Человек — самое слабое звено в ИБ
PC Week/RE №3 (705) 2 — 8 февраля 2010
Автор: Валерий Васильев, Дмитрий Сергеев
24.12.2009
О том, что самым слабо защищенным звеном в любом процессе или системе является человек, известно с докомпьютерных времен. Поэтому среди прочих кибер-криминальных ситуаций преобладают те, в которых как компонент информационной системы атаке подвергается именно он — человек. Атакуя его, кибер-преступники активно используют приемы социальной инженерии: согласно данным корпорации Symantec почти 70% успешных атак связаны с нею.
“Плохие парни” давно поняли, что вместо того чтобы искать уязвимости в коде и “железе”, гораздо эффективнее использовать человеческие слабости, будь перед ними рядовой пользователь или искушенный системный администратор. Знание психологии и личная изобретательность при таких атаках зачастую играют более важную роль, нежели глубокие технические познания. Некоторые эксперты вообще определяют социальную инженерию как “метод атак без использования технических средств”, хотя на самом деле так случается редко, и к средствам коммуникации — телефону, электронной почте и т. п. — хакеры прибегают повсеместно.
Риски и потери
Конечной целью атак, в которых используются приемы социальной инженерии, сегодня является материальная выгода преступников. Стремление к сомнительной славе крутого взломщика уже несколько лет как уступило место в криминальной кибер-среде жажде наживы. Коммерциализация кибер-преступности приносит “черным” хакерам богатые плоды. Так, согласно данным корпорации Symantec, ущерб организаций и частных лиц от успешных компьютерных атак составил в 2008 г. около 600 млрд. долл. Чаще всего крадут пароли доступа к информационным системам, коммерческую и техническую информацию (например, о том, как строится защита компании, — политики и процедуры организации ИБ, версии используемых программных продуктов, данные об ИТ-инфраструктуре и т. п.).
Сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.
Среди главных связанных с кибер-преступностью рисков для компаний можно назвать следующие: затраты на восстановление потерянной информации и выведенного из строя оборудования; оплату претензий со стороны клиентов, пострадавших от утечек информации; иски со стороны регулирующих органов; снижение инвестиционной привлекательности; удар по репутации. Схожим образом страдают от кибер-атак и частные граждане, которые тоже несут прямые и косвенные финансовые убытки и моральные потери. Проводимые два раза в год исследования Unisys Security Index обновляют так называемый индекс безопасности, в основе которого лежат представления рядовых граждан о национальной, финансовой, личной и информационной безопасности на текущий временной период. Организаторы недавних очередных исследований для определения текущего Unisys Security Index установили, что число респондентов, не испытывающих страха перед интернет-угрозами, примерно равно количеству людей, вообще не выходящих в Сеть; иными словами, почти каждый пользователь Интернета считает его опасным, и прежде всего он боится утечки своих идентификационных данных.
Приемы социальной инженерии в ИБ
Теми, на кого обрушиваются психологические атаки компьютерных злоумышленников, движут обычные человеческие свойства: беспечность, жадность, страх, любопытство… Никак не претендуя на полноту описания, остановимся на самых главных и наиболее новых приемах криминальных социальных инженеров, использующих упомянутые выше качества.
По-прежнему активно применяется фишинг. Только через Интернет и электронную почту фишеры умудряются выливать на наши головы мутные потоки своей “информации”. Однако не стоит думать, что отключив компьютер от сети, вы избавите себя от фишеров — помните о телефоне и даже о простом, не опосредованном какими-либо техническим средствами, общении.
На крючки фишеров попадаются не только “чайники”. Например, системному администратору могут предложить прибегнуть к “тайным” знаниям и изменить ключи в реестре ОС Windows “для повышения её быстродействия” или воспользоваться утилитами для автоматизации этого процесса. С помощью этого метода авторы вредоносного ПО производят перенастройку системы безопасности ОС и внедряют в неё троянские программы.
