Информационной безопасности пост

Всем доброго времени суток. Как понятно из названия, сегодня я решил завести разговор о таком необходимом в наше время понятии, как информационная безопасность.

Вступительная оговорка: сама идея сего поста возникла из множества вопросов и топиков о том, что у кого-то угнали какой-либо аккаунт, кто-то подхватил заразу и теперь пытается от неё избавиться, а кто-то просто обеспокоен текущим состоянием безопасности своего информационного периметра. Пост не претендует на звание руководства, но его цель — подсказать людям, что к чему в таком непростом вопросе. Я не эксперт в области ИБ, но по долгу службы часто приходится с ней сталкиваться. Посему я и решил поделиться своими знаниями — для начала довольно очевидными, но почему-то про самое простое зачастую забывают. Вы не увидите тут сравнительного анализа различных антивирусов, файрволов, межсетевых экранов, IPS и IDS — их выбор вы делаете самостоятельно, моя цель — рассказать вам об особенностях безопасности в Сети, избежав сложной трактовки.

Итак, этим постом, возможно, начинается серия повествований о различных опасностях, которые таит в себе Интернет. Да и не только он. Прежде всего давайте рассмотрим ситуации, при которых компьютер чаще всего подхватывает какую-нибудь вредоносную зверушку.

Файлообменники и подозрительные сайты

Одна из самых распространённых ситуаций — пользователь гуглит необходимый ему файл, будь то драйвер какого-либо устройства, патч для игры или же просто программу. Часто нас выкидывает на официальный сайт разработчика — самый идеальный вариант:

Но зачастую попадаются ссылки на сомнительные порталы:

В данном примере ссылка вообще ведёт на облачное хранилище. Я не стал её замазывать, ибо она всё равно указана неполной.
Вот тут-то и таится возможная опасность. Любой человек может скачать оригинальный файл с официального источника, инфицировать его чем угодно и выкинуть на какую-нибудь файлопомойку. При чём вредоносный код можно обработать криптором, который зашифрует этот самый код так, что антивирус его не увидит. Разумеется, разработчики антивирусного ПО тоже не дураки и добавляют в антивирусные базы сигнатуры для расшифровки распространённых крипторов. Но если код зашифрован криптором, неизвестным антивирусу, любой скачавший и исполнивший такой файл может стать жертвой.

Как этого избежать: как уже можно догадаться — стараемся качать необходимые нам файлы с проверенных и официальных источников.

Обратите внимание: если же вы качаете что-либо с файлообменника, вы можете заметить, что некоторые из них заверяют вас в том, что скачиваемый файл был проверен антивирусом со стороны сервера. Запомните: если это и так, то это не даёт вам совершенно никаких гарантий, что этот файл девственно чист и безопасен.
Один из способов скрыть вирус/троян/червя/других паразитов — это распространять его в запароленном архиве. Антивирусы, как правило, туда не суются. Однако с эволюцией они получили возможность проверки исполняемого кода в режиме реального времени — например, при распаковке архива весь поток может выполняться в так называемой «песочнице» — специально выделенной изолированной области памяти, что исключает выполнение кода в системной памяти.

AdWare и SpyWare

Следующий тип распространения угрозы, а заодно и целый класс программ, рассчитанный опять же на массовое поражение — AdWare — создан он, как нетрудно догадаться, для распространения рекламы. В общем-то, сами по себе такие приложения не опасны, но некоторые из них так или иначе могут представлять реальную угрозу, особенно для неопытного и неосторожного пользователя.

Пример, в общем-то, безобидной рекламы в таком популярном приложении, как Skype. По понятным причинам наименование рекламируемого аппарата замазано.

