среда, 11 августа 2010 г.

ISSP \ Домен 05. Телекоммуникации и сетевая безопасность. Часть 12

В этой части рассмотрены следующие вопросы:
  • WAP
  • i-Mode
  • Безопасность мобильных телефонов
  • Вардрайвинг
  • Спутники
  • Беспроводные коммуникации 3G
  • Руткиты
  • Шпионское и рекламное программное обеспечение
  • Передача мгновенных сообщений
  • Резюме


WAP (Wireless Application Protocol - Протокол приложений для беспроводной связи) сам по себе не является стандартом. Фактически WAP – это некий маркетинговый и промышленный стек протоколов. В чем разница? Когда управляющая организация, такая как IEEE, решает, что необходима новая технология, она создает рабочую группу для разработки соответствующего стандарта. Этот стандарт используется в качестве "эскиза" всеми производителями, которые хотят разработать соответствующую технологию. Если общепризнанного стандарта не существует, организации могут собраться вместе и самостоятельно разработать такой эскиз для новой технологии, которому все они будут следовать.

WAP предоставляет базовую архитектуру для беспроводных устройств, позволяющую им взаимодействовать через Интернет. Он позволяет беспроводным устройствам отправлять и принимать данные (в дополнение к голосовым данным), обеспечивает возможность подключения мобильных телефонов и КПК к контент-провайдерам в Интернете, позволяет загружать биржевые котировки, информацию о погоде, получать доступ к электронной почте и т.д. Также, это открывает дверь для создания новых видов беспроводных устройств.

Многие из этих беспроводных устройств не имеют ресурсов полноценного компьютера (процессорной мощности, памяти, объема дискового пространства и т.п.). Поэтому эти устройства не могут использовать тот же стек протоколов (как в TCP/IP), который используют более мощные системы, они не могут запускать те же приложения. Стек протоколов WAP разработан для использования системами с ограниченными ресурсами, для приложений, созданных для работы в новой среде.

WAP – это набор коммуникационных протоколов, используемых для стандартизации способов взаимодействия беспроводных устройств друг с другом и с сетью Интернет. Модель WAP содержит протоколы, выполняющие функции, аналогичные протоколам стека TCP/IP. WAP реализует способ представления веб-страниц. Персональные компьютеры и серверы используют HTML или XML для представления веб-материалов и JavaScript для выполнения фоновой обработки. Для выполнения аналогичных задач, WAP использует XML-совместимый язык WML (Wireless Markup Language - Язык беспроводной разметки) и WMLScript. WAP имеет собственные сеансовый и транспортный протоколы, а также протокол безопасности транспортного уровня WTLS (Wireless Transport Layer Security - Беспроводной протокол защиты транспортного уровня), похожий на TLS и SSL. На беспроводных устройствах установлен WAP-микробраузер, который отображает веб-страницы пользователю.

Эта технология позволяет устройствам проверять электронную почту, принимать голосовые сообщения, календарь и множество других видов данных без необходимости физического подключения к сети. Пользователь может участвовать в биржевых торгах со своего КПК, читая книгу в автобусе. Ему нужно нажать всего несколько кнопок, чтобы продать свои акции в случае предстоящего падения рынка. Также пользователи могут со своего мобильного телефона управлять своими банковскими счетами, получать ежедневные новости и т.п. Беспроводные устройства могут использоваться для работы с любыми организациями, предоставляющими информацию и/или возможности выполнения некоторых операций через Интернет.

Поскольку эти устройства используют иной набор протоколов, необходим шлюз для трансляции данных между WAP- и интернет-протоколами, а также различными типами приложений, как показано на рисунке 5-58. Этот шлюз могут предоставить провайдеры услуг, одновременно с другими услугами, которые они предоставляют пользователям и компаниям для доступа в Интернет.

