На рынке существует ряд технологий, бездумное использование которых может привести к проблемам. Никто не говорит о том, что в них нет положительных моментов, но…
Данная статья задумывалась достаточно давно, но непосредственным поводом к ней послужил простой эксперимент, который позволил проверить давно существовавшие подозрения.
Прежде всего на складе были выписаны и получены три флешки из партии, предназначенной для подарков всем и вся. Особо отметим, что работник склада был не в курсе нашего эксперимента и взял случайно подвернувшиеся флешки из ящика.
Внимание! Данная статья не преследует цель очернить тот или иной продукт. Все места на скриншотах, позволяющие указать на конкретный продукт, тщательно замазаны. Сведения о технологиях получены из бесед на конференциях или (что к сожалению получалось крайне редко) — из документации.
Всем известно, что бесконтрольное использование сменных носителей ни к чему хорошему не приводит. Заражения, утечки файлов, а то и сгоревшие порты. Естественно администраторы стремятся упорядочить использование сменных носителей путем определения белого списка. Но насколько это решает проблему?
Итак, устанавливаем одно из решений, в составе которого имеется функционал создания белого списка (процедуру занесения в белый список не описываем и пропускаем, поскольку она немного различается у каждого из продуктов).
Распечатываем и вставляем первую флешку из полученных на складе. Добавляем ее в белый список.
Вставляем вторую флешку:
Система не видит разницы! Вот вам и доверенный список.
Попробуем подключить первую флешку (ту, которую мы вставляли ранее). Она у нас была разрешена, но сейчас в том порту, куда мы ее ранее вставляли — вставлена вторая флешка.
Есть блокировка! Только правда той флешки, которая у нас в белом списке…
Для интереса в были найдены и протестированы два Кингстона (админы обычно закупают уже понравившиеся модели, но соответственно заказам — в разное время).
Вставляем первый, добавляем его в белый список
Вставляем второй Кингстон.
Есть блокировка!
Итого:
В отрасли информационной безопасности сложилась ситуация, когда специалисты требуют открытости систем шифрования — но к тому, что все иные технологии закрыты — мы относимся спокойно. Закрытость можно понять — зная внутренности злоумышленник может использовать недостатки и архитектуры и уязвимости. Но вот чего оправдать нельзя, так это отсутствие методичек для специалистов по ИБ, четко описывающих, какие ограничения имеет та или иная технология. Практически на каждой встрече приходится на пальцах доказывать ее участникам, что их система безопасности дырява! А самое печальное, что периодически возникают волны смеха по поводу того, что тот или иной продукт не использует модную или «всем нужную» технологию.
Пробежимся по списку (данные технологии используются в антивирусах, но почему-то кажется, что для иных типов продуктов также можно составить подобный список)?
Фильтрация спама на основе баз DNSBL. Одна цитата:
Подобные базы не контролируются ни вендором — поставщиком антиспам-решения, ни клиентом, решение использующим. Реальна ситуация, когда некто подделывает отправителя и засылает на ловушки базы (скажем организуя поток спама с ботнета). Последний раз мне рассказывали о подобном случае в Самаре. В результате очередного апдейта базы DNSBL письма на домены/адреса, попавшие в базу, перестанут проходить. Не скажу за всех владельцев баз DNSBL, но так же рассказывали о ситуациях, когда удаление из баз происходит за деньги.
Фильтрация спама на основе технологии грейлистинга. Здесь мнения расходятся. Кто говорит, что она эффективна, кто говорит, что на данный момент спамеры тупо игнорируют задержки получения писем. Вполне возможно это связано с технологиями рассылки спама. При рассылке его через ботнет задержки можно игнорировать, при использовании специального сервера они могут быть критичны.
Системы анализа уязвимостей. Вещь нужная, но слепо доверять ей нельзя. Как показывает практика, знают только известные уязвимости — не стоит полагаться, что все уязвимости будут ими найдены. Соответственно неизвестные вредоносные программы будут проникать Опять же существуют очень большие сомнения, что используемые в персональных антивирусах системы поиска уязвимостей соответствуют уровню специальных продуктов. Никаких описаний технологии, ее ограничений я не видел.
