- •1. Проблемные сферы информационной безопасности и защиты информации.
- •2. Законодательство об информационной безопасности
- •3. Экономическая безопасность предпринимательской деятельности
- •4. Законодательство об интеллектуальной собственности и авторском праве
- •5. Ценность информационных ресурсов и их уязвимость
- •6. Защита информации от утечки по техническим каналам
- •7. Защита информации ограниченного доступа
- •8. Меры по защите вычислительной техники
- •9. Системы предотвращения утечек информации dlp
- •10. Источники проникновения вредоносных программ в компьютерную сеть
- •11. Угрозы со стороны электронной почты
- •12. Угрозы из сети интернет
- •13. Угрозы со стороны флеш носителей
- •14. Угрозы со стороны ноутбуков и кпк
- •15. Кражи информации. Виды краж и способы борьбы с кражами информации
- •16. Тенденции возникновения внутренних угроз для компании
- •19. Аудит информационной безопасности и аудит помещений
- •20. Кодирование и шифрование информации
- •21. Системы шифрования с открытым ключом rsa
- •22. Алгоритм кодирования. Примеры кодов.
- •23. Коды исправляющие ошибки
- •24. Генераторы псевдослучайных чисел
- •25. Антивирусное программное обеспечение
- •26. Антишпионское программное обеспечение
- •27. Системы учета Интернет-трафика. Контроль сетевой активности.
- •28. Брандмауэры и фаерволы
11. Угрозы со стороны электронной почты
Электронная почта
Электронная почта остается одним из основных источников проникновения в корпоративную сеть вредоносных программ. Можно выделить несколько основных способов применения электронной почты в качестве средства переноса вредоносной программы:
рассылка вредоносных программ «в чистом виде» — в этом случае вредоносное ПО является вложением в письмо и его автоматический запуск не предусмотрен. Запуск вредоносной программы осуществляет сам пользователь, для чего нередко в письме применяются элементы социальной инженерии. Вложенный malware необязательно является исполняемым файлом — часто встречаются вредоносные скрипты, например Worm.Win32.Feebs, которые рассылаются по почте в виде HTA?файлов, содержащих зашифрованный скрипт, который загружает исполняемый файл из Интернета;
вредоносная программа с измененным расширением — этот метод отличается от предыдущего тем, что вложенный в письмо исполняемый файл имеет двойное расширение, например Document.doc .pif. В данном случае пробелы применяются для маскировки реального расширения файла и их количество может варьироваться от 10-15 до сотни. Более оригинальный метод маскировки состоит в применении расширения *.com — в результате вложенный файл может ошибочно рассматриваться пользователем как ссылка на сайт, например www.playboy.com пользователь, вероятнее всего, посчитает ссылкой на сайт, а не вложенным файлом с именем www.playboy и расширением *.com;
вредоносная программа в архиве — архивация является дополнительным уровнем защиты от антивирусных сканеров, причем архив может быть умышленно поврежден (но не настолько, чтобы из него нельзя было извлечь вредоносный файл) или зашифрован с паролем. В случае защиты архива паролем последний размещается в теле письма в виде текста или картинки — подобный прием, к примеру, применялся в почтовом черве Bagle. Запуск вредоносной программы в данном случае возможен исключительно по причине любопытства пользователя, которому для этого необходимо вручную ввести пароль и затем запустить извлеченный файл;
письмо в html-формате с эксплойтом для запуска вложенной вредоносной программы — в настоящее время такие почтовые вирусы встречаются редко, но в 2001-2003 годах они были широко распространены (типичные примеры — Email-Worm.Win32.Avron, Email-Worm.Win32.BadtransII, Net-Worm.Win32.Nimda);
письмо со ссылкой на вредоносный объект.
Письма со ссылкой на вредоносный объект получили в последнее время широкое распространение, поэтому данный метод заслуживает более детального рассмотрения. Он основан на том, что в письме отсутствует вредоносный код, а следовательно, почтовый антивирус не может его детектировать и блокировать пересылку письма. Текст письма подготавливается по методам социальной инженерии и нацелен на то, чтобы убедить пользователя открыть находящуюся в теле письма ссылку. Типичные примеры — маскировка под поздравительную открытку (рис. 1).
