Τεχνολογικές
απειλές
Κοντός Νικόλαος
Οι τεχνολογικές απειλές που έχουν προκύψει κατά τη διάρκεια των ετών
έχουν ακολουθήσει ένα παρόμοιο σχέδιο: Οι επιτιθέμενοι βρίσκουν τρόπο να παραβιάσουν
ένα σύστημα για να αποκτήσουν πρόσβαση σε πολύτιμες πληροφορίες και δεδομένα.
Σε απάντηση οι διαχειριστές συστημάτων και οι επαγγελματίες σε θέματα ασφάλειας
αναπτύσσουν νέες μεθόδους ανίχνευσης και πρόληψης. Οι επιτιθέμενοι βρίσκουν
έπειτα νέους τρόπους να παραβιάσουν τα συστήματα και να αποφύγουν την ανίχνευση
και οι διαχειριστές συστημάτων και οι επαγγελματίες σε θέματα ασφάλειας
αναπτύσσουν πάλι νέες μεθόδους ανίχνευσης και πρόληψης και αυτό αποτελεί έναν
ατέλειωτο κύκλο.
Με τις επιθέσεις και εισβολές να γίνονται πιο επιθετικές και
γρηγορότερες, δίδετε αυξανόμενη έμφαση στις συνεπείς αξιολογήσεις, τα
προληπτικά μέτρα, και τη διαχείριση ασφάλειας πληροφοριών. Ταυτόχρονα, οι
οργανώσεις εκθέτουν περισσότερα συστήματα και διαλύουν αποτελεσματικά τα όρια
μεταξύ αυτών που έχουν θεωρηθεί εσωτερικές και εξωτερικές απειλές. Επιπλέον, η
ανάγκη για τις ομάδες ΙΤ για να βρούν
νέους τρόπους να γίνουν περισσότερα με λιγότερους πόρους, ανακαλύπτουν
νέους τρόπους ώστε να επαναχρησιμοποιηθεί η υποδομή κεντρικών υπολογιστών.
Αυτή η ανακύκλωση, στη συνέχεια, έχει εκθέσει περισσότερους ΙΤ πόρους
-τέτοιους ως τους κεντρικούς υπολογιστές που μέχρι σήμερα έχουν εξεταστεί πολύ
ασφαλής- στις ίδιες προκλήσεις που αντιμετωπίζονται από τα διανεμημένα
συστήματα.
Για να καταλάβουμε αληθινά το τρέχον περιβάλλον ασφάλειας, πρέπει να
ερευνήσουμε προηγούμενες εμπειρίες μας, που μας οδήγησαν αυτές καθώς τι
κατάληξη είχαμε. Θα στηριχτούμε και θα «κτίσουμε» σε αυτό το σκεπτικό δεδομένου
ότι ερευνάμε συνεχόμενες απειλές σε δυναμικό και πόρους, οι οποίοι θα βάλουν
την προκαταρκτική εργασία για μια συζήτηση για τις αναδυόμενες απειλές.
Εξελισσόμενες απειλές στην
ασφάλεια πληροφοριών
Εξετάστε τα παραδείγματα των πρόωρων απειλών ασφάλειας. Όταν οι
επιτιθέμενοι «σπάζουν» και εισχωρούν σε συγκροτήματα και δίκτυα ηλεκτρονικών
υπολογιστών, αφήνουν αναπόφευκτα, ίχνη των δραστηριοτήτων τους. Οι διαχειριστές
συστημάτων θα μπορούσαν να χρησιμοποιήσουν τα λειτουργικών συστημάτων (OS) για
να ανιχνεύσουν την παραβίαση, έτσι οι χάκερ αποκρίθηκαν με λογισμικό Trojan Horse για να καλύψουν τα
ίχνη και συμπεριφορά των επιτιθεμένων. Σε απάντηση, οι διαχειριστές συστημάτων
χρησιμοποίησαν περιπλοκότερες τεχνικές όπως η έρευνα των δυαδικών αρχείων για
την αποκάλυψη σειρών παρείσφρυσης.
Το σχήμα 2.1 παρουσιάζει την εξέλιξη των πρόωρων παραβιάσεων στα
συστήματα Unix.
Σχήμα 2.1: Οι απειλές και τα
μέτρα προστασίας εξελίσσονται.
Οι διαχειριστές συστημάτων, θεωρητικά, μπορούν να ελέγξουν την κατάσταση
των συστημάτων τους με χρήση λογισμικού που τους πληροφορεί για τις υπηρεσίες,
διαδικασίες, τη διαμόρφωση των δικτύων και τη χρησιμοποίηση των πόρων του
δικτύου τους. Αυτά τα προγράμματα ήταν μερικοί από τους πρώτους στόχους των
επιτιθεμένων που θέλησαν να αποφύγουν την ανίχνευση. Δεδομένου ότι οι μέθοδοι
που αναπτύχθηκαν για να «σπάσουν» και να εισβάλουν στα συστήματα καθώς να
σβήσουν τα ίχνη, οι επιτιθέμενοι συνέλεξαν αυτά τα προγράμματα σε πακέτα/συσκευασίες,
αποκαλούμενες εξαρτήσεις ρίζας (root kits) και τα μοιράστηκαν ελεύθερα με άλλους
επιτιθεμένους. Το ανεπιτυχές αποτέλεσμα αυτής της συνεργασίας είναι ότι ένας
επιτιθέμενος με περιορισμένες γνώσεις και χωρίς την απαραίτητη πείρα αποτελούν
σοβαρή απειλή για την ασφάλεια συστημάτων και δικτύων.
Για περισσότερες πληροφορίες για την πρόωρη ιστορία των «διαρρήξεων» σε
συστήματα Unix και την εξέλιξη των εξαρτήσεων ρίζας (root kits), δείτε στο εξής link: http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq.
Θεωρήστε τους ιούς ηλεκτρονικού ταχυδρομείου για παράδειγμα. Αρχικά, οι
ιοί ηλεκτρονικού ταχυδρομείου ανιχνεύθηκαν από την εύρεση ενός συγκεκριμένου
σχεδίου, ή την υπογραφή, μέσα σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου. Οι
συγγραφείς ιών αποκρίθηκαν με την κρυπτογράφηση των ιών και την κωδικοποίηση
των ρουτινών αποκρυπτογράφησης μαζί με το ωφέλιμο φορτίο ιών. Οι μηχανές
αποκρυπτογράφησης είναι ανιχνεύσιμες, έτσι οι συγγραφείς ιών ανέπτυξαν
μεταμορφικές μηχανές για να αλλάξουν τις συντακτικές ιδιότητες των ρουτινών
αποκρυπτογράφησης. Αυτή η ανάπτυξη άλλαξε σημαντικά το τοπίο ανίχνευσης ιών.
Παρά την ανίχνευση ενός συγκεκριμένου σχεδίου κώδικα, το λογισμικό αντι-ιών
έπρεπε να ανιχνεύσει τους ιούς που βασίστηκαν στη συμπεριφορά εκτέλεσης ή κάποια
άλλη ταιριάζοντας με μέθοδο μη-σχεδίων (δείτε το σχήμα 2.2).
Σχήμα 2.2: Το δυναμικό σχέδιο επίθεσης/απάντησης
που βλέπει στους προηγούμενους τύπους επιθέσεων, συνεχίζεται μέχρι σήμερα.
Οι ιοί ηλεκτρονικού ταχυδρομείου έχουν εξελιχθεί έτσι σε περιπλοκότερες
μεθόδους επίθεσης. Μερικοί ιοί, γνωστοί ως συνδυασμένες απειλές, χρησιμοποιούν
πολλαπλές μεθόδους για να παραβιάσουν σχεδόν όλους τους τύπους συστημάτων και
χρησιμοποιόντας διάφορα μέσα έναρξης επιθέσεων.
Ο πρόσφατος ιός ηλεκτρονικού ταχυδρομείου Mydoom, παραδείγματος χάριν,
χρησιμοποιεί διάφορα τμήματα malware:
Þ Εγκαθίσταται μέσω του εξερευνητή παραθύρων (windows explorer) για να
προωθήσει ένα DDL που «ακούει» κάποια «πόρτα» ή «είσοδο» στο σύστημα, πιθανώς
για οδηγίες από το συντάκτη ιών;
Þ Μια διανεμημένη επίθεση με άρνηση υπηρεσιών
(DDoS) ενάντια στο site http://www.sco.com (καθώς περιλάμβανε επίθεση
DDoS στη MICROSOFT http://www.microsoft.com);
Þ Ένα αρχείο αντικατάστασης των συστημάτων (host file) για να αποτρέψει το
μολυσμένο υπολογιστή από την επίτευξη της επιχείρησης αντιιών και άλλων
ιστοχώρων προμηθευτών.
Αρχές
που μαθεύτηκαν από προηγούμενη εμπειρία
Ακριβώς από αυτά τα βασικά παραδείγματα των
πρόωρων παραβιάσεων λειτουργικών συστημάτων OS και των ιών
ηλεκτρονικού ταχυδρομείου, κάποιος μπορεί να σημειώσει διάφορες γενικεύσεις για
τη φύση των απειλών και της σχέσης τους με τη διαχείριση ασφάλειας. Κατ' αρχάς,
ο στόχος της διαχείρισης ασφάλειας είναι να προστατευθούν οι πόροι και οι
υπηρεσίες. Αυτά περιλαμβάνουν προφανή στοιχεία, όπως οι εφαρμογές, οι κεντρικοί
υπολογιστές και τα εμπιστευτικά στοιχεία, καθώς επίσης και άυλα αγαθά, όπως τα
εμπορικά σήματα επιχείρησης, η καλή θέληση πελατών και οι συμβατικές
υποχρεώσεις.
Δεύτερον, η διαχείριση ασφάλειας δεν είναι
μια στατική διαδικασία. Τα συστήματα πληροφοριών αλλάζουν συνεχώς καθώς οι νέες
εφαρμογές επεκτείνονται, τις αλλάζουν διαμόρφωση, και νέες τεχνολογίες - όπως
το ιντερνετικό ραδιόφωνο - εισάγεται.
Το Malware (όπως οι ιοί, τα
σκουλήκια, spam και κακόβουλοι κινητοί κώδικες) απειλούν να
αναστατώσουν και να βλάψουν την τεχνολογική υποδομή συστημάτων ΙΤ. Αυτές οι
απειλές εκμεταλλεύονται πολλές ευπάθειες, και εκμεταλλεύονται αδυναμίες στο
ηλεκτρονικό ταχυδρομείο, τα χαρακτηριστικά γνωρίσματα ξεφυλλιστή (web browser), διαμορφώσεις
κεντρικών υπολογιστών, και άλλα χαρακτηριστικά των διανεμημένων συστημάτων.
Οι ημέρες που εξαρτώμεθα με υπερασπίσεις
περιμέτρου για να αποτρέψουν την εισαγωγή του malware, έχουν περάσει.
Τα όρια μεταξύ "εσωτερικού" και "εξωτερικού" έχουν γίνει
θολωμένα καθώς οι επιχειρήσεις ενσωματώνουν τις διαδικασίες στις οργανωτικές
τους γραμμές.
Τρίτον, η ζημία από μια παραβίαση μπορεί
γρήγορα να αυξηθεί πέρα από την αρχική παρείσφρυση. Τα λειτουργικα συστηματα OS αλλάζουν, τα αρχεία διαμόρφωσης τροποποιούνται και τα backdoor προγράμματα
“φυτεύονται” στα συστήματα. Αυτά, στη συνέχεια, μπορούν να γίνουν το μαξιλάρι
έναρξης για έναν δεύτερο κύκλο επιθέσεων, όπως η εκτέλεση επιθέσεων DDoS ενάντια σε άλλα συστήματα.
