Экзаменационные оценки по текущей успеваемости:
Можаев - 4
Чтобы улучшить оценку, нужно пересдать "устный ответ по теме": полностью ответить одну их устных тем (какая попадётся в билете); темы указаны в файле "Syllabus".
Качин -4
Чтобы улучшить оценку, нужно пересдать письменный пересказ текста, написанного на русском языке. Текст заранее не известен, время на выполнение - 40 мин.
Пересдать можно 11, 13, 18 мая по расписанию или на экзамене.
У остальных оценки определятся после сдачи задолженностей.
понедельник, 10 мая 2010 г.
оценки за пересказ 4.05
Два файла с пересказом не подписаны. Они проверены и подгружены
http://sites.google.com/site/cyberglukk/Home/fake-torrent-trackers
Просьба авторам идентифицировать свои работы.
http://sites.google.com/site/cyberglukk/Home/fake-torrent-trackers
Просьба авторам идентифицировать свои работы.
перевод абзаца №12, выполнен А.Федотовым 4.05
12. NetworkMiner is also useful for reassembling and extracting files from captured network traffic. Examples of protocols from which NetworkMiner can perform file reassembly are HTTP, FTP and SMB. By loading the pcap files from The Honeynet Project!s "Scan of the Month 28" (sotm28) (tinyurl.com/5quoav) into NetworkMiner you will be able to examine not only what the attacker did, but also the contents of the files he downloaded to the compromised machine. By selecting the "files" tab and right clicking a file you get a context menu which allows you to open the file or the parent folder. By looking at NetworkMiner!s files tab after loading the pcap files from sotm28, one will see that after gaining control of the machine, the attacker started out by using ftp in order to download wget to the compromised machine. The attacker was then able to use wget to download other applications such as psyBNC, which often is used as a backdoor into a compromised machine or to allow someone to remotely control the machine as a part of a botnet. The file reassembly functionality in NetworkMiner also allows you to view any webpage which has been retrieved across the monitored network.Therefore, by rightclicking an html file you will be able to open an offline version of that particular web page. Apart from the normal file transfer protocols, NetworkMiner is one of the few applications that also support reassembly of files transferred with the TFTP protocol. TFTP is a lightweight file transfer protocol that is often used by bootloaders of embedded systems in order to retrieve executable firmware images (such as a kernel and a file system) from a remote server. The TFTP protocol might be used by an attacker to replace the firmware of your printers, routers, switches, WiFi access points and even firewalls with a special purpose built firmware. This firmware might, for example, be designed to monitor your network traffic and report data such as captured user credentials to the attacker. This implies that you should not fully trust your firewalls unless you have the ability to see which traffic is entering and leaving your firewall.
СетевойСапер также очень полезен при повторной сборке и извлечении файлов из пойманного сетового траффика. Примеры протоколов, из которых СетевойСапер может производить повторный сборка файлов это ГТПП, ФПП и ССК. Загрузив в СетовойСапера пшапочные файлы из Проекта Медоваясети "Скан месяца 28" (см28) (мелкийуэрэл.ком/5офтарк), вы сможете не только узнать, что атакующий натворил, но и получить содержимое файлов, которые он загрузил на скомпроментивизировавонную машину. Перейдя на вкладку "Файло" и правощелкнув на нужый файл, вы получите контекстное меню, которое позволит вам открыть файл или родительский каталог. Разглядывая СетевойСаперную вкладку "Файло" после загрузки в СетевойСапера пшапочных файлов с см28, вы увидите, что получив контроль над машиной, атакующий использовал протокол фпп для загрузки на скомпромезиварованную машину вполучай. После этого атакующий получил возможность использовать вполучай, чтобы загружать другие приложения, такие как псиБФС, который часто используется как задняя дверь на скомпрозимероватированную машину или для разрешения кому-нибудь удаленно управлять машиной как частью попрошайкасети. Функция повторной сборки файлов СетевойСапера также позволяет вам просматривать любые паутиностраницы, переданные по следимой сети. Следовательно, правощелкнув по ГТРС файлу, вы сможете открыть автономную версию этой паутиностраницы. СетевойСапер это одно из немногих приложений, которое окромя обычного протокола передачи файлов поддерживает БФПП. БФПП это легковесный протокол передачи файлов который часто используется ботинкозагрузчиками встроенных систем для получения исполняемых образов встроенного ПО (таких как зерно и файловая система) с удаленного сервера. БФПП может быть использован атакующим для замены встроенного ПО ваших типографов, штурманов, переключателей, точек доступа Ра-Ве и даже огненнаястен с встроенным для особых целей ПО. Это встроенное ПО может быть, например, разработано для слежения за вашей сетью, например, и передачи таких данных, как, например, захваченные мандаты, например, атакующему, например, например. Это значит, что вы не должны доверять своим огненнаястенам, есле у вас нет возможности смотреть за траффиком, входящим и выходящим из вашей огненнаястены.
