На сайте Tom's Hardware Guide появилась, на мой взгляд, очень хорошая публикация Андрея Пировских о безопасности в сети Интернет.

Краткое содержание статьи: Интернет всё глубже проникает в жизнь людей. Но это отнюдь не лужайка с розовыми цветочками, где можно расслабляться и ни о чём не думать. В Интернет всё сильнее проникает криминал, который использует различные атаки на пользователей, дабы завладеть денежками. Слова "фишинг" и "фарминг" уже прочно вошли в наш лексикон, а методам социальной инженерии во время проведения атак вряд ли кого удивишь. В нашем руководстве мы рассмотрим самые опасные места в Интернете и расскажем, как от них защититься.

Введение

Защитить наши компьютеры и информацию от злоумышленников с развитием Интернета становиться всё сложнее. Этим материалом мы начинаем серию статей, посвящённых электронному мошенничеству и компьютерной безопасности.

Только в США ущерб от мошенничества составляет более 50 миллиардов долларов в год. При этом мошенничество, направленное на сферу онлайн-покупок, имеет ежегодный оборот около 5 миллиардов долларов.

Куда же уходят эти миллиарды долларов? И что можно сделать, чтобы остановить этот огромный поток средств в руки мошенников?
На самом деле, за последний десяток лет все финансовые онлайн-структуры, банки, процессинговые центры, платёжные системы и прочие структуры так или иначе сталкивались с мошенничеством. Системы интернет-банкинга и пластиковых карт чаще всего подвергаются атакам типа фишинга, фарминга, "троянского" и шпионского ПО, атакам типа "человек в середине" (man in the middle, MITM) и даже атакам, основанным на социальной инженерии. В наших материалах мы рассмотрим многие из этих и других технологий. Хуже всего то, что атаки становятся всё более мощными и изощрёнными, расширяется список атакуемых структур. Теперь это уже не только крупные финансовые учреждения, как раньше. Сегодня организации любого масштаба могут столкнуться с непрошенными гостями.

В серии статей мы рассмотрим различные виды угроз и попытаемся чётко и ясно изложить их суть для наших читателей. Мы попытаемся копнуть поглубже, а не давать простые рекомендации вроде использования различных сложных паролей и установки антивируса. Мы рассмотрим, как работают хакеры и как от них можно защититься.

В нашем сегодняшнем мире знания, как никогда раньше, являются силой.

Защита личной информации

Путешествуя по Интернету, пользователи оставляют огромное количество следов с личной информацией. Начиная с данных о посещённых страницах и адресах, параметрах поиска, покупках, скачанных файлах, отправленной и принятой почте и заканчивая диалогами в чатах. Сотрудники интернет-провайдеров могут получить множество информации о деятельности пользователя в сети.

Онлайновые покупки? Сайт продавца получает имя и адрес покупателя, а также некоторые другие данные из анкет. Это касается всех сайтов, относящихся к онлайн-покупкам и доставке.

Есть ещё и сотрудники терминалов платёжных систем, проверяющие данные о пластиковой карте. Другая проблема - сотрудники банков, имеющие доступ к параметрам транзакции, администраторы, работающие с банковскими базами данных и получающие доступ к информации о счетах.

Совместив все эти данные, можно получить абсолютно всю информацию о пользователе, подключившемся к сети. Примем во внимание количество людей, имеющих доступ к такой информации, и ещё раз убедимся в существовании проблемы защиты личной информации.

Ограбления банков

Мошенничество с личными данными пользователя - одно из распространённых преступлений. Сначала мы остановимся на краже личных данных с последующим использованием их для доступа к финансам, поскольку этот способ наиболее опасен для обычных пользователей, подключённых к сети. Затем мы обратимся к стратегиям защиты и аппаратному/программному обеспечению, помогающему построить защиту от различных атак.

Многие банки, использующие системы интернет-банкинга, работают с парольной защитой (или PIN-кодом). Это базовая стандартная защита, которая известна ещё со времён появления Интернета. При такой системе пользователю предлагается ввести либо весь пароль (PIN-код), либо некоторые его символы; например, первый, третий и пятый символы шестизначного PIN-кода.

