770 likes | 1k Views
Chapter 9: Security Основи безпеки. IT Essentials: PC Hardware and Software v4.0. Chapter 9 Objectives. 9.1 Пояснення причин важливості питань безпеки . 9.2 Опис загроз безпеці . 9.3 Знайомство з процедурами забезпечення безпеки .
E N D
Chapter 9: SecurityОснови безпеки IT Essentials: PC Hardware and Software v4.0
Chapter 9 Objectives • 9.1 Пояснення причин важливості питань безпеки. • 9.2 Опис загроз безпеці. • 9.3 Знайомство з процедурами забезпечення безпеки. • 9.4 Знайомство зі стандартними процедурами профілактичного обслуговування, спрямованими на забезпечення безпеки. • 9.5 Усунення несправностей в системі забезпечення безпеки.
Chapter 9 Worksheets and Activity • 9.1 Worksheet: Security Attacks • 9.2.1 Worksheet: Third-Party Anti-Virus Software • 9.2.3 Activity: Adware, Spyware, and Grayware • 9.4.2 Worksheet: Operating System Updates • 9.5.6 Worksheet: Gather Information from the Customer
The Importance of Security • Приватна інформація, секрети компанії, фінансові дані, комп'ютерна техніката елементи національної безпеки поставлені під загрозу, якщо не дотримувалися належних заходів безпеки. • Основні обов'язки інженера включають безпеку даних і безпеку мереж.
Security Threats Типи загроз системі безпеки комп'ютера: • Фізична загроза • події і атаки, які призводять до крадіжки, пошкодження або руйнування обладнання, наприклад, сервери, комутатори і проводка. • Загроза даними • події або атаки, які призводять до видалення, псування, відмови в доступі або крадіжки даних. Загроза безпеки може виходити зсередини чи ззовні організації, а рівень потенційних пошкодження може істотно варіюватися : • Внутрішня загроза - співробітники мають доступ до даних, обладнання та мережі.Зловмиснізагрози мають місце в тому випадку, якщо працівники мають намір завдати шкоди.Випадковізагрози мають місце в тому випадку, якщо користувач пошкоджує дані або обладнання ненавмисно. • Зовнішні - користувачі зовні організації, які не мають санкціонованого доступу до мережі або ресурсів. Неструктуровані - зловмисники використовують наявні ресурси, такі як паролі або сценарії, для одержання доступу та запуску програм, призначених для зловмисних дій. Структуровані - зловмисники використовують код для доступу до операційних систем і програмного забезпечення.
Внутрішні загрози Сьогодні найбільш небезпечною загрозою IT-безпеки є витік корпоративних секретів, про що свідчать тенденції розвитку галузі, результати опитувань компаній, аналізу ринку і наукові дослідження з даної теми.До внутрішніх загроз належать будь-які дії з інформацією, які порушують хоча б один з постулатів інформаційної безпеки (цілісність, доступність і конфіденційність), виходять зсередини інформаційної системи компанії і завдають шкоди компанії. • будь-які порушення правил і процедур внутрішньої безпеки мережі, здатні призвести до крадіжки даних; • неавторизований пошук / перегляд / зміна / знищення конфіденційних даних; • підбір паролів до облікових записів, установка користувачами всередині мережі шкідливих програм; • цілеспрямований «злив» інформації на зовнішні накопичувачі HDD, USB Flash, Card-reader, запис на CD / DVD з метою винесення інформації за межі компанії; • крадіжка обчислювальної техніки, на якій є конфіденційні дані: ноутбуки, жорсткі диски, кишенькові комп'ютери та ін; • крадіжка корпоративної бази даних цілком або частково; • неавторизована установка зсередини мережі бездротових мережевих з'єднань з метою зовнішнього доступу до даних; • роздруківка важливих документів на принтері з метою винести тверду копію за межі компанії.
Внутрішні загрози Витік даних безпосередньо пов'язаний з операційними ризиками бізнесу. У результаті витоку, компанія може сильно постраждати: • втратити клієнтів, якщо втекла клієнтська база даних; • позбутися технологій, якщо витекли технологічні секрети; • якщо втекла фінансова інформація, то будуть незадоволені засновники та інвестори; • невідповідність вимогам держави та різних органів до захисту даних користувачів може призвести до відкликання ліцензії на право здійснення діяльності. Але ще гірше, що компанія може втратити ділову репутацію в особі своїх контрагентів, і, як наслідок призупинити або взагалі припинити діяльність.
Інсайдер Ключовим персонажем в інциденті, пов'язаних з витоком інформації, є інсайдер - конкретна людина. Існує кілька основних портретів таких людей. • Недбалий інсайдер«Халатний» інсайдер є найбільш поширеним типом внутрішнього порушника. Як правило, такі співробітники відповідають образу службовця рядового складу, часто вкрай неуважного. Його порушення щодо конфіденційної інформації носять немотивований характер, не мають конкретних цілей, наміру, користі. Ці співробітники створюють незловмисні загрози, тобто вони порушують правила зберігання конфіденційної інформації, діючи з кращих спонукань. Найбільш часті інциденти з такими порушниками - винесення інформації з офісу для роботи з нею вдома, у відрядженні і т.д., з подальшою втратою носія або доступу членів родини до цієї інформації. Незважаючи на добрі наміри, збиток від таких витоків може бути нітрохи не менше, ніж від промислових шпигунів. Зіткнувшись з неможливістю здійснити копіювання інформації, цей тип порушників буде діяти за інструкцією - звернеться по допомогу до колег або системного адміністратора, які пояснять йому, що виніс інформації за межі офісу заборонено. Тому проти таких порушників дієвими є прості технічні засоби запобігання каналів витоку - контентна фільтрація вихідного трафіку в поєднанні з менеджерами пристроїв введення-виведення.
Інсайдер • Маніпульований інсайдер. • Поширений сценарій такого інциденту виглядає наступним чином. В офісі лунає дзвінок від директора існуючої філії, який дуже впевнено і відкрито представляється, виключно правдоподібно описує проблему, пов'язану з неможливістю доставки пошти в мережу філій (тимчасові технічні труднощі) і просить переслати йому деяку інформацію на його особистий ящик де-небудь у публічній поштовій службі. У співробітника навіть не виникає підозри, що той, що дзвонив зовсім не є тим, ким він представився, настільки переконливо звучали його слова. І в лічені хвилини на вказану адресу відправляється запитана інформація, що представляє строго конфіденційні дані. Ким насправді був той, що дзвонив - залишається тільки здогадуватися. Ясно одне, що він був дуже зацікавлений в отриманні цих даних. І ясно, що не в самих благих цілях. Оскільки маніпульовані та недбалі співробітники діють зі свого розуміння «блага» компанії (виправдовуючись тим, що іноді заради цього блага потрібно порушити «дурні» інструкції, які тільки заважають ефективно працювати), два цих типи порушників іноді об'єднують в тип «незловмисних». Але шкода не залежить від намірів, зате від намірів залежить поведінка порушника в разі неможливості здійснити дію. Як лояльні співробітники, ці порушники, зіткнувшись з технічним блокуванням їх спроб порушити регламенти зберігання і руху інформації, звернуться за допомогою до колег, технічного персоналу або керівництва, які можуть вказати їм на неприпустимість запланованих дій.