СетевойСапер также очень полезен при повторной сборке и извлечении файлов из пойманного сетового траффика. Примеры протоколов, из которых СетевойСапер может производить повторный сборка файлов это ГТПП, ФПП и ССК. Загрузив в СетовойСапера пшапочные файлы из Проекта Медоваясети "Скан месяца 28" (см28) (мелкийуэрэл.ком/5офтарк), вы сможете не только узнать, что атакующий натворил, но и получить содержимое файлов, которые он загрузил на скомпроментивизировавонную машину. Перейдя на вкладку "Файло" и правощелкнув на нужый файл, вы получите контекстное меню, которое позволит вам открыть файл или родительский каталог. Разглядывая СетевойСаперную вкладку "Файло" после загрузки в СетевойСапера пшапочных файлов с см28, вы увидите, что получив контроль над машиной, атакующий использовал протокол фпп для загрузки на скомпромезиварованную машину вполучай. После этого атакующий получил возможность использовать вполучай, чтобы загружать другие приложения, такие как псиБФС, который часто используется как задняя дверь на скомпрозимероватированную машину или для разрешения кому-нибудь удаленно управлять машиной как частью попрошайкасети. Функция повторной сборки файлов СетевойСапера также позволяет вам просматривать любые паутиностраницы, переданные по следимой сети. Следовательно, правощелкнув по ГТРС файлу, вы сможете открыть автономную версию этой паутиностраницы. СетевойСапер это одно из немногих приложений, которое окромя обычного протокола передачи файлов поддерживает БФПП. БФПП это легковесный протокол передачи файлов который часто используется ботинкозагрузчиками встроенных систем для получения исполняемых образов встроенного ПО (таких как зерно и файловая система) с удаленного сервера. БФПП может быть использован атакующим для замены встроенного ПО ваших типографов, штурманов, переключателей, точек доступа Ра-Ве и даже огненнаястен с встроенным для особых целей ПО. Это встроенное ПО может быть, например, разработано для слежения за вашей сетью, например, и передачи таких данных, как, например, захваченные мандаты, например, атакующему, например, например. Это значит, что вы не должны доверять своим огненнаястенам, есле у вас нет возможности смотреть за траффиком, входящим и выходящим из вашей огненнаястены.
четверг, 29 апреля 2010 г.
текст для письменного пересказа к 4 мая
Человек — самое слабое звено в ИБ
PC Week/RE №3 (705) 2 — 8 февраля 2010
Автор: Валерий Васильев, Дмитрий Сергеев
24.12.2009
О том, что самым слабо защищенным звеном в любом процессе или системе является человек, известно с докомпьютерных времен. Поэтому среди прочих кибер-криминальных ситуаций преобладают те, в которых как компонент информационной системы атаке подвергается именно он — человек. Атакуя его, кибер-преступники активно используют приемы социальной инженерии: согласно данным корпорации Symantec почти 70% успешных атак связаны с нею.
“Плохие парни” давно поняли, что вместо того чтобы искать уязвимости в коде и “железе”, гораздо эффективнее использовать человеческие слабости, будь перед ними рядовой пользователь или искушенный системный администратор. Знание психологии и личная изобретательность при таких атаках зачастую играют более важную роль, нежели глубокие технические познания. Некоторые эксперты вообще определяют социальную инженерию как “метод атак без использования технических средств”, хотя на самом деле так случается редко, и к средствам коммуникации — телефону, электронной почте и т. п. — хакеры прибегают повсеместно.
Риски и потери
Конечной целью атак, в которых используются приемы социальной инженерии, сегодня является материальная выгода преступников. Стремление к сомнительной славе крутого взломщика уже несколько лет как уступило место в криминальной кибер-среде жажде наживы. Коммерциализация кибер-преступности приносит “черным” хакерам богатые плоды. Так, согласно данным корпорации Symantec, ущерб организаций и частных лиц от успешных компьютерных атак составил в 2008 г. около 600 млрд. долл. Чаще всего крадут пароли доступа к информационным системам, коммерческую и техническую информацию (например, о том, как строится защита компании, — политики и процедуры организации ИБ, версии используемых программных продуктов, данные об ИТ-инфраструктуре и т. п.).
Сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.