Некоторые банки работают с уникальными паролями, заново генерируемыми для каждой новой сессии. Такой способ более надёжен. Американская организация US Federal Financial Institutions Examination Council (FFIEC) создала рекомендации по защите систем для финансовых институтов. В России тоже существуют определённые стандарты защиты передачи банковской информации, которые ничуть не уступают западным аналогам.

Фишинг

Для начала познакомимся с некоторыми терминами, которыми пользуются хакеры. "Захватить shell/рабочий стол". Этот термин касается возможности хакера контролировать активность компьютера другого пользователя. Достигается это путём запуска на целевом компьютере шпионских программ, перехватывающих данные о его работе, например вводимую информацию. Такая возможность позволяет хакеру узнать учётные данные.

Имея эти данные, хакер может позвонить вам и представиться сотрудником банка. Зная учётные данные и имея под рукой скриншоты вашей личной банковской страницы, он может "уточнить" необходимую для телефонного банкинга информацию.

После такого звонка хакер может позвонить в банк и выполнить перечисление денег с вашего счёта. Таким образом, мы видим типичную атаку, состоящую из захвата рабочего стола и социальной инженерии (телефонный звонок), которая оказалась успешной. Хакер получил доступ к вашему счёту в банке практически без каких-либо изысков.

Однако такому риску подвержены не только банки. Вспомните о сайтах магазинов, которые для удобства позволяют сохранять информацию о вашей пластиковой карте. Хакеру достаточно узнать ваше имя и пароль для входа на подобный сайт, после чего он сможет воспользоваться данными о вашей пластиковой карте. И произвести какие-либо покупки.

Мы логично подошли к столь муссируемому сегодня в прессе типу атак: фишингу (phishing, созвучно слову fishing - рыбалка). В атаках фишинга широко используются методы социальной инженерии. Хакеры рассылают письма тысячам пользователей, представляясь работниками банков, систем eBay, PayPal или другими. Адресатам предлагается под разными предлогами зайти на сайты, внешне идентичные оригинальным. Конечно, эти сайты поддельные. После чего пользователь вводит необходимые учётные данные для какой-либо цели, указанной в письме, например, для разблокирования учётной записи или восстановления пароля. Очень многие пользователи "клюют на крючок" фишинга.

В качестве примера фишинга приведём страницу "Fraud Watch". Учтите, каждая запись говорит о рассылке многих тысяч писем.

От фишинга до фарминга

Эпидемия фишинга постепенно переходит в эпидемю фарминга, которая требует более серьёзной технической подготовки хакеров.

Фармеры перенаправляют пользователей с легитимных коммерческих сайтов на "левые". Опять же, они внешне очень похожи. Пользователи вводят учётные данные на "левом" сайте, которые успешно поступают к хакерам.

При фарминге тоже используются различные методы, но наиболее часто хакеры прибегают к помощи "троянского" ПО - скрытых программ, работающих на компьютере жертвы и позволяющих выполнять разные задачи по выбору хакера. Покажем работу на примере.

Злоумышленник рассылает по электронной почте вирусы, например Banker Trojan, который переписывает файл на компьютере hosts. Напомним, что в этом файле находятся записи, сопоставляющие символьные имена (URL), например Google.com, с IP-адресами (например, 64.55.33.22). Изменив такую связку для сайта банка, ничего не подозревающий пользователь будет направлен на другой сайт, внешне идентичный настоящему. То есть при переходе на вашу страницу интернет-банка действия хакера перенаправят ничего не подозревающего пользователя на совершенно другую страницу.

В случае атаки на сервер доменных имён (DNS) таких пользователей может быть гораздо больше. DNS, пожалуй, можно сравнить с телефонным справочником - выбираете имя, смотрите номер, и звоните. Так и тут: пишете адрес в строке браузера, а служба DNS сообщает его IP-адрес, после чего браузер связывается с указанным сайтом. Атака на DNS может породить хаос в Интернете. Представьте себе, что на дорогах поменяли все указатели, и теперь они направляют машины в ошибочных направлениях. Пока поездка будет выглядеть привычно, вряд ли пользователь забеспокоится. В фарминге работает и фактор памяти: вчера всё было точно так же, как и сегодня.