Інсайдер Наступна група порушників - зловмисні. На відміну від співробітників, описаних вище, вони усвідомлюють, що своїми діями завдають шкоди компанії, в якій працюють. За мотивами ворожих дій, які дозволяють прогнозувати їх поведінку, вони поділяються на чотири типи - «ображені», «нелояльні», «підробляють» і «впроваджені». • Ображені інсайдери «Ображені» - це співробітники, які прагнуть завдати шкоди компанії з особистих мотивів. Найчастіше мотивом такої поведінки може бути образа через недостатню оцінки їх ролі в компанії - недостатній розмір матеріальної компенсації, неналежне місце в корпоративній ієрархії, відсутність елементів моральної мотивації або відмову у виділенні корпоративних статусних атрибутів (ноутбука, автомобіля, секретаря).
Інсайдер Підробляючі інсайдери • Однак якщо ще до викрадення інформації ображений або нелояльний співробітник вийде на потенційного «покупця» конкретної інформації, будь то конкурент, преса, кримінальні структури або спецслужби, він стає найбільш небезпечним порушником - мотивованим ззовні. Тепер його подальша доля - робота, добробут, а іноді життя і здоров'я прямо залежать від повноти та актуальності інформації, яку він зможе викрасти. «Підробляючі» і «впроваджені» порушники - це співробітники, мету яких визначає замовник викрадення інформації. В обох випадках інсайдери прагнуть якомога надійніше завуалювати свої дії (принаймні, до моменту успішного розкрадання), проте мотивація їх все ж таки відрізняється. «Підробляючий» тип охоплює досить широкий пласт співробітників, що вступили на шлях інсайдерства з різних причин. Сюди включаються люди, які вирішили «подхалтурити» на пару тисяч, яких їм не вистачає для покупки автомобіля. Непоодинокі випадки інсайдерів мимоволі - шантаж, здирництво ззовні буквально не залишають їм вибору і змушують виконувати накази третіх сторін. Саме тому «підробляюючі» можуть робити найрізноманітніші дії при неможливості виконання поставленого завдання. Залежно від умов вони можуть припинити спроби, імітувати виробничу необхідність, а в найбільш важких випадках піти на злом, підкуп інших співробітників, щоб отримати доступ до інформації будь-якими іншими способами.
Інсайдер Заслані інсайдери • Небезпека цього типу порушників полягає в тому, що у разі технічних обмежень на виніс інформації за межі корпоративної інформаційної мережі, «роботодавці» можуть забезпечити його відповідними пристроями або програмами для обходу захисту. З шпигунських трилерів часів холодної війни добре відомий останній тип внутрішніх порушників - «засланий». У сучасних умовах до таких методів все частіше вдаються не тільки для державного шпигунства, але також для промислового. Типовий приклад з практики. Системному адміністратору великої компанії надходить дуже приваблива пропозиція про перехід на іншу роботу. Багато грошей, чудовий соціальний пакет, гнучкий графік роботи. Відмовитися неможливо. Одночасно в HR-службу надходить блискуче резюме схожого фахівця, від якого також неможливо відмовитися. Цей фахівець пропонується як заміна системного адміністратора (на зразок того, що це входить в комплект послуг рекрутингового агентства). Поки перший здає справи, другий швидко отримує доступ до конфіденційної інформації і зливає її замовнику. Після цього сліди агентства та спеціаліста губляться - вони просто випаровуються. Компанія залишається без корпоративних секретів, а системний адміністратор без роботи. Небезпека цього типу порушників полягає в тому, що у разі технічних обмежень на виніс інформації за межі корпоративної інформаційної мережі, «роботодавці» можуть забезпечити його відповідними пристроями або програмами для обходу захисту. І «впроваджений» порушник піде до кінця, щоб отримати дані. У його арсеналі будуть самі витончені засоби і великий професійний досвід злому.
попередити і запобігти діям інсайдера Застосування наступних практичних порад дозволить організаціям зорієнтуватися в різноманітних методах попередження крадіжки даних і пом'якшити ризик витоку інформації: • Періодично проводьте аудит ризиків ІТ-безпекиДля компаній вкрай складно визначити правильний баланс між довірою до своїх співробітниками і захистом від них же. Компанія повинна захищати себе від внутрішніх взломів нарівні з зовнішніми посяганнями шляхом слідування принципам управління інформаційними ризиками: - спочатку потрібно оцінити наявну інфраструктуру, визначити критичні інформаційні активи; - встановити поточні можливі загрози та вразливості, тобто створити модель загроз для компанії; - оцінити можливі грошові збитки внаслідок витоку; - виробити стратегію управління, продумати план негайного реагування. Важливо пам'ятати, що уникнути ризику повністю не можна. Зменшення ризику означає знаходження золотої середини між безпечною роботою компанії та ефективністю бізнесу. • Навчайте співробітників основам інформаційної безпеки У компанії має бути й розвиватися культура навчання співробітників основам інформаційної безпеки. У компанії має бути й розвиватися культура навчання співробітників основам інформаційної безпеки. Співробітники повинні розуміти, що таке політики, процедури і навіщо їх треба дотримуватися при роботі, які засоби захисту використовуються в мережі. Перша лінія захисту від інсайдерів - це поінформовані співробітники.
попередити і запобігти діям інсайдера Розмежовувати посадові обов'язки і права доступу до даних • Якщо всі співробітники компанії досить добре навчені принципам безпеки, і відповідальність за критичні функції розподілена між співробітниками, ймовірність змови між людьми з метою крадіжки цінних відомостей різко знижується. Таким чином, ефективне розмежування бізнес-обов'язків і привілеїв при роботі з інформацією призводить до того, що кожен працює тільки з тими документами, з якими повинен. Не забувайте, що максимальна кількість процедур має бути автоматизовано. • Введіть суворі політики управління обліковими записами та паролямиНезважаючи на те, що всі співробітники компанії лояльні та вкрай пильні, якщо облікових записів в комп'ютерної мережі будуть упорядочені, інсайдер отримає в свої руки всі інструменти підміни своїх дій і зможе вкрасти дані і, при цьому, не засвітитися. • Підсильте аутентифікацію та авторизацію в мережах Користувачі, що працюють з важливими даними, повинні пройти аутентифікацію та авторизацію при доступі до інформаційних ресурсів. Не нехтуйте простими і старими способами захисту інформації, а також впроваджуйте все більш досконалі засоби, особливо анти-інсайдерські засоби «останнього ешелону».