Рис. 1. «Поздравительная открытка»
На рисунке показана весьма грубая подделка: хорошо видно, что письмо пришло с какого-то непонятного адреса, да и ссылка с IP-адресом вместо имени сайта не внушает доверия. Тем не менее, по статистике автора, на таких письмах «попадаются» тысячи пользователей. Более качественный вариант поддельного сообщения о поздравительной открытке показан на рис. 2.
Рис. 2. Более качественная поддельная открытка
В данном случае распознать фальшивку гораздо сложнее: визуально письмо действительно пришло от службы postcard.ru и ссылка на страницу-открытку ведет на этот сайт. В данном случае обман основан на том, что письмо имеет формат html и ссылка выполнена стандартным тэгом <a>. Как известно, оформление ссылки при помощи этого тэга имеет вид:
<a href=”URL ресурса”>текстовое описание</a>
Текстовое описание может быть произвольным, так как оно никак не связано с открываемым URL. Поэтому в данном письме текстовое описание ссылки — www.postcard.ru/card.php?4295358104, а реальная ссылка указывает на совершенно иной ресурс. Данный прием элементарно реализуется и легко вводит пользователя в заблуждение.
Размещенная в подобных письмах ссылка может быть трех видов:
ссылка ведет непосредственно на исполняемый файл вредоносной программы — это простейший случай. При открытии данной ссылки пользователь получит запрос о том, что делать с файлом по данной ссылке: сохранить или запустить. Выбор «запустить» приводит к запуску вредоносного кода и поражению ПК. Практика показывает, что пользователи обычно не задумываются об опасности. Наиболее свежим примером является вредоносная программа Virus.VBS.Agent.c, которая уничтожает файлы на диске (собственно, из-за этого она и причислена к категории Virus) и распространяет себя путем рассылки по электронной почте «поздравительных открыток» со ссылкой на свой исполняемый файл, размещенный непосредственно на сайте разработчика вируса. Большое количество пострадавших от данного вируса пользователей — наглядный пример эффективности этого метода;
ссылка на сайт, замаскированный под сайт легитимной программы. Типичный пример — программы для «взлома» сотовых провайдеров и почтовых ящиков, у которых зачастую имеется домашняя страничка, правдоподобная документация и инсталляционный пакет;
ссылка ведет на html-страницу с эксплойтом. Это распространенный вариант (во время написания статьи автор зафиксировал настоящую эпидемию подобных писем), и он опаснее прямой ссылки на исполняемый файл, так как подобную ссылку очень сложно обнаружить по протоколам прокси-сервера и заблокировать. В случае успешного выполнения эксплойт выполняет загрузку вредоносного кода, причем в результате на пораженный компьютер может быть установлено более десяти вредоносных программ. Обычный набор: почтовые черви, ворующая пароли троянская программе, набор троянских программ класса Trojan-Spy и Trojan-Proxy.
Меры защиты от распространяемых по электронной почте вредоносных программ достаточно очевидны. Как минимум, требуется установить антивирус на почтовом сервере (или при выборе хостера обратить внимание на предлагаемую им антивирусную защиту почты). Кроме того, стоит провести еще ряд мероприятий:
объяснить пользователям, чем опасно открытие вложенных в письма программ и находящихся в них ссылок. Очень полезно научить пользователей определять реальный URL ссылок;
при наличии технической возможности блокировать отправку и прием писем с вложенными исполняемыми файлами и зашифрованными архивами. В «Смоленскэнерго», к примеру, подобная блокировка действует уже длительное время и показала свою высокую эффективность (при этом блокируемые письма помещаются в карантин и могут быть извлечены администратором);
установить фильтры для блокировки писем по содержанию и поддерживать их в актуальном состоянии. Такие фильтры эффективны против писем, содержащих ссылки на вредоносные программы, — обычно их несложно отфильтровать по ключевым словам типа Animated card или postcard. Побочный эффект — блокировка реальных поздравительных открыток и аналогичных писем, компромиссное решение — установка такого фильтра в антиспам-системы и маркировка писем в качестве спама.