?

Log in

No account? Create an account
Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

К модели нарушителя в информационной безопасности Windows [Nov. 19th, 2007|03:59 am]
ArkanoiD
[Tags|, , ]

Я не уставал удивляться тому, как Windows-пользователи относятся к информационной безопасности. Вот, предположим, я обнаружил у себя троян, rootkit или еще какую гадость. Это же можно с ума сойти! Смена всех паролей, отзыв ключей и сертификатов, переустановка софта, расследование инцидента, определение вектора проникновения, чорт знает что, короче. Что делает пользователь Windows, у которого, минуточку, с вероятностью больше половины на компьютере содержится информация, которую он считает конфиденциальной, банк-клиент или электронный кошелек, да мало ли что еще? Ни-че-го. То есть вообще. Он запускает антивирус, "лечится" и делает вид, что ничего не произошло. И знаете, что самое странное? Похоже, в подавляющем большинстве случаев он прав.


Ладно, пес с ним, с домашним пользователем. Но почему CISO банка, "работа которого была затруднена из-за вирусов", не стреляется из табельного оружия (а на его место, наконец, не перестают брать придурков в погонах, разбирающихся в IT, как свинья в апельсинах)? Это же хана - критичные для бизнеса приложения управляются неизвестно кем и неизвестно чем, да еще и неизвестно, как оно туда попало и что делать, чтобы это не случилось еще раз! Да все потому же. Потому что пока у него есть основания не бояться.

А все дело в оппоненте. Я знаю, у многих моих коллег словосочетание "модель нарушителя" вызывает кислую оскомину и мысли о далеких от реальности "учебных курсах по ИБ", но тем не менее: ключевой момент здесь в том, что оппонент - тот, кто стоит за вирусными атаками, ботнетами и т д - это, как правило, не хакер. Хакер - это в первую очередь человек с нестандартным мышлением, неспроста в известном слогане "for fun and profit" в первую очередь стоит fun. Написать zero-day exploit - это, разумеется, fun. Заниматься ботнетами и червями, как бизнесом - в основном, не очень; занятие скучное, рутинное; и стоит ли удивляться, что оно находится в руках совершенно других людей, чье мышление ближе не к хакерам, а к обыкновенным жуликам образца начала 90-х годов. Их интересуют деньги, причем стабильные и предсказуемые. Которые проще делать на предсказуемом бизнесе, а не ковыряться в банковских сетях и ядерных секретах.

Вот именно поэтому ваш зараженный компьютер, скорее всего, занимается "невинными" вещами вроде рассылки спама, атакой на политические или коммерческие сайты или накруткой "кликов" на баннерных сетях и даже не подумает тщательно проиндексировать содержимое вашего жесткого диска для подпольной поисковой машины (максимум - прихватит то, что совсем плохо лежит, вроде номеров кредитных карт).

Вы действительно в безопасности. Временной и относительной.

(по мотивам бесед с codera)
linkReply

Comments:
[User Picture]From: cmhungry
2007-11-19 01:09 am (UTC)
Точно такая же модель поведения будет не у виндовс-админов, но и у юниксовых, кому взломали форум на том же инвижне или пхпбб, дефейснули сайт и начали с хостинг-машины флудить на пол-интернета. Починил, нашел дырку, прикрыл, дальше работаем как ни в чем не бывало.
Вероятность появления хака как такового, для информации, сбора паролей и т.п. крайне низка.
Как известно, большинство пользователей используют один и тот же пароль для всех или почти всех сервисов в интернете, казалось бы, взломал форум, скачай базу юзеров с паролями, прошерсти их почтовые ящики, получишь много ценного/полезного/интересного (к слову о fun). Но такого как правило не происходит, потому что в этом надо копаться, и копаться долго, а свои 200 баков можно заработать просто зафлудив с этого хоста некий сервер в интернете. Это проще и быстрее.
(Reply) (Thread)
[User Picture]From: arkanoid
2007-11-19 01:20 am (UTC)
ну я бы сменил от греха пароль, если бы узнал что какой-то из сервисов, которым я пользуюсь, скомпрометирован. у меня, впрочем, одинаковые пароли только на сервисы вида "украдут-не жалко" (кому нужен мой пароль на десятке безвестных форумов, куда я захожу раз в месяц?), да и те по кучкам раскиданы. а будучи администратором такого ресурса - разумеется, предупредил бы пользователей.

все же сниффер и собиралка паролей еще часто входят в джентельменский набор, часто приходилось сталкиваться.. или те, кого ломают без этого, реже приглашают меня для расследования инцидентов ;-)

Edited at 2007-11-19 01:22 am (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: tsw
2007-11-19 01:21 am (UTC)
проблема в том, что трояны для вирусов делают с целью заразить десятки тысяч компов!!!
и кто будет анализировать содержимое десятков тысяч винтов????
которые на 80% состоят из любительских фотографий, порнухи и скаченных из торрента файлов =)
поэтому поиск ЛЮБОЙ ценной информации на тысячах компов превращаеться в поиск алмазов в гиганско кучу говна!!! =)

и совсем другое дело, когда атакуют кого-то конкретного!!!
(Reply) (Thread)
[User Picture]From: arkanoid
2007-11-19 01:24 am (UTC)

ну о том и речь

а как анализировать - подумать. индексация, категоризация, профайлинг (как по общей структуре данных отделить average home user от "чего-то интересого"), есть очень даже, куда приложить голову.