Среди главных связанных с кибер-преступностью рисков для компаний можно назвать следующие: затраты на восстановление потерянной информации и выведенного из строя оборудования; оплату претензий со стороны клиентов, пострадавших от утечек информации; иски со стороны регулирующих органов; снижение инвестиционной привлекательности; удар по репутации. Схожим образом страдают от кибер-атак и частные граждане, которые тоже несут прямые и косвенные финансовые убытки и моральные потери. Проводимые два раза в год исследования Unisys Security Index обновляют так называемый индекс безопасности, в основе которого лежат представления рядовых граждан о национальной, финансовой, личной и информационной безопасности на текущий временной период. Организаторы недавних очередных исследований для определения текущего Unisys Security Index установили, что число респондентов, не испытывающих страха перед интернет-угрозами, примерно равно количеству людей, вообще не выходящих в Сеть; иными словами, почти каждый пользователь Интернета считает его опасным, и прежде всего он боится утечки своих идентификационных данных.
Приемы социальной инженерии в ИБ
Теми, на кого обрушиваются психологические атаки компьютерных злоумышленников, движут обычные человеческие свойства: беспечность, жадность, страх, любопытство… Никак не претендуя на полноту описания, остановимся на самых главных и наиболее новых приемах криминальных социальных инженеров, использующих упомянутые выше качества.
По-прежнему активно применяется фишинг. Только через Интернет и электронную почту фишеры умудряются выливать на наши головы мутные потоки своей “информации”. Однако не стоит думать, что отключив компьютер от сети, вы избавите себя от фишеров — помните о телефоне и даже о простом, не опосредованном какими-либо техническим средствами, общении.
На крючки фишеров попадаются не только “чайники”. Например, системному администратору могут предложить прибегнуть к “тайным” знаниям и изменить ключи в реестре ОС Windows “для повышения её быстродействия” или воспользоваться утилитами для автоматизации этого процесса. С помощью этого метода авторы вредоносного ПО производят перенастройку системы безопасности ОС и внедряют в неё троянские программы.
Набирает популярность фарминг, когда посредством зловредного ПО пользователь перенаправляется на мошеннические сайты, где их поджидают фишинговые ловушки. Фарминг зачастую связан с кражами репутации — подменой добропорядочных информационных ресурсов зловредными. Исследователи Cisco зафиксировали в 2008 г. 90%-ный рост количества атак, исходящих из добропорядочных доменов Интернета.
Достаточно большой популярностью пользуются рассылки якобы от имени администрации социальных сетей, которые на деле никакого отношения к ним не имели. Включенные в эти письма ссылки вели на подставные сайты, распространяющие вредоносный код. Там пользователям под разными предлогами предлагалось ввести свои персональные данные — параметры доступа к банковским счетам, логины и пароли платного интернет-сервиса и т. п. Подобным фишинг-атакам подвергались клиенты JPMorgan Chase Bank, RBC Royal Bank, Google AdWords, PayPal, eBay и др.; в России это были Альфа-банк и платежная система “Яндекс.Деньги”.
Пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus.
Прогноз компании Cisco говорит о том, что в текущем году социальный инжиниринг станет более изощренным и целенаправленным. По оценкам Cisco, сегодня целенаправленный фишинг составляет не более 1% от общего числа фишинг-атак, однако его доля будет расти по мере того, как преступники станут делать спам все более персонализированным и настроенным на нормальное общение конкретного пользователя.
По данным Microsoft Security Intelligence Report v7, в первой половине 2009 г. наблюдался всплеск распространения ложного антивирусного ПО, также известного как “Rogue Security Software”. Для этого используются вредоносные программы, известные под названием “scareware” (ПО для запугивания). Его применяют также для оповещения о ложных заражениях вирусами в надежде вынудить пользователя скачать поддельный антивирус, который в лучшем случае окажется бесполезным, а в худшем сразу установит на компьютер вредоносный код или снизит общий уровень безопасности системы для последующих атак.
Чтобы вынудить людей загружать фальшивые программы, мошенники размещают на веб-сайтах объявления, играющие на страхе пользователя перед компьютерными угрозами. Как правило, тексты таких объявлений предупреждают: “Если вы видите эту надпись, значит, ваш компьютер подвергается угрозе заражения вирусом”. Далее пользователю предлагается перейти по некоторой ссылке, чтобы просканировать компьютер или установить программу для удаления “вируса”.
