Современные информационные технологии.
Информационная безопасность.
Дубчак О.В., Павленко М.Б., Полонський С.М.
СONFICKER: АНАЛІЗ ПЕРЕДУМОВ І МІРИ ПРОТИДІЇ
Вступ З розвитком
інформаційних і мережних технологій,
зростанням рівня їхньої доступності відбувається їх неминуча інтеграція
в усі сфери людської діяльності. Непрямим наслідком цього є підвищення
середнього рівня кваліфікації й кількості зловмисників. Як результат - постійний ріст небезпеки й рівня збитків від
наслідків IT-погроз, у тому числі - масових вірусних епідемій.
Наочним
прикладом може послужити масове поширення хробака Сonficker/A, що вразив більш ніж 12 мільйонів персональних
комп’ютерів (ПК), частина яких входила в IT-інфраструктуру підприємств і
організацій (у тому числі тих, що мають стратегічне значення, наприклад, ВС
Німеччини, суди м.Х'юстона) [1].
Постановка задачі
Метою даний статті є аналіз передумов і пропозиція ряду адміністративних і
технічних мір, що дозволять у майбутньому уникнути масові порушення цілісності
інформації подібного роду або ж мінімізувати їхні наслідки.
Як відомо, Conficker використовує
уразливість, опис якої міститься в бюлетені безпеки Microsoft MS08-067.
Проблема пов'язана з тим, що при обробці сформованих спеціальним чином запитів віддаленого
виклику процедур (Remote Procedure Call (RPC)), у службі Server програмних
платформ Microsoft виникає помилка, що дозволяє зловмисникові виконати
довільний код на віддаленому ПК.
Уразливість може експлуатуватися
анонімним користувачем в операційних системах (ОС) Windows 2000/XP/2003 і
аутентифікованим користувачем на Windows Vista/2008. Для успішної експлуатації
уразливості порушнику буде потрібно одержати доступ до RPC інтерфейсу системи.
За замовчуванням стандартний міжмережний екран (ММЕ) активний в ОС Windows XP
SP2, Windows Vista і Windows Server 2008.
Отже, зловмисник може скористатися уразливістю у випадках: ММЕ
відключений; ММЕ включений, але дозволена служба доступу до файлів і принтерів.
Слід зазначити, що в перерахованих
десктопних ОС сімейства Windows компонент
Server за замовчуванням відключений, і для його активації користувачеві
необхідні права локального адміністратора. Таким чином, експлуатація подібної
уразливості стає можливою тільки за умов навмисної зміни стандартних
настроювань безпеки з боку користувача. Як попереджувальні міри автори вважають
за доцільне: доведення до відомості персоналу небезпеки подібних дій і введення
відповідальності за їхні наслідки; впровадження системи моніторингу, що дозволяє
системному адміністраторові оперативно відслідковувати спроби втручання в
систему; впровадження технічних мір заборонного характеру (відповідних групових
політик, обмежень на доступ до зовнішніх ресурсів, і т.ін.).
Потрібно враховувати, що Сonficker
може поширюватися й через USB-накопичувачі. Проблема в тім, що, при наявності
на флеш - накопичувачі вірусу, при
підключенні накопичувача автоматично
запускається й Сonficker. У цьому випадку необхідно в груповій політиці
відключити автоматичний запуск подібних накопичувачів. Це здійснюється за
допомогою команди gpedit.msc. Так само сучасне антивірусне програмне
забезпечення (ПО) блокує автозапуск і тим самим запобігає запуск вірусу.
В екстрених випадках варто взагалі заборонити використання флеш -
накопичувачів.
Через те, що Conficker установлює
з'єднання з певними доменами й перевіряє наявність відновлень, адекватною мірою
безпеки може бути створення централізованого списку довірених доменів/адрес
(white-list) і системи аналізу мережного трафіку, що відслідковує спроби
звертання до доменів, які не входять у цей список.
Об'єктами
контролю можуть бути: трафік у межах LAN, цілісність системних файлів,
працездатність антивірусного ПО й т.ін.
Аналіз мережного трафіку є одним з основних
методів забезпечення інформаційної безпеки. У цьому випадку, аналізуючи
мережний трафік, можна виявити наявність уражених ПК у локальній мережі й
вчасно запобігти поширенню вірусу.
Доцільним
представляється створення регульованого моніторингу
цілісності системних файлів, тому що Conficker
додає, видаляє або змінює окремі системні файли для одержання доступу до
ПК, блокує працездатність програм - антивірусів і їхнє відновлення. У випадку виникнення
подібної погрози, спеціальною утилітою, що виконує моніторинг системи, буде
відправлено повідомлення електронною поштою адміністраторові.
Впровадження
термінальної інфраструктури здатно зменшити ймовірність зараження
вірусами типу Conficker. Така інфраструктура має наступні переваги з
погляду безпеки для клієнта: збій або вимикання клієнтської станції не
спричиняє втрати даних або завершення сесії, тому що всі дані зберігаються на
сервері; можливість блокування або виключення з конфігурації терміналів
дисководів і інших накопичувачів (наприклад, USB-накопичувачів), а також жорстке розмежування прав доступу
унеможливлює доступність інформації співробітникам підприємства; забезпечується
можливість віддаленого контролю роботи користувача й навіть керування його
сеансом, що істотно підвищує підзвітність і ефективність роботи.
Порівняльний розрахунок тимчасових
витрат на обслуговування мереж з 15 робочих місць, побудованих з використанням
типової й термінальної технології наведено в таблиці 1 [2].
Таблиця 1
Виконувані
процедури |
Час (годинники
/ місяць) |
||
Типова мережа |
Термінальна
мережа |
||
Відновлення
сервісних і прикладних додатків |
|||
Пошук і вивчення |
4 |
4 |
|
Завантаження |
17 |
2 |
|
Відновлення |
22,5 |
1,5 |
|
Планові роботи |
|||
Резервне копіювання |
15 |
1 |
|
Перевірка на віруси |
15 |
1 |
|
Форс-мажорні
обставини |
|||
Усунення неполадок |
30 |
2 |
|
Загальний час |
103,5 |
11,5 |
Висновок Таким чином, для запобігання й мінімізації наслідків
від інформаційних погроз подібного роду автори вважають за доцільне
використання наступних мір:
-
введення
особистої відповідальності за збитки від порушень цілісності інформації, що
відбулися в результаті самовільної зміни настроювань операторами ПК;
-
введення
заборони на використання особистих USB-накопичувачів;
-
проведення
періодичних інструктажів з основ інформаційної безпеки;
-
проектування й
впровадження системи комплексного моніторингу, що дозволяє оперативно
відслідковувати зміни на клієнтських ПК і в межах локальної мережі;
-
впровадження
рішень, заснованих на термінальній технології;
-
впровадження
технічних мір заборонного характеру (відповідних групових політик, обмежень на
доступ до зовнішніх ресурсів, etc);
-
проведення
регулярного аудиту безпеки, при необхідності - із залученням зовнішніх
експертів.
Література:
1. http://webplanet.ru/news/security/2009/02/13/conficker.html
2. http://www.k-trade.ua/solutions/terminals.html