Вообще изначальная цель AdWare — как очевидно, получить прибыль с помощью рекламы. Такой же принцип используется разработчиками приложений для iOS, Android и прочих мобильных платформ. Но там это всё же делается опять-таки, сугубо для монетизации, разработчик хочет вознаграждения за свои труды, пусть и таким неявным образом. Однако существует множество рекламных приложений, апплетов и баннеров, которые могут и навредить — хоть и ненапрямую, но всё же. Например, AdWare, демонстрирующее рекламу (да прям на рабочем столе, например) и явное требование отправить SMS/осуществить денежный перевод, чтобы отключить её. И если в монетизации приложения нет ничего плохого и страшного, то тут царит откровенная наглость и вымогательство. Технически, к такому классу ПО можно отнести и FakeWare — относительно недавно появившееся явление. Кто-то из читателей, быть может, натыкался на нечто подобное:

Уже подозрительно выглядит, не так ли?

Само собой, если отправить SMS — а в данном примере их просят аж целых три штуки — никакого файла мы, скорее всего, не получим — а вот состояние лицевого счёта телефона после транзакции очень расстроит. И, что нельзя исключать, рассадник червей, троянов, вирусов, SpyWare и прочих «прелестей», образовавшийся где-нибудь в укромном уголке жёсткого диска и оперативной памяти.
Конечно, чаще всего с рекламой нам приходится сталкиваться всё же на просторах необъятного Интернета. И ситуация тут не особо отличается — нам могут повстречаться как безобидные (но порой невероятно назойливые) баннеры, а иногда — и нередко — рекламный материал, призванный «напакостить». Такие вредные баннеры могут содержать ссылку на страницу, содержащую различного рода скрипты — одни просто собирают некоторую информацию, другие же могут нанести вред, используя «дыры» в браузере.
Давайте перейдём от столь явных и понятных вещей к менее очевидным. Известно ли вам, что вредоносные скрипты и AdWare могут содержать дополнения и расширения для браузера? Казалось бы, разработчики тщательно проверяют каждое дополнение и только после этого выпускают его в свои магазины. Ан нет, иногда всё же встречаются AdWare- и SpyWare-содержащие расширения. Это та причина, по которой Google, например, стала ужесточать требования к расширениям для Google Chrome в последнее время. Кстати, на днях (на момент написания блога) Яндекс провёл небольшой анализ некоторых браузерных дополнений и обнаружил там вредоносную активность (статья была опубликована на Хабре). Принцип работы таких дополнений заключается в том, что они определяют местоположение пользователя, посещаемые им сайты и некоторую другую информацию, а потом внедряет дополнительный баннер на тот или иной сайт посредством JS-скрипта. Зачастую переход по такому баннеру ведёт к установке на ПК пользователя вредоносного ПО.
Что же касается SpyWare, то это, как ясно из названия, класс программ, которые шпионят за действиями пользователя. Они могут просто собирать информацию с вашего компьютера, а могут и выполнять действия, близкие к классу троянов и вирусов. Часто встречаются в лице так называемых кейлоггеров (Key — клавиша, Log — логирование, запись или же регистрация), то есть программ, фиксирующих нажатия клавиш пользователем и отправляющих итоговый лог, как правило, на удалённый сервер, банально FTP. Как уже ясно, ни к чему полезному для пользователя это не приводит — таким образом злоумышленник может зафиксировать ввод номера, CVC(CVV2)-кода и прочих реквизитов вашей банковской карты, которые вы вводили при оформлении интернет-покупки, или логина и пароля в какую-либо форму и впоследствии этим воспользоваться в своих «злоумышленных» целях. Ну а с появлением и развитием социальных сетей всё стало значительно проще, даже не нужно обладать какими-то особенными навыками — достаточно написать программу, которая, например, проигрывает музыку из вашего профиля и попросить пользователя ввести логин и пароль. Таких программ достаточно много, и некоторые их авторы могут воспользоваться этим, чтобы после того, как вы залогинитесь под вашим аккаунтом для дальнейшей работы программы, она отправила бы полученные реквизиты на сервер или почту негодяя. Что он будет делать с вашими логинами-паролями дальше, думаю, объяснять не стоит. Потому тут как нельзя кстати подходит поговорка «доверяй, но проверяй». При малейших подозрениях на кражу ваших учётных данных немедленно меняйте пароль и прекращайте пользоваться таким приложением.

