Помимо наблюдения и перехвата в режиме реального времени системы используются для анализа сетевых событий и оперативного розыска злоумышленника. Как правило, подобные системы не имеют в сети ни МАС-, ни IP-адреса, что мешает хакеру точно определить их «месторасположение». Среди популярных продуктов такого типа можно отметить Cisco IDS/IPS, StoneGate IPS, Radware Defense Pro, Juniper Networks Tap, Intrusion SecureNet, XSGuard IPS и TippingPoint.
Программно-аппаратное решение Cisco остается одним из самых востребованных — в первую очередь благодаря широкой функциональности. Система идентифицирует и блокирует червей, вирусы, троянцев, spyware и adware, используя неплохую подборку алгоритмов в своем анализаторе, причем проверка производится на скорости до 1 Гбайт/с. И еще Cisco IPS/IDS ориентирована на интеграцию с другими средствами сетевой безопасности от того же разработчика. В компании подобную ориентацию на связную работу нескольких своих продуктов именуют концепцией адаптивной защищенной сети (Self-Defending Network), а для управления группой устройств используется специализированная система центрального управления Cisco Works VMS.
В последней версии IPS поддерживается анализ аномалий (отклонений от RFC) таких протоколов, как ICMP, TCP, UDP, FTP, SMTP, HTTP, DNS, RPC, NetBIOS, NNTP, GRE и Telnet. Этот метод комбинируется с нормализацией трафика для перекрывания хакерам «обходных путей» и анализом изменений самого трафика. Среди особенностей Cisco IDS/IPS отметим обнаружение атак через VoIP-сервисы и интеграцию с системами корреляции событий.
Другой игрок на рынке сетевых IPS, компания Intrusion, прилагает к своему основному продукту SecureNet системы Provider (для сбора статистики с возможностями регрессионного анализа) и Nexus (для распространения обновлений). SecureNet работает на шести уровнях OSI: от канального до уровня приложений, поддерживая фильтры по MAC— и IP-адресам (для мониторинга виртуальных локальных сетей) и корреляцию данных по событиям, полученным от разных источников. В систему включен специализированный скриптовый язык для создания собственных сигнатур, средства совместной работы с системами управления сетями от других разработчиков (в том числе HP OpenView) и функции HoneyPot.
На последних хотелось бы остановиться подробнее, так как концепцию HoneyPot («горшок меда») без преувеличения можно назвать отдельной главой в истории противостояния хакеров и сисадминов. Впрочем, главная идея HoneyPot стара как мир — это ловля на живца. Программы, созданные в рамках этой концепции, имитируют работу сетевых систем. Хакер, «взламывающий» фальшивую сеть, автоматически становится объектом наблюдения службы безопасности, подсунувших ему «пустышку». Таким образом, HoneyPot-системы отводят удар от охраняемого объекта и попутно собирают всю возможную информацию о злоумышленнике[Подробно о HoneyPot писал Александр Красоткин в статье «Беспроводные сети. Взлом и защита» (спецвыпуск «КТ» от 15.01.04)].
Если в SecureNet используется «промышленный» вариант HoneyPot-системы, при котором основная цель — сбить хакера с пути, то компания TippingPoint применяет «мышеловки» в исследовательских целях. Помимо стандартных путей получения информации о новых уязвимостях и типах атак, вроде тесных контактов с крупными софтверными корпорациями, мониторинга хакерских форумов и пр., в компании используют обширную сеть HoneyPot-объектов. Механизм атаки, проводимой каждым «попавшимся» подопытным, изучается, проигрываются различные модификации обнаруженного метода вторжения и в итоге формируются обновления сигнатур и поведенческих профилей для «цифровой вакцины» (TippingPoint Digital Vaccine), которая автоматически загружается на системы клиентов.
И все же IPS далеки от совершенства. Сетевой криминалитет оперативно осваивает методы и средства противодействия новинкам в сфере компьютерной безопасности (бытует мнение, что хакеры всегда на шаг впереди). В частности, в Сети уже сейчас можно найти множество рецептов по обходу барьеров той или иной системы предотвращения вторжений.