Попередити і запобігти діям інсайдера • Проведіть моніторинг і збір логів дій співробітників в режимі реального часуПоряд з довірою до співробітників не нехтуйте моніторингом підозрілою і небезпечною активності, що може іноді виникати на робочих місцях користувачів. Наприклад, сильно збільшився внутрішній мережевий трафік, зросла кількість запитів до корпоративної бази даних, сильно збільшилися витрату тонера або паперу. Ці та багато інших подій повинні фіксуватися й розбиратися, тому що за ними також може ховатися атака або підготовка до атаки на дані. • Уважно проводите зовнішній моніторинг системних адміністраторів і привілейованих користувачів Зазвичай в компаніях проводять вибірковий моніторинг користувачів, використовуючи засоби віддаленого робочого столу, URL-фільтрації та систем підрахунку трафіку, але також важливо не забувати, що і відповідальний може бути в змові і здійснювати крадіжку даних. Тому ефективний захист від інсайдера повинен знаходитися вище привілейованих користувачів і системних адміністраторів. • Активно захищайтеся від шкідливого коду хорошими антивірусними продуктами, які використовують не тільки сигнатурні методи, а й попереджають проактивні технології. • Використовувати захист від віддалених атак і спроб злому. Бажано, щоб захист був багаторівневим: хоча-б на рівні контролю користувача додатків і на рівні мережевих пакетів. • Впроваджувати резервне копіювання і процедури відновлення даних. У випадку втрати даних, завжди є можливість відновити вихідні дані. • Здійснюйте тематичну фільтрацію вихідного мережевого трафіку. Електронна пошта, швидкі повідомлення ICQ, веб-пошта, постінги на форуми, блоги та інша інтернет-активність повинна перевірятися на предмет витоку даних. • Встановіть політики роботи з периферійними, змінними та мобільними пристроями, на які можна записати і понести конфіденційний документ (FDD, CD / DVD RW, Cart Reader), що приєднуються за різними шинам (USB і PCMCIA). Важливо не забути і бездротові мережі (IrDA, Bluetooth, WiFi). • Для швидкої перевірки потік документів, що відсилаються на друк, щоб запобігти крадіжці документів у твердій копії. • Фільтр всі запити до баз даних на наявність в них небезпечних запитів (які витягають секретні відомості). • Шифруйте критичну інформацію на блокових пристроях і на ноутбуках.
Viruses, Worms, and Trojan Horses • Комп'ютерні віруси свідомо створюються і розсилаються атакуючими. Вірус прикріплюється до невеликих елементів комп'ютерного коду, програмного забезпечення або документів. Вірус виконується під час запуску програмного забезпечення на комп'ютері. Якщо вірус поширюється на інші комп'ютери, то вони теж можуть стати переносниками вірусу. • Вірус -- це програма, написана зі злим умислом, яка розсилається атакуючими. Вірус переноситься на інший комп'ютер за допомогою електронної пошти, передачі файлів і обміну миттєвими повідомленнями. Вірус ховається, прикріплюючи себе до файлу на комп'ютері. При відкритті файлу вірус активується і заражає комп'ютер. Вірус може пошкодити або навіть видалити файли з комп'ютера, використовувати електронну пошту для поширення самого себе на інші комп'ютери або навіть пошкодити весь жорсткий диск. • Хробак (worm) -- це самовідтворювана програма, що несе небезпеку для мереж. Черв'як використовує мережу для дублювання свого коду на вузли мережі, часто без будь-якого втручання користувача. Він відрізняється від вірусу тим, що черв'якові не потрібно прикріплятися до програми для ураження вузла. Навіть якщо черв'як не пошкоджує дані або програми на сайтах, які він заражає, він небезпечний для мереж, тому що займає смугу пропускання. • З технічної точки зору троян (Trojanhorse) є хробаком. Троян не потрібно прикріплювати до іншого програмного забезпечення. Замість цього троян ховається в програмі, яка має виконувати одну функцію, а насправді приховано виконує зовсім іншу. Трояни часто маскуються під корисне програмне забезпечення. Програму "троян" можна відтворювати подібно вірусу і передавати на інші комп'ютери. Пошкодження комп'ютерних даних і втрата продуктивності можуть бути істотними.
Web Security Оскільки щоденно всесвітню павутину відвідує велика кількість людей, веб-безпека має велику важливість. Деякі функціональні можливості, що роблять всесвітню павутину корисною та цікавою, також можуть нести в собі загрозу комп'ютера. • ActiveX • технологія, створена Microsoft для управління інтерактивністю веб-сторінок. Якщо на сторінці є елемент ActiveX, необхідно завантажувати аплет або невелику програму для отримання доступу до всіх функцій. • Java • мова програмування, що дозволяє виконувати аплети в межах веб-браузера. Як приклади аплетів можна назвати калькулятор або лічильник. • JavaScript • мова програмування, розроблена для взаємодії з вихідним HTML-кодом для того, щоб веб-сайти стали інтерактивними. Як приклад можна назвати банер або спливаюче вікно.
Adware, Spyware, and Grayware • Атакуючі можуть використовувати будь-який з цих інструментів для установки програми на комп'ютери. Щоб перешкодити цим атакам, в більшості браузерів є настройки, які примушують користувача комп'ютера завантажувати або використовувати елементи ActiveX, Java або JavaScript.
Визначення рекламного, шпигунського і небажаного ПЗ • Рекламне ПЗ - це реалізована програма, яка відображає рекламу на комп'ютері. Рекламне ПЗ звичайно поширюється з завантаженим програмним забезпеченням. Найчастіше рекламне ПЗ відображається у спливаючих вікнах. Рекламні спливаючі вікна іноді важко піддаються управлінню, і вони відкриваються швидше, ніж користувачі можуть закрити їх. • Небажане ПЗ або шкідливі програми - це файл або програма, яка відрізняється від вірусу, який є потенційно небезпечнішим. Атаки небажаного ПЗ є атаками фішингу, які призначені для того, щоб користувач, не знаючи про це, надав атакуючим доступ до персональних даних. Коли ви заповнюєте інтерактивну форму, дані передаються атакуючому. Видалення шкідливого ПЗ можна виконати за допомогою інструментів для видалення шпигунського та рекламного ПЗ. • Шпигунське ПЗ - це різновид небажаного ПЗ, аналогічного рекламному. Воно поширюється без відома або втручання користувача. Після установки шпигунська програма контролює діяльність комп'ютера. Після цього шпигунська програма відправляє дані в компанію шпигунів. • Фішинг - це різновид атаки типу "соціальна інженерія", коли атакуючі намагаються видати себе за уповноважену сторонню організацію, наприклад, банк. До потенційної жертви звертаються по електронній пошті. Атакуючий може попросити підтвердити інформацію, наприклад, пароль або ім'я користувача, для того, щоб запобігти можливим жахливим наслідкам, які можуть відбутися.