Как этого избежать: пользоваться расширениями, блокирующими рекламу в интернете (банальный и многим известный AdBlock и ему подобными) и/или расширениями, блокирующими скрипты (NoScript, YesScript и аналогичные). К тому же такие расширения избавят вас от открытия дополнительных окон браузера, содержащих рекламу. Если вы всё же подхватили баннер в системе, воспользуйтесь антивирусом или утилитами для удаления AdWare. Да, это очевидно, но об этом нельзя не сказать в таком посте. Помимо прочего, старайтесь не пользоваться непроверенными и неофициальными приложениями, работающими с социальными сетями.

Обратите внимание: даже вполне «законные» и безобидные баннеры порой могут ссылаться на недружелюбные скрипты и приложения: XSS (кросс-сайтовый скриптинг) пока никто не отменял. При наличии на компьютере пользователя вредоносных SpyWare и иных вредоносных приложений возможно внедрение в совершенно любую загружаемую интернет-страницу постороннего кода, который может привести к неблагоприятным последствиям.

Социальная инженерия

Социальная инженерия существует, наверное, с самого формирования понятия информации. Можно даже сказать, задолго до появления компьютеров как таковых. Вообще, с ней встречался, наверное, каждый, даже тот, кто с компьютером-то и не знаком. Ну а что касается интернета и информационной безопасности в сфере технологий — то как раз те, кто с ними на «вы», наиболее уязвимы перед этой атакой. Давайте разберём подробнее, что это такое и как свести на нет утечку данных в таком случае. Те, кто смотрел фильм «Хакеры» 1995-го года, возможно, помнят, как главный герой, чтобы получить доступ в удалённую систему, позвонил во взламываемую им организацию, представился по телефону её сотрудником и попросил собеседника сказать ему циферки с нижней крышки модема. Охранник, с которым беседовал наш герой, не зная ни что это за коробочка с лампочками, ни что это за циферки такие, не мог не помочь коллеге, который не успевал доделать работу и потому якобы взял её на дом — кому хочется быть предметом осуждений, мол, я его как друга попросил, а он мне не помог..?

Тот самый кадр из фильма.

Кевин Митник, известных хакер, очень часто использовал его — вернее, это был основной его способ. Так же известна история, когда 14-летний (!) телефонный фрик позвонил на АТС под видом сотрудника типографии и сказал охраннику, что они допустили несколько ошибок в секретном телефонном справочнике при печати (который содержал служебные телефонные номера, использовался только сотрудниками АТС и имел довольно конфиденциальную информацию — но о нём знали те, кому знать было не положено ;) ) и попросил этот справочник вернуть для внесения корректировок. И вот утро, народ торопится на работу, а у дверей АТС лежит книга со штампом поверх, гласящим «Секретно». Этот случай был описан в книге Стивена Леви «Хакеры, герои компьютерной революции». Ваш покорный слуга несколько лет назад имел удовольствие прочитать её полностью — между прочим, там описывается и рождение компьютерных игр. Но вернёмся в современный мир. Из примеров выше можно представить, что из себя представляет социальная инженерия и как вы можете потерять свои драгоценные данные, если такая атака будет успешной. Давайте рассмотрим ещё один, конкретизированный, пример. Допустим, ваш друг между делом, как бы невзначай, заводит разговор о паролях: "Наверное, надо поменять пароль на почте, а то он у меня какой-то слишком простой и короткий — всего 6 символов и одни цифры". И знаете, что многие на это ответят? Что-то вроде "Неудачник, меняй, пока не сломали! У меня 15 символов, буквы в начале и три цифры в конце — никто ещё не ломал". Собсно, пока не ломал. А сообщив такую информацию о своём пароле, вы нехило так повышаете риск взлома. Да, вы сказали это своему другу. Да, вы знакомы уже тысячу лет, но вы так или иначе выдали ценную информацию. Да, даже если вы просто скажете количество символов в своём пароле, вы значительно упростите жизнь злоумышленнику. Даже если он ваш друг. В организациях, например, даже ИТ-отдел не должен знать паролей сотрудников в некоторых случаях. Хотя, как мне подсказывает мой опыт, это невероятно часто нарушается. Ваши данные, может, и не настолько ценны, как, скажем, банковские, но согласитесь, очень обидно, когда они куда-то утекают. Тем более, если это происходит с вашим же участием.
Есть, правда, одно «но» в таком случае: это уже самая что ни на есть прямая атака на ваши данные. То есть, она нацелена не на тысячи случайных пользователей, а персонально на вас.
Я думаю, эти примеры хоть как-то показали, что из себя представляет социальная инженерия и насколько это мощный и гибкий инструмент в руках подготовленного злоумышленника. Держите свои данные при себе.

