Не полагайся на то, что враг не нападет;
полагайся на то, чтобы наши позиции были неуязвимы для нападения.
Сунь Цзы «Искусство войны»
Информационная защита от вторжения в эпоху W2(Web2) математически описывается
сложными теориями и формулами, а на практике реализуется ещё более сложными
техническими средствами. Однако, чем более трудной для понимания является
система, тем более сложными и опасными в ней будут становиться малейшие ошибки.
Современная информационная безопасность требует редукционного подхода,
основанного на объяснении сложных явлений законами, свойственными более простым
явлениям. Сведение сложного к простому и высшего к низшему хорошо отражено в
философском принципе «бритвы Оккама», который, наравне с «законами Мерфи» и
«теорией прогрессивного хаоса» всё чаще применяется для описания процессов
обеспечения сетевой безопасности в эпоху W2.
Методологический принцип «бритвы Оккама» иногда выражают так: «то, что можно
объяснить посредством меньшего, не следует выражать посредством большего». Этот
принцип хорошо подходит для характеристик ущербности существующих тактик
обеспечения сетевой безопасности. Грамотно выставленные настройки фаерволла (в
том числе и аппаратного), постоянный обновляемый антивирус и ежедневно
устанавливаемые обновления не закроют главной уязвимости – дыры в голове
пользователя. За ордами сверхинформационных хакеров системные администраторы
часто пытаются скрыть собственную лень и не возможность обеспечить грамотную
защиту на уровне ядра пользователя :).
Среди сисадминов распространены две ущербные модели поведения с
пользователями: модель «глупого» пользователя и модель пользователя
«саморазвивающегося». «Глупый» знает как включить компьютер и работать с
основными приложениями. Задача обеспечения безопасности ложится полностью на
хрупкие плечи админа. «Саморазвивающийся» «понимает » какие действия позволяют
выстраивать эффективную оборону. Ему достаточно скинуть файл «Как правильно
открывать ссылки» и проблемы заочно решены.
Как понимают все хакеры, обе стратегии ошибочны :). Снимая ответственность с
человека за его действия, вы, тем самым, провоцируете его на совершение
необдуманных действий. Пытаясь скинуть свои обязанности на другого –
подбрасываете лишние ключи к дверям в вашу систему. Устоявшиеся принципы
обеспечения безопасности не защищают «сложных» и «опытных» пользователей от
фишинговых и спуфинговых атак, а так же от методов социальной инженерии.
Но если от СИ на программном уровне защититься практически невозможно, то
антифишинговая и антиспуфинговая политика безопасности выстраивается
на программном уровне, при взаимодействии как администратора, так и
пользователя.
Каждый день инфицируется более шести тысяч веб-страниц. Вместе с ними растёт
и количество инфицированных компьютеров. Высокая степень заражения
обуславливается низким уровнем превентивной защиты в современных браузерах.
Использовать в качестве единственной преграды встроенные в браузер элементы
антифишинга и сторонний антивирус – кратчайший путь к машине-зомби. К
сожалению, даже среди высококвалифицированных специалистов бытует мнение, что
правильно настроенный фаервол способен решить большинство проблем, связанных с
заражёнными веб-страницами. К сожалению, это не так. Заражённым может оказаться
не только «потенциально опасный сайт», но и вполне легальный ресурс. Посещая
знакомый сайт, пользователь может не обратить внимания на предупреждения об
опасности или понизить уровень защиты заранее. Обеспечить 100 % безопасность
веб-сёрфинга не возможно согласно фундаментальным законам вселенной. Однако
привести вероятность заражения к величине, бесконечно стремящейся к нулю, нам
вполне по силам. Для этого мы познакомимся с классом программ, инспектирующих
html код веб-сайтов в реальном времени.
LinkScanner
http://www.explabs.com/
Программа от компании Exploit Prevention Labs, известных специалистов
в области эксплойтов и 0-дневных вирусов. LinkScanner представлен как
Online-версией,
так и demo free оффлайновым приложением. Полная версия проги обойдётся в $29.95.
Основное направление противодействия: «нулевые» вирусы («не засвеченные»
антивирусными компаниями) и эксплойты. LinkScanner следит за трафиком на
уровне сокетов и, в соответствии с результатами анализа, блокирует или
пропускает данные на компьютер клиента. Разработчики утверждают, что уникальная
технология анализа и глубокое знание техник написания вредоносного кода
позволяет надёжно защищать компьютер независимо от того, сколько времени
потребуется для выпуска патча или попадания вируса в базы. Продукт также
автоматически анализирует страницы, найденные в Google, и видоизменяет страницу
результатов, добавляя пометки об опасности или надежности тех или иных сайтов.