Фишинг (phishing) • Фішинг (англ. phishing, від fishing - рибна ловля, вивудження і password - пароль) - вид інтернет-шахрайства, мета якого - отримати особисті дані користувачів. Сюди відносяться крадіжки паролів, номерів кредитних карт, банківських рахунків і іншої конфіденційної інформації. • Фішинг - поштові підроблені повідомлення від банків, провайдерів, платіжних систем та інших організацій про те, що з якої-небудь причини одержувачу терміново потрібно передати / оновити особисті дані. Причини можуть називатися різні. Це може бути втрата даних, поломка в системі та інше. • Атаки фішерів стають все більш продуманими, застосовуються методи соціальної інженерії. Але в будь-якому випадку клієнта намагаються налякати, придумати критичну причину для того, щоб він видав свою особисту інформацію. Як правило, повідомлення містять загрози, наприклад, заблокувати рахунок у випадку невиконання одержувачем вимог, викладених у повідомленні ( «якщо ви не повідомите ваші дані протягом тижня, ваш рахунок буде заблоковано»). Забавно, але часто як причину, по якій користувач нібито повинен видати конфіденційну інформацію, фішери називають необхідність поліпшити антіфішингові системи ( «якщо хочете убезпечити себе від фішингу, пройдіть по цьому посиланню і введіть свій логін і пароль»). • Фішингові сайти, як правило, живуть недовго (в середньому - 5 днів). Так як анти-фішингові фільтри досить швидко отримують інформацію про нові загрози, Фішеру доводиться реєструвати все нові і нові сайти. Зовнішній вигляд їх залишається незмінний - він співпадає з офіційним сайтом, під який намагаються підробити свій сайт шахраї. • Характерною особливістю фішингових листів є дуже високу якість підробки. Адресат отримує лист з логотипами банку / сайту / провайдера, що виглядають в точності так само, як справжні. Нічого не підозрюючи користувач переходить за посиланням «Перейти на сайт і залогіньтеся», але потрапляє насправді не на офіційний сайт, а на його фішерський аналог, виконаний з високою точністю. • Ще однією хитрістю фішерів є посилання, дуже схожі на URL оригінальних сайтів. Адже досить користувачеві звернути увагу на те, що в командному рядку браузера висвічується посилання, абсолютно відмінне від легітимного сайту. Такі «ліві» посилання теж зустрічаються, але вони розраховані на менш досвідченого користувача. Часто вони починаються з IP-адреси, хоча відомо, що справжні солідні компанії давно не використовують подібні посилання.
Фишинг (phishing) • Тому фішингові URL часто схожі на справжні. Вони можуть включати в себе назву цього URL, доповнене іншими словами. Також останнім часом популярний фішингових прийом - посилання з точками замість слеш, зовні дуже схоже на справжнє. • Також в самому тілі листа може висвітлюватися посилання на легітимний сайт, але реальний URL, на який вона посилається, буде іншим. Пильність користувача притупляється ще тим, що в листі може бути декілька другорядних посилань, що ведуть на офіційний сайт, але основне посилання, по якому користувачеві треба пройти і залогіньтеся, веде на сайт шахраїв. • Іноді особисті дані пропонується ввести прямо в листі. Треба пам'ятати, що жоден банк (або інша організація, яка запитує конфіденційну інформацію) не буде цього робити так само. • Технології фішерів удосконалюються. Так, з'явилося поєднане з фішингом поняття – фармінг (“pharming"- похідне від слів"phishing“і англ."farming "- заняття сільським господарством, тваринництвом). Це теж шахрайство, що ставить за мету отримати персональні дані користувачів, але не через пошту, а прямо через офіційні веб-сайти. Фармери замінюють на серверах DNS цифрові адреси легітимних веб-сайтів на адреси підроблених, внаслідок чого користувачі перенаправляються на сайти шахраїв. Цей вид шахрайства ще небезпечніший, так як помітити підробку практично неможливо. • Найбільш популярні фішерські мішені - аукціон Ebay і платіжна система PayPal. Також страждають різні банки по всьому світу. Атаки фішерів бувають випадковими і цільовими. У першому випадку атака проводиться «навмання». Атакують найбільш великі й популярні об'єкти - такі як аукціон Ebay - тому що ймовірність того, що випадковий одержувач має там обліковий запис, досить висока. У другому випадку шахраї дізнаються, яким саме банком, платіжною системою, провайдером, сайтом користується адресат. Цей спосіб більш складним і витратним для фішерів, зате більше шансів, що жертва купиться на провокацію.
Фишинг (phishing) • Фішингові листи в третьому кварталі 2009 року склали близько 1% (0,99%) всіх електронних листів.
Denial of Service (DoS) Відмова в обслуговуванні • форма атаки, що перешкоджає доступу користувача до звичайних службам, таким як електронна пошта і веб-сервер, оскільки система перевантажена і не може відгукуватися на аномально велику кількість запитів. • провадиться розсилання запитів до системи, кількості яких достатньо для того, щоб служба виявилася перванаженою і припинила роботу. • Ping of Death- Пінг смерті - ряд повторюваних, більших, ніж звичайно, ехо-запитів, які ушкоджують приймає комп'ютер. • E-mail Bomb-Поштова атака - велика об'єм електронної пошти, яке переповнює поштовий сервер і перешкоджає доступу користувачів до нього. • Distributed DoS- Розподілена відмова в обслуговуванні - це ще одна форма атаки, для запуску якої використовується багато уражених комп'ютерів, що іменуються зомбі (zombies). Метою такої атаки є намір перешкодити або заборонити доступ до цільового сервера. Комп'ютер-зомбі розташовані в різних географічних регіонах, що ускладнює відстеження походження атаки.
Spam and Popup WindowsСпам і спливаючі вікна • SpamСпам, також відомий під назвою "небажана пошта" - розсилка без запиту електронної пошти. У більшості випадків спам використовується як спосіб реклами. Однак спам можна використовувати для відправлення шкідливих посилань. • Посилання на інфікований веб-сайт або вкладення, що може інфікувати комп'ютер. У результаті відкриття таких посилань або вкладень на екрані може з'явитися велика кількість вікон, які будуть відволікати увагу користувача і відводити його на рекламні сайти. Такі вікна називаються спливаючими (Popups are windows). • Антивірусні і поштові програми автоматично видаляють спам з поштової скриньки. Тим не менше, якась частина спаму може проникнути в ящик, тому для її виявлення керуйтеся наступними ознаками: - відсутня тема повідомлення, - немає адреси відправника, - відповіді на повідомлення електронної пошти, не відправлялися користувачем
Spam • «Спам» - це складноскорочене слово. Утворилося воно від усіченого «spicedham» - «шинка зі спеціями», «ковбаса з перчиком», «перчена шинка». Тому прямим перекладом англійського «spam» можна вважати щось на кшталт «спешинка» - «спеції» плюс «шинка». • Історія цієї «шинки» така: у 1937 році американська фірма «Hormel Foods» випустила ковбасний фарш із «неліквідного» м'яса третьої свіжості. Малоапетитний продукт американці не стали купувати, тому господар корпорації містер Хормель розгорнув масштабну маркетингову кампанію, широко розрекламував свій продукт і почав постачати свої консерви у військові відомства і флот. • Термін «спам» в новому значенні (нав'язливою електронної розсилки, поштового сміття) з'явився в 1993 році. Адміністратор комп'ютерної мережі Usenet Річард Депью написав програму, помилка якої 31 березня 1993 спровокувала відправку двох сотень ідентичних повідомлень до однієї з конференцій. Його незадоволені співрозмовники швидко знайшли відповідну назву для нав'язливих повідомлень - «спам». • Cпам (незапрошена користувачем інформація) залежно від цілей і завдань відправника (спамера) може містити комерційну інформацію або не мати до неї ніякого відношення. Таким чином, за змістом повідомлення розрізняють «комерційний» спам - «unsolicited commercial e-mail» (загальноприйнята абревіатура - UCE) і «некомерційний» - «unsolicited bulk e-mail» (UBE). • Згідно з визначенням «Лабораторії Касперського», спам - це анонімне масове непрохане розсилання.