Атака "человек в середине" (Man in the Middle)

Ещё одна серьёзная проблема - другая атака под названием "человек в середине" (man in the middle, MITM). Она очень коварна и невероятно эффективна. Для атаки хакеру нужно попасть в сеть, притворившись физическим устройством, или выполнить так называемый ARP-спуфинг, то есть подмену МАС-адреса. Подробнее остановимся на этой атаке позже, а пока вкратце поясним, что она собой представляет. Протокол ARP используется компьютерами для обращения друг к другу в пределах одной сети (преобразует IP-адрес в MAC-адрес нужного компьютера, после чего происходит связь по протоколу Ethernet). Спуфинг ARP позволяет одному компьютеру притвориться другим. В сети хакер находит два объекта атаки, обычно это ПК пользователей. Существуют бесплатные и свободно скачиваемые программы, перехватывающие с помощью ARP-спуфинга весь трафик между этими машинами. Причём не просто перехватывающие, а пропускающие через себя.

Опасность очевидна - хакер находится между компьютерами и может прослушивать трафик. А пользователь этого никак не заметит. Чтобы представить всю опасность этой угрозы, представьте, что вы пытаетесь выйти из системы интернет-банкинга. Злоумышленник может показать вам страницу с сообщением о выходе, но сохранить при этом подключение к банку.

Мошенничество с платёжными картами

Отвлечёмся от банков и обратимся к огромному количеству видов мошенничества с платёжными картами.

• У каждой карточки есть свой номер, состоящий из 13 или 16 цифр, причём номер строится по математическому алгоритму, называемому формулой Лухна (Luhn Formula). Это сделано для того, чтобы нельзя было взять и использовать любой номер.
• Можно скачать ПО, которое запросит действующий номер карты (в качестве базы) и сгенерирует похожие данные по алгоритму Лухна. Причём можно задать диапазон, например, 500 номеров.
• Логично предположить, что большинство номеров из такого короткого диапазона будут иметь близкие сроки действия карт.
• Хакер заходит на сайт и покупает то, что ему нужно.
• Он указывает вымышленное имя и адрес, "левый" идентификатор безопасности (security number, обычно указывается на тыльной стороне карты), номер карты, срок действия.
• Если банк действительно выдавал карту с таким номером, то всё зависит от тщательности проверки в процессинговом центре. Платёж вполне может пройти. Как такое может случиться? Всё очень просто, многие процессинговые центры принимают идентификаторы безопасности, имена и адреса, сохраняют их, но никогда не проверяют на правильность. То есть если карточка существует, структура представленных данных (в том числе срок действия) в норме, то платёж пройдёт, и заказ будет выполнен.
• Если владелец карточки не обратит внимания на утечку денег, то никто взлом и не заподозрит.

Сегодня Master Card и VISA вводят технологию под названием "3D Secure". В своём текущем виде она использует имена, пароли и PIN-коды. Поэтому акцент атак будет смещён именно на эту информацию. Интересно, что это позволит сместить бремя ответственности на владельца карты и банк-эмитент. Ну, а пока что, если вы столкнулись с онлайн-кражей вашей кредитной карты, опасайтесь получить гигантские счета. Подробнее об этом мы расскажем в следующих статьях серии.

Для системных администраторов и инженеров безопасности Интернет уже давно является полем боя. Приходится постоянно уповать на то, что защита выстоит. А после атаки следует максимально быстро устранить все негативные последствия. Но для этого необходимо вовремя обнаруживать атаки и вторжения. И вовремя закрывать все "дыры", чтобы даже бита информации не утекло. Вряд ли стоит надеяться, что поток атак и сканов NMAP прекратится. (NMAP - популярная программа-сканер безопасности, позволяющая хакеру испробовать множество различных атак и проверить "дыры" при минимальных усилиях.)

Для хакера Интернет - это как шахматная доска. Правила игры определяются разработчиками систем, а сам ход игры подразумевает каждым движением различные проверки защиты (в соответствии с чёткой стратегией).

Самые серьёзные уязвимости: PIN-коды и пароли

Ещё одна стратегия игры хакеров привязана к привычкам потребителей. В большинстве случаев, если у пользователя есть возможность задать пароль, то он старается использовать прежний, который уже где-то задан. Например, одинаковым вполне может оказаться PIN-код от банковской карточки, от телефона, от сигнализации! Это плохо тем, что, узнав один из этих кодов, злоумышленник получит доступ и ко всему остальному.