Рисунок 5-58. Шлюз WAP необходим для трансляции протоколов WAP в Интернет-протоколы

Данные, поступающие с беспроводного мобильного устройства, могут быть зашифрованы с помощью WTLS. Эти данные должны быть транслированы шлюзом в TLS или SSL. Поскольку беспроводные устройства используют для передачи данных Интернет, а Интернет не понимает WTLS, протокол WTLS должен быть транслирован в такой протокол, который может применяться в сети Интернет. Эта трансляция выполняется на шлюзе провайдера услуг.

При этом возникает проблема безопасности, поскольку эти данные должны быть расшифрованы на оборудовании провайдера и повторно зашифрованы с помощью SSL или TLS. Это означает, что данные какое-то время (1-2 секунды) не защищены. Это называют «окном» в WAP (gap int the WAP), оно является одной из проблем, которую специалисты по безопасности должны учитывать.

Работа WTLS похожа на SSL/TLS, он шифрует данные и обеспечивает аутентификацию между взаимодействующими устройствами. WTLS имеет три класса, которые определяют процесс аутентификации между беспроводным устройством и сервером-шлюзом:
  • Класс 1. Анонимная аутентификация. Беспроводное устройство и сервер не аутентифицируют друг друга.
  • Класс 2. Серверная аутентификация. Сервер аутентифицирует беспроводное устройство.
  • Класс 3. Двухсторонняя аутентификация. Cервер и беспроводное устройство аутентифицируют друг друга.
В большинстве случаев сервер-шлюз указывает тип аутентификации, который должен использоваться, однако при этом беспроводное устройство должно быть правильно настроено, чтобы оно реально могло работать с этим типом аутентификации.


WAP и i-Mode являются двумя основными протоколами, используемыми сотовыми телефонами и КПК для беспроводной передачи данных сети Интернет. WAP разработан консорциумом компаний для корпоративного использования. i-Mode разработан японской компанией NTT DoCoMo и в большей степени ориентирован на предоставлении развлекательных услуг, чем на корпоративном применении.

i-Mode работает с урезанной версией HTML, названной cHTML (Compact HTML), тогда как WAP использует WML – язык разметки, основанный на XML. Обе эти технологии (i-Mode и WAP) используют архитектуру, состоящую из сервера, содержащего контент, шлюза и пользовательского терминала. Сервером может быть WAP- или HTTP-сервер, а шлюз выполняет трансляцию протоколов, чтобы они могли использоваться в Интернете. Пользовательский терминал – это мобильный телефон или иное мобильное устройство, имеющее микробраузер, интерпретирующий и представляющий веб-контент пользователю.

i-Mode имеет огромную популярность в Японии, сейчас активно распространяется в Азии и некоторых частях Европы. Современная (вторая) версия WAP используется в основном в Северной Америке. Две эти новые родственные технологии продолжают распространяться, т.к. мы хотим иметь доступ в Интернет всегда и везде.


Технологии, используемые на мобильных телефонах и КПК, также имеют проблемы безопасности. Политики безопасности большинства компаний запрещают использование устройств таких видов. Все было прекрасно, пока телефоны были просто телефонами, но сегодня это маленькие компьютеры, которые могут подключаться к другим компьютерам и сетям, поэтому они являются новой точкой входа для злоумышленников. Поскольку мобильные устройства являются компьютерами со своими операционными системами, многие сотрудники хранят на них критичные данные (например, пароли, контакты, файлы компании и т.п.). Причем обычно эта информация хранится в открытом виде. Большинство сотовых телефонов имеют встроенные камеры, и компании должны понимать, что это новый способ, с помощью которого критичные данные и действия могут быть «скопированы» и переданы во внешний мир. Каждая компания должна учесть эти новые технологии и источники угроз в своей политике и программе безопасности.

Другой распространенной проблемой безопасности, связанной с мобильными телефонами, является то, что мобильные телефоны должны пройти аутентификацию на базовой станции, прежде чем им будет разрешено делать звонки, однако аутентификация самой базовой станции мобильным телефоном не выполняется. Это открывает дверь злоумышленникам для установки поддельных базовых станций. Когда сотовый телефон отправляет аутентификационные данные базовой станции злоумышленника, тот может перехватить их и использовать в дальнейшем для прохождения аутентификации и получения несанкционированного доступа к сотовой сети.

