27.2.08

"Что? Где? Когда?" по безопасности от Microsoft

Чем известна программа "Что? Где? Когда?"? Возможностью заработать деньги за свои знания. Компания Microsoft решила воспользоваться столь грамотной идеей и создала русскоязычный ресурс Security FreeShop. Суть проста - вы регистрируетесь и участвуете в различных опросах и тестах, которые отличаются уровнем сложности и количеством баллов за правильные ответы. Темы вопросов тоже различаются, но все крутится вокруг безопасности - Office 2007, MS SQL, Vista, MOM, Forefront, Windows 2008. Предварительно можно прослушать разные вебкасты по интересующим темам.

Пройдя тесты и набрав энное количество баллов, вы получаете возможность потратить их на различные товары - от дисков и брошюр (по 5-10 баллов) до рубашек (100 баллов), Bluetooth-гарнитур (500 баллов), GPS-навигатора (550 баллов) или очков с плеером (500 баллов).

ЗЫ. Доставка только на корпоративный адрес.

Как я подхватил троянца. Послесловие

Прошел уже месяц после опубликования материала "Как я подхватил троянца". Страсти поутихли и я не думал возвращаться к этой теме, если бы случайно не наткнулся на второе бурное обсуждение этой темы, которое я изначально пропустил. Речь идет о блоге arcanoid'а. Взыграло ретивое и я решил вновь вернуться к этой теме.

Итак тезисно:
  1. Статья писалась в процессе лечения, поэтому у нее отсутствует нормальное начало и концовка.
  2. Я специально не разбирал ситуацию, почему и где я подхватил троянца. Собственно не так это важно. Возможно для ИБ-исследователя или аналитика - это было бы интересно, но не для меня. Я давно не занимаюсь сугубо технической работой, которой увлекался еще несколько лет назад. Сейчас у меня малость иная роль как в компании, так и по жизни. Поэтому причина заражения должна интересовать наш ИТ, а не меня. И уж поверьте, выводы ими были сделаны ;-)
  3. Я не раскрывал всех секретов нашей работы нашего ИТшного подразделения, из чего многие сделали выводы, что я лох и занимался не своим делом. Повторюсь в очередной раз - я не являюсь сотрудником ИТ-службы. Более того, я сотрудник бизнес-подразделений и поэтому не по рангу мне заниматься этой работой - мне платят за другое. И такова будет позиция 99% людей. Но эти 99% моих статей не читают (за редким исключением), в отличие от оставшегося 1% айтишников и безопасников, которым мои действия показались лоховскими ;-)
  4. Я не занимаюсь выбором софта для компании и даже не влияю на его выбор. Этим занимается отдельное подразделение. Более того, в любой уважающей себя (и крупной) компании процесс выбора и тестирования софта занимает время и ресурсы. В таких компаниях НЕВОЗМОЖНО встретить самые последние версии софта сразу после их появления (исключая бета-тестеров). Поэтому рекомендации снести "винду", "осла", mcafee и т.д. я считаю неконструктивными и проистекающими от того, что люди не работали в крупных компаниях и не понимают их специфики.
  5. Если статья написана от первого лица, не значит, что все в ней описанное происходило от первого лица.
  6. Если в статье не написано что-то, не значит что этого не было. Мне казалось это логичным, но, например, многие стали меня обвинять в том, что я не обратился в ИТ-службу. А кто-то посчитал, что я целенаправленно скрыл от ИТ этот инцидент (не забыв его пропиарить в Интернете). Где это на написано? Правильно, нигде. Тему взаимодействия с ИТ и правоохранительными органами Украины (оттуда был зафиксирован адрес, на который троян пытался влезть) я вообще в статье не рассматривал. И сделал это целенаправленно.
  7. Только один человек обратил внимание на временные нестыковки, но никто не сделал из этого никаких выводов. Никто не подумал, что время, отмеченное в статье может отличаться от реального в разы.
  8. Никто не удосужился разобраться в мотивации именно таких моих действий. Как обычно читатели смотрели на статью с позиции читателя, более того, со своей позиции. Но это классический грех.