Виртуальные клавиатуры. Пропагандируются как один их столпов для защиты персональной информации, паролей к ДБО и тд.
Многие ли слышали о таких ограничениях?
Очень интересное сочетание двух абзацев. Таким образом вредоносная программа, умеющая скриншотить информацию вполне снимет нажатия на клавиши виртуальной клавиатуры.
А теперь цитата из маркетингового документа:
Менеджеры паролей. Сама по себе идея хранить пароли на компьютере не плоха, но такие программы тоже имеют уязвимости и могут быть взломаны.
Облачные антивирусы. В сети присутствуют в огромном количестве панегирики облачным технологиям. Насколько можно понять, облачные системы основаны на двух китах — файл (ссылка) получает положительную репутацию, если он не вызывал проблем у большого количества пользователей и репутация из облака более приоритетна, чем мнение локальной системы. Теоретически возможна ситуация, когда пока неизвестный (не определяемый) вирус распространяется по пользователям (скажем по ботнету), получает высокую репутацияю и только потом внедряется нужной жертве — и мнение локального антивируса будет игнорироваться. Если в момент внедрения системный администратор попытается сменить репутацию файла — не факт, что это удастся. Мнение миллиона леммингов. Пока файл не попадет в лабораторию на анализ, он будет распространяться беспрепятственно
Есть ли плюс у технологии? Да.
Системы на основе контроля за изменениями, в том числе облачные. Базируются на подсчете контрольных сумм. Технология в момент возникновения прорывная, позволяющая сократить время проверки, но сейчас обновления идут каждый час и даже чаще. Поскольку на момент прихода нового обновления в системе может быть неизвестный ранее вредоносный файл, то контрольные суммы файлов нужно пересчитывать после каждого обновления, то есть примерно раз в час, что увеличивает торможение системы. Плюс опять же не все системы контроля одинаковы. Просто контроль за файлами обходится — просто изменив путь, по которому запускается программа.
Самый большой минус продуктов на основе контроля за состоянием — невозможность защиты от неизвестной угрозы. Они не способны удалять уже запущенные вредоносные программы.
Проактивные системы на основе знания профилей поведения программ. Требуют наличия в базах данных всех профилей всех существующих в мире программ (с учетом их обновлений — ведь у пользователей могут работать и старые версии), что нереально – в том числе в связи с тем, что программы постоянно обновляются. Это приводит к тому, что у пользователя временами запрашивается разрешение на то или иное действие. Пользователь не способен отличить запрос на действие вируса от запроса на действие обычной программы.
Интеграция антивируса с корпоративными системами управления и обновления. Использование таких систем, как Microsoft Update, MMC и тд. Интеграция с корпоративными системами управления позволяет, в частности, не переключаясь между интерфейсами систем управления, контролировать состояние всей сети. Огромный плюс. Но возможна ситуация, когда хакер, получив доступ к корпоративной системе управления, снесет тот же антивирус и оставит сеть без защиты. Все эти системы не находятся под контролем системы самозащиты и могут быть перехвачены злоумышленником.
Диски конечно сейчас резиновые:
Но насколько безопасна ситуация, когда система управления построена на внешней библиотеке, которая может быть в любой момент модифицирована хакером?
Запрет входящих каналов на время работы ДБО. Не имеет смысла, если перехват ДБО осуществляется вредоносной программой.
Подтверждение платежей с помощью SMS. SMS могут быть модифицированы вредоносными программами, внедряемыми с помощью фишинга например
Защита платежных данных при передаче – шифрование данных. Отличная вещь, но очень часто забывают, что данные могут быть модифицированы до их попадания в защищенный канал — вирус может быть между клиентской программой и доверенным каналом.
Защищенные среды исполнения. Вредоносные программы могут распознавать нахождение в защищенной среде и на это время ничего плохого не делать. Ну сама защищенная среда может быть взломана.
Опять не панацея.
Антивирусы для систем виртуализации.
Цитата из статьи: Eugene Kaspersky Амбиции, лень и жадность в IT-бизнесе
Самое интересное, что для систем на основе API VmWare совершенно не понятно — могут ли эти системы бороться с ранее известными вредоносными программами? Могут ли удалять уже запущенные вредоносные программы и тд?