Τέλος, η διαχείριση ασφάλειας απαιτεί τους διαχειριστές
συστημάτων να κρατήσουν τα συστήματά τους από το να γίνουν συστατικά ή «zombies», σε διανεμημένες επιθέσεις σε άλλα συστήματα. Αυτά περιλαμβάνουν και
τις επιθέσεις DDoS και τον πολλαπλασιασμό ιών ηλεκτρονικού
ταχυδρομείου. Η φτωχή ασφάλεια σε ένα σύστημα μπορεί να οδηγήσει σε επιθέσεις
πολλών άλλων συστημάτων. Το περιβάλλον ασφάλειας που δοκιμάζουμε σήμερα είναι
ένα προϊόν της προηγούμενης εμπειρίας και των τρέχουσων τεχνολογιών.
Στο επόμενο τμήμα αυτού του κειμένου θα
εξετάσουμε απειλές που βρίσκονται ανάμεσά μας για αρκετό χρόνο και θέτουν το
στάδιο για συζήτηση των αναδυόμενων απειλών.
Συνεχόμενες
απειλές σε πόρους και υπηρεσίες
Οι απειλές έρχονται με πολλές μορφές όπως
συνεπάγεται χαρακτηριστικά η κλοπή, η διάσπαση, ή η καταστροφή των ευαίσθητων
πληροφοριών. Κυμαίνονται από τις φυσικές απειλές, όπως η καταστροφή ενός
μηχανογραφικού κέντρου ΙΤ από πυρκαγιά, ως τις άυλες απειλές, όπως η
συγκεκαλυμμένη κλοπή των ιδιόκτητων πληροφοριών.
Κατά συζήτηση των απειλών, είναι χρήσιμο να
εξεταστούν οι ακόλουθες ερωτήσεις:
Þ Ποιο τύπο απειλής
εξετάζετε;
Þ Ποια είναι τα
δεδομένα που θέλετε να προστατεύσετε;
Þ Ποιος θα είναι ο
αντίκτυπος στην οργάνωση;
Þ Ποιος είναι ο
δράστης, ή πιό τεχνικά, ο πράκτορας απειλής;
Þ Ποια ευπάθεια
αξιοποιείται για να εκτελέσει την απειλή;
Þ Ποιο θα είναι το
αποτέλεσμα εάν η απειλή πραγματοποιηθεί;
Τα εξής τμήματα θα εξετάσουν τους
διαφορετικούς τύπους απειλών που καθοδηγούνται από αυτές τις ερωτήσεις.
Απειλή
της κλοπής πληροφοριών
Η κλοπή των πληροφοριών είναι η σημαντικότερη
απειλή δαπανών στην Οργάνωση, η κλοπή ταυτότητας είναι ακριβώς μια από τις
δαπανηρές συνέπειες της κλοπής πληροφοριών. Η κλοπή ταυτότητας κοστίζει στις
τράπεζες 1 δισεκατομμύρια δολλάρια ετησίως.
Η Επιτροπή Ηνωμένου ομοσπονδιακή εμπορίου (FTC) ανέφερε 161.000
περιπτώσεις της κλοπής ταυτότητας το 2002, αλλά το Ηνωμένο ομοσπονδιακό γραφείο
ερευνών (FBI) υπολογίζει ότι ο
πραγματικός αριθμός θυμάτων είναι περίπου 500.000.
Το κέντρο πόρων κλοπής ταυτότητας (http://www.idtheftcenter.org) υπολογίζει ότι το μέσο θύμα κλοπής ταυτότητας χρειάζεται 600 περίπου
ώρες για να ξεπεράσει το έγκλημα. Η ίδια μελέτη διαπίστωσε ότι οι επιχειρήσεις
χάνουν $40.000 έως $92.000 ανά όνομα σε ψευδείς δαπάνες.
Για περισσότερες πληροφορίες για το κόστος
της κλοπής ταυτότητας, δείτε http://msnbc.msn.com/id/3078480/.
Οι έρευνες εγκλήματος υπολογιστών για τις
οργανώσεις και μια δειγματοληψία των νομικών υποθέσεων απεικονίζουν το πεδίο
της κλοπής πληροφοριών.
Επιθέσεις συστημάτων
Σύμφωνα με έρευνα εγκλήματος υπολογιστών του
2003 CSI/FBI, το μέσο αναφερόμενο
κόστος σε μια οργάνωση, σαν αποτέλεσμα κλοπής πληροφοριών ανερχόταν σε $2,7 εκατομμύρια. Το υψηλό ποσό δολαρίων
αποδίδεται εν μέρει στις παραβιάσεις πνευματικών δικαιωμάτων (ειδικά με τη
μουσική και το βίντεο που μοιράζονται στα δίκτυα) αλλά περιλαμβάνει την κλοπή
άλλων υπηρεσιών. Η πλήρη έρευνα CSI/FBI είναι διαθέσιμη στον ιστοχώρο ιδρύματος ασφάλειας υπολογιστών στο http://www.gocsi.com/.
Το ΑΜΕΡΙΚΑΝΙΚΟ U.S. Department of
Justice Cybercrime division έχει στη κατοχή του κλοπές πληροφοριών, που περιλαμβάνουν:
Þ Ένας διευθυντής IT που καταδικάστηκε
για τη διανομής αξίας $2,2 εκατομμυρίων λογισμικού, παιχνίδια υπολογιστών,
ταινιών και μουσικής.
Þ Ένας παλαιός
επιτιθέμενος 25-ετών που καταδικάζεται για εισβολή στην εταιρία Axicom, και καταχράστηκε πληροφορίες πελατών, διαχείρισης επιχείρησης,
πιστωτικές κάρτες, τράπεζες, λιανοπωλητές, και άλλες επιχειρήσεις. Το κόστος
της παρείσφρυσης και της κλοπής υπολογίζεται σε $5,8 εκατομμύρια.
Þ Η πεποίθηση για
συνωμοσία του Ivanov Alexey, η παρείσφρυση
υπολογιστών, η απάτη υπολογιστών, η απάτη με πιστωτικές κάρτες, καθώς εκβιασμές
και δαπάνες, αφορούσαν την επίθεση σε δεκάδες κεντρικούς υπολογιστές ώστε να
κλέψουν τα ονόματα χρηστών, τους κωδικούς πρόσβασης, τις πληροφορίες πιστωτικών
καρτών, και άλλα οικονομικά στοιχεία. Οι συνολικές απώλειες είναι περίπου $25
εκατομμύρια δολλάρια.
Þ
Former Boeing Engineer
Charged with Economic Espionage in Theft of Space Shuttle Secrets for
Þ Πρωην μηχανικός της Boeing
υπεύθυνος για την οικονομική κατασκοπεία και
κλοπή μυστικών που αφορούν τα διαστημικά οχήματα πυκνών δρομολογίων (Space Shuttle)
προς την Κίνα – 11 ΦΕΒ 2008
ΟΥΑΣΙΓΚΤΟΝ, D.C. - ένας πρωην
μηχανικός της Boeing συλλήφθηκε την 11, Φεβ 2008 μετά απο
κατηγορία που αποδόθηκε την προηγούμενη εβδομάδα και αφορά οικονομική
κατασκοπεία και ενεργόντας ως μη καταγεγραμμένος ξένος πράκτορας της Λαϊκής
Δημοκρατίας της Κίνας (PRC), για τον οποίο ο
μηχανικός έκλεψε τα εμπορικά μυστικά Boeing σχετικά με
διάφορα αεροδιαστημικά προγράμματα, συμπεριλαμβανομένου του διαστημικού
οχήματος πυκνών δρομολογίων (Space Shuttle).
O Dongfan "Greg" Chung, 72 ετών, απο την Καλιφόρνια, που εργάστηκε
στην εταιρία Rockwell International από το 1973 μέχρι
την απόκτηση της διαστημικής μονάδας που αποκτήθηκε με Boeing το 1996,
συλλήφθηκε χωρίς να σημειωθεί κάποιο γεγονός στην κατοικία του από ειδικούς
πράκτορες του FBI και ανακριτές της NASA.
Þ Πρώην υπάλληλος St. Cloud Hospital ένοχος για εγκατάσταση "βόμβας λογικής"
σε υπολογιστή του νοσοκομείου.
Προγραμματιστής που εργαζόταν στο St. Cloud Hospital και δημιούργησε το
σύστημα εκπαίδευσης των εργαζομένων (Computer Based Training) του Νοσοκομείου κρίθηκε ένοχος σχετικά με την
τοποθέτηση "βόμβας λογικής" σε συγκρότημα ηλεκτρονικών υπολογιστών
του νοσοκομείου.
O Jeffery Howard Gibson, 30, βρέθηκε ένοχος στις 10 Ιαν. ενώπιον του
δικαστή Paul Magnuson του Ηνωμένου
περιφερειακού δικαστηρίου για σκόπιμη ζημία στο προστατευμένο συγκρότημα
ηλεκτρονικών υπολογιστών του Νοσοκομείου.
Η "βόμβα λογικής" είναι ένας
κακόβουλος κώδικας λογισμικού που είναι κρυμμένος σε ένα πρόγραμμα υπολογιστή
και σχεδιάζεται για "να ανατιναχτεί" σε μια μελλοντική ημερομηνία και
να προκαλέσει κάποια διευκρινισμένη ζημία. Ο Gibson εγκατέστησε τη
βόμβα προτού εγκαταλείψει την εργασία του στο νοσοκομείο τον Ιούνιο του 2006. Ο
κακόβουλος κώδικας ενεργοποιήθηκε τον Αύγουστο και καθιστούσε ανίκανο το
επιμορφωτικού πρόγραμμα. Το νοσοκομείο άρχισε αμέσως έρευνα σχετικά με τα
αιτία, ειδοποίησε την ομάδα εργασίας Cybercrime FBI και τελικά κατέληξε
στο συμπέρασμα ότι δεν θα μπορούσε να χρησιμοποιήσει ξανά το επιμορφωτικό
πρόγραμμα. O Gibson αντιμετωπίζει πιθανή ποινή 10 ετών σε
ομοσπονδιακή φυλακή και πρόστιμο $250.000.