Шкода від спаму • Навантаження на комунікації. Спам засмічує канали зв'язку, створює трафік, оплачувати який доводиться або провайдеру, або користувачеві (самому чи роботодавцю, якщо мова йде про робочий поштовій скриньці). Ще три роки тому президент Асоціації документального електрозв'язку Олександр Іванов оцінив збитки від спаму операторів мережі Інтернет в 55 млн. доларів США. І це тільки витрати на трафік. Але ж є ще фізичні потужності - поштові сервери, що приймають та обробляють це сміття. Є фахівці, які ці сервери обслуговують. Ця інфраструктура теж коштує грошей. • Втрата часу. Якщо спам добрався до кінцевого поштової скриньки, то його власник буде змушений вручну вичищати сміттєву пошту. Співробітник, який читає в день 10-20 листів з роботи, разом з ними може отримати 160-180 спамерських повідомлень. Час, витрачений на видалення спаму - а це 5-6 годин на місяць, - буде втрачено з робочого процесу, і воно ж буде оплачено з кишені роботодавця. • Роздратування і невдоволення. Видаляючи спам, користувач по суті працює прибиральницею, тільки «електронної» - вигрібає сміття. Це не може його не дратувати, ось і ще один негативний чинник - емоційний. • Випадкова втрата потрібного листа в пачці спаму. Коментарі в даному випадку зайві - хто хоч раз стикався з такою ситуацією, все зрозуміє. • Криміналізація спаму.
Еволюція спаму • Еволюція методів розсилки спаму • Еволюція змісту листів
Еволюція методів розсилки спаму • Прямі розсилкиСпам починався з прямих розсилок - спамери розсилали повідомлення від власного імені з власних поштових серверів. Такий спам блокується достатньо просто (за адресою поштового сервера або адресою відправника). Як тільки такі блокування стали поширеними, спамери були вимушені почати підробляти адреси відправників та іншу технічну інформацію. • Розсилання через «відкриті релеї»Відкритий релей (open relay) - це поштовий сервер, який дозволяє довільному користувачеві безпідставного відправити електронний лист на довільний адресу. У середині 90-х років усі поштові сервери були відкриті релеї, тому знадобилося змінювати і переналаштовувати програмне забезпечення на всіх поштових серверах світу. Не всі адміністратори поштових систем робили це досить швидко, тому з'явилися сервіси пошуку «відкритих Релеїв», а потім і їх списки (в тому числі засновані на технології DNS списки реального часу - RBL, realtime blackhole list) і блокування прийому пошти з таких машин. На сьогоднішній день цей метод розсилки все ще застосовується, тому що відкриті релеї досі існують. • Розсилання з модемних пулівЯк тільки розсилки через відкриті релеї перестали бути ефективними, спамери почали застосовувати розсилку з dialup-підключень, використовуючи наступні можливості: - як правило, поштовий сервер провайдера приймає пошту від своїх клієнтів і пересилає її далі; - dialup-підключення отримує динамічний (змінюється після кожного нового з'єднання) IP-адрес, таким чином, спамер може розсилати пошту з безлічі IP-адрес. У відповідь провайдери почали вводити ліміти на кількість листів, надісланих від одного користувача, з'явилися чорні списки dialup-адрес і блокування прийому пошти з «чужих» модемних пулів. • Розсилання з proxy-серверівНа початку 2000-х років одночасно з поширенням високошвидкісних підключень (ADSL, Cable) спамери почали використовувати вразливості в клієнтському обладнанні. Багато ADSL-модеми мали вбудований SOCKS-сервер або HTTP proxy (програмне забезпечення, що дозволяє здійснювати розділення інтернет-каналу між багатьма комп'ютерами), причому доступ до них дозволялося з усього світу без паролів і контролю доступу (для спрощення установки кінцевим користувачам). Таким чином, можна було зробити будь-яку дію (у тому числі і розсилку спаму) з IP-адреси ADSL-користувача. Тому що таких користувачів по всьому світу - мільйони, то проблема була частково вирішена лише зусиллями виробників обладнання - відкриті всьому світу «посередники» останні роки до складу обладнання не входять.
Еволюція методів розсилки спаму • Злом призначених для користувача машинВ даний час основна маса розсилок проводиться з призначених для користувача комп'ютерів, на які тим або іншим способом встановлено «троянські» програмне забезпечення, що дозволяє спамерам (і іншим недобросовісним людям) здійснювати доступ до призначеним для користувача машин без відома та контролю користувача. Для злому призначених для користувача машин використовуються наступні методи: - троянські програми, що розповсюджуються разом з піратським ПО з файлообмінним мереж (Kazaa, eDonkey і пр.); - використання вразливостей в різних версіях Windows і широко розповсюдженого ПЗ (в першу чергу MSIE і MS Outlook) для взлому користувацьких комп'ютерів; - email-черв'яки останніх поколінь, також використовуються для для взлому користувацьких комп'ютерів. • За найскромнішими оцінками троянські програми встановлені на кількох мільйонах машин по всьому світу. На сьогоднішній день ці програми досить хитромудрі - вони можуть оновлювати свої версії, отримувати інструкції із заздалегідь підготовлених сайтів або каналів IRC, розсилати спам, здійснювати DDoS-атаки і т. п. За даними компанії Return Path, 96,7% комп'ютерів, з яких розсилається електронна пошта, контролюються спамерами, тобто входять в так звані зомбі-мережі.
Еволюція змісту листів • Поява засобів виявлення спаму, заснованих на аналізі змісту листа (контентний аналіз), привело до еволюції змісту спамерських листів - їх готують таким чином, щоб автоматичний аналіз був ускладнений. Як і у випадку зміни методів розсилки, спамери змушені боротися з антиспам-засобами. • Прості текстові і HTML-листи Перші спам-повідомлення були однаковими - всім одержувачам розсилався один і той же текст. Такі повідомлення тривіально фільтруються (наприклад, за частотою повторення однакових листів). • Персоналізовані повідомленняНаступним кроком було додавання персоналізації (наприклад, «Hello, joe!» - На початку листа на адресу joe@user.com), що зробило всі повідомлення різними. Тепер для їх фільтрації треба було вишукувати незмінні рядки та заносити її в список правил фільтру. В якості методу боротьби були запропоновані нечіткі сигнатури - стійкі до невеликих змін тексту і статистичні - методи фільтрації які навчаються (байєсівської фільтрація і т. п.). • Внесення випадкових текстів, «шуму», невидимих текстівУ початку або в кінці листа спамер може помістити уривок з класичного тексту або просто випадковий набір слів. У HTML-повідомлення можна внести «невидимий" текст (дуже дрібним шрифтом або кольором, що збігається з кольором фону). Ці долучення ускладнюють роботу нечітких сигнатур і статистичних методів. У відповідь з'явився пошук цитат, стійкий до доповнень текстів, детальний розбір HTML і інші методи поглибленого аналізу змісту листа. У багатьох випадках можна визначити сам факт використання «спамерського трюку» і класифікувати повідомлення як спам, не аналізуючи його текст в деталях.