Закачанные и установленные фальшивые ИБ-программы обходятся доверчивым пользователям в 30—100 долл. Однако мошенническая операция не заканчивается установкой ложного антивируса. Некоторые из этих программ сразу внедряют в систему вредоносный код, который делает компьютер уязвимым для других угроз; некоторые требуют от пользователя понизить действующий уровень безопасности для своей бесконфликтной “работы по защите компьютера” и уже после этого вводят в систему вредоносное ПО или блокируют доступ к веб-сайтам производителей настоящих антивирусов.
Никакие программные или аппаратные средства, даже самые лучшие, не спасают от фишинга — выручает только комплексный подход к ИБ.
Чтобы исключить подозрение со стороны пользователей, разработчики фальшивых антивирусов стараются создавать для своих программ заслуживающий доверие интерфейс. Часто они подстраивают его под внешний вид настоящих антивирусов. Поддельные средства защиты нередко распространяются через веб-сайты, которые внешне не вызывают опасений. Многие легальные сайты, хотя и не имеют связи с мошенниками, демонстрируют информацию об их ПО в качестве рекламы. Некоторые мошеннические сайты используют реальные системы онлайновой оплаты кредитными карточками, а их жертвам направляются электронные сообщения о поступлении платежа, в которых содержится информация о серийном номере продукта и коде сервисного обслуживания.
Согласно исследованиям Symantec пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus. Сообщается, что 93% фальшивых антивирусов распространяются через специально созданные для этого веб-сайты, 52% из них продвигаются через интернет-рекламу.
Защита от атак, использующих социальную инженерию
Защита от атак, основанных на социальной инженерии, по мнению специалистов Microsoft, одна из самых сложных задач обеспечения ИБ. Они полагают, что здесь не помогут сами по себе никакие программные или аппаратные средства, даже самые лучшие, а выручит только комплексный подход.
По оценкам SANS Institute, среднее время нахождения незащищенного компьютера в Интернете до заражения сегодня измеряется минутами, поэтому ИБ-специалисты рекомендуют как обязательный, базовый компонент комплексного подхода использовать известные технологии, такие как контроль сетевого трафика на уровне провайдерских и корпоративных шлюзов; репутационная фильтрация сайтов, файлов и приложений (которую сегодня предлагают ведущие ИБ-вендоры); современный (разумеется, не фальшивый) антивирус на рабочей станции, обеспечивающий комплексную защиту от вредоносного ПО конечной точки сети.
Данные, полученные компанией Deloitte в финансовом сегменте, хорошо согласующиеся с исследованиями в других отраслях, свидетельствуя о том, что среди прочих угроз безопасности главной для себя компании считают утечки данных, причем произошедшие по вине персонала, а не из-за внешних атак. Именно поэтому рынок средств обнаружения и предотвращения утечек данных (DLP) развивается сегодня темпами, опережающими среднеотраслевые по ИТ, и в контуре защиты этими системами пользуются наиболее зрелые в области ИБ компании.
DLP-системы защищают как от злонамеренного инсайда, так и от непреднамеренного нарушения корпоративных политик ИБ. Но поскольку на долю последних, согласно данным Gartner, приходится 80—90% утечек, компаниям есть прямой резон пересмотреть организацию корпоративной ИБ, сосредоточив на этой проблеме дополнительные усилия. Для этого прежде всего следует классифицировать обращающуюся в компании информацию (что является обязательным стартовым этапом внедрения DLP-технологии), наладить ролевой доступ персонала к информационным ресурсам и поддерживать его системами строгой идентификации и аутентификации пользователей. Стоит также помнить, что сохранность конфиденциальной информации, как считают специалисты по вопросам ИБ, на 80% зависит от правильного подбора, расстановки и воспитания персонала, а это — прямые задачи кадровой службы компании.
from: http://www.pcweek.ru/themes/detail.php?ID=121717
PC Week/RE №3 (705) 2 — 8 февраля 2010
Автор: Валерий Васильев, Дмитрий Сергеев
24.12.2009
О том, что самым слабо защищенным звеном в любом процессе или системе является человек, известно с докомпьютерных времен. Поэтому среди прочих кибер-криминальных ситуаций преобладают те, в которых как компонент информационной системы атаке подвергается именно он — человек. Атакуя его, кибер-преступники активно используют приемы социальной инженерии: согласно данным корпорации Symantec почти 70% успешных атак связаны с нею.
“Плохие парни” давно поняли, что вместо того чтобы искать уязвимости в коде и “железе”, гораздо эффективнее использовать человеческие слабости, будь перед ними рядовой пользователь или искушенный системный администратор. Знание психологии и личная изобретательность при таких атаках зачастую играют более важную роль, нежели глубокие технические познания. Некоторые эксперты вообще определяют социальную инженерию как “метод атак без использования технических средств”, хотя на самом деле так случается редко, и к средствам коммуникации — телефону, электронной почте и т. п. — хакеры прибегают повсеместно.
