Зомби-сети

проблемы и перспективы

10-й Российский Интернет Форум

«Информационная безопасность»

Прозоров Александр Александрович

ИСТ ЛАЙН, Управляющая компания

1. Вступительное слово

2. Определения зомби-сети• Факт• Экономическое определение• Технологическое определение

3. Причины появления и существования зомби-сетей• Мейнстрим: парадигма жадности (максимизация прибыли)• “Среда обитания”: причины появления• “Среда обитания”: мета-уязвимости• “Среда обитания” место в удовлетворении потребностей общества

4. Модель спроса и предложения• Добавленная стоимость: принцип организации• Добавленная стоимость: архитектура• Добавленная стоимость: услуги• Добавленная стоимость: причины спроса• Тренды изменения спроса• Перспективы “среды обитания”

5. Тренды эволюции зомби-сетей

6. Способы снижения рисков• По направлению “Профилактика”• По направлению “Лечение”

7. Выводы

Структура доклада

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

Цель доклада

Поставить вопрос о расширении контекста рассмотрения зомби-сетей как сугубо технократического явления, указав при этом на его экономическую и социальную составляющие. Сделать упор на отсутствие случайности, которая могла бы лежать в основе зарождения зомби-сетей.

Целевые ориентиры доклада• Зомби-сети – “побочный” продукт эволюции массового ICT-

производства

• Зомби-сети – источник высокотехнологичного интереса, канализирующий умы талантливых разработчиков

• Зомби-сети – инструментарий “в руках” экономического интереса

• Зомби-сети – “неутешительные” тренды эволюции

• Зомби-сети – не “Судный день”, есть еще “место под Солнцем”

Вступительное слово

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

Определения зомби-сети

Факт:

Зомби-сеть – сеть из инфицированных вредоносным программным обеспечением машин (компьютеров), управляемая из центра. Пользователи инфицированных компьютеров не догадываются, что их машина используется кем-то, кроме них, т.к. факт заражения всяческим образом маскируется.

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

“Экономическое” определение:

Зомби-сеть – универсальная вычислительная распределенная среда, обладающая двумя ключевыми свойствами:

• Скрыт факт ее существования• Анонимен ее владелец

“Технологическое” определение:

Зомби-сеть – технология тиражирования скрытых сетей сбора, обработки и передачи данных, в задачи которой входит:

• Создание новых сетей• Наращивание популяции существующей сети• Гигиена и санация сети

“Среда обитания”: причины появления

Скоротечная мода на новые ICT-продукты и их массовое производство привели к появлению “среды обитания” зомби-сетей:

• Повсеместно используется массовый продукт с множеством незапланированных (неизвестных) свойств

• Повсеместно востребована массовая, низко квалифицированная рабочая сила

• Повсеместно используется громоздкий инструментарий, содержащий незапланированные свойства

• Повсеместно выстроена система обучения рабочей силы, ориентированная на выпуск специалистов узкой квалификации.

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

“Среда обитания”: мета-уязвимости

Массовый около-“информационный” культурно-технологический контекст воспроизводится и создает “полузнакомую” для обывателя среду – массовые информационно коммуникационные продукты. “Среда” таит в себе следующие ключевые возможности для злоумышленников :

1. До конца не известны многочисленные свойства, которыми она обладает (есть место уязвимостям)

2. Талантливые и неординарные представители рабочей силы не востребованы в массовом производстве – не вписываются в его рутинный процесс (идут в underground)

3. Массовость приобретает действительно массовые масштабы (вариабельность ICT-продуктов снижается, что ведет к снижению объема работы/сложности поиска уязвимостей).

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

“Среда обитания”: место в удовлетворении потребностей общества

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

Information and Comminucations Technology

Биологические потребности

Духовные потребности

Социальныепотребности

Материальныепотребности

Роль ICT в удовлетворении базовых потребностей общества

Добавленная стоимость: принцип организации

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

Добавленная стоимость: архитектура

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

Управление

Выполнение подгружаемого кода

Безопасные коммуникации

Транспорт

Маскировка

Межмодульные интерфейсы (API)

Интерфейс с внешней средой

Структура зомби-агента

Добавленная стоимость: услуги связи

“Anonymizer” – услуга по сокрытию информационной трансакции.

Гарантирует сокрытие факта обмена информацией, саму информацию и контрагентов, которые участвуют в трансакции. Используется для:

• Проведения сеанса обмена информацией, когда нужно скрыть сам факт обмена

• Распространения информации, когда нужно скрыть истинного инициатора обмена

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

“Скрытая сеть” – услуга по сокрытию канала обмена информацией.

Гарантирует сокрытие канала обмена информацией, саму информацию и контрагентов, которые участвуют в информационном обмене.

Используется для регулярного обмена конфиденциальной или противоправной информацией

Добавленная стоимость: услуги распределенных вычислений

“Стартовая площадка” – услуга по организации скрытой, массовой стартовой площадки.

Гарантирует одновременные, массированные, не поддающиеся контролю со стороны провайдеров, распределенные атаки или рассылки контента различного содержания. Используется для:

• Расширения популяции и создания новых зомби-сетей

• Рассылки рекламы (спама)

• Проведения атак DDoS

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

“Вычислительная площадка” – услуга по сокрытию канала обмена информацией.