Защита от вирусов путем форматирования системы. Вирус может быть не только в виде файла.
Естественно это не все, что используется для обеспечения безопасности, но и приведенного выше списка вполне достаточно, чтобы сделать вывод. Панацеи не существует. Слепо верить журналистам и маркетологам — нельзя. Всегда нужно проверять любые утверждения. Особенно когда поднимается очередная волна моды.
Данная статья задумывалась достаточно давно, но непосредственным поводом к ней послужил простой эксперимент, который позволил проверить давно существовавшие подозрения.
Прежде всего на складе были выписаны и получены три флешки из партии, предназначенной для подарков всем и вся. Особо отметим, что работник склада был не в курсе нашего эксперимента и взял случайно подвернувшиеся флешки из ящика.
Внимание! Данная статья не преследует цель очернить тот или иной продукт. Все места на скриншотах, позволяющие указать на конкретный продукт, тщательно замазаны. Сведения о технологиях получены из бесед на конференциях или (что к сожалению получалось крайне редко) — из документации.
Всем известно, что бесконтрольное использование сменных носителей ни к чему хорошему не приводит. Заражения, утечки файлов, а то и сгоревшие порты. Естественно администраторы стремятся упорядочить использование сменных носителей путем определения белого списка. Но насколько это решает проблему?
Итак, устанавливаем одно из решений, в составе которого имеется функционал создания белого списка (процедуру занесения в белый список не описываем и пропускаем, поскольку она немного различается у каждого из продуктов).
Распечатываем и вставляем первую флешку из полученных на складе. Добавляем ее в белый список.
Вставляем вторую флешку:
Система не видит разницы! Вот вам и доверенный список.
Попробуем подключить первую флешку (ту, которую мы вставляли ранее). Она у нас была разрешена, но сейчас в том порту, куда мы ее ранее вставляли — вставлена вторая флешка.
Есть блокировка! Только правда той флешки, которая у нас в белом списке…
Для интереса в были найдены и протестированы два Кингстона (админы обычно закупают уже понравившиеся модели, но соответственно заказам — в разное время).
Вставляем первый, добавляем его в белый список
Вставляем второй Кингстон.
Есть блокировка!
Итого:
- Технология работает, но поскольку устройства одной (а кто китайцев знает, может и не одной) партии определяются одинаково, то перед созданием белого списка нужно обязательно выбрать партию флешек, каждая из которых уникальна. В противном случае при определенных условиях USB-устройство можно подменить, даже не прибегая к техническим ухищрениям с самим носителем.
- К сожалению сохранить в тайне параметры флешек нереально. Поэтому администраторы не должны слепо верить тому, что вставлена именно разрешенная флешка, а не флешка злоумышленннка. Необходимо также разграничивать права доступа (Капитан Очевидность. Да).
В отрасли информационной безопасности сложилась ситуация, когда специалисты требуют открытости систем шифрования — но к тому, что все иные технологии закрыты — мы относимся спокойно. Закрытость можно понять — зная внутренности злоумышленник может использовать недостатки и архитектуры и уязвимости. Но вот чего оправдать нельзя, так это отсутствие методичек для специалистов по ИБ, четко описывающих, какие ограничения имеет та или иная технология. Практически на каждой встрече приходится на пальцах доказывать ее участникам, что их система безопасности дырява! А самое печальное, что периодически возникают волны смеха по поводу того, что тот или иной продукт не использует модную или «всем нужную» технологию.
Пробежимся по списку (данные технологии используются в антивирусах, но почему-то кажется, что для иных типов продуктов также можно составить подобный список)?
Фильтрация спама на основе баз DNSBL. Одна цитата:
Некоторые администраторы почты при фильтрации спама полагаются на так называемые DNSBL (RBL) — чёрные списки узлов, замеченных в рассылке спама. Так вот, никогда не добавляйте никаких проверок DNSBL на ваши почтовые сервера.… В эти списки узлы заносятся совершенно беспорядочно и нет никаких гарантий, что туда не попадёт нормальный хост (на котором, может быть, в какой-то момент поселился вирус, рассылающий спам, но теперь вирус уже вылечили, или проще и гораздо реальней — один внешний IP для большой сети, в которой завёлся спамер).