Сотовые телефоны клонируют на протяжении уже многих лет и эту деятельность нельзя искоренить за короткое время. Обычный сотовый телефон может быть украден и затем перепрограммирован злоумышленником, либо использован для получения чужих учетных данных. Это часто делают криминальные организации и те, кто не хочет, чтобы их информацию читали государственные службы. Телефоны GSM (Global System Mobile) используют чиповую SIM-карту (Subscriber Identity Module - Модуль идентификации абонента), на которой хранятся даные аутентификации, номер телефона, сохраненные сообщения и т.п. Прежде чем GSM-телефон сможет получить доступ к сотовой сети, в телефон должна быть установлена SIM-карта. Злоумышленник может клонировать SIM-карту, что позволит ему делать звонки со своего сотового телефона за счет владельца SIM-карты.

Нужно понимать, что сотовые телефоны передают данные по радиоволнам и затем эти данные попадают в проводную сеть телефоной компании или провайдера услуг. Таким образом, часть расстояния трафик передается без проводов, а оставшаяся часть расстояния может быть проводной. Поэтому, если кто-то шифрует свои данные и отправляет их на свой сотовый телефон, обычно эти данные остаются зашифрованными только на этапе передачи по беспроводной части сети. Как только данные попадают в проводную часть сети, они расшифровываются и дальше передаются в открытом виде. Таким образом, при передаче зашифрованных данных на сотовый телефон или КПК, они не обязательно остаются зашифрованными на всем протяжении своего пути.

К сожалению, атаки на сотовые телефоны никогда не прекратятся. Как только мы внедрим дополнительные защитные меры, плохие парни найдут новые пути эксплуатации уязвимостей, о которых мы до сих пор не думали. Это все та же игра в кошки-мышки, происходящая в обычных сетях по всему миру. Но в отношении атак на сотовые телефоны, основной проблемой является то, что они обычно не включены в корпоративную программу безопасности и даже не считаются угрозой. Это позволяет производить все больше атак через эти новые точки доступа, разрабатывать новые вирусы, вмешиваться во взаимодействие сотовых телефонов и КПК с корпоративной сетью. Ниже перечислены некоторые из проблем, с которыми сталкиваются компании при использовании сотовых телефонов:
  • Могут быть созданы фальшивые базовые станции
  • Могут быть похищены конфиденциальные данные
  • Используется функционал камеры
  • Доступ в сеть Интернет в обход межсетевых экранов компании
  • SMS-спам
  • Может быть загружен вредоносный код
  • Шифрование может быть слабым, при этом оно может не обеспечиваться на всей протяженности маршрута передачи данных

ПРИМЕЧАНИЕ. UMTS (Universal Mobile Telecommunications System - Универсальная мобильная телекоммуникационная система) – это новый стандарт для третьего поколения мобильных коммуникаций.

Существуют межсетевые экраны для сотовых телефонов, позволяющие обеспечить защиту от следующих видов проблем безопасности:
  • Передача сигналов VoIP (VoIP signaling) и DoS-атаки
  • Мошенничество с оплатой
  • Неправильное использование полосы пропускания VoIP
  • Заражение вирусами
  • Ограничение передачи файлов
  • Атаки на голосовую почту и АТС
  • Несанкционированные подключения сотрудников
  • Wardialing
Внедрение такого межсетевого экрана сегодня редкость, но вполне вероятно, что их количество будет расти, т.к. все больше компаний будут сталкиваться с перечисленными выше видами угроз.

Ссылки по теме:

Очень распространенной атакой на беспроводную сеть является вардрайвинг (war driving), при которой один или несколько человек ходят вогруг или ездят на машине с включенным беспроводным оборудованием и специальным программным обеспечением, которое позволяет выявить точки доступа и взломать их. Обычно это делаетсяс помощью ноутбука и перемещения на машине вокруг здания, в котором установлено оборудование WLAN, однако сегодня даже КПК может применяться для атак этого типа.