Гарантирует одновременные, массированные, не поддающиеся контролю со стороны провайдеров, распределенные вычисления различного назначения. Используется для:

• Шпионажа различного вида и назначения

• Кражи конфиденциальной информации

• Кражи ICT ресурсов пользователей (вычисления “за чужой счет”)

Добавленная стоимость: причины спроса

Зомби-сети: проблемы и перспективыРИФ 2006: Информационная безопасность

Причины проведения вычислений “за чужой счет”:

Тариф может быть ниже, чем в вычислительных центрах (“чужие мощности в аренду”)

Цель вычислений противоречит международной морали и праву

Необходимо скрыть факт вычислений/владельца результатов вычислений

Причины проведения скрытых сеансов обмена информацией:

Тайный сговор участников рынка, например, биржевых трейдеров, с целью изменить стоимость заданных акций

Тайный сговор преступных, террористических или иных организаций

Распространение информации, компрометирующей влиятельные силы

Тренды изменения спроса

1. Растет традиционная преступная деятельность• Объем мирового преступного рынка в 2005 году – $1,5 трлн • Объем рынка ICT в 2005 году – €2 трлн (EITO)

2. Растет информационное насилие• The Washington Post: расходы США на демократию в мире в 2004 году – $1,2

млрд• Сенат США: дополнительное финансирование в 2006 году процесса развития

молодых демократий составит: Грузия – $70 млн, Россия – $85 млн, Украина – $95 млн.

3. Растет размер акционерного капитала, торгуемого на биржах• Годовой товарооборот биржи NYSE (New York Stock Exchange) в 2005 году –

$14 трлн.

4. Растет корпоративное мошенничество• Вице-премьер РФ Александр Жуков, октябрь 2004: “Главной причиной роста

цен на бензин в России является картельный сговор нефтяных компаний”. Антимонопольный комитет подтверждений его словам найти не смог.

• PricewaterhouseCoopers: за 2004 и 2005 годы сумма ущерба от “поддающегося оценке мошенничества” – в среднем $3.1 млн на одну российскую компанию и $1.7 на западную. Общий совокупный ущерб 1127 компаний из 34 стран, участвующих в исследовании, составил порядка $2 млрд.

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

“Среда обитания”: перспективы

• Высокий уровень источников легальных научно-практических знаний

• Высокий уровень автоматизации работ по созданию вредоносного кода

• Сокрытие трафика, курсирующего внутри зомби-сети

• Сокрытие вычислительной активности зомби-агентов

• Недопущение широкомасштабных эпидемий

• Использование массового ПО разных производителей

• Рост значения социальной инженерии

• Новое, неординарное и интересное – “магнит” для талантов и неординарности

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

Тренды эволюции зомби-сетей (итог)

• Снижение количества массовых эпидемий

• Рост профессионализма разработчиков зомби-сетей

• Рост числа адресных атак

• Усложнение условий работы для антивирусных компаний

• Увеличение количества узкоспециализированных зомби-сетей с небольшими популяциями

• Рост числа неизвестных зомби-сетей и сроков их жизни

• Эволюция жертвы: “жертва вируса” → “объект атаки” или “мул”

• Усложнение условий работы для корпоративных служб информационной безопасности

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

Направления снижения рисков: “Профилактика”

Снижение риска влияния “слабого звена”, за счет:

• Повышения информированности пользователей• Повышения лояльности сотрудников, снижение общей текучки, особенно

ротации на позициях, имеющих доступ к важной информации.

Увеличение защищенности пользователей в сетях провайдеров, в первую очередь “широкополосных“, за счет:

• Услуг по фильтрации трафика и антивирусной защите. Льготы провайдерам помогут облегчить бремя расходов на организацию услуг. Конкуренция заставит искать пути увеличения доходов за счет новых сервисов.

• Увеличения вариабельности ПО для “работы с сетью”. Поощрение пользователей, применяющих немассовое ПО для получения массовых “сетевых” услуг.

• Пакет услуг доступа включает обязательное автоматическое обновление ПО на предмет установки заплаток.

Увеличение защищенности пользователей в корпоративных сетях, за счет:

• Жесткой, глубокоэшелонированной политики разграничения прав доступа и фильтрации трафика

• Наличия в штате компаний высококвалифицированных специалистов по ИБ• Применения автоматизированных систем централизованного обнаружения

вирусной, и иной информационной опасности.

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

Направления снижения рисков: “Лечение”

• По факту обнаружения зомби-сетей – проводить тотальный аудит информационной безопасности, выявлять и публично наказывать виновных. Формирование у пользователя чувства неотвратимости наказания за нарушение режима информационной безопасности, является самым действенным стимулом этот режим не нарушать.

• По факту обнаружения заражения вредоносным кодом устранять технические причины заражения и пытаться проанализировать эти причины на предмет изменения общей стратегии ИБ, чтобы исключить появление этих и подобных причин впредь.

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

Выводы

• Зарождается новая отрасль экономики с огромным объемом рынка – “теневые вычисления” (Dark Computing)

• Рост рисков утечки конфиденциальной информации

• Рост рисков несанкционированного расхода ИТ и смежных ресурсов

• Рост расходов на безопасность в целом и на ИБ в частности.

РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы

Координаты

Прозоров Александр Александрович

prozoroff@mail.ru

Зомби-сети: проблемы и перспективыРИФ 2006: Информационная безопасность

Конструктивные вопросы приветствуются!