Ενδεικτικά περιστατικά σοβαρών τεχνολογικών
απειλών και επιθέσων που συνέβησαν τα προηγούμενα έτη στην Αμερική:
ETOΣ 2007
Þ
Þ
Hackers from
Þ
Eight Arrests in
Multi-State Counterfeit Goods Trafficking Ring (March 7, 2007)
Þ
Defendant Sentenced For
Conspiring To Commit Computer Fraud And Identity Theft (
Þ
Massachusetts Man Charged
with Defrauding Cisco of Millions of Dollars Worth of Computer Networking
Equipment: Using False Identities and Private Mailboxes in at Least 39 States,
Suspect Allegedly Carried out the Fraud at Least 700 Times (February 28, 2007)
Þ
Þ
First Conviction in Hewlett
Packard Pretexting Investigation (
2006
Þ
Þ
Þ
Owner of P.C. Consultants
of Wadsworth, Inc. Charged with Computer Intrusion of
Þ
Þ
Statement of the Attorney
General on the Senate's Action on the Council of
Þ
Þ
Former Technology Manager
Sentenced To A Year In Prison For Computer Hacking Offense (
Þ
Þ
Former Federal Computer
Security Specialist Sentenced for Hacking Department of Education Computer (
Þ
"Botherder" Dealt
Record Prison Sentence for Selling and Spreading Malicious Computer Code (
Þ
Þ
Þ
Þ
Telemarketing Firm Official
Indicted in
Þ
Former Federal Computer
Security Specialist Pleads Guilty to Hacking Department of Education Computer (
Þ
Þ
Former Officer of Internet
Company Sentenced in Case of Massive Data Theft from Acxiom Corporation (
Þ
Grand Jury Returns
Indictment Charging Student with Accessing Protected Computer at
Þ
Þ
Þ
Þ
Azusa, California
"Phisher" Arrested for Posing as America Online Billing
Representative and Obtaining Personal Information from Subscribers (January 26,
2006)
Þ
Bot Herder Pleads Guilty to
Fraudulent Adware Installs and Selling Zombies to Hackers and Spammers (
Þ
2005
Þ
Man Pleads Guilty to
Infecting Thousands of Computers Using Worm Program then Launching them in
Denial of Service Attacks (
Þ
Þ
Former RNC New England
Regional Director Convicted in New Hampshire Phone Jamming Case (December 15,
2005)
Þ
Þ
Six Defendants Plead Guilty
in Internet Identity Theft and Credit Card Fraud Conspiracy (
Þ
Computer Virus Broker
Arrested for Selling Armies of Infected Computers to Hackers and Spammers (
Þ
Þ
Þ
Federal Jury Convicts
Former Technology Manager of Computer Hacking Offense Defendant Found Guilty of
Placing Computer "Time Bomb" On Employer's Network Following
Employment Dispute (September 8, 2005)
Þ
Creator and Four Users of
Loverspy Spyware Program Indicted (August 26, 2005)
Þ
Justice Department
Announces Conviction of Florida Man Accused of Massive Data Theft from Acxiom,
Inc. (August 12, 2005)
Þ
Disgruntled Phillies
Fan/Spammer Sent to Prison for Four Years (July 14, 2005)
Þ
Former Computer Science
Graduate Student Sentenced for Hacking Major Corporations (April 25, 2005)
Þ
Fairlawn, Ohio Man
Sentenced in e-Bay Auction Scam (March 28, 2005)
Þ
New York Teen Pleads Guilty
to Making Extortion Threats Against Internet Company (March 22, 2005)
Þ
Pleasant Hill, California
Computer Hacker from "Deceptive Duo" Guilty of Intrusions into
Government Computers and Defacing Websites (March 11, 2005)
Þ
Queens Man Sentenced to 27
Months' Imprisonment on Federal Charges of Computer Damage, Access Device Fraud
and Software Piracy (February 28, 2005)
Þ
New York Spammer Arrested
for Making Threats Against Internet Messaging Company and Sending More Than 1.5
Million Spam Messages (February 17, 2005)
Þ
Former IT Manager of
Software Firm Indicted on Computer Crime Charges (February 16, 2005)
Þ
Juvenile Sentenced for
Releasing Worm That Attacked Microsoft Web Site (February 11, 2005)
Þ
Computer Hacker Who
Victimized T-Mobile Pleads Guilty in Los Angeles Federal Court (February 15,
2005)
Þ
Minnesota Man Sentenced to
18 Months in Prison for Creating and Unleashing a Variant of the MS Blaster
Computer Worm (January 28, 2005)
Þ
Former Sacramento Man
Arrested in eBay Auction Scam (January 27, 2005)
2004
Þ
Hacker Sentenced to Prison
for Breaking into Lowe's Companies' Computers with Intent to Steal Credit Card
Information (December 15, 2004)
Þ
Fourth Defendant in Massive
Internet Scam Pleads Guilty to Fraud and Money Laundering Charges (November 18,
2004)
Þ
Nineteen Individuals
Indicted in Internet 'Carding' Conspiracy (October 28, 2004)
Þ
CHIPs Unit Established in
the Eastern District of California United States Attorney Office (October 19,
2004)
Þ
Ex-Official of Manhattan
Computer Consulting Firm Pleads Guilty to Computer Attack Charge (September 9,
2004)
Þ
California Man Admits
Hacking Into Computers of High-Technology Company (August 31, 2004)
Þ
Former Employee of a
Massachusetts High-Technology Firm Charged with Computer Hacking (August 23,
2004)
Þ
Six Internet Fraudsters
Indicted in International Conspiracy to Steal More Than $10 Million From
World's Largest Technology Distributor (August 4, 2004)
Þ
Vallejo, California Woman
Admits to Embezzling More Than $875,035 (July 28, 2004)
Þ
Florida Man Charged with
Breaking into Acxiom Computer Records (July 21, 2004)
Þ
China Citizen Pleads Guilty
to Unauthorized Access of a Software Company with Intent to Defraud (July 7,
2004)
Þ
Seattle, Washington Man
Arrested for Hacking into Internet Search Engine Alta Vista (July 2, 2004)
Þ
Cary Waage Sentenced to
Prison for his Role in $60 Million Internet Scam (July 9, 2004)
Þ
Federal Judge Sentences
Staten Island, New York Ex-Official of Local Internet Service Provider to
Prison for Computer Attack (June 16, 2004)
Þ
Wi-Fi Hacker Pleads Guilty
to Attempted $17,000,000 Extortion (June 8, 2004)
Þ
Vallejo, California Woman
Charged with Exceeding Authorized Computer Access to Embezzle More Than
$875,035 (May 27, 2004)
Þ
Fraudster Sentenced to
Nearly Four Years in Prison in Internet 'Phishing' Case: Spammer Posed as AOL
and Paypal to Con Customers into Providing Personal Information (May 18, 2004)
Þ
Pennsylvania Man Sentenced
to Prison for Accessing Massachusetts Investor’s On-line Investment Account and
Making $46,000 in Unauthorized Trades (May 5, 2004)
Þ
Department of Justice
Announces Arrests of Detroit-Area Men on Violations of the "Can-Spam"
Act (April 29, 2004)
Þ
Parma, Ohio Man Indicted
for Ebay Fraud, Credit Card Fraud, and Identity Theft (April 28, 2004)
Þ
Former Global Crossing
Employee Sentenced to 46 Months in Prison for Posting Thousands of Social
Security Numbers and Multiple Threats on his Internet Website (April 16, 2004)
Þ
Orange County, California
Man Indicted on Wiretapping Charges for Installing Spy Hardware on Employer's
Computer (March 23, 2004)
Þ
Oak Park, California
Computer Programmer Arrested for Extortion and Mail Fraud Scheme Targeting
Google, Inc. (March 18, 2004)
Þ
Mission Viejo, California
Teen Guilty in Internet Auction Fraud; Defendant Also Admits $400,000 Bank
Fraud (March 1, 2004)
Þ
Sewell, New Jersey Man
Sentenced to 37 Months in Prison for Defrauding eBay Bidders and Cashing Checks
from Stolen Mail (February 27, 2004)
Þ
'Cyberscammer' Sentenced to
30 Months for Using Deceptive Internet Names to Mislead Minors to X-Rated Sites
(February 26, 2004)
Þ
Former Employee of
Viewsonic Sentenced to One Year for Hacking into Company's Computer, Destroying
Data (February 23, 2004)
Þ
Louisiana Man Arrested for
Releasing 911 Worm to WebTV Users (February 19, 2004)
Þ
Two California Men Indicted
for Unlawfully Obtaining Credit Information, Attempted Credit Fraud (February
10, 2004)
Þ
Former Employees of
Dallas-based Car Parts Distributorship Charged with Repeatedly Intruding into
Competitor’s Computer Database for Commercial Advantage and Illegally Trafficking
in Computer Passwords. (February 9, 2004)
Þ
Man Pleads Guilty to
Gaining Unauthorized Access and Recklessly Damaging Computers of Several
High-Technology Companies Including eBay and Qualcomm From His Graduate School
Dorm Room (January 29, 2004)
Þ
Hacker Pleads Guilty in
Manhattan Federal Court to Illegally Accessing New York Times Computer Network
(January 8, 2004)
Þ
Mississippi Man Indicted
for Attempted Extortion of $2.5 Million from Best Buy Co., Inc. (January 6,
2004)
2003
Þ
Milford, Ohio Man Pleads
Guilty to Hacking (December 18, 2003)
Þ
Former Hellmann Logistics
Computer Programmer Sentenced for Unauthorized Computer Intrusion (December 5,
2003)
Þ
Former Global Crossing
Employee Convicted of Posting Threats on His Internet Website and Distributing
Information to be Used in Identity Theft (December 4, 2003)
Þ
Former Employee of American
Eagle Outfitters Sentenced to Prison for Password Trafficking and Computer
Damage (December 2, 2003)
Þ
Three Men Indicted for
Hacking into Lowe's Companies' Computers with Intent to Steal Credit Card
Information (November 20, 2003)
Þ
Two Alleged Computer
Hackers Charged in Los Angeles as Part of Nationwide 'Operation Cyber Sweep'
(November 20, 2003)
Þ
Two Alleged Computer
Hackers Charged in Los Angeles as Part of Nationwide 'Operation Cyber Sweep'
(November 20, 2003)
Þ
Sewell, New Jersey Man
Admits to Defrauding eBay Bidders and Cashing Checks From Stolen Mail (November
18, 2003)
Þ
Dallas, Texas FBI Employee
Indicted for Public Corruption (November 5, 2003)
Þ
Disgruntled Philadelphia
Phillies Fan Charged with Hacking into Computers Triggering Spam E-mail Attacks
(October 7, 2003)
Þ
Former Employee of
Viewsonic Pleads Guilty to Hacking into Company's Computer, Destroying Data
(October 6, 2003)
Þ
President of San Diego
Computer Security Company Indicted in Conspiracy to Gain Unauthorized Access
into Government Computers (September 29, 2003)
Þ
Juvenile Arrested for
Releasing Variant of Blaster Computer Worm That Attacked Microsoft (September
26, 2003)
Þ
Chicago Man Pleads Guilty
to
Þ
U.S. Charges Hacker with
Illegally Accessing New York Times Computer Network (September 9, 2003)
Þ
Southern California Man
Pleads Guilty to Fraud in Online Escrow Scam (September 5, 2003)
Þ
Minneapolis, Minnesota 18
year old Arrested for Developing and Releasing B Variant of Blaster Computer
Worm (August 29, 2003)
Þ
Former Computer Technician
in Douglasville, Georgia Arrested for Hacking into Government Computer Systems
in Southern California (August 25, 2003)
Þ
Former Chairman of the
Republican Party of Virginia Pleads Guilty and is Sentenced for
Wiretapping-Related Violation (August 12, 2003)
Þ
Sacramento, California
Woman Convicted of Embezzling More Than $910,000 In Computer Fraud Scheme
(August 1, 2003)
Þ
Russian Man Sentenced for
Hacking into Computers in the United States (July 25, 2003)
Þ
FBI Employee Arrested and