Еволюція змісту листів • «Графічні» листи Рекламне повідомлення можна надіслати користувачеві у вигляді графічного файлу - це вкрай ускладнить автоматичний аналіз. У відповідь з'явилися способи аналізу зображень, що виділяють з них текст. Графічний спам являє собою найрізноманітніші розсилки. Деяка частина такого спаму - це прості малюнки, які можна детектувати спам-фільтрами. Однак спамери все більше вдаються до ускладненим видів графічних листів: використовують картинки з зашумленими фоном, стрибаючими буквами і рядками (тобто букви розташовані нерівно щодо рядка), замінюють окремі літери на зображення, розгортають зображення на кілька градусів, використовують на картинках рідкісні шрифти або шрифти різного розміру, намагаючись таким чином обійти спам-фільтри. При цьому текст спамерської картинці часто стає практично нечитаний, в результаті одержувач не може оцінити спамерське пропозицію, і основна мета розсилки не досягається (реклама не працює). Ще один технічний прийом спамерів - використання анімації. Це спам, що розсилається не у вигляді звичайних статичних «картинок» (графічних вкладень), а у вигляді анімованої графіки. Спамери використовують GIF-анімацію, тому що вона розпізнається і автоматично відтворюється усіма популярними браузерами. Зазвичай анімований спам містить від 2 до 4 кадрів, з яких тільки один кадр є значущим, тобто містить інформаційну складову.Спамери регулярно роблять спроби відновити технології генерації графічних вкладень у спам. У першому півріччі 2007 року з'явилося кілька нових способів доставки та демонстрації користувачеві спамерської «картинки»:- Розміщення графічних файлів на сторінках безкоштовного хостингу зображень (наприклад, imageshack.us, imagenerd.com, imgnation.net, hostpic.biz, imgplace.com і т.п.). У тілі спамерського повідомлення вказувалася посилання на URL із «картинкою». Коли одержувач відкривав повідомлення, в більшості популярних поштових клієнтах зображення довантажувати з зазначеного URL. - Використання спамерської «картинки» у вигляді фонового зображення. Графічний файл не вкладався в повідомлення, а, знову ж таки, публікувався на тому чи іншому сайті. У тілі повідомлень був вказаний тільки URL сайта, поміщений у тег 'body', атрибут 'background'. В результаті зображення могло автоматично довантажувати в деяких поштових клієнтах , а також у веб-інтерфейси частини поштових служб. - Спам з вкладеннями формату PDF. Цей вид вкладень не відкривається і не підвантажується автоматично. Щоб побачити спамерських контент, користувач повинен самостійно відкрити вкладення. - Спам з вкладенням формату FDF. У певному сенсі це аналог PDF-вкладень, тим більше, що відкрити і побачити вкладення можна з використанням того ж Adobe Acrobat Reader. Всі ці новинки виявилися досить ефективними в момент появи, але вже через кілька місяців, а іноді й тижнів, спам-фільтри підлаштуватися під нові спамерські прийоми.
Методи боротьби зі спамом • Сучасні спам-розсилання поширюється в сотнях тисяч примірників усього за кілька десятків хвилин. Найчастіше спам йде через заражені вірусами комп'ютери користувачів - зомбі-мережі. Що можна протиставити цьому натиску? Сучасна індустрія IT-безпеки пропонує безліч рішень, і в арсеналі антиспамеров є різні технології. Проте жодна з існуючих технологій не є магічної «срібною кулею» проти спаму. Універсального рішення просто не існує. Більшість сучасних продуктів використовують декілька технологій, інакше ефективність продукту буде не висока. Нижче перераховані найбільш відомі і поширені технології.
Методи боротьби зі спамом • Чорні спискиВони ж DNSBL (DNS-based Blackhole Lists). Це один з найбільш старих антиспам-технологій. Блокують пошту, що йде з IP-серверів, перелічених у списку.Плюси: Чорний список на 100% відсікає пошту з підозрілого джерела.Мінуси: Дають високий рівень помилкових спрацьовувань, тому застосовувати слід з обережністю. • Контроль масовості (DCC, Razor, Pyzor) Технологія передбачає виявлення в потоці пошти масових повідомлень, які абсолютно ідентичні або незначно відрізняються. Для побудови працездатного «масового» аналізатора потрібні величезні потоки пошти, тому цю технологію пропонують великі виробники, що володіють значними обсягами пошти, яку вони можуть піддати аналізу. Плюси: Якщо технологія спрацювала, то вона гарантовано визначила масову розсилку. Мінуси: По-перше, «велика» розсилка може виявитися не спамом, а цілком легітимною поштою (наприклад, Ozon.ru, Subscribe.ru тисячами расилают практично однакові повідомлення, але це не спам). По-друге, спамери вміють «пробивати» такий захист за допомогою інтелектуальних технологій. Вони використовують ПЗ, що генерує різний контент - текст, графіку і т.п. - у кожному спамерського листа. У підсумку контроль масовості не спрацьовує. • Перевірка інтернет-заголовків повідомленняСпамери пишуть спеціальні програми для створення спамерських повідомлень та їх миттєвого розповсюдження. При цьому вони допускають помилки в оформленні заголовків, в результаті спам далеко не завжди відповідає вимогам поштового стандарту RFC, що описує формат заголовків. За цих помилок можна обчислити спамерське повідомлення. Плюси: Процес розпізнавання і фільтрації спаму прозорий, регламентований стандартами і досить надійний. Мінуси: Спамери швидко вчаться, і помилок у заголовках спаму стає все менше. Використання тільки цієї технології дозволить затримати не більше третини всього спаму.
Методи боротьби зі спамом • Контентная фільтраціяТакож одна зі старих, перевірених технологій. Спамерські повідомлення перевіряються на наявність специфічних для спаму слів, фрагментів тексту, зображень та інших характерних спамерських рис. Контентная фільтрація починалася з аналізу теми повідомлення і тих його частин, які містили текст (plain text, HTML), але зараз спам-фільтри перевіряють всі частини, включаючи графічні вкладення.У результаті аналізу може бути побудована текстова сигнатура або вироблений підрахунок «спамерської ваги» повідомлення.Плюси: Гнучкість, можливість швидкої «тонкого» настроювання. Системи, що працюють на такій технології, легко підлаштовуються під нові види спаму і рідко помиляються з розмежуванням спаму і нормальної пошти. Мінуси: Звичайно потрібні оновлення. Налаштування фільтру займаються спеціально навчені люди, іноді - цілі антиспам-лабораторії. Така підтримка дорого коштує, що позначається на вартості спам-фільтра. Спамери винаходять спеціальні трюки для обходу цієї технології: вносять в спам випадковий «шум», що ускладнює пошук спамерських характеристик повідомлення та їх оцінку. Наприклад, використовують у словах символи (от так, наприклад, може виглядати при використання цього прийому слово viagra: vi_a_gra або vi @ gr @), генерують варіативний кольоровий фон в зображеннях і т.п.
