусных атаках, превышающего сумму подобных атак за два предыдущих года (в терминах уровня опасности).

Больше всего беспокойств вызывает рост числа вариантов определенных червей.

Например, существует более 300 вариантов вирусов Netsky и Bagle (этот тип червей "сидит" в памяти в резидентном режиме), и около ста вариантов Mytob.

Это указывает на то, что на самом деле все это может быть частью продолжающегося и в данный момент процесса экспериментирования со всеми возможными путями, с помощью которых можно прощупать слабые места в пользовательских шаблонах поведения и уровень реакции на угрозы, а также процесса испытывания разных последствий мелких и незаметных изменений в тактике доставки и инфильтрации этих врепдонопсных программ в компьютеры ничего не подозревающих пользователей.

Некоторые черви соблазняют получателей открыть почтовое сообщение или перенаправляют их на определеннй сайт, другие черви используют "дырки" в операционных системах на их компьютерах.

Старые черви (Sober, Gaobot и т. д.) снова вводятся в оборот при помощи новых вариантов. Другие черви работают как платформа для функционирования других червей - например, Wurmark и Bobax.

Есть троянские кони, которые ищут на компьютере файлы Excel, Winword или HTML, а затем посылают их на зашифрованные сайты, в то время как другие троянцы шифруют эти файлы на месте и оставляет их на жестком диске, с которого они были считаны (этот подход может даже использоватся для блекмейлинга, то есть электронного шантажа).

Некоторые черви вводятся специально, чтобы войти в компьютер и стереть свои предыдущие версии, которые могут каким-либо образом конфликтовать с подготавливающейся новой версией.

Есть и вирусы, единственной целью которых является получение информации о владельце компьютера: имени, фамилии, домащнего адреса, его компьютерных привычек, паролей, подписок, вкусов и т.д. Некоторые из них предназначаются для специальных коммерческих целей, другие сделаны только для кражи личных данных (identity theft).

Самоочевидным является то, что вирусы вполне можно применить для предпринятия террористических нападений на большие финансовые или коммуникационные структуры.

Можно продолжать и продолжать список вирусов, однако нам пока достаточно и примеров, приведенных выше.

Вот несколько дополнительных вопросов, которые могут пробудить в вас дальнейшее любопытство по этой теме:

1. Множественные варианты того же самого вируса или троянца - содаются ли они только для усовершенствования нападений или они предназначены для скрытия чего-то большего и более серьезного?

2. Какие данные собрали тысячи троянских коней, заразивших миллионы компьютеров (более 12 миллионов машин только за прошлый год)? Стоит ли упоминать, что страны, сильнее всего пострадавшие от этих атак - это США и страны Западной Европы?

3. Что сделают с собранной информацией те, кто стоит за разработкой этих вредоносных средств? Многие данные были использованы для шантажа, мести и краж. Какой еще ущерб могут нанести эти средства?

4. Есть ли где-либо в сетях информация, которую "заморозили"? И если да, то почему?

5. Можем ли мы полностью отвергнуть возможность того, что производители вирусов уже собрали тысячи паролей серверных администраторов и могут воспользоваться ими в мгновение ока?

Вот еще несколько интересных фактов.

В последнее время возросло число "дырок" в операционных системах, которые могут использоваться новыми вирусами. Например, SAP и CISCO, но не EPOC и SYMBIAN (сотовые телефоны).

До настоящего дня, мэйнфреймы оставались имунными. Почему? Может быть, они не используют стандартный протокол TCP/IP, или они уже заражены, а мы этого просто не заметили?

И наконец, вирусы в компьютерах, которые несут определенную подпись (signature), и другие вирусы, тип и функциональность которых до сих пор не известна: являются ли они "дремлющими" вирусами, и чего они ждут?

Здесь уже начинають выкристаллизовываться определенные выводы:

1. Налицо увеличение попыток экспериментирования с новыми червями и троянцами.

2. В компьютерах можно найти дремлющие вирусы.

3. Информация, собранная до сих пор разными троянцами, не была использована полностью.

4. Есть признаки возрастания количества и числа типов систем, которые можно заразить.

5. Меры по противодействию этим угрозам, предпринимаемые компаниями в общем и в целом соответствуют только минимальным требованиям, и они в большинстве случаев не обновлялись в соответствии с возрастающими преступными тенденциями.

Таким образом, можем ли мы принять в расчет возможность того, что кто-то, где-то подготавливает нападение, целью которого являются не только домашние компьютеры, а и компьютерные сети, клиенты и серверы, брандмауэры и коммерческие рутеры?

И зачем кому-то планировать подобные вещи?

Возможно потому, что определенная компания может являться финансовым посредником страны, которую эти люди поставили целью своих атак, либо сотрудничать с ней?