Сведения об опасных сайтах передаются в общую базу, предупреждая других
пользователей, посещающих те же сайты. LinkScanner автоматически
анализирует результаты поиска в Google и других крупных поисковых системах и
размещает флажки рядом с безопасными сайтами. Всем обработанным сайтам
выставляет соответствующий ранг репутации. LinkScanner проводит
идентификацию сайтов по номеру ID, что исключает вероятность перехода на
подделку.
LinkScanner – это ничем не замутнённая простота, жизненно необходимая
любому не квалифицированному пользователю. При обнаружении угрозы в правом
нижнем углу браузера всплывает угрожающе-красное окошко, а доступ на страничку
блокируется. Возможность прорваться на заражённый участок сети появляется только
с выключением программы.
Websense Express
http://www.websense.com/
Посреди сегодняшнего обзора Websense смотрится как бронтозавр в
коровнике – это одна из ведущих компаний информационной безопасности, работающая
преимущественно на корпоративный рынок. Однако демократичные к нашей стране
демпинговые цены и наличие free версий популярных продуктов позволяют нам
поближе познакомиться с этой интересной программой.
Основная линейка Websense представлена пятью ведущими продуктами.
Выбрать из которых один единственный задача не из лёгких – отличия как по
функционалу (защита от всех известных и неизвестных угроз), так и по цене
(200-1600 р. за 1 лицензионную копию) не существенны.
Для пробы я остановил свой выбор на Websense Web Security Suite
(«ведущее решение для безопасности организации против всех известных веб-угроз»),
поскольку в 30-дневном триале бонусом шёл Websense Enterprise («ведущее
решение по фильтрации веб-трафика»).
Скачивать тут:
http://www.websense.com/global/en/Downloads/?VAR=ASSOCIATES-I.
Вес программы: Dynamic - Windows (29 MB), Full - Windows (160
MB). Поддерживает как Windows Server, так и Linux. Будьте готовы
отдать приложению до 200 Мб оперативной памяти.
Каким образом осуществляется защита пользователей? Работу по поиску и
классификации интернет-ресурсов общего характера берет на себя
специализированная группа экспертов Websense. На сегодняшний день в базе
Websense Master Database более 20 миллионов URL на более чем 50 языках,
разбитых на 90 тематических категорий. База пополняется ежедневно. За счет
применения технологии обратной связи WebCatcher нераспознанные сайты
анонимно (и только по желанию администратора) отправляются с клиентских
инсталляций в экспертное подразделение Websense на категоризацию.
Websense проводит фильтрацию приложений на основе корпоративных
политик безопасности, опирающихся на тематическую базу, в которую включено почти
2 миллиона известных приложений. Категории безопасности описывают множество
известных вредоносных программ, и есть возможность блокировать нераспознанные
приложения, предотвращая запуск новых неизвестных образцов вредоносного кода.
Решение предусматривает дополнительные элементы защиты, такие, как
предотвращение чтения, изменения или удаления определенных ключей регистра
Windows или блокировку сменных носителей информации. Интеграция с межсетевым
экраном Windows или сетевой инфраструктурой Cisco NAC решает задачи
контроля доступа приложений к корпоративной сети и изоляции рабочих станций, не
соответствующих политике безопасности.
В общем виде мы имеем дело с корпоративным продуктом, прекрасно оправдывающим
свои высокие характеристики. Однако пользователям вне бизнес-сектора он по
многим параметрам просто бесполезен.
McAfee SiteAdvisor
http://www.siteadvisor.com/
McAfee, в отличие от других антивирусных компаний, антифишинговую
защиту воспринимает не как формальность, «дань моде» (мол, куда вы с вашей
защитой без сигнатур денетесь), а как полноценный раздел безопасности, не
уступающий своим более известным собратьям. McAfee отказались от
популярной политики «а сегодня мы продемонстрируем дополнительную
функциональность вашего антивируса» и выпустили на рынок бесплатный плагин
McAfee SiteAdvisor, работающим с Internet Explorer и Firefox. Его
функциональность выражается в том, что в углу вашего браузера появляется
маленький «светофор», который сигнализирует вам, насколько безопасен сайт,
который вы собираетесь посетить. Как это работает? Заходите вы на Xakep.ru и
видите, что сайт помечен жёлтым значком. «This is a security-related site that
may contain hacking tools or examples of malicious code. It may have legitimate
use for research purposes, but in some circumstances, may also be misused».