Здесь есть несколько особенностей. Во-первых, на скольких сайтах пользователь вводит пароли и PIN-коды? Отличаются ли пароли и PIN-коды для разных сайтов? Если пароли для каждого сайта различны, то где они хранятся, ведь держать их в голове пользователь просто не сможет?

Администраторы и рядовые работники многих сайтов могут получить доступ к учётным данным пользователей своих сайтов (PIN-кодам, паролям и т.д.). Банки, платёжные шлюзы и другие структуры, которые хранят данные карточек и учётных записей, должны понимать, что защита этой информации может стать бесполезной, если данные пользователя можно будет получить каким-то другим путём.

Страницы входа

Практически все уязвимости имён/паролей связаны со сценарием взаимодействия пользователя и сайта.

• Перед тем, как пройти на сайт, пользователь должен ввести имя и пароль.
• После проверки учётных данных происходит определённая последовательность навигации по сайту и выполнение транзакций. 

Большинство онлайновых финансовых структур используют комбинации имени, пароля и части PIN-кода в стандартном коде страницы HTML, а также в названии страниц. Против такого сценария очень просто осуществить атаку, поскольку в нём не предусмотрено никакой практической защиты от фишинга, шпионского и "троянского" ПО.

После того, как пользователь вошёл в систему, предполагается, что на протяжении всей сессии работает именно он. Но это именно тот случай, когда может сработать атака типа "человек в середине". При этом атакующему вовсе не нужно перехватывать имя и пароль: пользователь уже указал все необходимые данные, а сессия открыта.

Протокол SSL: практически бесполезен

Многие надеются, что технология SSL поможет защититься. Считают, что 128-битного шифрования будет вполне достаточно.

SSL - это протокол безопасных соединений (Secure Sockets Layer). Он был разработан для шифрования данных, передаваемых между двумя точками сети. Например, между двумя компьютерами в Интернете. Пример работы SSL можно увидеть при подключении к вашему банку (или интернет-магазину): в нижней части окна браузера, в строке статуса, появляется символ замка, сообщающий об использовании SSL. Кроме того, в строке адреса можно заметить "https:", вместо привычного "http:".

SSL действительно улучшает защиту данных между двумя точками сети. Но проблема может заключаться в том, что одна из этих точек может оказаться компьютером, контролируемым атакой "человек в середине". Ещё одна уязвимость SSL - фарминг, то есть перенаправление на другую страницу. Так, вас можно запросто перевести на поддельный сайт. При этом значок об использовании SSL тоже может появиться, но опасность от этого не исчезнет.

Возможна также атака захвата рабочего стола компьютера пользователя. В этом случае SSL ничем не поможет, поскольку протокол защиты SSL работает между вашим браузером и сайтом в Интернете. Если на компьютере пользователя работают шпионские или троянские программы, они могут перехватить данные ещё до этапа шифрования.

Но на этом "радости" не заканчиваются. SSL ничем не защитит от нечестных сотрудников, имеющих доступ к персональным данным. Да и от фарминга SSL защитит только в том случае, если пользователь знает, что нужно делать, когда отображается сообщение о неавторизованном сертификате. Многие ли читают эти сообщения и не соглашаются автоматически?

Проблема очевидна, почему же тогда она не решается?

Проблема на самом деле существует и очевидна, но решить её не так-то просто. Тому есть две причины. Во-первых, риски застрахованы. А потенциальные угрозы охватывают столь большое число субъектов, что полностью защититься от атак невозможно. Во-вторых, "пока гром не грянет, мужик не перекрестится". Большинство пользователей слишком ленивы до той поры, пока атака не коснётся их лично. Кроме всего прочего, пользователи отнюдь не горят желанием изучать способы разрешения проблемы (как и разбираться в самих проблемах).

Проще говоря, стоимость и сложность рекламы, выбора и внедрения решения защиты намного превышает величину проблемы. По крайней мере, пока.

Но есть шаги и в правильном направлении. Скажем, Федеральный совет по надзору за финансовыми учреждениями (US FFIEC) разработал руководство по необходимому минимуму защиты под названием "2 Factor Authentication" ("Двухфакторная аутентификация").

В следующих статьях серии мы продолжим разговор об онлайновых кражах и защите от них. Обратим внимание на аппаратные решения и стратегии защиты, кроме того, акцент сместится на техническую сторону проблемы. Впрочем, мы постараемся сохранить простой и доступный стиль изложения.