Даже просто наличие настроенного VPN-клиента или шифрованных дисков - это уже повод "взять на карандаш".

Edited at 2007-11-19 01:26 am (UTC)
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: msh
2007-11-19 01:26 am (UTC)
Я тут достоверно узнал про спамерские ботнеты то, что раньше подозревал. Какие-то говноспамеры стали использовать один из моих доменов для обратных адресов (что очень мудро, из миллионов доменов выбрать тот, у которого стоит SPF и, соотвественно, практически любой фильтр их спам поймает). Иногда они генерирует существущий адрес и я получаю всякие bounces. Так вот, рускоязычный спам про семинары и квартиры, и англоязычный про виагру и увеличение - из одного источника. Спам про виагру добитый текстом какой-то русской фантастики я и раньше встречал, но думал это все-таки случайность
(Reply) (Thread)
[User Picture]From: arkanoid
2007-11-19 01:30 am (UTC)
Угу. Таргетирование у спама пока низкое, потому что заказчик и исполнитель - разные люди и исполнитель получает за доставку, а не за отклик.
(Reply) (Parent) (Thread)
[User Picture]From: msh
2007-11-19 01:46 am (UTC)
Потом, с большей частью секретов совершенно непонятно что делать. Они может и стоят больших денег, но самому их не получить и кому продать тоже непонятно.

Я тут прочитал описание как из identity theft получали не обычную тыщу долларов на перехваченной кредитке, а сотни тыщ с каждого - это настолько сложно и настолько за пределами умений обычного хакера, что действительно выгоднее спам рассылать
(Reply) (Thread)
[User Picture]From: tsw
2007-11-19 01:49 am (UTC)
кстати indetity theft сейчас уже умирающий бизнес!!!!
(Reply) (Parent) (Thread) (Expand)
From: ex_ivlad
2007-11-19 04:39 am (UTC)
> максимум - прихватит то, что совсем плохо лежит, вроде номеров кредитных карт

Коллега shaman007 сообщает, что, по его наблюдениями, троян обязательно поищет адреса электронной почты,
(Reply) (Thread)
[User Picture]From: to_the_future
2007-11-19 07:41 am (UTC)
Ну это-ж его основная работа. Он эти адреса во from вставит. ;)))
(Reply) (Parent) (Thread)
From: pustota1
2007-11-19 07:06 am (UTC)

Ладно, пес с ним, с домашним пользователем. Но почему CISO банка, "работа которого была затруднена из-за вирусов", не стреляется из табельного оружия (а на его место, наконец, не перестают брать придурков в погонах, разбирающихся в IT, как свинья в апельсинах)?

На самом деле ситуация несколько сложнее -- он не стреляется или его не стреляют по хорошо известной причине -- банк застрахован от таких
случаев (в смысле у страховой или у перестраховочной фирмы), которая страхует только то, что ее устраивает по уровню организации, защите итд. С чего же ему стреляться если реальных катастрофических убытков нету?
(Reply) (Thread)
[User Picture]From: wom
2007-11-19 07:10 am (UTC)
а есть ли статистика (желательно по России) о страховании рисков в области ИБ и ИТ?
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: 109
2007-11-19 09:24 am (UTC)
ну я подцепил однажды вирус, который эсплойтил дыру в констракторе активекса. вектор атаки - случайный сайт. что ж теперь, на неизвестные сайты вообще не ходить? (дыру, конечно, закрыли через пару недель секьюрити апдейтом, но никакой гарантии нету же)
(Reply) (Thread)
[User Picture]From: egorfine
2007-11-19 10:48 am (UTC)
А что еще делать юзеру? Полностью переставлять винду? Чтобы после ее запуска в инет через 2-7 минут она снова подхватила трояна? Тогда у него 100% времени будет уходить на круглосуточную перестановку винды.

(Reply) (Thread)
[User Picture]From: iskatel
2007-11-19 12:16 pm (UTC)
щазз. Масса троянов успешно воруют все найденные пароли и номера кредиток.
>>Я не уставал удивляться тому, как Windows-пользователи относятся к информационной безопасности.

>>Но почему CISO банка, "работа которого была затруднена из-за вирусов", не стреляется из табельного оружия (а на его место, наконец, не перестают брать придурков в погонах, разбирающихся в IT, как свинья в апельсинах)?

Придурки в директорских креслах берут на работу придурков на роли начальников ИТ. Всё логично.. Зато своих и в погонах.
(Reply) (Thread)
[User Picture]From: randomtoy
2007-11-19 05:56 pm (UTC)
http://randomtoy.livejournal.com/88856.html

у нас вообще зомбосеть. только пользователи вообще винят всех, кроме себя.
(Reply) (Thread)
[User Picture]From: unholy_
2007-11-19 07:23 pm (UTC)

Полночный бред ламера

Я Ad-Aware юзаю. Это меня спасет от кражи из маво тырнет кошелька, ежели у такого дикаря, как я оный когда-нибудь будит?
(Reply) (Thread)
[User Picture]From: cybercop
2007-11-20 08:54 am (UTC)

Re: Полночный бред ламера

Боюсь что абсолютную гарантию вам не даст никто и никогда!
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: arkanoid
2009-04-05 10:16 am (UTC)
Сдохни, спамер.
(Reply) (Parent) (Thread)