Риски и потери
Конечной целью атак, в которых используются приемы социальной инженерии, сегодня является материальная выгода преступников. Стремление к сомнительной славе крутого взломщика уже несколько лет как уступило место в криминальной кибер-среде жажде наживы. Коммерциализация кибер-преступности приносит “черным” хакерам богатые плоды. Так, согласно данным корпорации Symantec, ущерб организаций и частных лиц от успешных компьютерных атак составил в 2008 г. около 600 млрд. долл. Чаще всего крадут пароли доступа к информационным системам, коммерческую и техническую информацию (например, о том, как строится защита компании, — политики и процедуры организации ИБ, версии используемых программных продуктов, данные об ИТ-инфраструктуре и т. п.).
Сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.
Среди главных связанных с кибер-преступностью рисков для компаний можно назвать следующие: затраты на восстановление потерянной информации и выведенного из строя оборудования; оплату претензий со стороны клиентов, пострадавших от утечек информации; иски со стороны регулирующих органов; снижение инвестиционной привлекательности; удар по репутации. Схожим образом страдают от кибер-атак и частные граждане, которые тоже несут прямые и косвенные финансовые убытки и моральные потери. Проводимые два раза в год исследования Unisys Security Index обновляют так называемый индекс безопасности, в основе которого лежат представления рядовых граждан о национальной, финансовой, личной и информационной безопасности на текущий временной период. Организаторы недавних очередных исследований для определения текущего Unisys Security Index установили, что число респондентов, не испытывающих страха перед интернет-угрозами, примерно равно количеству людей, вообще не выходящих в Сеть; иными словами, почти каждый пользователь Интернета считает его опасным, и прежде всего он боится утечки своих идентификационных данных.
Приемы социальной инженерии в ИБ
Теми, на кого обрушиваются психологические атаки компьютерных злоумышленников, движут обычные человеческие свойства: беспечность, жадность, страх, любопытство… Никак не претендуя на полноту описания, остановимся на самых главных и наиболее новых приемах криминальных социальных инженеров, использующих упомянутые выше качества.
По-прежнему активно применяется фишинг. Только через Интернет и электронную почту фишеры умудряются выливать на наши головы мутные потоки своей “информации”. Однако не стоит думать, что отключив компьютер от сети, вы избавите себя от фишеров — помните о телефоне и даже о простом, не опосредованном какими-либо техническим средствами, общении.
На крючки фишеров попадаются не только “чайники”. Например, системному администратору могут предложить прибегнуть к “тайным” знаниям и изменить ключи в реестре ОС Windows “для повышения её быстродействия” или воспользоваться утилитами для автоматизации этого процесса. С помощью этого метода авторы вредоносного ПО производят перенастройку системы безопасности ОС и внедряют в неё троянские программы.
Набирает популярность фарминг, когда посредством зловредного ПО пользователь перенаправляется на мошеннические сайты, где их поджидают фишинговые ловушки. Фарминг зачастую связан с кражами репутации — подменой добропорядочных информационных ресурсов зловредными. Исследователи Cisco зафиксировали в 2008 г. 90%-ный рост количества атак, исходящих из добропорядочных доменов Интернета.
Достаточно большой популярностью пользуются рассылки якобы от имени администрации социальных сетей, которые на деле никакого отношения к ним не имели. Включенные в эти письма ссылки вели на подставные сайты, распространяющие вредоносный код. Там пользователям под разными предлогами предлагалось ввести свои персональные данные — параметры доступа к банковским счетам, логины и пароли платного интернет-сервиса и т. п. Подобным фишинг-атакам подвергались клиенты JPMorgan Chase Bank, RBC Royal Bank, Google AdWords, PayPal, eBay и др.; в России это были Альфа-банк и платежная система “Яндекс.Деньги”.
Пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus.
Прогноз компании Cisco говорит о том, что в текущем году социальный инжиниринг станет более изощренным и целенаправленным. По оценкам Cisco, сегодня целенаправленный фишинг составляет не более 1% от общего числа фишинг-атак, однако его доля будет расти по мере того, как преступники станут делать спам все более персонализированным и настроенным на нормальное общение конкретного пользователя.
По данным Microsoft Security Intelligence Report v7, в первой половине 2009 г. наблюдался всплеск распространения ложного антивирусного ПО, также известного как “Rogue Security Software”. Для этого используются вредоносные программы, известные под названием “scareware” (ПО для запугивания). Его применяют также для оповещения о ложных заражениях вирусами в надежде вынудить пользователя скачать поддельный антивирус, который в лучшем случае окажется бесполезным, а в худшем сразу установит на компьютер вредоносный код или снизит общий уровень безопасности системы для последующих атак.