Для перехвата информации (мониторинга) точек доступа могут использоваться, например, такие программы, как Kismet и NetStumbler. Когда такая программа находит сигнал точки доступа, она заносит в журнал название сети, SSID, МАС-адрес точки доступа, наименование ее производителя, прослушиваемый канал, силу сигнала, соотношение сигнал/шум, факт использования WEP. Атакующий перемещается вокруг на своей машине с ноутбуком, на котором запущена программа NetStumbler, производящая активный поиск точек доступа. Обычно, она может обнаружить точки доступа в радиусе до 100 метров, но с более мощной антенной атакующий может находить точки доступа и гораздо дальше. NetStumbler рассылает тестовые запросы каждую секунду, ожидая ответа точки доступа. Если на точке доступа используется WEP, для взлома и перехвата ключей могут использоваться такие программы, как Airsnarf, AirSnort или WEP-Crack.
ПРИМЕЧАНИЕ. Находчивые люди придумали, как можно использовать металлическую банку от чипсов Pringles или пивную банку в качестве недорогой антенны для подобных атак. Такие «антенны» могут легко найти точку доступа за полтора километра.

Ниже приведены некоторые лучшие практики, относящиеся к внедрению WLAN:
  • Включайте WPA или WPA2, реализованные в стандарте 802.11i.
  • Изменяйте установленный по умолчанию SSID. Каждая точка доступа имеет настроенный по умолчанию SSID.
  • Блокируйте широковещательную рассылку SSID на точке доступа. Большинство точек доступа позволяет отключить это.
  • Используйте дополнительный уровень аутентификации (RADIUS, Kerberos). Прежде чем получить доступ в сеть, пользователь должен пройти аутентификацию.
  • Физически размещайте точку доступа в центре здания. Точка доступа имеет определенную зону покрытия. Лучше, чтобы сигнал точки доступа не выходил далеко за пределы здания.
  • Логически размещайте точку доступа в DMZ, устанавливайте межсетевой экран между этой DMZ и внутренней сетью. Включите на межсетевом экране функции проверки трафика перед его допуском в проводную сеть.
  • Внедрите VPN для использования беспроводными устройствами. Это добавит еще один уровень защиты данных в процессе их передачи.
  • Настройте точку доступа для допуска в сеть только известных МАС-адресов. Разрешите выполнение аутентификации только для известных устройств. Но не забывайте, что МАС-адреса передаются открытым текстом, позволяя атакующим перехватить их и использовать для несанкционированного доступа в сеть.
  • Присваивайте статические IP-адреса беспроводным устройствам, отключайте DHCP. Если атакующий получит доступ к сети, в которой включен DHCP, он легко получит правильный рабочий адрес для работы в ней.
  • Проводите тесты на проникновение в WLAN. Используйте описанные в этом разделе инструменты для выявления точек доступа и пытайтесь взломать применяющиеся в них схемы шифрования.
  • Переходите на продукты, соответствующие стандарту 802.11i.

В настоящее время спутники используются для организации беспроводной связи между различными местами. Чтобы между двумя местами могла быть установлена связь через спутник, эти места должны находиться в зоне прямой видимости и в зоне обслуживания (footprint) спутника. Отправитель информации (наземная станция) модулирует данные в радиосигнал, который передает на спутник. Транспондер на спутнике принимает сигнал, усиливает его и пересылает получателю. Получатель должен иметь антенну, похожую на круглую тарелку, такие антенны часто можно увидеть на крышах высоких зданий. На такой антенне установлен один или несколько микроволновых приемников, в зависимости от количества спутников, с которых планируется принимать сигнал.