Также на сайте SiteAdvisor есть интересная функция - можно просто
проанализировать примерную безопасность того или иного сайта и без этого плагина:
http://www.siteadvisor.com/analysis/.
Finjan SecureBrowsing
http://securebrowsing.finjan.com/
Ещё один плагин, live оценивающий код и репутацию сайта. Поддержка основных
поисковых систем позволяет видеть статус сайта ещё до перехода по ссылке. Статус
может быть зелёный (всё Ок!), жёлтый (возможны нераспознанные угрозы) и красный
(есть угроза). В случае прямого перехода по ссылке всплывёт окошко
соответствующего цвета.
Чуть более функциональным аналогом Finjan можно выделить
CallingID Link Advisor.
Comodo Verification Engine
http://www.snapfiles.com/publishers/comodo-inc/index.html
Опасаетесь, что ссылка в письме от вашего банка приведёт на сайт мошенников?
Наведите курсор мыши на ссылку и, если сайт настоящий, вокруг окна браузера
появится привычная нам зелёная рамка с текстовым заголовком. В настройках
программы можно установить проигрывание звукового файла при наведении мышки на
логотип. Например, для поклонников AK, отчаянный вопль убиваемой свиньи. Плагин
совместим с браузерами Internet Explorer, FireFox, Mozilla, AOL и Netscape.
Кроме того, данный плагин способен определять наличие или отсутствие у сайта
сертификата безопасности, о чем он информирует пользователя всплывающим окном.
Netcraft Toolbar
http://toolbar.netcraft.com/
Панелька Netcraft встраивается в браузер и отображает практически все
атрибуты посещаемых вами ресурсов: истинный адрес сайта, домен, IP-адрес,
возраст сайта на протяжении его сетевой жизни, название организации владельца
ресурса, имя сервера, адрес администратора доменной системы имён, и т.д. Чем это
удобно? Можно проверить «истинность» ресурса, всего лишь ознакомившись с
расположением его хостера либо по другим данным, точно известным о ресурсе. Все
обнаруженные вами угрозы будут доступны в общей базе для всех пользователей.
Механизмы Netcraft Toolbar отслеживают XSS (Cross Site Scripting) и
различные подозрительные гиперссылки, содержащие спецсимволы, которые в
большинстве своём используются для того, чтобы завуалировать истинный адрес и
обмануть пользователя.
Реализована функция принудительного отображения интерфейсных элементов навигации
(панели инструментов и адресной строки) во всех без исключения окнах
web-браузера. Это делается для того, чтобы предотвратить возможный обман со
стороны «всплывающих» окошек, пытающихся спрятать элементы навигации и своё
истинное происхождение (например, путём сокрытия адресной строки с указанием
истинного сетевого адреса).
FortiGuard Web Filtering
http://www.fortiguardcenter.com/webfiltering/webfiltering2.html
Fortinet обеспечиваем фильтрацию по «чёрным» URL, блокировку
недопустимых материалов и зловредных скриптов, включая Java Applets, Cookies и
ActiveX. Базы данных Fortinet содержит информацию о более чем 25
миллионах доменах и миллиардах web-страниц, что гарантирует защиту от зловредных
кодов во время просмотра страниц в web-сети. Система фильтрации web-содержимого
FortiGuard работает динамично с системами FortiGate, обеспечивая
автоматическое обновление по 56 категориям. Услуга FortiGate допускает
возможность конфигурирования пользователями, добавляя к существующим данным
сведения о нежелательных сайтах и фишинг web-сайтах.
FraudEliminator Pro
http://www.fraudeliminator.com/infopackets.php
Приложение отображает исчерпывающую информацию о посещаемом сайте, включая
координаты хостинг-провайдера и дату регистрации доменного имени. Действенность
предлагаемой защиты обеспечивается за счет регулярного обновления базы данных,
содержащей описания угроз и списки мошеннических сайтов, а также использования
усовершенствованных аналитических алгоритмов для выявления потенциальной угрозы.
Пользователи могут вносить собственный вклад в борьбу с мошенничеством,
отправляя отчеты об обнаруженных угрозах в центральную базу данных
FraudEliminator. Для этого достаточно нажать на кнопку «Fraud Report»
в интерфейсе web-браузера.
FraudEliminator работает под управлением всех видов Windows, для
браузеров Internet Explorer и FireFox. Стандартная версия FraudEliminator
распространяется бесплатно. Версия FraudEliminator Pro (которая
предполагает более частую загрузку обновлений) обойдется вам в 19.99 долларов.
|