Charged in Three Federal Indictments (July 17, 2003)
Þ
Queens, New York Man Pleads
to Federal Charges of Computer Damage, Access Device Fraud and Software Piracy
(July 11, 2003)
Þ
Kazakhstan Hacker Sentenced
to Four Years Prison for Breaking into Bloomberg Systems and Attempting
Extortion (July 1, 2003)
Þ
Southern California Man Who
Hijacked Al Jazeera Website Agrees to Plead Guilty to Federal Charges (June 12,
2003)
Þ
Computer Hacker Sentenced
to One Year and One Day And Ordered to Pay More than $88,000 Restitution For
Series of Computer Intrusions and Credit Card Fraud (June 12, 2003)
Þ
Leader of $60 Million
Internet Scam Pleads Guilty to Fraud and Money Laundering Charges (May 16,
2003)
Þ
Three Californians Indicted
in Conspiracy to Commit Bank Fraud and Identity Theft (May 12, 2003)
Þ
Ex-employee of Airport
Transportation Company Guilty of Hacking into Company's Computer (April 18, 2003)
Þ
Student Charged with
Unauthorized Access to University of Texas Computer System (March 14, 2003)
Þ
St. Joseph, Missouri Man
Pleads Guilty in District's First Computer Hacking Conviction (March 13, 2003)
Þ
Computer Hacker Pleads
Guilty to Computer Intrusion and Credit Card Fraud (March 13, 2003)
Þ
California Woman Convicted
for Unauthorized Computer Access to Customer Account Information in Credit
Union Fraud Prosecution (March 10, 2003)
Þ
Los Angeles, California Man
Sentenced to Prison for Role in International Computer Hacking and Internet
Fraud Scheme (February 28, 2003)
Þ
Former Employee of American
Eagle Outfitters Indicted on Charges of Password Trafficking and Computer
Damage (February 26, 2003)
Þ
U.S. Convicts Kazakhstan
Hacker of Breaking into Bloomberg L.P.'s Computers and Attempting Extortion
(February 26, 2003)
Þ
Ex-employee of Airport
Transportation Company Arrested for Allegedly Hacking Into Computer, Destroying
Data (February 20, 2003)
Þ
Vista, California Man
Charged in Complex Internet Facilitated Wire Fraud Scheme (February 13, 2003)
Þ
Ohio Man Attacked NASA
Computer System Shutting Down Email Server (February 13, 2003)
Þ
Former Employee of
Viewsonic Arrested on Charges of Hacking into Company's Computer, Destroying
Data (February 6, 2003)
Þ
Pittsburgh, Pennsylvania
Man Convicted of Hacking a Judge's Personal E-Mail Account (January 23, 2003)
Þ
Alleged Leaders of $60
Million Internet Scam Indicted on Fraud and Money Laundering Charges (January
3, 2003)
2002
Þ
St. Joseph, Missouri Man
Charged in Western District's First Computer Hacking Indictment (December 20,
2002)
Þ
Man Indicted on Charges of
Defrauding Buyers Using eBay Internet Auction Service, Remains Fugitive
(December 20, 2002)
Þ
Two Los Angeles,
California, Men Accused of Operating Websites Selling Fake IDs Named in
Conspiracy; 5 Felons Who Applied for Bogus Documents also Charged (December 20,
2002)
Þ
U.S. Arrests Queens, New
York, Man on Computer Fraud Charges (December 20, 2002)
Þ
Disgruntled UBS PaineWebber
Employee Charged with Allegedly Unleashing "Logic Bomb" on Company
Computers (December 17, 2002)
Þ
U.S. Announces What is
Believed the Largest Identity Theft Case In American History; Losses are in the
Millions(November 25, 2002)
Þ
Hacker Pleaded Guilty to
Attacks on San Diego Auto Site (November 15, 2002)
Þ
London, England Hacker
Indicted Under Computer Fraud and Abuse Act For Accessing Military Computers
(November 12, 2002)
Þ
British National Charged
with Hacking Into N.J. Naval Weapons Station Computers, Disabling Network After
Sept. 11; Indictment Also Filed in Virginia For Other Military Intrusions
(November 12, 2002)
Þ
Florida Lawyer Charged in
Offshore Sports Betting Case (October 22, 2002)
Þ
Melvern, Ohio Man Sentenced
for Defrauding Bidders on eBay (October 16, 2002)
Þ
Russian Computer Hacker
Sentenced to Three Years in Prison (October 4, 2002)
Þ
Sacramento, California,
Woman Convicted of Committing Check 'Kite' Through Unauthorized Computer Access
(September 17, 2002)
Þ
Los Angeles, California
Woman Admits Bilking eBay Bidders (September 10, 2002)
Þ
San Gabriel Valley,
California Man Pleads to Illegally Accessing Former Employer's Computers
(September 9, 2002)
Þ
Defendant Sentenced in
Three Fraud Prosecutions for Online Auction, Telemarketing, and
Computer-Generated Counterfeit Check Scams (August 30, 2002)
Þ
Former LA Ram Sentenced in
eBay Internet Fraud Schemes (August 5, 2002)
Þ
San Fernando Valley
Residents Indicted in Scheme to Hack Into Software Firm Computer and Delete
$2.6 Million Project (August 2, 2002)
Þ
Fairfax, Virginia Man
Sentenced 144 Months for Internet Auction Fraud (July 16, 2002)
Þ
Internet Auction Scam
Results in Guilty Plea (July 8, 2002)
Þ
San Francisco Man Sentenced
for Selling Fake Derek Jeter and Normar Garciaparra Baseball Bats on eBay (July
2, 2002)
Þ
Owner of Internet Service
Provider Sentenced to 18 Months in Prison for Credit Card Scam (June 10, 2002)
Þ
Melvern, Ohio Man Indicted
for eBay Auction Fraud (June 5, 2002)
Þ
Internet Doctor Sentenced
to Over 4 Years in Prison (May 29, 2002)
Þ
Two Kazakhstan Citizens Accused
of Breaking Into Bloomberg L.P.'s Computer and Extortion are Extradited (May
21, 2002)
Þ
Defendant Pleads Guilty in
Three Fraud Prosecutions for Online Auction, Telemarketing, and
Computer-Generated Counterfeit Check Scams (May 17, 2002)
Þ
Twenty-Seven Month Sentence
in Internet Fraud Scheme to Defraud Priceline.Com and Others; Unauthorized
Computer Access Conspiracy (May 17, 2002)
Þ
Former Chief Technology
Officer Arrested for Computer and Voicemail System Intrusions; Transmitting
Threats Via the Internet (May 16, 2002)
Þ
Reynoldsburg, Ohio Man
Sentenced for Misuse of Law Enforcement Computer (May 8, 2002)
Þ
Green Bay, Wisconsin Man
Charged with Computer Intrusion, Software Piracy and Numerous Destructive Acts
(May 7, 2002)
Þ
San Jose, California Man
Pleads Guilty to Selling Explosives on eBay (May 2, 2002)
Þ
Creator of Melissa Computer
Virus Sentenced to 20 Months in Federal Prison (May 1, 2002)
Þ
U.S. Charges Engineer with
Computer Intrusion, Destruction of Database at Manhattan Apparel Company (April
26, 2002)
Þ
Man Pleads Guilty to
Unauthorized Access of Las Vegas Medical Imaging Computer System (April 17,
2002)
Þ
Computer Operator Sentenced
or Breaking Into Ex-Employer's Database (March 27, 2002)
Þ
Parma, Ohio Man Indicted
for Unauthorized Access into Computer System of Alltel Communications, Inc.;
Threatening E-Mails (March 26, 2002)
Þ
Five Guilty Pleas and Seven
Arrested for Wire and Securities Fraud in Connection with Collapse of
Apponline.com (March 12, 2002)
Þ
CHIPs Unit Established in
the Eastern District of California United States Attorney Office (March 5,
2002)
Þ
Man Sentenced for eBay
Auction Fraud of Certain Rare Baseball and Basketball Card Sets (March 4, 2002)
Þ
New York Electronic Crimes
Task Force Arrests Jacksonville, Florida, Man for One of the Largest Identity
Theft Cases in U.S. History (February 28, 2002)
Þ
Former Computer Network
Administrator at New Jersey High-Tech Firm Sentenced for Unleashing $10 Million
Computer “Time Bomb” (February 26, 2002)
Þ
Former Chase Financial
Corp. Employees Sentenced for Scheme to Defraud Chase Manhattan Bank and Chase
Financial Corporation (February 19, 2002)
Þ
Internet Doctor Convicted
in Oklahoma City (January 30, 2002)
Þ
Six Defendants Sentenced in
$16 Million Bogus Investment Scheme Marketed Over Internet (January 30, 2002)
Þ
San Francisco Man Pleads
Guilty to Unauthorized Access of Catholic Healthcare West Computer Causing
Damage (January 18, 2002)
Þ
CHIPs Unit Established in
the Eastern District of Virginia United States Attorney Office (January 14,
2002)
Οι πληροφορίες αυτές είναι από το τμήμα
εγκλήματος υπολογιστών και πνευματική ιδιοκτησία (CCIPS) του Ηνωμένου
τμήματος δικαιοσύνης (DoJ) καθώς τα στοιχεία αυτά
είναι απευθείας προσβάσιμα απο http://www.usdoj.gov/criminal/cybercrime/.
Οι εγκληματίες κλέβουν τις πληροφορίες και τα
δεδομένα με ποικίλους τρόπους.Σε μερικά από τα προηγούμενα παραδείγματα η
αναπαραγωγή του λογισμικού, που εγκαθήστατε στα συστήματα υπέκλεψαν πληροφορίες
και οικονομικά στοιχεία, και στοιχεία συναλλαγών, αυτές είναι μία συνήθες μέθοδος
κλοπής. Χωρίς κατάλληλους ελέγχους πρόσβασης σε ισχύ, η κλοπή μελών, με
μέθοδο κλοπής χαμηλής τεχνολογία, μπορεί
να είναι αρκετά επιτυχής.
Μέτρα
προστασίας ενάντια στις "εσωτερικές" απειλές
Στη
διαχείριση ασφάλειας συνεπάγονται πολλαπλάσια μέτρα προστασίας όπως
προσεγγίσεις βαλμένες σε στρώσεις (layered approach) ώστε να
αποτραπούν οι παρεισφρύσεις και ενδεχόμενες ζημιές, επειδή οι δράστες μπορούν
να διυσδίσουν από εντός της οργάνωσης. Οι παλαιές διακρίσεις "του
εσωτερικού" και "του εξωτερικού" δεν ισχύουν πλέον. Οι πελάτες,
οι επιχειρησιακοί συνεργάτες και οι προμηθευτές έχουν πρόσβαση στούς
επιχειρηματικούς πόρους και συστήματα μέσω των διανεμημένων συστημάτων που
λειτουργούν στα οργανωτικά όρια. Tα firewalls και τα συστήματα
ανίχνευσης παρείσφρυσης (IDSs) δεν μπορούν να
αποτρέψουν τους δυσαρεστημένους υπαλλήλους ή άλλoυς με νόμιμη
πρόσβαση, από την προώθηση των εσωτερικών επιθέσεων. Επίσης, οι υπάλληλοι δεν
ειναι απαραίτητο να είναι δυσαρεστημένοι. Η εύκολη πρόσβαση, απλά, βάζει σε πειρασμό
πολλούς. Για να ελαχιστοποιήσουμε τις απειλές από τους δράστες που έχουν κάποια
μορφή νόμιμης πρόσβασης, λαμβάνονται πολλαπλάσια μέτρα προστασίας και χρήσης.
Τα μέτρα προστασίας της ακεραιότητας ελέγχου και των αρχείων πρόσβασης πρέπει
να υιοθετηθούν για να περιορίσουν ακριβώς την πρόσβαση και να ανιχνεύσουν τις
αλλαγές στα κρίσιμα αρχεία. Στο Ι.Τ. προσωπικό πρέπει να χορηγηθεί η πρόσβαση
στα συστήματα μόνο όπως απαιτείται για τις εργασίες τους. Τα προγράμματα
ακεραιότητας αρχείων μπορούν να ανιχνεύσουν τις αναρμόδιες αλλαγές στα αρχεία
και τους καταλόγους συστημάτων.
Σε καθεστώς ασφάλειας συμπεριλαμβανομένης της
ανίχνευσης αλλαγής αρχείων και ανίχνευση "time-bomb" από κάποιο
δυσαρεστημένο διαχειριστή δικτύων, ειδικά όταν συνδυάζεται με αυστηρούς ελέγχους
πρόσβασης και τον κανονικό έλεγχο συστημάτων. Επίσης, οι απειλές από εκείνους
χωρίς νόμιμη πρόσβαση σε πόρους συστημάτων εξαρτώνται από τα πολλαπλάσια
στρώματα των μέτρων προστασίας ασφάλειας. Η διαχείριση ταυτότητας, οι έλεγχοι
πρόσβασης, τα Firewalls, IDSs, οι έλεγχοι
ακεραιότητας αρχείων και οι επίσημες πολιτικές και οι διαδικασίες,
διαδραματίζουν έναν σημαντικό ρόλο. Κάθε ένα από αυτά τα μέτρα προστασίας
ισχύει για τις επιθέσεις διάσπασης και καταστροφής καθώς επίσης και για την
κλοπή πληροφοριών.