Спутники обеспечивают широкополосную связь, обычно используемую для телевидения и доступа компьютеров в Интернет. Для телевидения настраивается однонаправленная передача. Если требуется доступ в Интернет, необходима двухсторонняя сеть. Доступная ширина полосы пропускания зависит от антенны, типа терминала и сервисов, предоставленных провайдером услуг. Приложения, чувствительные ко времени передачи данных, при использовании спутниковой связи могут страдать от задержек, вызванных временем передачи данных до спутника и обратно. Используемые для таких целей спутники размещают на низкой орбите, что обеспечивает минимизацию расстояния от наземной станции до стутника. Кроме того, это позволяет использовать приемник меньшего размера, делая спутники на низкой орбите идеальным средством для двухстороннего пейджинга, международной сотовой связи, телевещания, предоставления доступа в Интернет.

Размер зоны обслуживания зависит от типа спутника. Она может быть большой, как страна, или охватывать только несколько сотен метров в диаметре. Зона обслуживания покрывает определенную область на земле лишь несколько часов или даже меньше, поэтому провайдер услуг обычно имеет большое количество спутников, распределеных таким образом, чтобы они постоянно покрывали нужную область.

В большинстве случаев для спутникового доступа в Интернет применяется гибридная система, в которой для отправки запросов с компьютера пользователя используется обычная телефонная линия и модем, а спутниковая связь используется только для приема отправленных пользователю данных, как показано на Рисунке 5-59.

Рисунок 5-59. Широковещательная спутниковая передача данных


Третьим поколением мобильных технологий являются технологии, которые часто называют широкополосными беспроводными технологиями. Первое поколение использовало аналоговую передачу только голосовых данных через сети с коммутацией каналов. Второе поколение позволяло передавать голос и данные в цифровом виде между беспроводным устройством, таким как сотовый телефон, и контент-провайдером. Второе поколение обеспечивало скорость передачи данных около 19,2 кбит/с. TDMA (Time Division Multiple Access - Множественный доступ с разделением по времени), CDMA (Code Division Multiple Access - Множественный доступ с кодовым разделением), GSM (Global System for Mobile Communications) и PCS (Personal Communications Services) – все они являются мобильными технологиями 2G. Это поколение технологий может передавать данные через сети с коммутацией каналов, поддерживает шифрование данных, передачу факсов и коротких сообщений (SMS).

3G – это большой шаг вперед, который обеспечил высокоскоростной мобильный доступ в Интернет на базе сервисов IP. Современные сотовые телефоны могут отображать веб-страницы, выполнять функции клиента электронной почты, проигрывать музыку и видео, позволяют играть в игры. Они имеют операционную систему, приложения, ну и, конечно, телефон. Технологии 3G обеспечивают скорость передачи данных до 384 кбит/с при движении и до 2 Мбит/с в стационарном режиме.

В Таблице 5-13 приведены различные характеристики отдельных поколений мобильных технологий.

Таблица 5-13. Основные характеристики различных поколений телефонии
ПРЕДУПРЕЖДЕНИЕ. Очень важно при сдаче экзамена CISSP более детально разбираться в технологиях беспроводной передачи данных. Для получения дополнительной информации вы можете ознакомиться со статьей «Широкополосные беспроводные коммуникации».
Ссылки по теме:

Поколения мобильных технологий. Как и многие другие технологии, технологии мобильной связи прошли через несколько различных поколений.

Первое поколение (1G):
  • Аналоговые сервисы
  • Только голосовые сервисы
Второе поколение (2G):
  • В основном голос, низкоскоростная передача данных (коммутация каналов)
  • Телефоны уменьшились в размерах
  • Добавилась функциональность электронной почты, передачи SMS, определитель номера
Поколение 2,5 (2,5G):
  • Более широкая полоса пропускания, по сравнению с 2G
  • Технология «всегда включен» для электронной почты и обмена сообщениями
Третье поколение (3G):
  • Интеграция голоса и данных
  • Технология с коммутацией пакетов вместо коммутации каналов


