Огляд методів боротьби з фішингових
атаками h2>
Олексій
Комаров p>
що виникли з появою фішингу загрози
зажадали впровадження адекватних заходів захисту. У межах цієї статті будуть
розглянуті як вже широко поширені способи протидії фішингу,
так і нові ефективні методи. Поділ це дуже умовно: до традиційних
віднесемо добре відомі (у тому числі і самим зловмисникам) способи
протидії фішингу і проаналізуємо їх ефективність в першій частині даної
статті. Згідно зі звітом APWG, за першу половину 2008 р. було виявлено 47 324
фішингових сайтів. У цьому ж звіті наведено і середні втрати користувачів і
компаній в результаті роботи фішерських сайту - вони становлять не менше $ 300 на
год. Нескладні множення дозволяють зробити висновок про високу прибутковість цього
виду чорного бізнесу. p>
Сучасний фішинг h2>
Слово "фішинг" (phishing)
утворено від англійських слів password - пароль і еshing - рибний лов,
вивудження. Мета цього виду Інтернет-шахрайства - обманний відведення користувача
на підроблений сайт, щоб надалі вкрасти його особисту інформацію або,
наприклад, заразити комп'ютер користувача, перенаправленого на підроблений сайт,
трояном. Заражений комп'ютер може активно використовуватися в ботнет-мережах для
розсилки спаму, організації DDOS-атак, а також для збору даних про користувача
і відправки їх зловмисникові. Спектр застосування "виуженной" у
користувача інформації досить широкий. p>
Механізми фішингу h2>
Головний вектор атаки фішингу спрямований на
найслабша ланка будь-якої сучасної системи безпеки - на людину. Далеко
не завжди клієнт банку точно знає, яку адресу є правильним:
mybank.account. com або account.mybank. com? Зловмисники можуть використовувати
і той факт, що в деяких шрифти рядкова i і прописна L виглядають однаково
(I = l). Такі способи дозволяють обдурити людини за допомогою схожою на
справжню посилання в електронному листі, при цьому навіть наведення курсору миші на
таку посилання (з метою побачити справжню адресу) не допомагає. В арсеналі
зловмисників є й інші засоби: від банальної підміни в локальній базі IP-адрес
реальної адреси на підроблений (в ОС Windows XP, наприклад, для цього достатньо
відредагувати файл hosts) до фармінг. Ще один вид шахрайства - підміна
Web-сторінки локально, "на льоту". Спеціальний троян, що заразив
комп'ютер користувача, може додавати в відображений браузером сайт
додаткові поля, які відсутні на оригінальній сторінці. Наприклад, номер
кредитної картки. Звичайно, для успішного проведення такої атаки треба знати банк
або платіжну систему, якими користується жертва. Саме тому тематичні
бази електронних адрес користуються великою популярністю і є на чорному
ринку ліквідним товаром. Небажаючі нести додаткові витрати фішери просто
спрямовують свої атаки на найбільш популярні сервіси - аукціони, платіжні
системи, великі банки - в надії на те, що випадковий одержувач спам-листи
має там обліковий запис. На жаль, надії зловмисників найчастіше
виправдовуються. p>
Традиційні методи протидії
фішингових атак h2>
Унікальний дизайн сайту Суть цього методу
така: клієнт, наприклад, банку при укладанні договору вибирає одне з
запропонованих зображень. Надалі на цьому сайті банку йому буде
показуватися саме це зображення. У разі якщо користувач його не бачить
або бачить іншого, він повинен покинути підроблений сайт і негайно повідомити про
це службу безпеки. Передбачається, що зловмисники, не
присутні при підписанні договору, апріорі не зможуть вгадати правильне
зображення і обдурити клієнта. Однак на практиці цей спосіб не витримує
критики. По-перше, для того щоб показати користувачеві його зображення, його
спочатку треба ідентифікувати, наприклад, за логіном, який він ввів на першу
сторінці сайту банку. Зловмиснику зовсім не важко підготувати підроблений
сайт, щоб дізнатися цю інформацію, а для самого користувача - емулювати
помилку зв'язку. Тепер достатньо звернутися на реальний сервер, ввести
вкрадений логін і підглянути правильне зображення. p>