Методи боротьби зі спамом • Контентная фільтрація: БайєсСтатистичні байєсівської алгоритми також призначені для аналізу контенту. Байєсівські фільтри не потребують постійної налаштуванні. Все, що їм потрібно - це попереднє навчання. Після цього фільтр підлаштовується під тематики листів, типові для даного конкретного користувача. Тим самим, якщо користувач працює в системі освіти та проводить тренінги, то особисто у нього повідомлення цієї тематики не будуть розпізнаватися як спам. У тих, кому пропозиції відвідати тренінг не потрібні, статистичний фільтр віднесе такі повідомлення до спаму. Плюси: Настроювання. Мінуси: Найкраще працює на індивідуальному потоці пошти. Налаштувати «Байєс» на корпоративному сервері з різнорідної поштою - складне і невдячне завдання. Головне, що кінцевий результат буде набагато гірше, ніж для індивідуальних скриньок. Якщо користувач лінується і не навчає фільтр, то технологія не буде ефективною. Спамери спеціально працюють над обходом байєсівської фільтрації, і це в них виходить. • ГрейлістінгТимчасовий відмова в прийомі повідомлення. Відмова йде з кодом помилки, яку розуміють всі поштові системи. Через деякий час вони повторно надсилають повідомлення. А програми, що розсилають спам, в такому разі повторно листа не відправляють. Плюси: Рішення проблеми. Мінуси: Затримка в доставці пошти. Для багатьох користувачів таке рішення є неприйнятним.
Профілактика спаму • Проблеми з рекламними розсилками (спамом) у приватного користувача починаються в той момент, коли його email-адреса потрапляє в базу даних до спамерам. Виконання наведених нижче рекомендацій фахівців допоможуть максимально віддалити цей момент. • Звідки спамери дізнаються вашу адресу Спамери знаходять email-адреси своїх жертв різними способами: - скануючи веб-сайти; - скануючи дошки оголошень, форуми, чати, Usenet News і так далі; - підбираючи «легкі» адреси (jonh @, mary @, alex @, info @, sales @, support @) по словнику імен та частих слів; - підбираючи «короткі» адреси (aa @, an @, bb @, abc @) простим перебором. • Виходячи з цього, приватному користувачеві можна порекомендувати наступні заходи
Заходи профілактики спаму • 1. Заведіть собі дві адреси - приватну, для листування (приватна і маловідома, що ви ніколи не публікуєте в загальнодоступних джерелах), і публічний - для публічної діяльності (форумів, чатів і так далі). • 2. Адреса для листування ніколи не має публікуватися у відкритому доступі. • 3. Адреса для листування не повинна бути легка у запам'ятовуванні або «красивою». Ваше ім'я або гарне слово - не підходять. Vasily.M.Pupkin-IV - підходить цілком. Чим довше адреса і чим менше вона зрозуміла - тим краще. • 4. Якщо потрібно повідомити свій приватний адреса (у конференції, на сайті) - робіть це способом, непридатною для автоматичного прочитання. «Ivan-точка-Susanin-собака-mail-точка-ру» - гарний спосіб. «Ivan.Susanin at mail.ru» - набагато гірше, Ivan.Susanin @ mail.ru - нікуди не годиться. Якщо мова йде про публікацію на сайті, можна опублікувати адресу у вигляді картинки. • 5. Адресу для публікації потрібно заздалегідь вважати тимчасовою. Не варто її жаліти - ви завжди можете завести нову. Як правило, спам починає приходити на неї через кілька днів після публікації. Оскільки цю адресу можуть використовувати не тільки спамери (туди буде приходити і нормальна пошта), варто її періодично переглядати. Ви можете читати пошту, що приходить на неї, раз на тиждень чи раз на місяць. • Реєстрації на сайтахДеякі інтернет-магазини, конференції, форуми і т. п. вимагають реєстрації із зазначенням працюючої електронної пошти. Іноді передані таким чином адреси потрапляють до спамерів. Далеко не завжди це злий намір, але користувачам від цього не легше. Тому: • 6. При реєстрації завжди вказуйте публічну адресу. Вона все одно може вважатися втраченою. Можна на кожну реєстрацію заводити нову адресу на безкоштовних поштах - тоді ви будете знати, хто з магазинів і форумів «продав» вашу адресу спамерам.
Заходи профілактики спаму • Якщо спаму приходить трохи і з ним ще можна миритися, то слід дотримуватися простих правил:7. Ніколи не відповідайте спамеру. Можливо, нічого поганого не станеться. Але може статися і так, що ваша відповідь прочитає «робот» - в результаті спаму буде приходити ще більше. 8. Не намагайтеся скористатися посиланням «відписатися», якщо ви не впевнені, що вона спрацює. Можливо, вас дійсно відпише даний конкретний розсильник. Але при цьому вашу адресу можуть позначити як діючу ... і спаму побільшає. Якщо миритися зі спамом вже ніяк не можна: 9. Змініть свою «приватну» адреса. На певний час це допоможе. • Я нікому не давав адресу, крім близьких знайомих, але на нього приходить спам На жаль, вашу адресу міг бути вкрадений з адресної книги вашого знайомого поштовим вірусом (який розсилається по адресній книзі). Якої-небудь розумного способу вберегтися від цього не існує - навіть якщо у всіх знайомих є антивірусна програма, в неї повинні бути оновлені бази даних і т. д. • Мені потрібна адреса, куди кожен бажаючий міг би написати! Якщо ви хочете все-таки мати загальновідому і загальнодоступну адресу, приготуйтеся отримувати туди сотні спам-повідомлень на добу. Якщо не пощастить - то тисячі на добу. Якщо від такого адреси ви не хочете відмовлятися, то залишається остання порада:10.Використовуйте антиспам-фільтр - або на сервер, вибравши провайдера з послугою фільтрації спаму, або у себе на комп'ютері, вибравши засіб, що підходить для вашого поштового клієнта. Сучасні фільтри мають досить високу якість (відсоток фільтрованої спаму у хороших і добре налаштованих фільтрів досягає 95-99%), і їх використання різко знизить гостроту проблеми.