Часто после успешного взлома компьютера пользователя, хакер пытается повысить свои привилегии для получения прав уровня администратора или «суперпользователя» (root). Работа в контексте безопасности таких привилегированных пользователей позволяет злоумышленнику выполнять максимально опасные действия. После получения такого уровня доступа, злоумышленник может загрузить на взломанный компьютер комплект инструментальных средств, называемых руткитом (rootkit). Первая вещь, которую обычно устанавливает злоумышленник – это бэкдор-программа, которая позволяет злоумышленнику войти во взломанную систему в любое время без какой-либо аутентификации (бэкдор – это просто сервис, который прослушивает определенный порт). Другие инструменты, входящие в руткит, могут быть различными. Как правило, в состав руткита входят утилиты, позволяющие скрыть деятельность атакующего. Например, каждая операционная система имеет стандартные утилиты, с помощью которых администратор (или root) может выявить присутствие руткита, снифера и бэкдора. Хакер заменяет эти стандартные утилиты их «новыми версиями», которые имеют те же названия. Они называются «троянскими программами», поскольку помимо своей основной функциональности, они выполняют какую-либо дополнительную вредоносную деятельность в фоновом режиме. Например, в Unix-системе утилита ps (состояние процесса) выводит список всех процессов, запущенных в системе, и их состояние. Утилита top показывает список процессов, их состояние, а также объем памяти, используемый каждым процессом. Большинство руткитов имеют троянские программы, которые заменяют эти утилиты, иначе root может запустить ps или top и увидеть, что работает бэкдор, и выявить факт атаки. Но когда root запускает троянскую версию этой утилиты, она перечисляет все процессы, за исключением процесса бэкдора. Большинство руткитов имеют снифферы, позволяющие перехватывать данные, которые затем может просмотреть злоумышленник. Для работы сниффера сетевая карта должна быть переведена в режим прослушивания (promiscuous mode), что позволяет ей «слышать» весь проходящий через сетевоей кабель трафик. Стандартная утилита ipconfig с помощью специального параметра позволяет пользователю root проверить, работает ли сетевая карта в режиме прослушивания. Поэтому руткит содержит троянскую версию утилиты ipconfig, которая скрывает факт работы сетевой карты в режиме прослушивания.
ПРИМЕЧАНИЕ. Ipconfig – это утилита, используемая в среде Windows для просмотра сетевых настроек. В Unix/Linux эта утилита называется ifconfig.

Также, руткиты обычно содержат «очистители логов» (log scrubber), которые удаляют следы деятельности злоумышленника из системных журналов регистрации событий. Кроме того, руткиты могут содержать троянские версии Unix-утилит find и ls, позволяющие скрыть наличие относящихся к руткиту файлов, когда пользователь делает листинг содержимого определенной директории.

Некоторые наиболее мощные руткиты вносят изменения в ядро системы, а не просто заменяют отдельные утилиты. Ядро – это мозг операционной системы, поэтому изменение его кода дает злоумышленнику гораздо больший контроль над системой. Кроме того, изменения ядра очень трудно обнаружить, это гораздо сложнее выявления замены утилит. Дело в том, что большинство систем IDS уровня узла контролируют изменения в размерах и датах создания файлов, относящихся к утилитам и программам, но не к ядру операционной системы (за некоторыми исключениями).
ПРИМЕЧАНИЕ. Иногда возникает достаточно интересная ситуация: злоумышленник, скомпрометировав систему и установив на нее руткит, укрепляет систему, защищая ее от других нападающих. Т.е. когда злоумышленник получает доступ к системе, он делает все то, что должен был сделать администратор – например, отключает ненужные службы и учетные записи пользователей, устанавливает критичные обновления системы и т.д. Злоумышленник делает это для того, чтобы никто другой не мог использовать эту систему или установленный на ней руткит.