Набирает популярность фарминг, когда посредством зловредного ПО пользователь перенаправляется на мошеннические сайты, где их поджидают фишинговые ловушки. Фарминг зачастую связан с кражами репутации — подменой добропорядочных информационных ресурсов зловредными. Исследователи Cisco зафиксировали в 2008 г. 90%-ный рост количества атак, исходящих из добропорядочных доменов Интернета.
Достаточно большой популярностью пользуются рассылки якобы от имени администрации социальных сетей, которые на деле никакого отношения к ним не имели. Включенные в эти письма ссылки вели на подставные сайты, распространяющие вредоносный код. Там пользователям под разными предлогами предлагалось ввести свои персональные данные — параметры доступа к банковским счетам, логины и пароли платного интернет-сервиса и т. п. Подобным фишинг-атакам подвергались клиенты JPMorgan Chase Bank, RBC Royal Bank, Google AdWords, PayPal, eBay и др.; в России это были Альфа-банк и платежная система “Яндекс.Деньги”.
Пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus.
Прогноз компании Cisco говорит о том, что в текущем году социальный инжиниринг станет более изощренным и целенаправленным. По оценкам Cisco, сегодня целенаправленный фишинг составляет не более 1% от общего числа фишинг-атак, однако его доля будет расти по мере того, как преступники станут делать спам все более персонализированным и настроенным на нормальное общение конкретного пользователя.
По данным Microsoft Security Intelligence Report v7, в первой половине 2009 г. наблюдался всплеск распространения ложного антивирусного ПО, также известного как “Rogue Security Software”. Для этого используются вредоносные программы, известные под названием “scareware” (ПО для запугивания). Его применяют также для оповещения о ложных заражениях вирусами в надежде вынудить пользователя скачать поддельный антивирус, который в лучшем случае окажется бесполезным, а в худшем сразу установит на компьютер вредоносный код или снизит общий уровень безопасности системы для последующих атак.
Чтобы вынудить людей загружать фальшивые программы, мошенники размещают на веб-сайтах объявления, играющие на страхе пользователя перед компьютерными угрозами. Как правило, тексты таких объявлений предупреждают: “Если вы видите эту надпись, значит, ваш компьютер подвергается угрозе заражения вирусом”. Далее пользователю предлагается перейти по некоторой ссылке, чтобы просканировать компьютер или установить программу для удаления “вируса”.
Закачанные и установленные фальшивые ИБ-программы обходятся доверчивым пользователям в 30—100 долл. Однако мошенническая операция не заканчивается установкой ложного антивируса. Некоторые из этих программ сразу внедряют в систему вредоносный код, который делает компьютер уязвимым для других угроз; некоторые требуют от пользователя понизить действующий уровень безопасности для своей бесконфликтной “работы по защите компьютера” и уже после этого вводят в систему вредоносное ПО или блокируют доступ к веб-сайтам производителей настоящих антивирусов.
Никакие программные или аппаратные средства, даже самые лучшие, не спасают от фишинга — выручает только комплексный подход к ИБ.
Чтобы исключить подозрение со стороны пользователей, разработчики фальшивых антивирусов стараются создавать для своих программ заслуживающий доверие интерфейс. Часто они подстраивают его под внешний вид настоящих антивирусов. Поддельные средства защиты нередко распространяются через веб-сайты, которые внешне не вызывают опасений. Многие легальные сайты, хотя и не имеют связи с мошенниками, демонстрируют информацию об их ПО в качестве рекламы. Некоторые мошеннические сайты используют реальные системы онлайновой оплаты кредитными карточками, а их жертвам направляются электронные сообщения о поступлении платежа, в которых содержится информация о серийном номере продукта и коде сервисного обслуживания.
Согласно исследованиям Symantec пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus. Сообщается, что 93% фальшивых антивирусов распространяются через специально созданные для этого веб-сайты, 52% из них продвигаются через интернет-рекламу.