Но по-настоящему опасны не столько множащиеся «отмычки», сколько свойственная людям безалаберность. Увы, далеко не всегда злоумышленникам приходится ломать голову над усыплением внимания анализатора IPS — по той простой причине, что распространенной практикой остается включение мультифункциональных сетевых систем в «усеченном» IDS-режиме. И это не специфика использования отдельно взятого типа ПО. Тех, кто инсталлирует антивирусы после заражения, гораздо больше, чем тех, кто держит софт запущенным в трее непрерывно. Главным оружием хакеров был и остается пресловутый «человеческий фактор». Ведь даже сисадминам ничто человеческое не чуждо…
Автор: Дмитрий Гуц
Все чаще мы убеждаемся, что развитие вредоносных программ для мобильных устройств идет одновременно с эволюцией самих устройств. И это неудивительно: чем сложнее устройство, тем труднее обеспечить его безопасность. А удивительно вот что: почему до сих пор не найдены надежные методы противодействия, почему антивирусная индустрия с многомиллионными оборотами всякий раз оказывается не готова к новой напасти и действует лишь по факту? Да и производители самих устройств явно не спешат исправить допущенные промахи. Множатся вирусы и трояны для мобильных устройств. Похоже, эту войну не выиграть, более того, она уже почти проиграна. Хуже всего дело обстоит со смартфонами под управлением Symbian.
Дмитрий Гуц — кандидат технических наук, ведущий программист отечественной фирмы MPulze (подразделения датской компании Daxx), занимающейся продвижением в Европе российских программных разработок. Одной из них является антивирус для мобильных телефонов, основанных на платформе Series 60 для операционной системы Symbian. Эта операционная система примечательна и сама по себе. Задуманная изначально как абсолютно защищенная, она, тем не менее, подверглась как минимум трем крупным вирусным атакам, и теперь многие владельцы телефонов опасаются доверять ей свои личные данные. В статье автор постарался объяснить, почему, по его мнению, несмотря на архитектурное «совершенство» системы, никто из ее пользователей не может чувствовать себя защищенным. — К.К.
Замах на рубль…
Операционная система Symbian была разработана специально для мобильных устройств. Ее создание началось еще в 1998 году в одноименной компании, организованной крупнейшими производителями — Ericsson, Nokia, Motorola и Psion. Symbian, имеет совершенную концепцию и изящное внутреннее строение, в корне отличающиеся от того, что предлагает Microsoft в своей операционной системе для этого рынка.
К сожалению, реализация Symbian оставляет желать лучшего. Код ядра имеет множество трудно обнаруживаемых ошибок и «странностей». API, реализованный в виде классов C++, изобилует ошибками и неточностями; стиль программирования, культивируемый Symbian, напоминает гибрид скриптового языка и худших возможностей C++. При изучении ОС создается впечатление, что команда программистов неоднократно менялась, и всякий раз разработку продолжали все менее квалифицированные люди, но непременно в сжатые сроки.
Перечисленные особенности сильно затрудняют разработку программ для Symbian, тем самым поднимая стоимость минимального набора программ для продвинутого пользователя до 200—300 долларов, что практически равно стоимости самого аппарата. Это обстоятельство готовит хорошую почву для нелегального программного обеспечения, давно распространяющегося через множество интернет-сайтов. Среди взломанных копий часто встречаются дистрибутивы, содержащие вирусы и/или троянские программы, которые нарушают нормальную работу смартфона.
Подпиши мне, подпиши…
Как средство борьбы с вредоносным софтом и пиратством Symbian предлагает свою программу Symbian Signed [ www.symbiansigned.com/app/page], суть которой сводится к подписи всего легального ПО цифровой подписью самой Symbian. С виду это кажется панацеей, поскольку в новых версиях ОС, начиная с 9.0, неподписанное ПО будет запускаться с серьезными ограничениями, такими как запрещение использования SMS, MMS, GPRS и др. Это значит, что создать функциональное приложение без подписи станет невозможно.
Если копнуть глубже, мы увидим, что за пышными словами о Symbian Signed скрывается совсем иная суть. Чтобы получить цифровую подпись Symbian, разработчику сначала нужно за приличную сумму (порядка 300 евро) купить удостоверяющий личность сертификат. Затем послать свое подписанное приложение одной из фирм-тестеров, список которых предоставляет Symbian. Тестирование заключается в проверке определенных условий, и надо заметить, не всегда обоснованных. Эти условия могут с переменным успехом либо выполняться, либо не выполняться на Symbian OS, которая и сама по себе изобилует ошибками. Одно тестирование обходится в 200—500 евро, при отрицательном результате их может быть множество. Если тестирование в конце концов пройдено, Symbian ставит подпись, и на этом выпуск версии заканчивается. Существует также множество промежуточных шагов, о которых тут не упомянуто. И когда версия выпущена, то при необходимости внести любое изменение процесс повторяется.