Контрмерами против руткитов являются надлежащее укрепление системы, своевременная установка обновлений безопасности, установка антивирусных и антишпионских программ, поддержка их актуальности. Другим механизмом защиты является использование IDS уровня узла (см. Домен 02), которые могут выявить подозрительную активность и контролируют целостность системы. Однако, как было отмечено ранее, функциональные возможности HIDS ограничены и они, как правило, не позволяют выявлять изменения в ядре. Таким образом, лучшей защитой является использование монолитного ядра, а не отдельных модулей ядра. Если вы знакомы с системами Unix/Linux, вы знаете, что они позволяют установить операционную систему в виде отдельных модулей ядра или использовать одно большое ядро. Руткиты, изменяющие ядро, загружаются в виде модулей ядра. Гораздо сложнее (почти невозможно) изменять ядро или влиять на него, если оно является одним целым. Любая основанная на Unix/Linux система, обеспечивающая какую-либо функциональность защиты (прокси-сервер, межсетевой экран, IDS), должна быть установлена с монолитным ядром.


Определение терминов «шпионская программа» (spyware) и «рекламная программа» (adware) отличается в зависимости от того, у кого вы о нем спрашиваете. Обычно считается, что это программное обеспечение, установленное на компьютере пользователя без его ведома. Такое программное обеспечение, как правило, выполняет сбор определенных данных, например, таких, которые могут быть использованы продавцами для повышения продаж продуктов пользователю, либо данных, которыми могут воспользоваться злоумышленники. Термин «рекламное программное обеспечение» относится, как правило, к программам, которые различные компании используют для отслеживания покупок пользователей, их привычек использования интернет-ресурсов. Обычно они основаны на анализе куки-файлов. Они позволяют продавцу узнать, как эффективно продавать этому пользователю свою продукцию. Некоторые разновидности рекламных программ, устанавливаемые на компьютер пользователя, постоянно показывают ему всплывающие рекламные сообщения, когда он подключен к сети Интернет. Рекламное программное обеспечение может быть частью другого программного продукта, установленного пользователем, либо оно может устанавливаться скрытно.

Шпионское программное обеспечение обычно считается более опасным, чем рекламное, поскольку оно может быть предназначено для перехвата вводимых с клавиатуры символов, перехвата системной информации или установки бэкдора для удаленного несанкционированного входа в систему. С помощью клавиатурных шпионов злоумышленники могут перехватывать пароли, данные кредитных карт или другие критичные данные. Злоумышленники собирают номера счетов, паспортные данные, номера банковских карт, реквизиты доступа к платежным системам, а затем используют их для выполнения незаконной деятельности или для мошенничества. К сожалению, не все антивирусные программы могут выявлять шпионское и рекламное программное обеспечение. Антивирусные программы занимаются поиском известных им сигнатур вирусов, а также признаки деятельности по воспроизводству вирусов, но ни рекламные, ни шпионские программы в настоящее время не занимаются самовоспроизводством и распространением, как вирусы, поэтому они могут продолжать оставаться в системе и делать свою коварную работу даже после полной антивирусной проверки вашей системы и получения отчета об отсутствии вирусов.
ПРИМЕЧАНИЕ. Были разработаны отдельные продукты, позволяющие выявлять рекламное и шпионское программное обеспечение, а производители антивирусных средств постепенно начинают включать эту функциональность в свои продукты.
ПРЕДУПРЕЖДЕНИЕ. Для сдачи экзамена CISSP очень важно более детально понимать угрозы, связанные с электронной почтой. Рекомендуется прочесть статью «Угрозы электронной почты».


Средства для обмена мгновенными сообщениями (IM – Instant messaging) позволяют людям общаться друг с другом в реальном времени и в персональном чате. Эти средства уведомляют пользователей о статусе подключения других пользователей, находящихся в их списке контактов, давая возможность общаться с ними в режиме реального времени. Кроме того, эта технология позволяет передавать файлы между системами этих пользователей. Технологии обмена мгновенными сообщениями основаны на клиент/серверной модели. Пользователь устанавливает на свой компьютер IM-клиент (AOL, ICQ, Yahoo Messenger и т.д.), регистрируется в системе и получает уникальный идентификатор. Этот идентификатор он может сообщить тем людям, с которыми он хочет общаться через систему IM.