Защита от атак, использующих социальную инженерию
Защита от атак, основанных на социальной инженерии, по мнению специалистов Microsoft, одна из самых сложных задач обеспечения ИБ. Они полагают, что здесь не помогут сами по себе никакие программные или аппаратные средства, даже самые лучшие, а выручит только комплексный подход.
По оценкам SANS Institute, среднее время нахождения незащищенного компьютера в Интернете до заражения сегодня измеряется минутами, поэтому ИБ-специалисты рекомендуют как обязательный, базовый компонент комплексного подхода использовать известные технологии, такие как контроль сетевого трафика на уровне провайдерских и корпоративных шлюзов; репутационная фильтрация сайтов, файлов и приложений (которую сегодня предлагают ведущие ИБ-вендоры); современный (разумеется, не фальшивый) антивирус на рабочей станции, обеспечивающий комплексную защиту от вредоносного ПО конечной точки сети.
Данные, полученные компанией Deloitte в финансовом сегменте, хорошо согласующиеся с исследованиями в других отраслях, свидетельствуя о том, что среди прочих угроз безопасности главной для себя компании считают утечки данных, причем произошедшие по вине персонала, а не из-за внешних атак. Именно поэтому рынок средств обнаружения и предотвращения утечек данных (DLP) развивается сегодня темпами, опережающими среднеотраслевые по ИТ, и в контуре защиты этими системами пользуются наиболее зрелые в области ИБ компании.
DLP-системы защищают как от злонамеренного инсайда, так и от непреднамеренного нарушения корпоративных политик ИБ. Но поскольку на долю последних, согласно данным Gartner, приходится 80—90% утечек, компаниям есть прямой резон пересмотреть организацию корпоративной ИБ, сосредоточив на этой проблеме дополнительные усилия. Для этого прежде всего следует классифицировать обращающуюся в компании информацию (что является обязательным стартовым этапом внедрения DLP-технологии), наладить ролевой доступ персонала к информационным ресурсам и поддерживать его системами строгой идентификации и аутентификации пользователей. Стоит также помнить, что сохранность конфиденциальной информации, как считают специалисты по вопросам ИБ, на 80% зависит от правильного подбора, расстановки и воспитания персонала, а это — прямые задачи кадровой службы компании.
from: http://www.pcweek.ru/themes/detail.php?ID=121717
Подписаться на:
Комментарии к сообщению (Atom)
Human is the weakest point in the information security.
ОтветитьУдалитьmajority of attacks include social engineering.
much easier to find the weakness of man than the vulnerability in the system. Preservation of confidential information on 80% depends on the proper selection and training of personnel. Principal risks of the company: the cost of restoring the lost information,forfeit ,loss of reputation. Private citizens similarly suffer from cyber-attacks and also bear the financial losses and moral losses. Almost every Internet user finds him dangerous.
Methods of social engineering in CS
carelessness, greed, fear, curiosity is the main point of pressure for the perpetrators.
very popular phishing.
Pharming, harmful software sends the user to a fraudulent website.
Forecast from Cisco said that this year social engineering becomes more sophisticated and targeted.
hardware or software, do not protect against phishing, saves only a comprehensive approach to information security.
Five of the most famous of fake antivirus software looks like: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus.Protection against attacks based on social engineering, according to experts Microsoft, one of the most complex challenges of the CS. Basic components of an integrated approach is the use of technology, such as, control network traffic , Reputation filtering sites, modern antivirus. DLP-system guards against malicious insiders, and for unintentional violations of corporate policies CS. For themselves the companies consider , the main threat of safety is leaks of the data because of staff, instead of because of external attacks.
(main idea - a man is the weak point)
Human is the weakest link in the Information Security. About 70 percent of successful attacks are connected with social engineering. The main purpose of intruders is material gain.
ОтветитьУдалитьThey allocate some methods of social engineering:
- Fishing - reception of the confidential information of users by the untruders using false software, or a false methods reception information;
- Farming - a redirection of the user to fraudulent sites with phishing traps.
