Интервью

Каролик Андрей

Спецвыпуск Xakep, номер #045, стр. 045-018-3

ИМ: Парадокс в том, что сегодня многие специалисты до сих пор не замечают, насколько изменился мир информационных технологий. Сейчас мы переживаем подлинную революцию в области новых технологий проникновения в информационные системы. Я говорю о возможностях проникновения через почтовые системы и через обычный веб-браузер (из-за избыточной функциональности и неправильной настройки последних), а также о современной технологии реверсивных троянов – об этом недавно писали в «Компьютерре» (http://www.dsec.ru/articles/iexploiter.php). Совокупность этих факторов позволяет сегодня организовать успешную атаку на корпоративную сеть, которую еще несколько лет назад можно было бы справедливо считать абсолютно защищенной. С примером подобной, ставшей сегодня возможной атаки, которую мы выполнили в процессе тестов на проникновение, можно ознакомиться по ссылке http://www.dsec.ru/services/pt_rep2.php. Думаю, этот пример говорит сам за себя. Сейчас мы переживаем момент, когда концепция централизованной сетевой защиты периметра от удаленных атак умерла. То есть наличие межсетевого экрана стало необходимым, но не достаточным условием надежной сетевой защиты от внешних воздействий. Сегодня свершилось то, о чем мы давно предупреждали бизнес, – пришло время для защиты от интернет-атак заниматься обеспечением безопасности каждой рабочей станции и учитывать человеческий фактор при разработке эффективной политики информационной безопасности.

Меняется ли объект атак?

З: Несомненно. Два-три года назад мишенью для большинства атак служили сетевые службы, и целью атаки, как правило, было получить полный контроль над удаленной системой. Проблемы безопасности на себе испытывали преимущественно корпоративные пользователи. Сегодня атаки на сетевые сервисы составляют лишь крайне небольшой процент, причем среди них большую часть занимают атаки на отказ в обслуживании. Большая часть инцидентов связана с клиентским программным обеспечением, и страдают, в основном, небольшие организации и частные пользователи. Следует отметить также то, что в большинстве атак в той или иной степени используются приемы социальной инженерии, причем именно эти приемы постоянно совершенствуются.

С чем связана смена направленности атак?

З: Причин несколько. Во-первых, безопасности серверных систем традиционно уделяется больше внимания, поэтому они не являются слабым звеном. Во-вторых, меняется мотивация атак. Любимые Голливудом атаки – квалифицированный взломщик целенаправленно получает доступ к засекреченным документам какой-либо компании – всегда были редки. Обычно большая часть атак проводилась либо из спортивного интереса, либо по каким-то личным мотивам. Сейчас подавляющая часть атак проводится с целью получения прибыли. Взломанный компьютер может использоваться как узелок в огромной сети, состоящей из десятков тысяч "зомбированных" машин, а сеть, в свою очередь, применяется для рассылки спама, размещения нелегального контента (например, порнографии) или организации распределенных атак. Существует большой рынок подобных «зомбированных» машин, причем с очень большим спросом, так как для рассылки спама, например, новые машины нужны постоянно. Могут быть и другие цели атаки – от относительно невинных, например, изменение стартовой и поисковых страниц браузера (для накрутки посещаемости сайта, впаривания рекламы и привлечения посетителей на платные ресурсы), изменение номера модемного соединения (развод пользователя на оплату междугородних разговоров по платному номеру), до хищения информации с кредитных карточках. Клиентское программное обеспечение становится идеальной мишенью для атакующих, так как имеет широкое распространение, что позволяет взламывать огромное количество машин, которые зачастую еще и безграмотно настроены. Кстати, во многих корпорациях меры по обеспечению безопасности клиентских систем часто ограничиваются только установкой антивирусного ПО.