Обмен мгновенными сообщениями является эффективной и популярной технологией, однако эта технология имеет множество проблем безопасности, которые необходимо понимать. Передаваемый средствами IM трафик обычно не зашифрован, поэтому передаваемые конфиденциальные данные могут быть перехвачены. Поскольку IM обеспечивает возможность передачи файлов между системами, они могут быть использованы для распространения вирусов, червей и троянских программ. Из-за отсутствия строгой аутентификации, учетные записи могут быть подделаны злоумышленником, и пользователь может в действительности взаимодействовать со злоумышленником, а не с реальным пользователем. Также имеются многочисленные возможности для выполнения атак переполнения буфера, атак с использованием неправильных пакетов. Эти атаки успешно проводились против многих популярных программ IM. Как правило атаки на IM проводятся с целью получения несанкционированного доступа к системе жертвы.

Многие межсетевые экраны не располагают возможностями для анализа трафика такого типа с целью выявления подозрительной активности. Блокирование доступа к сервисам IM с помощью блокирования отдельных портов на межсетевом экране, как правило, оказывается не эффективным, поскольку IM-трафик может использовать другие популярные порты, которые должны быть открыты, например, порт 80 (HTTP) или 21 (FTP). Многие IM-клиенты автоматически настраиваются на работу через другой порт, если порт по умолчанию недоступен и блокируется межсетевым экраном.

Тем не менее, даже зная обо всех этих проблемав и потенциальных уязвимостях, многие компании позволяют своим сотрудникам использовать эту технологию, поскольку она обеспечивает быструю и эффективную связь. Если вам абсолютно необходимо разрешить эту технологию в вашей сети, нужно сделать некоторые вещи, чтобы снизить уровень угроз. Ниже приведены лучшие практики по защите окружения от проблем безопасности, связанных со средствами обмена мгновенными сообщениями:
  • Разработайте соответствующую политику безопасности с указанием в ней ограничений при использовании средств IM.
  • Установите на всех компьютерах комплексные средства, реализующие функциональность персонального межсетевого экрана и антивируса.
  • Настройте межсетевой экран на блокировку неразрешенного IM-трафика.
  • Используйте наиболее безопасные версии средств IM, устанавливайте обновления безопасности для них.
  • Установите корпоративные серверы IM для общения сотрудников по внутренней сети компании.
  • Либо запретите сотрудникам использовать технологии IM, разрешив им общаться только старомодными способами посредством электронной почты и телефона.


Спам через сети обмена мгновенными сообщениями (SPIM – Instant Messaging Spam) – это разновидность спама, для рассылки которого используются средства обмена мгновенными сообщениями. Хотя такой вид спама пока не так сильно распространен, как спам через электронную почту, его объем постоянно растет. При этом межсетевые экраны не могут блокировать SPIM, что делает его более интересным для спаммеров. Единственным эффективным способом для противодействия SPIM является настройка IM-клиента на прием сообщений только от известных отправителей.

Ссылки по теме:

В этом Домене мы коснулись многих технологий, относящихся к различным типам сетей, в том числе мы рассмотрели, как они работают совместно, обеспечивая среду для взаимодействия пользователей, совместного использования ресурсов и обеспечения продуктивности. Каждый аспект создания сети имеет важное значение для безопасности, т.к. уязвимости и слабые места в инфраструктуре могут появиться на любом этапе создания сети. Важно, чтобы вы понимали, каким образом различные устройства, протоколы, механизмы аутентификации, сервисы работают по отдельности и какой они имеют интерфейс для взаимодействия с другими компонентами и технологиями. Это может показаться очень сложной задачей, поскольку используются большое количество различных технологий. Однако знания и упорный труд позволят вам всегда быть на шаг вперед хакеров.

1 комментарий:

eagle комментирует...

Дополнительные ссылки по теме:
GPRS изнутри (3 части)
- http://habrahabr.ru/blogs/telecom/80951/
- http://habrahabr.ru/blogs/telecom/81385/
- http://habrahabr.ru/blogs/telecom/101213/