With purpose of reception of user's passwords attackers use widely reputation of the large and known companies. False announcements for the purpose of attraction of users to downloading counterfeit ON (for example counterfeit antiviruses) are dispatched. They send false messages in order to attract users to downloading fake software (e.g. fake antiviruses).
The large companies such as CISCO speak that social engineering becomes more sophisticated and focused in the near future. Experts assert that protection against the attacks based on social engineering is the most sophisticated task ,therefore IS experts are needed in using the complex approach to information security:
- control of the network traffic;
- reputational filtration of sites;
- a modern antivirus.
As many companies consider the leakage information as the main threat, they are interested in DPL protection systems.
Этот комментарий был удален автором.
ОтветитьУдалитьThis text shows the greatest vulnerability of the computer systems. It is the human factor and human weakness. The attacker uses social engineering techniques to influence the human factor.
ОтветитьУдалитьThe main purpose of intruders today is the material benefit. The main damage for companies are: loss of sensitive data, loss of equipment, the financial losses and blow to the reputation. Actively used phishing. Even professional users and system administrators can become victims of phishing. Pharming is actively gaining popularity. Pharming is when a malicious software redirects the user to the site with phishing traps. The malicious mailing also are very popular.
Malicious mail may contain letters from the attacker disguised as a letter from the administration or links to malicious sites. And another popular thing today is fake antivirus. The most famous is SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus. These anti-virus software make the system more vulnerable.
It is known since when there were no computers that human is the most poorly protected link in any process or system. Attacking it, cyber-criminals actively use receptions of social engineering. It’s much easier than finding vulnerabilities in software or hardware. Safety of the confidential information on 80 % depends on correct selection, arrangement and education of the staff.
ОтветитьУдалитьThere is a several types of attacks. Fishing is still very popular and extended not only in the internet, but also by telephone or simple dialog. Farming is getting popular too, it means redirection on the malicious sites with fishing traps using special software. The other type of attack is to send mails as an administrator of the social network. These mails often contain links on the malicious sites. Distribution of the Rogue Security Software is getting more popular nowadays. For this purpose “scareware” is used. Swindlers hope that user will get scared and download some software to scan his computer. Some or this software install malicious programs to decrease security of your computer. In the false antiviruses credible interface is often used to exclude the user suspicion.
Information security specialists recommend apply the comprehensive approach, which include traffic control, reputation filtering of sites, files and applications and updated antivirus.
Bad guys know that the man is the weakest link in informational safety and use it. Preservation of the confidential information on 80% depends on correct selection, placement and education of staff. Pharming is growing in popularity, it is associated with the substitution of respectable information resources by the malicious. There is a surge in the spread of false anti-virus software. The most known counterfeit antiviruses are SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus. Protection against attacks is one of the most difficult tasks of information security, so it requires an integrated approach.
ОтветитьУдалитьIn last time cyber-criminals more often use human factor for getting secret information company or users. They use advertising to provoke action, leading to an open vulnerability in the system. For example cyber-criminals leave message on web-site which inform user about his system under attack and given link to download fake antivirus programm. Symantec company created list of five famous fake antivirus programms:SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus.Specialists of the Microsoft company think that protection from attacks based on social engineering most difficult task. Security of the system depend from computer literacy of user about 80%.
ОтветитьУдалитьThe weakest part of every system is a human. Thats why smart hackers attack humans. Modern hackers hack computers for profit, not for fun. You can lose many dollars by losing you confidential information. There are many trciks to get you information such as
ОтветитьУдалить-fishing
-farming
-sending letters from the administrators of social networks
-fake antiviruses
Cisco says "Next year will be even worse". Hackers terrorise people. They say "If you don;t use our fake antivirus you computer will be doomed!" They make pretty interface so you wanna use their fake antiviruses. Protecting stupid humans from this type of attacks is difficult. SANS says "Lifetime of not protected computer in the internet is lesser than a minute". You should train our slave and you won't lose confidential information and many dollars.