Подобные базы не контролируются ни вендором — поставщиком антиспам-решения, ни клиентом, решение использующим. Реальна ситуация, когда некто подделывает отправителя и засылает на ловушки базы (скажем организуя поток спама с ботнета). Последний раз мне рассказывали о подобном случае в Самаре. В результате очередного апдейта базы DNSBL письма на домены/адреса, попавшие в базу, перестанут проходить. Не скажу за всех владельцев баз DNSBL, но так же рассказывали о ситуациях, когда удаление из баз происходит за деньги.
Фильтрация спама на основе технологии грейлистинга. Здесь мнения расходятся. Кто говорит, что она эффективна, кто говорит, что на данный момент спамеры тупо игнорируют задержки получения писем. Вполне возможно это связано с технологиями рассылки спама. При рассылке его через ботнет задержки можно игнорировать, при использовании специального сервера они могут быть критичны.
Системы анализа уязвимостей. Вещь нужная, но слепо доверять ей нельзя. Как показывает практика, знают только известные уязвимости — не стоит полагаться, что все уязвимости будут ими найдены. Соответственно неизвестные вредоносные программы будут проникать Опять же существуют очень большие сомнения, что используемые в персональных антивирусах системы поиска уязвимостей соответствуют уровню специальных продуктов. Никаких описаний технологии, ее ограничений я не видел.
Виртуальные клавиатуры. Пропагандируются как один их столпов для защиты персональной информации, паролей к ДБО и тд.
Виртуальная клавиатура защищает от перехвата персональной информации только при работе с браузерами Microsoft Internet Explorer, Mozilla Firefox и Google Chrome. При работе с другими браузерами Виртуальная клавиатура не защищает вводимые персональные данные от перехвата.
Виртуальная клавиатура недоступна в браузере Microsoft Internet Explorer 10 из Магазина Windows, а также в браузере Miscrosoft Internet Explorer 10, если в параметрах браузера установлен флажок Включить расширенный защищенный режим (Enhanced Protected Mode). В этом случае рекомендуется вызывать виртуальную клавиатуру из интерфейса Kaspersky Internet Security.
Виртуальная клавиатура не может защитить ваши персональные данные в случае взлома веб-сайта, требующего ввода таких данных, поскольку в этом случае информация попадет непосредственно в руки злоумышленников.
Многие ли слышали о таких ограничениях?
Многие программы-шпионы обладают функциями снятия снимков экрана, которые автоматически передаются злоумышленнику для последующего анализа и извлечения персональных данных пользователя. Виртуальная клавиатура защищает вводимые персональные данные от перехвата посредством снятия снимков экрана.
Виртуальная клавиатура не предотвращает снятие снимков экрана с помощью нажатия клавиши Print Screen и других комбинаций клавиш, заданных в параметрах операционной системы, а также снятие снимков экрана с помощью технологии DirectX.
Очень интересное сочетание двух абзацев. Таким образом вредоносная программа, умеющая скриншотить информацию вполне снимет нажатия на клавиши виртуальной клавиатуры.
А теперь цитата из маркетингового документа:
Также для обеспечения безопасного ввода данных используется виртуальная клавиатура и специальный драйвер для защиты ввода данных на аппаратной клавиатуре. В результате обеспечивается защита от программ, которые осуществляют регистрацию нажатий клавиш (keylogger) и снятие снимков экрана (screenshot).
Менеджеры паролей. Сама по себе идея хранить пароли на компьютере не плоха, но такие программы тоже имеют уязвимости и могут быть взломаны.
Облачные антивирусы. В сети присутствуют в огромном количестве панегирики облачным технологиям. Насколько можно понять, облачные системы основаны на двух китах — файл (ссылка) получает положительную репутацию, если он не вызывал проблем у большого количества пользователей и репутация из облака более приоритетна, чем мнение локальной системы. Теоретически возможна ситуация, когда пока неизвестный (не определяемый) вирус распространяется по пользователям (скажем по ботнету), получает высокую репутацияю и только потом внедряется нужной жертве — и мнение локального антивируса будет игнорироваться. Если в момент внедрения системный администратор попытается сменить репутацию файла — не факт, что это удастся. Мнение миллиона леммингов. Пока файл не попадет в лабораторию на анализ, он будет распространяться беспрепятственно
Есть ли плюс у технологии? Да.