Інфраструктура спам-ринку • Виробники ПЗЦе ті, хто виробляє програмне забезпечення для спамерів - програми для збору адрес з сайтів і форумів (мережеві павуки), програми для швидкої масової розсилки, програми для перевірки існування і працездатності адрес і т. д.Програмне забезпечення для спам-розсилки можна як купити (для встановлення на свій або орендований сервер), так і орендувати. Знайти в Мережі пропозиції щодо купівлі та оренди спамерського ПО зовсім неважко - його автори зазвичай не ховаються. • Збирачі баз адресЦей вид гравців обслуговує потреби спамерів і збирає для них поштові адреси, які об'єднує в бази адрес. Для цього використовується різноманітне програмне забезпечення, яке шукає адреси в інтернеті, перевіряє їх працездатність і поміщає в базу. Застосовуються різноманітні методи - від крадіжки адрес у провайдера за допомогою завербованих агентів до підбору адрес «на кінчику пера» за допомогою різних евристичних алгоритмів і так званих словникових атак. • Програмісти вірусівВажливою частиною спам-індустрії є Програмісти вірусів. Вони створюють шкідливі програми з метою перетворення комп'ютерів користувачів в машини для розсилки спаму - так званих зомбі. Користувачі при цьому можуть навіть не здогадуватися, що їхні машини використовуються спамерами. Вже в 2004 році основна маса спаму розсилалися не прямо з поштових серверів, а за допомогою заражених призначених для користувача комп'ютерів, об'єднаних у зомбі-мережі. • СпамериВласне спамери - це ті, хто розсилає спам. Якщо ділити спамерів за ступенем підготовленості, можна виділити такі рівні:десятки великих спамерських фірм; сотні дрібних фірм і окремих професіоналів; тисячі непрофесіоналів (студентів, безробітних).
Інфраструктура спам-ринку • Професійні служби розсилокЦе групи дуже кваліфікованих людей, озброєних досконалим програмним забезпеченням, що вміє розсилати листи з величезною швидкістю використовують останні досягнення спамерської думки. • Самодіяльні спамериТут є дві категорії - початківці спамери і несподівані спамери ( «сумлінні»). «Початківці спамери». Такий спамер намагається організувати свій бізнес розсилки «на коліні», користуючись технічно непридатними засобами - купується картка провайдера, розсилка часто йде через модем або домашню виділену лінію. З розсилкою листів в такий спосіб пов'язано дуже багато проблем (швидкість розсилки дуже низька, база адрес застаріла, провайдер може помітити і закрити акаунт ...). Тому такі листи не складають велику частку в спамі. «Сумлінні спамери». Це найчастіше маркетингові співробітники звичайних компаній, які раптом відкрили для себе фантастичні можливості реклами електронної пошти: пиши, кому хочеш, і розсилання практично нічого не варто! Зазвичай адреси вони беруть просто з сайтів, чесно вказують всі свої координати, справжню зворотну адресу і так далі.
Категорії спаму (третій квартал 2009 р):
Social Engineering Соціальний інженер • Це людина, яка вміє отримати доступ до обладнання чи мережі, обманом змушуючи людей надати необхідну для доступу інформацію. Часто соціальні інженери завойовують довіру співробітника і переконують його повідомити ім'я користувача і пароль. • Запобіжні заходи для захисту від соціальної інженерії:Ніколи не розкривайте свій пароль. Завжди запитуйте документи у незнайомих осіб. Обмежте доступ несподіваних відвідувачів. Супроводжуйте всіх відвідувачів. Ніколи не залишайте інформацію про пароль на місці роботи. Залишаючи робоче місце, блокуйте комп'ютер. Ніколи не допускайте, щоб в приміщення, вхід в яке вимагає наявності картки доступу, разом з вами заходив інша людина.
TCP/IP AttacksАтаки TCP / IP • TCP / IP - це сімейство протоколів, що використовується для керування усіма взаємодіями в Інтернеті. На жаль, TCP / IP також може робити мережу вразливою для зловмисників. • Найбільш поширені атаки:Синхронна атака - відкриття TCP-портів при спробі завалити мережеве обладнання чи комп'ютерні ресурси великою кількістю фальшивих запитів, що призведе до відхилення сеансів роботи інших користувачів. Відмова в обслуговуванні - відправлення в систему аномально великої кількості запитів, що перешкоджає доступу до служб. Розподілена відмова в обслуговуванні - використання комп'ютерів-зомбі для того, щоб ускладнити відстеження місця походження атаки типу "Відмова в обслуговуванні". Спуфінг - отримання доступу до ресурсів на пристроях, видаючи себе за реальний "довірений" комп'ютер. "Людина посередині" - перехоплення або вставка неправдивих даних до трафіку між двома вузлами. Відтворення - використання мережевих перехоплювачів для видобування імен користувачів і паролів, які згодом будуть використовуватися для отримання доступу. Зараження DNS - зміна записів DNS в системі з метою спрямування на помилкові сервери, де записуються дані.
TCP/IP Attacks TCP/IP is used to control all Internet communications.
Computer Disposal and RecyclingРуйнування та утилізація апаратного забезпечення • Руйнування апаратного забезпечення - це процес видалення вразливих даних з апаратного та програмного забезпечення перед їх переробкою та утилізацією. Щоб перешкодити можливості відновлення даних за допомогою спеціальних програм, дані на жорстких дисках повинні бути повністю стерті. Видалення файлів і навіть форматування диска буде недостатньо. • За допомогою сторонніх інструментів можна переписати дані кілька разів, в результаті чого незнищені дані можна відобразити. Єдиний спосіб повністю гарантувати неможливість відновлення даних з жорсткого диска полягає в тому, щоб повністю розбити його пластини молотком і безпечним чином утилізувати ці уламки. • Носії типу компакт-дисків або дискети теж необхідно знищити. Скористайтеся подрібнювачем, призначеним спеціально для цієї мети.
Процедури забезпечення безпеки • Необхідно скласти план забезпечення безпеки, за допомогою якого можна було б визначити, як слід діяти в критичній ситуації. План забезпечення безпеки необхідно постійно оновлювати, щоб він відображав найновіші загрози мережі. У плані забезпечення безпеки необхідно вказати процедури, які є основою дій технічного спеціаліста. • Частиною процесів забезпечення безпеки є виконання тестів, які повинні визначити слабкі місця в системі безпеки. Тестування необхідно виконувати регулярно. Щодня з'являються все нові й нові загрози. Регулярне тестування покаже будь-які можливі слабкі місця поточного плану забезпечення безпеки, які необхідно буде усунути. • Існує кілька рівнів захисту мережі, у тому числі фізичні компоненти, бездротові компоненти і дані. Атаку може зазнати кожен рівень. Технічний спеціаліст повинен розуміти, як слід реалізовувати процедури забезпечення безпеки для захисту обладнання і даних.
Security Policy(процедури забезпечення безпеки) Незважаючи на те, що політика локальної безпеки може варіюватися залежно від організації, є питання, які повинні бути задані у всіх організаціях: • Які компоненти вимагають захисту? • Які можливі загрози? • Що робити у випадку порушення системи безпеки?
Protecting Equipment методи фізичного захисту комп'ютерного обладнання: • контроль доступу до засобів, • блокування обладнання тросами з замком, • замикання на замок телекомунікаційних приміщень, • закріплення обладнання захисними гвинтами, • установка навколо обладнання захисних грат, • маркування і встановлення на обладнанні датчиків, наприклад радіоміток (RFID).
Protecting Data Способи захисту даних: • Захист паролем • Шифрування даних • Захист портів • Резервне копіювання даних • Захист файлової системи