Με αυτά τα αντίμετρα, κάθε ένα ξεχωριστά
αποικωνίζει ένα συγκεκριμένο τύπο απειλής, ένα καθεστώς ασφάλειας και επίδρασης
απαιτεί συντονισμό αντίστοιχων αντίμετρων. Τα κακώς ενσωματωμένα αντίμετρα
μπορούν να καταστήσουν τα συστήματα και τους πόρους τρωτούς σε επίθεση.
Η κλοπή των οικονομικών πληροφοριών
δημιουργεί επίσης, ζητήματα συμμόρφωσης με τους κανονισμούς Sarbanes-Oxley Act—SOX—and Graham
Leach Bliley Act—GLBA.. Μη συμμόρφωση με αυτούς τους κανονισμούς φέρουν
υψηλό κόστος για τις οργανώσεις.
Η προστασία από απειλές πνευματικών
δικαιωμάτων απαιτεί συστήματα ψηφιακής διαχείρισης δικαιωμάτων. Η παρεμπόδιση
των παραβιάσεων των συστημάτων εξαρτάται από τις καθορισμένα με σαφήνεια,
επιβεβλημένα πολιτικές ασφάλειας και τα μέτρα προστασίας λειτουργίας. Σε πολλές
περιπτώσεις, οι κρυπτογραφικές τεχνικές απαιτούνται επίσης για να αποτρέψουν
την κλοπή πληροφοριών. Παραδείγματος χάριν, αποθηκεύοντας τους κωδικούς
πρόσβασης μέσα σε ένα Λειτουργικό Σύστημα ή έναν ενιαίο sign-on (SSO) κεντρικό
υπολογιστή, που διαβιβάζει οικονομικά στοιχεία έξω από την οργάνωση, που
οργανώνει ένα ασφαλές κανάλι-ή ιδεατό ιδιωτικό δίκτυο (VPN)-πέρα από του
Διαδικτύου όλα εξαρτώνται από το σύστημα κρυπτογραφίας που χρησιμοποιεί.
Κρυπτογραφικές
επιθέσεις
Το σύστημα κρυπτογραφία χρησιμοποιείται για
να «ανακατώσει» τις πληροφορίες έτσι ώστε μόνο ο αποστολέας και ο προοριζόμενος
παραλήπτης μπορούν να έχουν πρόσβαση σε αυτές τις ευαίσθητες πληροφορίες. Από
πλευρά ασφάλειας, οι κρυπτογραφικές επιθέσεις ρυθμίζονται με διάφορους τρόπους.
Στο πιό βασικό επίπεδο, οι αποτελεσματικές πολιτικές κωδικού πρόσβασης
καθορίζονται και επιβάλλονται για να ελαχιστοποιήσουν την πιθανότητα των
επιτιθεμένων που ανακαλύπτουν τους κωδικούς πρόσβασης. Εκτός από την
παρεμπόδιση της αναρμόδιας πρόσβασης σε ένα σύστημα, κάποιο πρέπει επίσης να
εξασφαλίσει ότι τα ψευδή συστήματα δεν εμφανίζονται να είναι νόμιμοι πόροι.
Παραδείγματος χάριν, ένας δυσαρεστημένος υπάλληλος τραπεζών θα μπορούσε να
καθιερώσει έναν ιστοχώρο που έχει ένα παρόμοιο URL στον ιστοχώρο της
τράπεζας και εμφανίζεται να είναι νόμιμη υπηρεσία σε απευθείας σύνδεση με την
πραγματική τραπεζική υπηρεσία. Πώς εοι χρήστες ξεχωρίζουν τη διαφορά; Τα
ψηφιακά πιστοποιητικά από εμπιστευμένους τρίτους χρησιμοποιούν τις
κρυπτογραφημένες πληροφορίες για να επικυρώσουν την ταυτότητα ενός site αποτρέποντας να
πειράξουν το πιστοποιητικό. Η κρυπτογραφημένη επικοινωνία μεταξύ δύο
συμβαλλόμενων μερών εξαρτάται από αμφότερα τα συμβαλλόμενα μέρη που διαθέτουν
τις πληροφορίες που τους επιτρέπουν σε unscramble τα μηνύματα άλλου
συμβαλλόμενου μέρους αποτρέποντας άλλα από να κάνουν το ίδιο πράγμα. Η
διαχείριση αυτών των πληροφοριών, επίσης γνωστών ως κλειδί, είναι μια
ουσιαστική διοικητική λειτουργία ασφάλειας.
Εσωτερικές
κρυπτογραφικές επιθέσεις
Η φύση των διαδικασιών συστήματος
κρυπτογραφίας, που κρυπτογραφεί απλό κείμενο στο κρυπτογράφημα και που
αποκρυπτογραφεί πίσω σε απλό κείμενο (δείτε το σχήμα 2.3) καθώς τα πρωτόκολλα
για την οργάνωση των ασφαλών επικοινωνιών είναι τρωτά σε διάφορες επιθέσεις.
Σχήμα
2.3: Η επιτυχής χρήση του συστήματος κρυπτογραφίας εξαρτάται από την αποτροπή
των επιτιθεμένων από κλοπή ή την ανακάλυψη των κλειδιών κρυπτογράφησης και
αποκρυπτογράφησης.
Επιθέσεις
κρυπτογραφημάτων
Διάφορες επιθέσεις είναι βασισμένες σε
επιτιθέμενο που έχει αντίγραφα ενός ή περισσότερων μηνυμάτων απλού κειμένου και
κρυπτογραφημάτων. Σε ένα κρυπτογράφημα-μόνο επίθεση, ο επιτιθέμενος προσπαθεί
να ανακαλύψει το κλειδί κρυπτογράφησης με την ανάλυση διάφορων κωδικοποιημένων
μηνυμάτων. Όσο πιό μακροχρόνιο το κλειδί κρυπτογράφησης, τόσο δυσκολότερα το
κλειδί μπορεί να επιτεθεί. Τα σύντομα κλειδιά, όπως ένα κλειδί 56-bit
DES εύκολα «σπάει». Τα πιό μακροχρόνια κλειδιά, όπως
το κλειδί 168-bit που χρησιμοποιείται τριπλός αλγόριθμος DES, θεωρούνται αυτήν την περίοδο ασφαλής από «ράγισμα». Οι παραλλαγές στο
κρυπτογράφημα-μόνο επίθεση περιλαμβάνουν τη γνωστή plaintext επίθεση, την
επιλεγμένη plaintext επίθεση, και την
επιλεγμένη επίθεση κρυπτογραφημάτων.
Επιθέσεις Man-in-the-Middle
Οι επιθέσεις Man-in-the-Middle εξαπατούν δύο
θύματα που σκοπεύουν να επικοινωνήσουν μέσο δικτύου. Ο επιτιθέμενος
παρεμποδίζει την κυκλοφορία δικτύων μεταξύ των δύο και αλλάζει τις πληροφορίες
που στέλνονται σε κάθε θύμα χωρίς γνώση τους. Παραδείγματος χάριν, ένας
ανώτερος υπάλληλος στέλνει μήνυμα σε έναν βοηθό που ζητά μεταφορά κεφαλαίων από
την επιχείρησή τους σε έναν προμηθευτή για να εξασφαλίσει μια διαπραγμάτευση
για αγορά νέου εξοπλισμού. Ο ανώτερος υπάλληλος αποστέλει τον αριθμό
δρομολόγησης της τράπεζας (bank routing number και account number) στο μήνυμα. Το μήνυμα
παρεμποδίζεται από τον επιτιθέμενο, οι αριθμοί δρομολόγησης αλλάζουν και το
τροποποιημένο μήνυμα στέλνεται στο βοηθό που μεταφέρει τα κεφάλαια στον
λογαριασμό του επιτιθεμένου.
Αυτός
ο τύπος επίθεσης λειτουργεί όταν μπορεί να προσδιορίσει ο επιτιθέμενος τα
συστήματα προέλευσης (source και target) των θυμάτων, να
παρακολουθήσει το δίκτυο, να παρεμποδίσει τα πακέτα μεταξύ των θυμάτων και να
τροποποιήσουν τα μηνύματα. Όπως με άλλους τύπους επιθέσεων, τα εργαλεία είναι
εύκολα διαθέσιμα στην ενίσχυση για Man-in-the-Middle επιθέσεις. Μερικά
από τα πιό γνωστά εργαλεία είναι το Hunt, T-sight και Juggernaut.
Ένα κρυπτογραφημένο κανάλι επικοινωνίας
μπορεί να αποτρέψει αυτήν την επίθεση εφ' όσον δεν παρεμποδίζει ο επιτιθέμενος τα
κλειδιά καθώς ανταλλάσσονται. Οι ψηφιακές υπογραφές στα μηνύματα και τις
αφομοιώσεις μηνυμάτων χρησιμοποιούνται επίσης για να εξασφαλίσουν ότι τα
μηνύματα είναι αυθεντικά και δεν τροποποιούνται καθ'οδόν (δείτε το σχήμα 2.4).
Σχήμα
2.4: Οι ψηφιακές υπογραφές ή οι αφομοιώσεις μηνυμάτων που κρυπτογραφούνται με
το ιδιωτικό κλειδί κρυπτογράφησης του αποστολέα μπορούν να αποτρέψουν τις Man-in-the-Middle επιθέσεις.
Επιθέσεις
επανάληψης
Μια επίθεση επανάληψης επαναχρησιμοποιεί τις
εμπιστευτικές πληροφορίες που συλλαμβάνονται από ένα sniffer ή άλλη παθητική
συσκευή. Παραδείγματος χάριν, ένα sniffer θα μπορούσε να
συλλάβει τα πακέτα που περιέχουν τις πληροφορίες επικύρωσης που
χρησιμοποιούνται αργότερα για να έχουν πρόσβαση σε ένα σύστημα. Οι επιθέσεις
επανάληψης μπορούν να αποτραπούν με τη χρησιμοποίηση του μοναδικού τμήματος IDs συνόδου και μηνυμάτων.
Οι αποστολείς συνδέουν αυτά τα IDs με τα μηνύματα όταν αυτά αποστέλονται και οι παραλήπτες καταγράφουν
αυτά τα IDs για μελλοντική αναφορά. Όταν ένας παραλήπτης
λαμβάνει ένα μήνυμα, ελέγχει ότι το τμήμα IDs συνόδου και
μηνυμάτων δεν έχει χρησιμοποιηθεί πριν και εάν έχει θεωρεί ότι το μήνυμα έχει
επαναληφθεί.
Το Encapsulating Security Payload (ESP), επιγραφή στο
προτόκολλο IP (έκδοση 4 και 6) χρησιμοποιεί αυτό το τύπο
μηχανισμού αντι-επανάληψης.
Επιθέσεις
λεξικών (Dictionary Attacks)
Οι κωδικοί πρόσβασης κρυπτογραφούνται γενικά
με μονόδρομες λειτουργίες που είναι εύκολο να υπολογιστούν αλλά δύσκολο, εάν μη
αδύνατο, να αντιστρεφθούν. Όταν ένας επιτιθέμενος κλέβει ένα αρχείο κωδικού
πρόσβασης, παρά το χαμένο χρόνο προσπαθώντας να αποκρυπτογραφήσει το αρχείο, ο
επιτιθέμενος θα μπορούσε να συγκρίνει το αρχείο με έναν κατάλογο γνωστών
κωδικών πρόσβασης που έχουν κρυπτογραφηθεί με την ίδια μονόδρομη λειτουργία
(δείτε το σχήμα 2.5). Αυτή η μέθοδος είναι μια επίθεση λεξικών.