Інший варіант - видати клієнту фальшиве
Попередження про закінчення терміну дії його зображення й запропонувати вибрати
нове ... p>
Одноразові паролі h2>
Класичні паролі є
багаторазовими: користувач вводить один і той же пароль кожного разу при
проходженні процедури аутентифікації, не змінюючи його часом роками. Перехоплений
зловмисником, цей пароль може неодноразово використовуватися без відома
господаря. p>
На відміну від класичного, одноразовий
пароль використовується тільки один раз, тобто при кожному запиті на
надання доступу користувач вводить новий пароль. Для цього
використовуються, зокрема, спеціальні пластикові картки з нанесеним
захисним шаром. Клієнт банку кожного разу стирає чергову смужку і вводить
потрібний одноразовий пароль. Всього на картку стандартного розміру поміщається
близько 100 паролів, що при інтенсивному використанні послуг телебанкингу вимагає
регулярної заміни носія. Більш зручними, але, правда, і дорогоцінним
видаються спеціальні пристрої - генератори одноразових паролів. У
основному розрізняють два типи створення: за часом, коли поточний одноразовий
пароль відображається на екрані і періодично змінюється (наприклад, раз на два
хвилини); по події, коли нове значення генерується кожен раз при натисканні
користувачем на кнопку пристрою. p>
Будучи більш безпечним, ніж класична
парольна аутентифікація, такий метод, проте, залишає зловмисникові
певні шанси на успіх. Наприклад, аутентифікація з використанням
одноразових паролів не захищена від атаки "людина посередині". Суть
її полягає у "вклинювання" в інформаційний обмін між
користувачем і сервером, коли зловмисник "представляється"
користувачу сервером, і навпаки. Серверу передається вся інформація від
користувача, в тому числі і введений нею одноразовий пароль, але вже від імені
зловмисника. Сервер, отримавши правильний пароль, дозволяє доступ до закритої
інформації. Чи не викликаючи підозр, зловмисник може дозволити користувачу
попрацювати, наприклад, зі своїм рахунком, пересилаючи йому всю інформацію від сервера
і назад, але при завершенні користувачем свого сеансу роботи не розривати
зв'язок з сервером, а зробити потрібні транзакції нібито від імені користувача. p>
Щоб не втрачати час в очікуванні
завершення користувацького сеансу, зловмисник може просто імітувати
помилку зв'язку і не дозволяти легальному користувачеві працювати зі своїм рахунком. У
Залежно від використовуваного методу генерації перехоплений одноразовий пароль
буде діяти або протягом короткого часу, або тільки для першого
сеансу зв'язку, але в будь-якому випадку це дає зловмиснику можливість успішно
провести крадіжку даних або грошей користувача. p>
На практиці автентифікація за допомогою
одноразових паролів сама по собі використовується рідко, для підвищення безпеки
застосовується встановлення захищеного з'єднання ще до аутентифікації, наприклад,
з використанням протоколу SSL. p>
Одностороння аутентифікація h2>
Використання протоколу безпечних
з'єднань SSL (Secure Sockets Layer) забезпечує захищений обмін даними
між Web-сервером і користувачами. Незважаючи на той факт, що протокол дозволяє
автентифікувати не тільки сервер, але й користувача, на практиці найчастіше
застосовується тільки одностороння автентифікація. Для встановлення
SSL-з'єднання необхідно, щоб сервер мав цифровий сертифікат, який використовується
для аутентифікації. Сертифікат зазвичай видається та засвідчується третій довіреної
стороною, в ролі якої виступають центри засвідчують (УЦ) або центри
сертифікації (в західній термінології). Роль УЦ полягає в тому, щоб
підтверджувати справжність Web-сайтів різних компаній, дозволяючи користувачам,
"повіривши" одному єдиному що посвідчує центру, автоматично
мати можливість перевіряти справжність тих сайтів, власники яких
зверталися до цього ж УЦ. p>
Список довірених центрів, що засвідчують
зазвичай зберігається в реєстрі операційної системи або в настройках браузера.
Саме ці списки і піддаються атакам з боку зловмисника.