Как этого избежать: прошу прощения за прямоту, но следите за базаром. Только и всего. Никаких "А мою собаку зовут Тузик", если у вас этот вопрос установлен в качестве секретного на каком-нибудь почтовом сервере. Никаких "А у меня надёжный пароль, 16 символов". Если вам приходится для доступа куда-либо использовать чужой компьютер — затирайте свои логины и пароли. Даже если вас просят сказать свой пароль от, скажем, почты, люди, представившиеся администраторами этого почтового сервера — не делайте этого ни в коем случае. Даже если вам будут грозить удалением вашего аккаунта — это не больше, чем провокация. Ну и не сообщайте незнакомым дяденькам по телефону циферки со своего роутера. ;)

Обратите внимание: этот способ в последнее время часто стал всплывать в различных соцсетях. И, вроде как, в Steam — сам не пользуюсь ( О_о ), но разговоры об этом часто всплывают. Не ведитесь на провокации. Социальный фактор — очень уязвимое место в системе безопасности любого информационного периметра, и неважно, сидите ли вы дома за простым роутером или же в вашем распоряжении полноценные средства обнаружения вторжений.

Прочие возможные угрозы
Не могу записать в список вредоносных различные программы, которые устанавливаются при установке других, но зачем нам в системе лишний мусор, который часто будет давать о себе знать? По идее, это уже можно отнести к классу рекламного ПО, которое зачастую меняет настройки системы или браузера. Например, домашнюю страницу при установке многим надоевшей панели для браузера, которая ведёт такую вот агрессивную политику:

Оно нам надо? Пример установки, содержащей дополнительное ПО. Не особо-то и нужного, к слову.

В общем-то, основные методы заражения я, кажется, описал довольно подробно. Однако помимо них не стоит забывать и о других способах проникновения вредоносного кода в вашу систему — это, например, электронная почта, флешки, различного рода вложения в личные сообщения на форумах и в социальных сетях. Я не стану растягивать это ещё на пару абзацев, поскольку тут всё тоже довольно очевидно, да и схоже с первым пунктом этого поста.

Послесловие.
Как я уже говорил, этот пост не является серьёзным руководством к обеспечению собственной безопасности. Я описал лишь часть ситуаций, которые могут помочь вредоносному коду попасть на ваш компьютер, но, надеюсь, эта информация поможет хоть кому-то и окажется полезной. Пользуйтесь антивирусами или головой. Ваш покорный слуга, хоть и предпочитает второй вариант, но всё равно примерно раз в три-пять месяцев скачивает одноразовый CureIt и сканирует систему. Мне хотелось бы развить тему этого блога и рассказать вам о других угрозах, но не об их распространении, а уже о механизме их действия и о том, как избавляться от такой напасти. И не надейтесь, расписывать, как написать свой троян я не буду. ;) Так же, при условии наличия положительных отзывов о моей писанине, я расскажу о безопасности и в среде Linux, но, скорее, с точки зрения организации, нежели домашнего пользования. Но, прежде чем я приступлю к дальнейшему повествованию, прошу вас ответить на голосовалку в самом верху поста. При обнаружении ошибок в тексте пишите, пожалуйста, в ЛС. С удовольствием приму участие в обсуждении в комментах.
UPD: Продолжение темы смотрите в постах
«Информационной безопасности пост. Часть вторая: типы вредоносного ПО.»
Информационной безопасности пост. Часть третья: реестр, автозапуск и пара слов о диспетчере задач.
На очереди пост за номером 4.