Για να αποτρέψουν τις επιτυχείς επιθέσεις
λεξικών, οι διαχειριστές συστημάτων και οι επαγγελματίες ασφάλειας συστήνουν
δύσκολους κωδικούς πρόσβασης. Αυτοί περιλαμβάνουν γενικά κωδικούς πρόσβασης που
έχουν τα ακόλουθα χαρακτηριστικά:
Þ Ένα λογικό ελάχιστο μήκος (τουλάχιστον οκτώ
χαρακτήρες)
Þ Ένας συνδυασμός κεφαλαίων και μικρών
γραμμάτων
Þ Τουλάχιστον ένας αριθμός και άλλος ειδικός
χαρακτήρας (όπως @, $,!)
Þ Σειρές χαρακτήρων που δεν βρίσκονται σε
λεξικά ή που χρησιμοποιούνται σε ονόματα
Οι επιβεβλημένες πολιτικές κωδικού πρόσβασης
που περιλαμβάνουν απαιτήσεις όπως αυτές μπορούν να ελαχιστοποιήσουν την
πιθανότητα μιας επιτυχούς επίθεσης λεξικών.
Σχήμα
2.5: Οι επιθέσεις λεξικών είναι επιτυχείς όταν επιτρέπονται κακώς επιλεγμένοι
κωδικοί πρόσβασης.
Απειλή
διάσπασης και καταστροφής
Οι απειλές για να αναστατώσουν τις υπηρεσίες
και να καταστρέψουν τις πληροφορίες είναι οι πιό κοινοί τύποι επιθέσεων.
Σύμφωνα με την πιό πρόσφατη έρευνα εγκλήματος υπολογιστών του CSI/FBI, 82 τοις εκατό ή
εναγόμενοι είχαν δοκιμάσει μια επίθεση ιών και 42 τοις εκατό είχαν δοκιμάσει
μια επίθεση DoS (δεύτερη σε κόστος μόνο στην κλοπή
πληροφοριών). Η έρευνα της CSI/FBI υπολογίζει ότι το
συνολικό κόστος στους εναγομένους ήταν περισσότερα από $67 εκατομμύρια το 2003.
Αυτή η κατηγορία περιλαμβάνει διάφορους
τύπους επιθέσεων:
·
DoS
·
Domain spoofing
·
Viruses and worms
·
Web browser exploitation
Αυτός ο κατάλογος δεν είναι ένας πλήρης
κατάλογος όλων των τύπων επίθεσης διασπάσεων και καταστροφής - για παράδειγμα,
το Spam, εκούσιο και ανεπιθύμητο ηλεκτρονικό ταχυδρομείο,
έχει γίνει επίσης μια σημαντική απειλή στις υπηρεσίες, προσκρούοντας το εύρος
της ζώνης δικτύων, την απόδοση συστημάτων ηλεκτρονικού ταχυδρομείου, την
αποθήκευση δικτύων, και τον τελικό χρήστη.Αυτό μας δίνει κάποια αίσθηση των πιό
κοινών τύπων επιθέσεων.
Επιθέσεις DoS
Οι DoS επιθέσεις,
επιδιώκουν να στερήσουν τους χρήστες από την πρόσβαση στους πόρους των
συστημάτων.
Χαρακτηριστικά, αυτή η επίθεση
πραγματοποιείται για να συντρίψει έναν κεντρικό υπολογιστή με τα αιτήματα για
έναν πόρο, όπως το εύρος ζώνης, συνδέσεις, διάστημα δίσκων, μνήμη και λοιπά.
Μια άλλη μορφή αυτής της επίθεσης περιορίζει
την πρόσβαση στις υπηρεσίες με την αλλαγή των πληροφοριών διαμόρφωσης. Τον
Φεβρουάριο του 2000 το Yahoo!, Buy.com, EBay, Amazon.com και CNN.com βρέθηκαν θύματα επιθέσεων DoS για διάρκεια δύο
ημερών. Τα site τους πλημμύρισαν με την κυκλοφορία άχρηστων
πακέτων, μια τεχνική αποκαλούμενη πλημμύρα πακέτων, έτσι ώστε οι νόμιμοι
χρήστες να μην μπορούν να έχουν πρόσβαση σε εκείνες τις περιοχές.
Μια άλλη μορφή τέτοιας κυκλοφορίας άχρηστων
πακέτων είναι ψευδή αιτήματα για τις συνδέσεις. Αυτά τα αιτήματα σύνδεσης
χρησιμοποιούν τις ψεύτικες επιστροφές διευθύνσεων, έτσι όταν αποκρίνεται ο
κεντρικός υπολογιστής, δεν μπορεί να βρεί τον κεντρικό υπολογιστή που άρχισε το
αίτημα. Ο επιτεθειμένος κεντρικός υπολογιστής θα κρατήσει τη σύνδεση ανοικτή
για το ψευδές αίτημα για κάποια χρονική περίοδο (παραδείγματος χάριν, 1 λεπτό)
πρίν το κλείσει. Όταν χιλιάδες απο αυτά τα ψευδή αιτήματα υποβάλλονται, ο
κεντρικός υπολογιστής εξαντλεί την ομάδα συνδέσεών του, η οποία αποτρέπει την
πρόσβαση στους χρήστες (δείτε το σχήμα 2.6).
Σχήμα 2.6: Οι DoS επιθέσεις
συντρίβουν τους κεντρικούς υπολογιστές με ψευδή κυκλοφορία και αιτήματα για
συνδέσεις, εξαντλώντας τελικά τους πόρους ενός κεντρικού υπολογιστή.
Μια περιπλοκότερη έκδοση αυτής της επίθεσης
είναι η επίθεση DDoS (δείτε το σχήμα 2.7). Αυτός ο τύπος επίθεσης
μπορεί να εμφανιστεί σε δύο φάσεις: Κατ' αρχάς, ο δημιουργός της επίθεσης
τοποθετεί ένα αντίγραφο του προγράμματος DoS για ένα τρωτό
σύστημα.
Αυτά τα προγράμματα DoS έχουν ως σκοπό να
προωθήσουν μια συντονισμένη επίθεση σε έναν συγκεκριμένο χρόνο ή μετά από ένα
ιδιαίτερο γεγονός. Οι DDoS επιθέσεις είναι
δυσκολότερο να σταματηθούν από τις παραδοσιακές επιθέσεις DoS λόγω των πολλαπλών πηγών της επίθεσης. Είναι επίσης δύσκολο να
επισημανθεί η επίθεση πίσω στο δημιουργό.
Σχήμα
2.7: Η χρήση επιθέσεων DDoS συμβίβασε τα συστήματα ή
"zombies" για να προωθήσει μια συντονισμένη επίθεση.
Μια άλλη μορφή DoS επίθεσης που
επιτίθεται στις πληροφορίες διαμόρφωσης αλλαγών για τα συστήματα στόχων. Σε
συστήματα με εγκατεστημένα Windows, αυτή η επίθεση μπορεί να συνεπάγεται με τις
τοποθετήσεις registry ή τα αρχεία διαμόρφωσης δικτύων.
Παραδείγματος χάριν, στην περίπτωση του πρόσφατου ιού ηλεκτρονικού ταχυδρομείου
Mydoom, ένα συστατικό DoS τροποποίησε το
εδρεύον αρχείο host-file για να χαρτογραφήσει τα ονόματα περιοχών του
προμηθευτή αντιιών σε μια ψευδή διεύθυνση IP, 0.0.0.0.
παρόμοιες επιθέσεις μπορούν να εμφανιστούν στα συστήματα Linux και Unix.
Oι επιθέσεις DoS μπορούν να έρθουν επίσης μέσα από την οργάνωση. Η επίθεση βομβών
δικράνων (fork bomb attack), παραδείγματος χάριν, ωοτοκεί συνεχώς τις διαδικασίες έως ότου
καταναλώνονται οι πόροι των συστημάτων. Μια άλλη τεχνική είναι να παραχθούν
επανειλημμένα λάθη συστημάτων έως ότου γεμίζουν τα αρχεία ημερολογίου (log
files)
και καταναλώνεται το διαθέσιμο διάστημα δίσκων. Η παρεμπόδιση οποιουδήποτε
τύπου επίθεσης DoS είναι δύσκολη. Επειδή οι διευθύνσεις των
επιτιθέμενων DoS χρησιμοποιούν ψεύτικες IP, είναι δύσκολο να προσδιοριστεί η πηγή και να την αποτρέψουν από τη
συνέχιση της επίθεσης. Μερικά εργαλεία πακέτων DoS, αλλάζουν πηγές
και προορισμό στα πακέτα για να καταστήσουν την ανίχνευση και την καταστολή
δυσκολότερη. Τα προγράμματα DoS γίνονται πιό περίπλοκα,
χρησιμοποιούν εναλλακτικά πρωτόκολλα όπως η συνομιλία ηλεκτρονόμων Διαδικτύου (IRC) και ενσωματώνουν μηχανισμούς αναδιμηουργίας. Το σκουλήκι SQL Slammer, παραδείγματος χάριν, εκμεταλλεύτηκε μια
ευπάθεια στη βάση δεδομένων κεντρικών υπολογιστών της Microsoft SQL και διαδόθηκε εντός λίγων λεπτών, σε μεγάλο μέρος του Διαδικτύου.
Για να αποτρέψουν τις επιθέσεις DoS, τα sniffers ανίχνευσης παρείσφρυσης
και δικτύων μπορούν να ανιχνεύσουν τα επαναλαμβανόμενα σχέδια (patterns) στα πακέτα
δικτύων και να εμποδίσουν εκείνα τα πακέτα σε ένα firewall, προστατεύοντας
κατά συνέπεια τα συστήματα μέσα σε αυτό. Εντούτοις, οι πόροι είναι ακόμα μη
διαθέσιμοι για να «νομιμοποιήσουν» τη χρήση απο εξωτερικούς χρήστες.
Κατάχρηση και
«Πίσω Πόρτες» (Insider Abuse
and Backdoors)
Μερικές φορές οι πιό καταστρεπτικές απειλές
δημιουργούνται μέσα στην ίδια την
οργάνωση. Παραδείγματος χάριν, προηγούμενος διαχειριστής δικτύων
δημιούργησε ένα "time-bomb" (έναρξη
καταστρεπτικού λογισμικού σε συγκεκριμένη ημερομήνια και ώρα) και διέγραψε όλο
το περίπλοκο λογισμικό κατασκευής των κεντρικών υπολογιστών του προηγούμενου
εργοδότη του. Η διάσπαση αυτή, κόστισε στην επιχείρηση τουλάχιστον $10
εκατομμύρια σε πωλήσεις και μελλοντικές
συμβάσεις.
Οι χαρακτηριστικοί τύποι επιθέσεων εισβολέων
περιλαμβάνουν:
Þ Κατανάλωση πόρων
μέσω των εσωτερικών επιθέσεων DoS
Þ Εμπιστευτικές
πληροφορίες ξεφυλλίσματος και αντιγραφής
Þ Χορήγηση των
πρόσθετων προνομίων
Þ Απάτη και άλλη κλοπή
Όπως σημειώθηκε νωρίτερα, η διάκριση μεταξύ
των εσωτερικών και εξωτερικών απειλών σε μια οργάνωση δεν είναι πλέον χρήσιμη.
Είναι καλύτερο να διακριθούν οι χρήστες από το νόμιμο επίπεδο πρόσβασής τους.
Οι υπεύθυνοι για την ανάπτυξη και οι διαχειριστές συστημάτων έχουν τα υψηλά
επίπεδα πρόσβασης. Αυτοί οι ρόλοι απαιτούν τα υψηλά επίπεδα ελέγχων,
παρακολούθησης και επιβολή πολιτικής. Ο ίδιος μηχανισμός ελέγχου πρόσβασης που
αποτρέπει τους επιτιθεμένους μπορεί να διατηρήσει τους κατάλληλους περιορισμούς
στους νόμιμους χρήστες.
