Upload
maxim-borzov
View
238
Download
0
Embed Size (px)
Citation preview
Зомби-сети
проблемы и перспективы
10-й Российский Интернет Форум
«Информационная безопасность»
Прозоров Александр Александрович
ИСТ ЛАЙН, Управляющая компания
1. Вступительное слово
2. Определения зомби-сети• Факт• Экономическое определение• Технологическое определение
3. Причины появления и существования зомби-сетей• Мейнстрим: парадигма жадности (максимизация прибыли)• “Среда обитания”: причины появления• “Среда обитания”: мета-уязвимости• “Среда обитания” место в удовлетворении потребностей общества
4. Модель спроса и предложения• Добавленная стоимость: принцип организации• Добавленная стоимость: архитектура• Добавленная стоимость: услуги• Добавленная стоимость: причины спроса• Тренды изменения спроса• Перспективы “среды обитания”
5. Тренды эволюции зомби-сетей
6. Способы снижения рисков• По направлению “Профилактика”• По направлению “Лечение”
7. Выводы
Структура доклада
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
Цель доклада
Поставить вопрос о расширении контекста рассмотрения зомби-сетей как сугубо технократического явления, указав при этом на его экономическую и социальную составляющие. Сделать упор на отсутствие случайности, которая могла бы лежать в основе зарождения зомби-сетей.
Целевые ориентиры доклада• Зомби-сети – “побочный” продукт эволюции массового ICT-
производства
• Зомби-сети – источник высокотехнологичного интереса, канализирующий умы талантливых разработчиков
• Зомби-сети – инструментарий “в руках” экономического интереса
• Зомби-сети – “неутешительные” тренды эволюции
• Зомби-сети – не “Судный день”, есть еще “место под Солнцем”
Вступительное слово
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
Определения зомби-сети
Факт:
Зомби-сеть – сеть из инфицированных вредоносным программным обеспечением машин (компьютеров), управляемая из центра. Пользователи инфицированных компьютеров не догадываются, что их машина используется кем-то, кроме них, т.к. факт заражения всяческим образом маскируется.
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
“Экономическое” определение:
Зомби-сеть – универсальная вычислительная распределенная среда, обладающая двумя ключевыми свойствами:
• Скрыт факт ее существования• Анонимен ее владелец
“Технологическое” определение:
Зомби-сеть – технология тиражирования скрытых сетей сбора, обработки и передачи данных, в задачи которой входит:
• Создание новых сетей• Наращивание популяции существующей сети• Гигиена и санация сети
“Среда обитания”: причины появления
Скоротечная мода на новые ICT-продукты и их массовое производство привели к появлению “среды обитания” зомби-сетей:
• Повсеместно используется массовый продукт с множеством незапланированных (неизвестных) свойств
• Повсеместно востребована массовая, низко квалифицированная рабочая сила
• Повсеместно используется громоздкий инструментарий, содержащий незапланированные свойства
• Повсеместно выстроена система обучения рабочей силы, ориентированная на выпуск специалистов узкой квалификации.
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
“Среда обитания”: мета-уязвимости
Массовый около-“информационный” культурно-технологический контекст воспроизводится и создает “полузнакомую” для обывателя среду – массовые информационно коммуникационные продукты. “Среда” таит в себе следующие ключевые возможности для злоумышленников :
1. До конца не известны многочисленные свойства, которыми она обладает (есть место уязвимостям)
2. Талантливые и неординарные представители рабочей силы не востребованы в массовом производстве – не вписываются в его рутинный процесс (идут в underground)
3. Массовость приобретает действительно массовые масштабы (вариабельность ICT-продуктов снижается, что ведет к снижению объема работы/сложности поиска уязвимостей).
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
“Среда обитания”: место в удовлетворении потребностей общества
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
Information and Comminucations Technology
Биологические потребности
Духовные потребности
Социальныепотребности
Материальныепотребности
Роль ICT в удовлетворении базовых потребностей общества
Добавленная стоимость: принцип организации
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
Добавленная стоимость: архитектура
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
Управление
Выполнение подгружаемого кода
Безопасные коммуникации
Транспорт
Маскировка
Межмодульные интерфейсы (API)
Интерфейс с внешней средой
Структура зомби-агента
Добавленная стоимость: услуги связи
“Anonymizer” – услуга по сокрытию информационной трансакции.
Гарантирует сокрытие факта обмена информацией, саму информацию и контрагентов, которые участвуют в трансакции. Используется для:
• Проведения сеанса обмена информацией, когда нужно скрыть сам факт обмена
• Распространения информации, когда нужно скрыть истинного инициатора обмена
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
“Скрытая сеть” – услуга по сокрытию канала обмена информацией.
Гарантирует сокрытие канала обмена информацией, саму информацию и контрагентов, которые участвуют в информационном обмене.
Используется для регулярного обмена конфиденциальной или противоправной информацией
Добавленная стоимость: услуги распределенных вычислений
“Стартовая площадка” – услуга по организации скрытой, массовой стартовой площадки.
Гарантирует одновременные, массированные, не поддающиеся контролю со стороны провайдеров, распределенные атаки или рассылки контента различного содержания. Используется для:
• Расширения популяции и создания новых зомби-сетей
• Рассылки рекламы (спама)
• Проведения атак DDoS
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
“Вычислительная площадка” – услуга по сокрытию канала обмена информацией.