- Возможность оценить репутацию файла между обновлениями антивирусных баз;
- При организации локального облака данная технология позволяет исключить перепроверки одинаковых файлов на разных машинах, подключенных к облаку. По сути кешируются контрольные суммы.
Системы на основе контроля за изменениями, в том числе облачные. Базируются на подсчете контрольных сумм. Технология в момент возникновения прорывная, позволяющая сократить время проверки, но сейчас обновления идут каждый час и даже чаще. Поскольку на момент прихода нового обновления в системе может быть неизвестный ранее вредоносный файл, то контрольные суммы файлов нужно пересчитывать после каждого обновления, то есть примерно раз в час, что увеличивает торможение системы. Плюс опять же не все системы контроля одинаковы. Просто контроль за файлами обходится — просто изменив путь, по которому запускается программа.
Самый большой минус продуктов на основе контроля за состоянием — невозможность защиты от неизвестной угрозы. Они не способны удалять уже запущенные вредоносные программы.
Проактивные системы на основе знания профилей поведения программ. Требуют наличия в базах данных всех профилей всех существующих в мире программ (с учетом их обновлений — ведь у пользователей могут работать и старые версии), что нереально – в том числе в связи с тем, что программы постоянно обновляются. Это приводит к тому, что у пользователя временами запрашивается разрешение на то или иное действие. Пользователь не способен отличить запрос на действие вируса от запроса на действие обычной программы.
Интеграция антивируса с корпоративными системами управления и обновления. Использование таких систем, как Microsoft Update, MMC и тд. Интеграция с корпоративными системами управления позволяет, в частности, не переключаясь между интерфейсами систем управления, контролировать состояние всей сети. Огромный плюс. Но возможна ситуация, когда хакер, получив доступ к корпоративной системе управления, снесет тот же антивирус и оставит сеть без защиты. Все эти системы не находятся под контролем системы самозащиты и могут быть перехвачены злоумышленником.
Диски конечно сейчас резиновые:
для работы с… необходимо наличие пакета Microsoft .NET Framework 4. При его отсутствии… запускает его установку, что требует еще как минимум 800 Мб дискового пространства.
Но насколько безопасна ситуация, когда система управления построена на внешней библиотеке, которая может быть в любой момент модифицирована хакером?
Запрет входящих каналов на время работы ДБО. Не имеет смысла, если перехват ДБО осуществляется вредоносной программой.
Подтверждение платежей с помощью SMS. SMS могут быть модифицированы вредоносными программами, внедряемыми с помощью фишинга например
Защита платежных данных при передаче – шифрование данных. Отличная вещь, но очень часто забывают, что данные могут быть модифицированы до их попадания в защищенный канал — вирус может быть между клиентской программой и доверенным каналом.
Защищенные среды исполнения. Вредоносные программы могут распознавать нахождение в защищенной среде и на это время ничего плохого не делать. Ну сама защищенная среда может быть взломана.
Опять не панацея.
Антивирусы для систем виртуализации.
Во-первых, антивирусная защита поддерживается только для Windows. Для реализации безагентового сценария при виртуализации Linux/Unix/… придётся подождать VMware. Во-вторых, … не работает функция карантина для файлов и зараженных «виртуалок». Т.е. отловленного зловреда можно только убить, вылечить или протрубить сигнал сисадмину. В-третьих… Увы – всё это тоже особенности API от VMware.
Цитата из статьи: Eugene Kaspersky Амбиции, лень и жадность в IT-бизнесе
Самое интересное, что для систем на основе API VmWare совершенно не понятно — могут ли эти системы бороться с ранее известными вредоносными программами? Могут ли удалять уже запущенные вредоносные программы и тд?
Защита от вирусов путем форматирования системы. Вирус может быть не только в виде файла.
Естественно это не все, что используется для обеспечения безопасности, но и приведенного выше списка вполне достаточно, чтобы сделать вывод. Панацеи не существует. Слепо верить журналистам и маркетологам — нельзя. Всегда нужно проверять любые утверждения. Особенно когда поднимается очередная волна моды.