Αρνηση
των υπηρεσιών από την υποκρισία περιοχών
(Denying Services by Domain Spoofing)
Οι κεντρικοί υπολογιστές συστημάτων Domain Name System (DNS), που είναι αρμόδιοι
για τα ονόματα περιοχών χαρτογράφησης, όπως www.mydomain.com σε μια διεύθυνση
IP.
Oι
κεντρικοί υπολογιστές DNS αποκρίνονται στις
ερωτήσεις της DNS βάσης δεδομένων και αποκρίνονται με τον έναν
από τους εξής τέσσερις τρόπους:
Þ Εάν ο κεντρικός υπολογιστής έχει τη
χαρτογράφηση από το όνομα περιοχών στη διεύθυνση IP που εναποθηκεύεται,
επιστρέφει τη διεύθυνση IP.
Þ Εάν ο κεντρικός υπολογιστής δεν εναποθηκεύει
το όνομα περιοχών, ο κεντρικός υπολογιστής να ρωτήσει έναν DNS
κεντρικό υπολογιστή για τις πληροφορίες.
Þ Ο κεντρικός υπολογιστής μπορεί να απαντήσει
στην ερώτηση με την επιστροφή της διεύθυνσης ενός άλλου DNS κεντρικού υπολογιστή που μπορεί να ανταποκριθεί στο
αίτημα.
Þ Ο κεντρικός υπολογιστής μπορεί να παραγάγει
ένα λάθος για ένα άκυρο αίτημα.
Μόλις ανακτήσει ένας DNS κεντρικός υπολογιστής
μια διεύθυνση IP για ένα όνομα περιοχής, οι κρύπτες (cache μνήμη) κεντρικών υπολογιστών κρατάει όλες τις
πληροφορίες για μια προκαθορισμένη χρονική περίοδο, η οποία ονομάζεται περίοδος
Time
to Live (TTL). Θεωρητικά, οι κεντρικοί υπολογιστές DNS πρέπει μόνο να δεχτούν τις πληροφορίες περιοχών από
έναν εξουσιοδοτημένο κεντρικό υπολογιστή.
Στην πράξη, οι προηγούμενες εκδόσεις των δημοφιλών κεντρικών υπολογιστών
DNS, συμπεριλαμβανομένης τoy δημοφιλούς Berkley Internet Name Domain (BIND), μπορούν να δεχτούν και να εναποθηκεύσουν τις ψεύτικες
χαρτογραφήσεις ονόματος περιοχών με συνέπεια την υποκρισία ονόματος περιοχών.
Σχήμα
2.8: Κυκλοφορία υποκρισίας περιοχών (Domain spoofing reroutes) από το νόμιμο στόχο του σε έναν τρίτο.
Τα βήματα 1 έως 3 εξηγούν πώς ένας DNS server πρέπει κανονικά να επιλύσει ένα όνομα περιοχών σε
μια διεύθυνση IP. Όταν μια υπηρεσία Διαδικτύου, όπως το FTP ή το ηλεκτρονικό ταχυδρομείο, χρειάζεται μια σύνδεση σε μια υπηρεσία σε
κάποιο άλλο κεντρικό υπολογιστή, οι πρώτες ερωτήσεις υπηρεσιών ένας DNS κεντρικού υπολογιστή για τη διεύθυνση IP. Η σωστή
διεύθυνση IP επιστρέφεται και η σύνδεση γίνεται στην
υπηρεσία του στόχου. Στο βήμα 4, ο τρωτός DNS κεντρικός
υπολογιστής είναι στην εναποθήκευση μιας ανακριβούς διεύθυνσης IP για την περιοχή β. Από εκείνο το σημείο , η κυκλοφορία στην περιοχή β
καθοδηγείται στη διεύθυνση IP του επιτιθεμένου αντί
στην περιοχή β.
Ιοί
Οι ιοί είναι από καιρό ένα σοβαρό πρόβλημα
στην ασφάλεια υπολογιστών. Με την εμφάνιση του PC, οι πρόωροι ιοί
διαδόθηκαν με τη μόλυνση των δισκετών που χρησιμοποιήθηκαν σε PCs. Σήμερα, το ηλεκτρονικό ταχυδρομείο, η συνομιλία Διαδικτύου και άλλα
πρωτόκολλα είναι ο πιό κοινός τρόπος μετάδοσης. Τα νέα κανάλια μετάδοσης είναι
ένας λόγος για τη γρήγορη διάδοση των ιών, ένας άλλος λόγος είναι η
εξελισσόμενη φύση των ίδιων των ιών. Οι ιοί έχουν γίνει όλο και περισσότερο πιό
σύνθετοι και είναι δυσκολότερο να ανιχνευθούν.
Τρεις ευρείες κατηγορίες ιών, στην αυξανόμενη
πολυπλοκότητα, είναι οι εξής:
Þ Unencrypted, στατικοί ιοί
Þ Κρυπτογραφημένοι
ιοί
Þ Πολύμορφοι ιοί
Αυτές οι κατηγορίες αντιπροσωπεύουν τις τεχνικές που χρησιμοποιούνται
από τους συγγραφείς ιών για να αποφύγουν την ανίχνευση. Αυτές οι τεχνικές
μπορούν να χρησιμοποιηθούν με τους διαφορετικούς τύπους ιών,
συμπεριλαμβανομένης του boot, του αρχείου, και
των μακρο ιών, οι οποίοι ποικίλλουν με τη μέθοδο επίθεσης.
Ανεξάρτητα από το πώς ένας ιός καλύπτει την
ταυτότητά του ή το πώς στοχεύει σε ένα σύστημα, όλοι έχουν τρία συστατικά:
Þ Ωφέλιμο φορτίο
Þ Μέθοδος
Þ Όρο ενεργοποίησης
ή ημερομηνία ώθησης
Ένα ωφέλιμο φορτίο είναι ο κώδικας που
εκτελείται μόλις προκληθεί ο ιός και μπορεί να είναι τόσο απλός όπως
επιδεικνύοντας ένα μήνυμα ή τόσο κακόβουλος όπως διαγράφοντας τα αρχεία. Οι
μέθοδοι ποικίλλουν από τον τύπο ιού. Παραδείγματος χάριν, μερικοί μακρο ιοί Microsoft Word που διαδίδονται με τη μόλυνση του προτύπου normal.dot. Κάποια πρόσφατη διάδοση ιών ηλεκτρονικού
ταχυδρομείου με την αποστολή των αντιγράφων τους στις διευθύνσεις που
βρίσκονται στο βιβλίο διευθύνσεων ενός μολυσμένου χρήστη.
Πολλοί ιοί προκαλούνται όταν ανοίγει ένας
χρήστης μια μολυσμένη σύνδεση και άλλοι ενεργοποιούνται αυτόματα μια
προκαθορισμένη ημερομηνία.
Ανίχνευση
απλών ιών
Unencrypted, στατικοί ιοί
είναι ευκολότερο να ανιχνευθούν. Αυτοί οι ιοί είναι όπως τα συμβατικά
προγράμματα δεδομένου ότι δεν κρυπτογραφούν ή ειδάλλως δεν κρύβουν τον
εκτελέσιμο κώδικά τους. Το λογισμικό αντι-ιών ανιχνεύει εύκολα αυτούς τους ιούς
με την έρευνα, προσδιορίζοντας σχέδια του κώδικα. Αυτά τα σχέδια ή οι
υπογραφές, είναι αρκετά για να μειώσουν την πιθανότητα των ψεύτικων θετικών.
Κρυπτογραφημένοι
ιοί
Μετά από το σχέδιο που σημειώθηκε στην αρχή
αυτού του κεφαλαίου, οι συγγραφείς ιών αποκρίθηκαν στις τεχνικές ανίχνευσης
αντι-ιών με μεθόδους ώστε να παρακαμφθεί το απλό ταίριασμα σχεδίων. Η
κρυπτογράφηση του ιού είναι το πρώτο βήμα (δείτε το σχήμα 2.9).
Σχήμα
2.9: Οι κρυπτογραφημένοι ιοί πρέπει να φέρουν τον κώδικα αποκρυπτογράφησης και
το κλειδί αποκρυπτογράφησης μαζί με το ωφέλιμο φορτίο ιών.
Ένα κρυπτογραφημένο αρχείο έχει ακόμα τα
μοναδικά σχέδια που θα μπορούσαν να χρησιμοποιηθούν με την υπογραφή-ανίχνευση
του λογισμικού αντι-ιών.
Οι συγγραφείς ιών απέφυγαν αυτό, με την
επιλογή τυχαίων κλειδιών κρυπτογράφησης και
διαφορετικών μεθόδων κρυπτογράφησης. Ο Αχιλλέας (Achilles) θεραπεύει αυτή
τη τεχνική και είναι ο κώδικας αποκρυπτογράφησης που πρέπει να συμπεριληφθεί με
τον ιό. Οι ανιχνευτές αντι-ιών είναι σε θέση να ανιχνεύσουν για εκείνο τον
κώδικα και να προσδιορίσουν τους ιούς. Μερικοί ιοί, όπως ο ιός φαλαινών (Whale), χρησιμοποιεί
διάφορα σχέδια κρυπτογράφησης και επομένως διαφορετικό κώδικα
αποκρυπτογράφησης. Οι ανιχνευτές αντι-ιών χρειάζονται μια μοναδική υπογραφή για
κάθε τύπο σχεδίου αποκρυπτογράφησης προκειμένου να ανιχνευθεί αυτός ο ιός.
Πολύμορφοι
ιοί
Οι επιτιθέμενοι έκαναν την επόμενη κίνηση.
Δημιούργησαν ιούς που αλλάζουν με κάθε μόλυνση χρησιμοποιώντας μια μηχανή
μεταλλαγής. Η μηχανή μεταλλαγής αλλάζει τον κώδικα ιών κατά τέτοιο τρόπο ώστε
αλλάζει το δυαδικό αρχείο χωρίς αλλαγή της συμπεριφοράς των προγραμμάτων (δείτε
το σχήμα 2.10).
Οι χαρακτηριστικές τεχνικές περιλαμβάνουν τα
εξής:
Þ Αλλαγή της θέσης
των ανεξάρτητων οδηγιών
Þ Προσθήκη άχρηστης
πληροφορίας όπως καμία λειτουργία (NOP)
Þ Η χρησιμοποίηση
διαφορετικών οδηγιών που έχουν την ίδια επίδραση, παραδείγματος χάριν
"αφαιρεί 2 από το Α" ή "προσθέστε -2 στο Α"
Οποιοσδήποτε συνδυασμός αυτών των τεχνικών
μπορεί να χρησιμοποιηθεί όσες φορές επιθυμεί και το καθιστούν αδύνατο να
εξαρτηθεί από την ανίχνευση υπογραφών για να προσδιορίσει με αποτελεσματικότητα
τους ιούς. Νέες τεχνικές έπρεπε να αναπτυχθούν για να προσδιορίσουν τους
πολύμορφους ιούς.
Ο
νέος τομέας Malware
Στις αρχές της δεκαετίας του '90, το malware ήταν χαρακτηριστικά ένας ενιαίος τύπος απειλής, όπως ένας ιός τομέα boot, ένας μακρο ιός,
ένας έμμεσος ιός ή μια επίθεση DoS. Αυτές οι απειλές
χρησιμοποίησαν μια ενιαία μέθοδο επίθεσης, παραδείγματος χάριν, μέσω του
ηλεκτρονικού ταχυδρομείου ή μέσω ενός δωματίου συνομιλίας (Chat
Room).