Гарантирует одновременные, массированные, не поддающиеся контролю со стороны провайдеров, распределенные вычисления различного назначения. Используется для:
• Шпионажа различного вида и назначения
• Кражи конфиденциальной информации
• Кражи ICT ресурсов пользователей (вычисления “за чужой счет”)
Добавленная стоимость: причины спроса
Зомби-сети: проблемы и перспективыРИФ 2006: Информационная безопасность
Причины проведения вычислений “за чужой счет”:
Тариф может быть ниже, чем в вычислительных центрах (“чужие мощности в аренду”)
Цель вычислений противоречит международной морали и праву
Необходимо скрыть факт вычислений/владельца результатов вычислений
Причины проведения скрытых сеансов обмена информацией:
Тайный сговор участников рынка, например, биржевых трейдеров, с целью изменить стоимость заданных акций
Тайный сговор преступных, террористических или иных организаций
Распространение информации, компрометирующей влиятельные силы
Тренды изменения спроса
1. Растет традиционная преступная деятельность• Объем мирового преступного рынка в 2005 году – $1,5 трлн • Объем рынка ICT в 2005 году – €2 трлн (EITO)
2. Растет информационное насилие• The Washington Post: расходы США на демократию в мире в 2004 году – $1,2
млрд• Сенат США: дополнительное финансирование в 2006 году процесса развития
молодых демократий составит: Грузия – $70 млн, Россия – $85 млн, Украина – $95 млн.
3. Растет размер акционерного капитала, торгуемого на биржах• Годовой товарооборот биржи NYSE (New York Stock Exchange) в 2005 году –
$14 трлн.
4. Растет корпоративное мошенничество• Вице-премьер РФ Александр Жуков, октябрь 2004: “Главной причиной роста
цен на бензин в России является картельный сговор нефтяных компаний”. Антимонопольный комитет подтверждений его словам найти не смог.
• PricewaterhouseCoopers: за 2004 и 2005 годы сумма ущерба от “поддающегося оценке мошенничества” – в среднем $3.1 млн на одну российскую компанию и $1.7 на западную. Общий совокупный ущерб 1127 компаний из 34 стран, участвующих в исследовании, составил порядка $2 млрд.
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
“Среда обитания”: перспективы
• Высокий уровень источников легальных научно-практических знаний
• Высокий уровень автоматизации работ по созданию вредоносного кода
• Сокрытие трафика, курсирующего внутри зомби-сети
• Сокрытие вычислительной активности зомби-агентов
• Недопущение широкомасштабных эпидемий
• Использование массового ПО разных производителей
• Рост значения социальной инженерии
• Новое, неординарное и интересное – “магнит” для талантов и неординарности
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
Тренды эволюции зомби-сетей (итог)
• Снижение количества массовых эпидемий
• Рост профессионализма разработчиков зомби-сетей
• Рост числа адресных атак
• Усложнение условий работы для антивирусных компаний
• Увеличение количества узкоспециализированных зомби-сетей с небольшими популяциями
• Рост числа неизвестных зомби-сетей и сроков их жизни
• Эволюция жертвы: “жертва вируса” → “объект атаки” или “мул”
• Усложнение условий работы для корпоративных служб информационной безопасности
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
Направления снижения рисков: “Профилактика”
Снижение риска влияния “слабого звена”, за счет:
• Повышения информированности пользователей• Повышения лояльности сотрудников, снижение общей текучки, особенно
ротации на позициях, имеющих доступ к важной информации.
Увеличение защищенности пользователей в сетях провайдеров, в первую очередь “широкополосных“, за счет:
• Услуг по фильтрации трафика и антивирусной защите. Льготы провайдерам помогут облегчить бремя расходов на организацию услуг. Конкуренция заставит искать пути увеличения доходов за счет новых сервисов.
• Увеличения вариабельности ПО для “работы с сетью”. Поощрение пользователей, применяющих немассовое ПО для получения массовых “сетевых” услуг.
• Пакет услуг доступа включает обязательное автоматическое обновление ПО на предмет установки заплаток.
Увеличение защищенности пользователей в корпоративных сетях, за счет:
• Жесткой, глубокоэшелонированной политики разграничения прав доступа и фильтрации трафика
• Наличия в штате компаний высококвалифицированных специалистов по ИБ• Применения автоматизированных систем централизованного обнаружения
вирусной, и иной информационной опасности.
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
Направления снижения рисков: “Лечение”
• По факту обнаружения зомби-сетей – проводить тотальный аудит информационной безопасности, выявлять и публично наказывать виновных. Формирование у пользователя чувства неотвратимости наказания за нарушение режима информационной безопасности, является самым действенным стимулом этот режим не нарушать.
• По факту обнаружения заражения вредоносным кодом устранять технические причины заражения и пытаться проанализировать эти причины на предмет изменения общей стратегии ИБ, чтобы исключить появление этих и подобных причин впредь.
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
Выводы
• Зарождается новая отрасль экономики с огромным объемом рынка – “теневые вычисления” (Dark Computing)
• Рост рисков утечки конфиденциальной информации
• Рост рисков несанкционированного расхода ИТ и смежных ресурсов
• Рост расходов на безопасность в целом и на ИБ в частности.
РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
Координаты
Прозоров Александр Александрович
Зомби-сети: проблемы и перспективыРИФ 2006: Информационная безопасность
Конструктивные вопросы приветствуются!