У нас действительно пока что нет определенного ответа. Но мы должны что-то сделать.

Никто никогда не забудет тот день, когда Red Code поразил все компании мира.

Возможно, теперь мы все немного лучше подготовлены, но только к "традиционным" атакам.

Если вирусные программы уже находятся в наших сетях, ситуация становится совсем другой.

И если планируется концентрированная и синхронная атака на все компьютеры компании, проблема стает еще больше.

Возможные решения

Что же делать?

Прежде всего, ключевой стратегией является профилактика.

Будет ли она применяться в очень краткосрочной перспективе (технические контрмеры и процедуры, предпринимаемые для нормального обеспечения дальнейшей работы в ближайшее время), средней перспективе (увеличение количества и качества контроля, введение соответствующих изменений на организационном уровне) или долгосрочной перспективе (установление особой "культуры безопасности" в компании в смысле качества соответствующих сервисов и предотвращения аварий), профилактика - это единственный стоящий путь.

В среднесрочной перспективе следует внести изменения в функционирование двух разных областей: инфраструктуры и сообщества сотрудников компании.

Можно назначить две разные команды для анализа, планирования и создания контрольных мер и средств. Укрепление системы или харденинг (hardening) предпочтительнее поручить третьей и более специфической команде, которой требуется конфиденциальность и детальное знание компании.

Эта особая команда должна быть способной локализовывать специфические вирусы, неотличимые от известных (они могут прятать в себе специальное ПО для сбора информации). Они также должны уметь указывать на аномальное увеличение траффика в локальной сети (LAN).

Они также не должны ограничивать контроль систем только до определенного периметра или проводить тесты только во время рабочих часов. Нужно заставлять серверных администраторов менять пароликаждый месяц, причем удостовериваться, что один и тот же пароль не использовался дважды.

Более легкий путь - дать администраторам возможность использовать "одноразовые пароли" во избежание путаницы.

Если в системе обнаруживается аномальная деятельность, нельзя откладывать "лечение" на следующий день, а педантичные проверки должны стать частью стандартных ежедневных процедур.

Нужно запрещать подключать базы данных с резервированными данными к Интернету, и всегда указывать на ненормальную деятельность в сетях вне рабочих часов.

Для создания "культуры безопасности" ПО должны создавать такие разработчики, которые проявляют достаточную чувствительность к вопросам безопасности. И вообще, распространение общей культуры безопасности среди всех сотрудников компании - это ценный вклад в дело ее защиты.

Принятые компанией новые меры контроля должны распространяться на все новые проекты и системы, и все это при постоянном обучении внутренних и внешних пользователей защите данных, предоставлении качественных услуг и укоренении последовательности в своем деле.

Нужно предпринимать своевременный анализ ICT-рисков, совмещая опыт и знания команд контролирования эксплуатационного риска (Operational Risk Management), команд обеспечения физической и электронной(ICT) безопасности и команд обепспечения целостности и последовательности бизнеса (Business Continuity), используя отдел трудовых ресурсов для их "склеивания" и для превращения всех этих знаний в доступные.

И наконец, было бы хорошей идеей прорабатывать сценарии работы в условиях отсутствия информационной системы, и экспериментировать со всеми возможными и доступными планами экстренных действий - на случай полного крушения IT-систем."

Но является ли ужесточение защиты и ограничений единственным путем противодействия этим проблемам?

Если бы мы воспользовались "сторонним мышлением" для анализа этого вопроса, какие дополнительные опции мы смогли бы увидеть вокруг себя?

Чему мы научились у других социальных миров, преодолевавших опасности и угрозы путем бесконечного добавления слоев защиты и контроля в других социальных сферах?

Что, если доступ к Интернету будет поддерживаться инфраструктурой, которая будет позволять надлежащую идентификацию любого человека таким способом, который не потребует дополнительного нарушения конфиденциальности пользователей, оставляя за каждым из них решение, какие идентификационные данные раскрывать?

Слишком большие требования? Технологически невыполнимо?

Я бы хотел, чтобы вы разместили свои комментарии и мнения по этой теме, в низу статьи.

Переведено на английский язык Робином Гудом и Кьярой Морикони - выдержка из исходной статьи CLUSIT ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA - 31 августа 2005 года - Информационный бюллетень CLUSIT
[Файл PDF доступен здесь: www.clusit.it/newsletter_31_08_05.pdf]

Исходный источник материала: ANSSAIF - Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria.
www.anssaif.it

Робин Гуд и Кьяра Морикони - информационный бюллетень C - - ANSSAIF [ ?????? ?????? ]

???????? ??????: Virus Attacks To Major Internet Infrastructures Real Future Threat?
?????????? ???????????? ??????? ????? 15 2005 ????