Дійсно, видавши фішингових сайтів сертифікат від підробленого
, що засвідчує, і додавши цей УЦ в довірені, можна, не викликаючи ніяких
підозр у користувача, успішно здійснити атаку. p>
Звичайно, такий спосіб зажадає від Фішера
більше дій і відповідно витрат, але користувачі, на жаль, часто
самі допомагають у крадіжці своїх даних, не бажаючи розбиратися в тонкощах і особливості
використання цифрових сертифікатів. У силу звички або некомпетентності
нерідко ми натискаємо кнопку "Так", не особливо вчитуючись в повідомлення
браузера про відсутність довіри до організації, що видала сертифікат. p>
До речі, дуже схожий спосіб використовують
деякі засоби з контролю SSL-трафіку. Справа в тому, що останнім часом
почастішали випадки, коли сайти, заражені троянськими програмами, і самі
трояни використовують протокол SSL з тим, щоб обійти шлюзові системи
фільтрації трафіку - адже шифровану інформацію ні антивірусне ядро, ні
система захисту від витоку даних перевірити не в змозі. Вклинювання в обмін
між Web-сервером і призначеним для користувача комп'ютером дозволяє таких рішень
замінити сертифікат Web-сервера на виданий, наприклад, корпоративним УЦ і без
видимих змін у роботі користувача сканувати трафік користувача при
використання протоколу SSL. p>
URL-фільтрація h2>
У корпоративному середовищі фільтрація сайтів
застосовується для обмеження нецільового використання мережі Інтернет співробітниками
і як захист від фішерських атак. У багатьох антивірусних засобах захисту даний
спосіб боротьби з підробленими сайтами взагалі є єдиним. p>
Виявленням фішерських сайтів і внесенням
їх у чорні листи займаються багато компаній - від виробників антивірусних
рішень до банків, платіжних систем і правоохоронних органів. Зокрема,
створюються спеціальні організації для боротьби з фішерами, такі як Anti
Phishing Work Group (APWG - http://www.apwg.org). Спільні заходи
зацікавлених сторін у тісній співпраці з реєстраторами та хостінгових
компаніями дозволяють оперативно закривати підроблені сайти. Спільні зусилля
спрямовані на максимально швидке оновлення чорних списків і блокування
роботи сайтів зловмисників. Не можна не відзначити певні успіхи в цьому
напрямі - середній час життя фішерських сайту складає всього 49,5 годин. p>
Однак далеко не всі виробники
засобів антивірусного захисту можуть похвалитися такою високою оперативністю в
оновлення баз, до того ж багато користувачів не використовують жодних засобів
захисту на своїх комп'ютерах або вводять номери кредитних карт і іншу
конфіденційну інформацію з випадкових робочих місць. Ну і, нарешті, не
слід забувати: реальні атаки можуть завдавати шкоди конкретного користувача
або компанії, можливо, ставлячи їх на межу банкрутства. p>
*** p>
В останні роки активне розповсюдження
Інтернет-шахрайства призвело до формування так званих "чорних
ринків "зі своїми замовниками та виконавцями. Звіти аналітиків говорять про
наявності в сучасному світі складної вірусної "екосистеми". Основна
маса вірусів і троянських програм створювалася в 2008 р. з метою подальшої
продажу. Причому якщо за кількістю створюваного шкідливого ПЗ світовим лідером
в 2008 р.
став Китай, то за складністю і "інноваційності" програм на першу
місці опинилися російські хакери і Вірусописьменники. p>
Протокол SSL, розроблений в 1996 р. компанією Netscape,
на сьогодні став одним із самих популярних методів забезпечення захищеного
обміну даними в мережі Інтернет. Протокол SSL, який використовує асиметричний
криптографічний алгоритм RSA, інтегрований у більшість браузерів і
Web-серверів, а для реалізації захищеного з'єднання з використанням
російської криптографії буде потрібно додаткове програмне забезпечення як
на сервері, так і на кожному клієнтському робочому місці. p>
Олексій Комаров, експерт з
інформаційної безпеки Aladdin Software Security RD p>
Список b> b> літератури b> p>
Information Security № 1, лютий-березень
2009 p>