Σήμερα, το malware αποτελείται από έναν συνδυασμό πολλαπλάσιων
τύπων επιθέσεων και μεθόδων, με συνέπεια συνδυασμένες απειλές. Μερικές από
αυτές τις απειλές χρησιμοποιούν αυτοματοποιημένες τεχνικές και μεθόδους για να
ψάξουν τις ευπάθειες των συστημάτων. Ο αντίκτυπος στη διαχείριση ασφάλειας είναι
σαφής: Οι απαντήσεις συστημάτων στις απειλές, όπως τα firewalls και το λογισμικό
αντιιών, δεν είναι ικανοποιητικές. Η ασφάλεια πρέπει να ρυθμιστεί ανάλογα στις
πλατφόρμες και τις υπηρεσίες. Πρέπει επίσης να περιλάβει τα μέτρα προστασίας
για τις εσωτερικές καθώς επίσης και εξωτερικές απειλές. Αυτό το τμήμα θα
εξετάσει αρχικά τις συνδυασμένες απειλές, κατόπιν παράδειγμα "ιού"
που είναι πραγματικά περισσότερο επικίνδυνο από το παραδοσιακό ηλεκτρονικό
ταχυδρομείο malware.
Χαρακτηριστικά
συνδυασμένων απειλών
Οι συνδυασμένες απειλές μπορεί να είναι
οποιοσδήποτε συνδυασμός μεθόδων επίθεσης και μεθόδων διάδοσης. Πολλοί απο
αυτούς, που διαδίδονται όπως το πρόγραμμα-σκουλήκι (worms) που διαδίδεται μέσω
ευπαθειών σε ένα δίκτυο. Αντίθετα από τους αληθινούς ιούς, τα σκουλήκια δεν
εξαρτώνται από άλλες εφαρμογές για να εργαστούν.
Ο ακόλουθος κατάλογος προσφέρει τα γενικά
χαρακτηριστικά των συνδυασμένων απειλών:
Þ Όπως τους
συμβατικούς ιούς, οι συνδυασμένες απειλές μπορούν να βλάψουν τα αρχεία, να
αλλοιώσουν τις διαμορφώσεις των Λειτουργικών Συστημάτων και να συντρίψουν τους
πόρους δικτύων. Η κοινή ζημία περιλαμβάνει τις μεταβαλλόμενες τοποθετήσεις registry, εγχέοντας
κακόβουλο κώδικα στο Λειτουργικό και προσθέτοντας scripts στις σελίδες HTML.
Þ Οι συνδυασμένες
απειλές διαδίδουν μέσω των πολλαπλάσιων μεθόδων και μπορούν μερικές φορές να
αποφύγουν τα κοινά μέτρα προστασίας. Παραδείγματος χάριν, το Fizzer είναι ένας ιός με ενσωματομένη μηχανή SMTP και εξαπλώνεται
στο δίκτυο Kazaa. Τα μέτρα προστασίας στα εταιρικά συστήματα
ηλεκτρονικού ταχυδρομείου παρακάμπτονται και στις δύο περιπτώσεις.
Þ Οι συνδυασμένες
απειλές μπορούν να περιλάβουν τις ρουτίνες που εξετάζουν για τις γνωστές
ευπάθειες, όπως οι υπερχειλίσεις απομονωτών και η χρήση των κωδικών πρόσβασης
προεπιλογής στους προκαθορισμένους απολογισμούς.
Þ Οι νεώτερες
απειλές κάνουν τη μεγαλύτερη χρήση των δικτύων για να διατηρήσουν το malware αφότου έχει μολύνει ένα σύστημα. Τα σκουλήκια όπως Fizzer συνδέονται με έναν ιστοχώρο για να μεταφορτώσουν τις αναπροσαρμογές
στον ιό.
Þ Οι συνδυασμένες
απειλές μπορεί να περιέχουν επίσης, βασικά προγράμματα δικτύων. Όπως
σημειώνεται, ο ιός Fizzer έχει τη δικιά του μηχανή SMTP, ο ιός Lovsan έχει μια ενσωματωμένη τετριμμένη χρησιμότητα
πρωτοκόλλου μεταφοράς αρχείων (TFTP).
Λεπτομερές
παράδειγμα συνδυασμένης απειλής
Το σκουλήκι Fizzer είναι ένα
πρωταρχικό παράδειγμα μιας συνδυασμένης απειλής. Το malware διαδίδεται ως
επισύναψη ηλεκτρονικού ταχυδρομείου. Όταν ένας χρήστης ηλεκτρονικού
ταχυδρομείου ανοίγει τη σύνδεση, τα αντίγραφα ιών τοποθετούν ένα αρχείο στον
κατάλογο συστημάτων του Λειτουργικού Συστήματος της Microsoft
Windows,
τοποθετεί έπειτα άλλα δύο αρχεία, μια βιβλιοθήκη DDL και άλλης μίας
εκτελέσιμης, στον κατάλογο συστημάτων.
Η βιβλιοθήκη χρησιμοποιείται για να
καταγράψει τις πληκτρολογήσεις και άλλος ο εκτελέσιμος χρησιμοποιείται για να
συγκεντρώνει εκ νέου τον ιό. Έπειτα, μια είσοδος προστίθεται στο ληξιαρχείο
παραθύρων (registry) που ενεργοποιεί
το σκουλήκι για κάθε σύνοδο παραθύρων. Προσπαθεί επίσης να σταματήσει
οποιοδήποτε λογισμικό αντι-ιών που εκτελείται αυτήν την περίοδο. Μόλις
εγκατασταθεί, ο ιός αρχίζει να διαδίδεται. Με τη διάδοση ηλεκτρονικού
ταχυδρομείου, οι αναζητήσεις ιών των διευθύνσεων ηλεκτρονικού ταχυδρομείου,
εξετάζει τους φακέλλους και τους φακέλλους στόχων άλλων Λειτουργικών
Συστημάτων.
Τα μολυσμένα μηνύματα στέλνονται σε όλες τις
διευθύνσεις που βρέθηκαν στις επιστροφές διεύθυνσης. Οι διευθύνσεις επιλέγονται
τυχαία από έναν κατάλογο μεγάλων περιοχών ηλεκτρονικού ταχυδρομείου, όπως msn.com, yahoo.com, και hotmail.com.
Τα λαμβάνοντα ονόματα, θέματα, ονόματα
σύνδεσης και οι οργανισμοί μηνυμάτων επιλέγονται από έναν κατάλογο μέσα στο
ωφέλιμο φορτίο ιών. Το σκουλήκι ψάχνει επίσης για όμοιος φακέλλους δικτύων Kazaa. Εάν υπάρχει, ο ιός αντιγράφεται σε κοινό φάκελλο. Οι χρήστες που
μεταφορτώνουν και εκτελούν τα αρχεία από εκείνο τον φάκελλο μολύνουν τα
συστήματά τους. Το σκουλήκι δημιουργεί τρεις έμμεσους μηχανισμούς. Κατ' αρχάς,
προσπαθεί να συνδέσει με διάφορους κεντρικούς υπολογιστές IRC και μόλις συνδεθεί, ο ιός δημιουργεί bots πιθανώς έτσι ώστε
ο συντάκτης ιών μπορεί να διανείμει τις εντολές στο μολυσμένο σύστημα.
Δημιουργεί επίσης έναν νέο στιγμιαίο χρήστη αγγελιοφόρων AOL και συνδέεται με ένα δωμάτιο συνομιλίας (Chat Room) περιμένοντας
πιθανώς οδηγίες.
Τέλος, χρησιμοποιεί τις πόρτες 2018 μέχρι το
2021 για να αφουγκραστεί τις εντολές από έναν μακρινό οικοδεσπότη.
Οι συνδυασμένες απειλές, όπως το Fizzer και το Mydoom, διαδίδονται γρήγορα και μπορούν να
επιβάλουν σημαντική ζημία των συστημάτων. Οι επαγγελματίες ασφάλειας δεν
εξετάζουν πλέον μια ενιαία DoS επίθεση, έναν ιό
ηλεκτρονικού ταχυδρομείου ή ένα backdoor, αντίθετα
έρχονατι αντιμέτωποι με όλα τα παραπάνω. Αυτές οι αναδυόμενες απειλές απαιτούν
μια πιό ολιστική, ολοκληρωμένη προσέγγιση στη διαχείριση της επιχειρηματικής
ασφάλειας (δείτε το σχήμα 2.11).
Σχήμα
2.11: Οι συνδυασμένες απειλές συνδυάζουν τις πολλαπλάσιες μορφές malware σε ένα ενιαίο ωφέλιμο φορτίο.
Phishing και
απειλές στην ακεραιότητα εμπορικών σημάτων
Εκτός από τις απειλές στις φυσικές
πληροφορίες υποδομής, οι διευθυντές ασφάλειας πληροφοριακών συστημάτων,
αντιμετωπίζουν προκλήσεις απευθυνόμενοι σε άυλα assets. Η πειρατεία της
ταυτότητας εμπορικών σημάτων, είναι η διαδικασία που ονομάζεται Phishing.
Το Phishing, που ξεκίνησε ως
τέχνασμα που χρησιμοποιήθηκε από τους telemarketers για να
συγκεντρώσουν πληροφορίες από τους ηλικιωμένους, έχει γίνει μια προεξέχουσα
απειλή σε απευθείας σύνδεση με επιχειρησιακές υπηρεσίες.
Το Phishing είναι ένα scam στο οποίο ένας δράστης μεταμφιέζεται ως νόμιμη επιχείρηση για να
εξαπατήσει τα θύματα στην αποκάλυψη των προσωπικών πληροφοριών με τη
χρησιμοποίηση ποικίλων τεχνικών. Πολλοί χρησιμοποιούν το ηλεκτρονικό
ταχυδρομείο ως όχημα για να ζητήσουν πληροφορίες. Η διαδικασία αρχίζει με
αποστολή μεγάλης μάζας μηνυμάτων με το ηλεκτρονικό ταχυδρομείο ζητώντας απο τον
παραλήπτη να ενημερώσει τις πληροφορίες Λογαριασμών Τραπεζών ή ειδάλλως να παρέχει
άλλες προσωπικές πληροφορίες. Το ηλεκτρονικό ταχυδρομείο είναι υποτίθεται απο
μια τράπεζα, κάποια online υπηρεσία ή κάποιο προμηθευτή που έχει μια
μεγάλη σύνδεση βάσης πελατών. Το μήνυμα περιέχει μια σύνδεση με έναν phishing τόπο νόμιμος-κοιτάγματος επί του οποίου τα θύματα προτρέπονται για
αποστολή των πληροφοριών.
Οι οικονομικές υπηρεσίες και οι σε απευθείας
σύνδεση υπηρεσίες είναι δημοφιλείς στόχοι για scams. Σύμφωνα με την
ομάδα εργασίας αντι-Phishing (http://www.antiphishing.org), η Citibank, U.S. Bank, Bank One, Fleet, Wells Fargo Bank, PayPal, eBay, Yahoo!,
Το Phishing είναι βιώσιμη
επίθεση για διάφορους λόγους:
Þ Είναι αρκετά απλό να
σφυρηλατήσει μια επιστροφής διεύθυνση σε SMTP
Þ Οι δράστες μπορούν
εύκολα να αντιγράψουν τα αρχεία κώδικα και εικόνας HTML από τις νόμιμες
περιοχές για να δημιουργήσουν μια phishing περιοχή.
Þ Οι περιοχές URL είναι συχνά παρόμοιες με τις νόμιμες διευθύνσεις
Þ Οι καταναλωτές,
πολύ συχνά απληροφόρητοι, εμπιστεύονται τις επιχειρήσεις που έστειλαν υποθετικά
το ηλεκτρονικό ταχυδρομείο.