Чтобы вынудить людей загружать фальшивые программы, мошенники размещают на веб-сайтах объявления, играющие на страхе пользователя перед компьютерными угрозами. Как правило, тексты таких объявлений предупреждают: “Если вы видите эту надпись, значит, ваш компьютер подвергается угрозе заражения вирусом”. Далее пользователю предлагается перейти по некоторой ссылке, чтобы просканировать компьютер или установить программу для удаления “вируса”.
Закачанные и установленные фальшивые ИБ-программы обходятся доверчивым пользователям в 30—100 долл. Однако мошенническая операция не заканчивается установкой ложного антивируса. Некоторые из этих программ сразу внедряют в систему вредоносный код, который делает компьютер уязвимым для других угроз; некоторые требуют от пользователя понизить действующий уровень безопасности для своей бесконфликтной “работы по защите компьютера” и уже после этого вводят в систему вредоносное ПО или блокируют доступ к веб-сайтам производителей настоящих антивирусов.
Никакие программные или аппаратные средства, даже самые лучшие, не спасают от фишинга — выручает только комплексный подход к ИБ.
Чтобы исключить подозрение со стороны пользователей, разработчики фальшивых антивирусов стараются создавать для своих программ заслуживающий доверие интерфейс. Часто они подстраивают его под внешний вид настоящих антивирусов. Поддельные средства защиты нередко распространяются через веб-сайты, которые внешне не вызывают опасений. Многие легальные сайты, хотя и не имеют связи с мошенниками, демонстрируют информацию об их ПО в качестве рекламы. Некоторые мошеннические сайты используют реальные системы онлайновой оплаты кредитными карточками, а их жертвам направляются электронные сообщения о поступлении платежа, в которых содержится информация о серийном номере продукта и коде сервисного обслуживания.
Согласно исследованиям Symantec пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus. Сообщается, что 93% фальшивых антивирусов распространяются через специально созданные для этого веб-сайты, 52% из них продвигаются через интернет-рекламу.
Защита от атак, использующих социальную инженерию
Защита от атак, основанных на социальной инженерии, по мнению специалистов Microsoft, одна из самых сложных задач обеспечения ИБ. Они полагают, что здесь не помогут сами по себе никакие программные или аппаратные средства, даже самые лучшие, а выручит только комплексный подход.
По оценкам SANS Institute, среднее время нахождения незащищенного компьютера в Интернете до заражения сегодня измеряется минутами, поэтому ИБ-специалисты рекомендуют как обязательный, базовый компонент комплексного подхода использовать известные технологии, такие как контроль сетевого трафика на уровне провайдерских и корпоративных шлюзов; репутационная фильтрация сайтов, файлов и приложений (которую сегодня предлагают ведущие ИБ-вендоры); современный (разумеется, не фальшивый) антивирус на рабочей станции, обеспечивающий комплексную защиту от вредоносного ПО конечной точки сети.
Данные, полученные компанией Deloitte в финансовом сегменте, хорошо согласующиеся с исследованиями в других отраслях, свидетельствуя о том, что среди прочих угроз безопасности главной для себя компании считают утечки данных, причем произошедшие по вине персонала, а не из-за внешних атак. Именно поэтому рынок средств обнаружения и предотвращения утечек данных (DLP) развивается сегодня темпами, опережающими среднеотраслевые по ИТ, и в контуре защиты этими системами пользуются наиболее зрелые в области ИБ компании.
DLP-системы защищают как от злонамеренного инсайда, так и от непреднамеренного нарушения корпоративных политик ИБ. Но поскольку на долю последних, согласно данным Gartner, приходится 80—90% утечек, компаниям есть прямой резон пересмотреть организацию корпоративной ИБ, сосредоточив на этой проблеме дополнительные усилия. Для этого прежде всего следует классифицировать обращающуюся в компании информацию (что является обязательным стартовым этапом внедрения DLP-технологии), наладить ролевой доступ персонала к информационным ресурсам и поддерживать его системами строгой идентификации и аутентификации пользователей. Стоит также помнить, что сохранность конфиденциальной информации, как считают специалисты по вопросам ИБ, на 80% зависит от правильного подбора, расстановки и воспитания персонала, а это — прямые задачи кадровой службы компании.
from: http://www.pcweek.ru/themes/detail.php?ID=121717
четверг, 22 апреля 2010 г.
