Интервью

Каролик Андрей

Спецвыпуск Xakep, номер #045, стр. 045-018-2

Каковы тенденции развития современных атак?

О: Основное отличие современных атак заключается в том, что они востребованы рынком, как ни странно это звучит. Есть постоянный спрос, который можно выразить в деньгах, на взломанные компьютеры. Поэтому в первую очередь имеют место прокси и трояны для рассылки спама и кардерства. В связи с этим атаки все больше приобретают автоматический характер и, с улучшением качества домашнего интернета, направлены на наименее защищенную часть сети – домашних пользователей. В области атак на корпоративные сети процветает промышленный шпионаж. С технической точки зрения, развиваются два направления – атаки на клиентские компьютеры и использование альтернативных методов доступа в сеть, таких, как VPN, Wi-Fi и т.п. Атакующие все активнее используют те же средства, что и лица, защищающие сеть: криптографию, стеганографию, внедрение в TCB, туннелирование трафика. Чего я уже давно жду, так это массового вируса, написанного с использованием технологий rootkit, подобного тому который описан в одном рассказе (http://www.securitylab.ru/43445.html). Интересно будет посмотреть на лица производителей антивирусных программ.

ВМ: На мой взгляд, тенденции развития всех технологий примерно одинаковы: использование старых наработок, унификация и сокращение числа ручных операций за счет автоматизации. Как происходит среднестатистический взлом? Для начала взломщик изучает (при помощи различных сканеров, чаще всего, nmap) установленный на интересующем его объекте софт (операционка, открытые порты, версии висящих на них демонов и т.п.) и ищет готовый эксплоит под него. К счастью, довольно большой процент сходит с дистанции уже на этом этапе, поскольку либо не находит нужный эксплоит, либо попросту не может скомпилировать его из исходника. Если воспользоваться старой наработкой не удалось, то обладающий соответствующей квалификацией взломщик попытается создать свой эксплоит. Для этого не нужно быть гением – методика поиска buffer overflow достаточно подробно описана (есть даже готовые утилиты), равно как и методика написания shell-кодов. Мне кажется, что следующим "этапом эволюции" станет появление средств типа "exploit builder", при помощи которых любой желающий сможет конструировать эксплоиты под свои нужды, обладая самыми минимальными познаниями в программировании и сетевых технологиях, как это произошло относительно недавно с конструкторами вирусов. Правда, такой технологический прорыв будет обоюдоострым: если методика поиска ошибок будет полностью формализована, ей с тем же успехом будут пользоваться и разработчики. Другим не менее перспективным направлением является социальная инженерия, ибо глупость человеческая и доверчивость неистребимы. Кроме того, использование человеческого фактора позволяет иногда проникнуть даже за очень правильно настроенный firewall, когда чисто технические методы оказываются бессильными.