текст для контрольного чтения и перевода
(на всякий случай, если кто-нибудь не скопировал)
Network Forensics Analysis
A network’s physical layer is deceptively quiet. Hub lights blink in response to network traffic, but do little to convey the range of information that the network carries. Analysis of the individual traffic flows and their content is essential to a complete understanding of network usage. Many tools let you view traffic in real time, but real-time monitoring at any level requires significant human and hardware resources, and doesn’t scale to networks larger than a single workgroup. It is generally more practical to archive all traffic and analyze subsets as necessary. This process is known as reconstructive traffic analysis, or network forensics.1 In practice, it is often limited to data collection and packetlevel inspection; however, a network forensics analysis tool (NFAT) can provide a richer view of the data collected, allowing you to inspect the traffic from further up the protocol stack.
The IT industry’s ever-growing concern with security is the primary motivation for network forensics. A network that has been prepared for forensic analysis is easy to monitor, and security vulnerabilities and configuration problems can be conveniently identified. It also allows the best possible analysis of security violations. Most importantly, analyzing a complete record of your network traffic with the appropriate reconstructive tools provides context for other breach-related events. For example, if your analysis detects a user account and its Pretty Good Privacy (PGP, www.pgp.com/index.php) keys being compromised, good practice requires you to review all subsequent activity by that user, or involving those keys.
Given that firewalls and intrusion-detection systems (IDSs) are well-established tools for network security, what is NFAT’s role? Will it replace these tools or complement them? A typical IDS attempts to detect activity that violates an organization’s security policy by implementing a set of rules describing preconfigured patterns of interest. These rules are both a strength and a weakness: An IDS can detect certain incidents reliably, but no rule set can detect all possible intrusions. A typical firewall allows or disallows traffic to or from specific networks, machine addresses, and port numbers, but protocols that circumvent portbased security are increasingly common. Consider Yahoo Messenger (www.venkydude.com/ articles/yahoo.htm), which will move to port 23 (well known as the Telnet3 port) if its default port (5050) is blocked. Thus, it could circumvent a firewall’s block of port 5050. An NFAT, on the other hand, would identify the connection on port 23 as Yahoo Messenger by its content. An NFAT synergizes with IDSes and firewalls in two ways: It preserves a long-term record of network traffic, and it allows quick analysis of trouble spots identified by the other two tools. Access to an NFAT lets you decide what traffic is of interest post hoc (for example, the last two weeks’ worth of e-mail sent by an employee who has disappeared and whose machine has been wiped clean) and to analyze that traffic quickly and efficiently.
As an essential complement to existing security systems, an NFAT must perform three tasks well. It must capture network traffic; it must analyze the traffic according to the user’s needs; and it must let system users discover useful and interesting things about the analyzed traffic.
Network Forensics Analysis
A network’s physical layer is deceptively quiet. Hub lights blink in response to network traffic, but do little to convey the range of information that the network carries. Analysis of the individual traffic flows and their content is essential to a complete understanding of network usage. Many tools let you view traffic in real time, but real-time monitoring at any level requires significant human and hardware resources, and doesn’t scale to networks larger than a single workgroup. It is generally more practical to archive all traffic and analyze subsets as necessary. This process is known as reconstructive traffic analysis, or network forensics.1 In practice, it is often limited to data collection and packetlevel inspection; however, a network forensics analysis tool (NFAT) can provide a richer view of the data collected, allowing you to inspect the traffic from further up the protocol stack.
The IT industry’s ever-growing concern with security is the primary motivation for network forensics. A network that has been prepared for forensic analysis is easy to monitor, and security vulnerabilities and configuration problems can be conveniently identified. It also allows the best possible analysis of security violations. Most importantly, analyzing a complete record of your network traffic with the appropriate reconstructive tools provides context for other breach-related events. For example, if your analysis detects a user account and its Pretty Good Privacy (PGP, www.pgp.com/index.php) keys being compromised, good practice requires you to review all subsequent activity by that user, or involving those keys.
Given that firewalls and intrusion-detection systems (IDSs) are well-established tools for network security, what is NFAT’s role? Will it replace these tools or complement them? A typical IDS attempts to detect activity that violates an organization’s security policy by implementing a set of rules describing preconfigured patterns of interest. These rules are both a strength and a weakness: An IDS can detect certain incidents reliably, but no rule set can detect all possible intrusions. A typical firewall allows or disallows traffic to or from specific networks, machine addresses, and port numbers, but protocols that circumvent portbased security are increasingly common. Consider Yahoo Messenger (www.venkydude.com/ articles/yahoo.htm), which will move to port 23 (well known as the Telnet3 port) if its default port (5050) is blocked. Thus, it could circumvent a firewall’s block of port 5050. An NFAT, on the other hand, would identify the connection on port 23 as Yahoo Messenger by its content. An NFAT synergizes with IDSes and firewalls in two ways: It preserves a long-term record of network traffic, and it allows quick analysis of trouble spots identified by the other two tools. Access to an NFAT lets you decide what traffic is of interest post hoc (for example, the last two weeks’ worth of e-mail sent by an employee who has disappeared and whose machine has been wiped clean) and to analyze that traffic quickly and efficiently.
As an essential complement to existing security systems, an NFAT must perform three tasks well. It must capture network traffic; it must analyze the traffic according to the user’s needs; and it must let system users discover useful and interesting things about the analyzed traffic.
вторник, 20 апреля 2010 г.
вопросы для диалога к 22.04
Forensics Applied to Computer Networks
Программно-техническая экспертиза компьютерных сетей
Задание:
Письменно составьте 8 вопросов к тексту ниже. При составлении нельзя дублировать вопросы, вынесенные в подзаголовки.
Introduction
Applying forensic methods on the Ethernet layer is done by eavesdropping bit streams with tools called monitoring tools or sniffers. The most common tools on this layer is Wireshark (formerly known as Ethereal).
Wireshark is a free and open-source packet analyzer. It is used for network troubleshooting, analysis, software and communications protocol development, and education.
What is Wireshark?
Wireshark® is the world's most popular network protocol analyzer. It has a rich and powerful feature set and runs on most computing platforms including Windows, OS X, Linux, and UNIX. Network professionals, security experts, developers, and educators around the world use it regularly. It is freely available as open source, and is released under the GNU General Public License version 2.
It is developed and maintained by a global team of protocol experts, and it is an example of a disruptive technology (передовая/прорывная технология).
What's up with the name change? Is Wireshark a fork?
In May of 2006, Gerald Combs (the original author of Ethereal) went to work for CACE Technologies (best known for WinPcap). Unfortunately, he had to leave the Ethereal trademarks behind.
This left the project in an awkward position. The only reasonable way to ensure the continued success of the project was to change the name. This is how Wireshark was born.
Wireshark is almost (but not quite) a fork. Normally a "fork" of an open source project results in two names, web sites, development teams, support infrastructures, etc. This is the case with Wireshark except for one notable exception -- every member of the core development team is now working on Wireshark. There has been no active development on Ethereal since the name change. Several parts of the Ethereal web site (such as the mailing lists, source code repository, and build farm) have gone offline.
from:
1. http://en.wikipedia.org/wiki/Network_forensics
2. http://www.wireshark.org/faq.html
Программно-техническая экспертиза компьютерных сетей
Задание:
Письменно составьте 8 вопросов к тексту ниже. При составлении нельзя дублировать вопросы, вынесенные в подзаголовки.
Introduction
Applying forensic methods on the Ethernet layer is done by eavesdropping bit streams with tools called monitoring tools or sniffers. The most common tools on this layer is Wireshark (formerly known as Ethereal).
Wireshark is a free and open-source packet analyzer. It is used for network troubleshooting, analysis, software and communications protocol development, and education.
What is Wireshark?
Wireshark® is the world's most popular network protocol analyzer. It has a rich and powerful feature set and runs on most computing platforms including Windows, OS X, Linux, and UNIX. Network professionals, security experts, developers, and educators around the world use it regularly. It is freely available as open source, and is released under the GNU General Public License version 2.
It is developed and maintained by a global team of protocol experts, and it is an example of a disruptive technology (передовая/прорывная технология).
What's up with the name change? Is Wireshark a fork?
In May of 2006, Gerald Combs (the original author of Ethereal) went to work for CACE Technologies (best known for WinPcap). Unfortunately, he had to leave the Ethereal trademarks behind.
This left the project in an awkward position. The only reasonable way to ensure the continued success of the project was to change the name. This is how Wireshark was born.
Wireshark is almost (but not quite) a fork. Normally a "fork" of an open source project results in two names, web sites, development teams, support infrastructures, etc. This is the case with Wireshark except for one notable exception -- every member of the core development team is now working on Wireshark. There has been no active development on Ethereal since the name change. Several parts of the Ethereal web site (such as the mailing lists, source code repository, and build farm) have gone offline.
from:
1. http://en.wikipedia.org/wiki/Network_forensics
2. http://www.wireshark.org/faq.html
суббота, 17 апреля 2010 г.
Подписаться на:
Сообщения (Atom)