Ну и напоследок... Никому даже в голову не пришло, что это может быть всего лишь литературный труд, замаскированный под реалити ;-) Кстати, мотивов для такой статьи "радетели земли русской" тоже напридумывали множество, начиная от рекламы Cisco Security Agent и саморекламы меня любимого и заканчивая рекламой Касперского. Я сам могу подбросить еще парочку мотивов - "просто писАлось", проводилось социологическое исследование на тему реакции широкой общественности на такой материал и его автора, надо было деть куда-нибудь наброски статьи и я быстро склепал такое творение...

Кладезь полезной информации ;-)

20-21 февраля мы проводили Cisco Security Summit, но дело даже не в этом. На конференции были озвучены следующие темы:
  • Как связать безопасность с бизнес-стратегией предприятия?
  • Управление информационной безопасностью с помощью ISO 27001, ISM3, ISF, ISO 13335 и других международных стандартов
  • Архитектура информационной безопасности
  • Обеспечение информационной безопасности в контексте стандартов ITIL и CoBIT
  • Требования стандартов PCI DSS и ISO 17799 и другие

Если вдруг кому-то интересно, то презентации выложены на http://my.cisco.ru/materials/?action=view&id=141

24.2.08

Антивирусный вендор рассылал вирусы

Уж сколько раз твердили миру, что в безопасности понятие "доверие" является эфемерным. Лет двенадцать назад в сети ФИДО в эхоконференции, в которой распространялись обновления к Dr.Web, было распространен update, установка которого приводила к форматированию жесткого диска.

После этого было множество случаев, когда различные софтверные вендоры распространяли на дисках со своим ПО вирусы и черви. Особенно часто это происходило с разными подразделениями Microsoft. В прошлом году троянец засел на сайте компании ЛАН Крипто и пытался заразить всех посетителей. И вот пару недель очередной инцидент. Сайт индийского антивирусного разработчика AvSoft Technologies был взломан и на него был инсталлирован вредоносный код, заражающий компьютеры посетителей.

13.2.08

Infowatch и Perimetrix: что произошло?

Новость, пахнущая скандалом, - компания "Компьюлинк" учредила ООО "Периметрикс", костяком которой стали выходцы из Infowatch. Повторять новость не буду - ее можно прочитать в Интернет. А вот вопросы, и немало, возникают.

Во-первых, сомнительным выглядит тот факт, что "Периметрикс" будет заниматься тем же, что и Infowatch. Все бы ничего и можно было бы утверждать о формировании рынка DLP в России, если бы не тот факт, что в Периметрикс ушли люди из Infowatch, компании, которая работала только в сегменте контроля утечек информации и предотвращения инсайдерских угроз. Масла в огнь подливает тот факт, что нынешний гендиректор Infowatch утверждает, что у нее есть данные, что бывший гендиректор Infowatch перед уходом скопировал часть исходных кодов. Правда в суд никто пока подавать не планирует.

Во-вторых, достаточно интересным выглядит заявление гендиректора Периметрикса о том, что у него есть 10% акций Infowatch. Известно немало случаев, когда даже миноритарные акционеры сильно портили кровь компаниям, чьими акциями они владели.

В-третьих, учитывая уход команды из 14 человек из Infowatch осенью 2007 года и желание начать продажи во втором квартале 2008 года, получается, что на разработку продукта будет затрачено меньше года. В то же время председатель совета директоров "Компьюлинка" заявил о том, что продукт "Периметрикса" разрабатывается с начала 2007 года. Даже если это и правда, все равно с трудом верится, что за год можно создать продукт корпоративного класса. Я не слышал, чтобы в России были такие прецеденты в области безопасности. Особенно смущает тот факт, что "Периметрикс" не просто замахнулся на обычную DLP-систему, аналогичную Infowatch. Он решил сделать систему защищенного документооборота, в которой информация контролируется с момента ее создания и далее, на всех этапах ее жизненного цикла. Помня многократные попытки продвинуть идею электронного документооборота в России и очень небольшое количество реально внедренных систем, я скептически отношусь к идее такого продукта. Буду рад, если я окажусь неправ.

В-четвертых, смущают цифры обещанного роста "Периметрикса". С 5 млн. долларов в 2008 году до 30 млн. в 2010 г. 600% роста за 3 года?! В 600% я еще могу поверить; особенно с нуля. Но в 30 миллионов?.. В это мне не позволяет поверить некоторый опыт работы на российском рынке безопасности. Хотя амбициозные заявления, особенно для аналитиков и журналистов, - это нормальная практика в PR-кампании любой компании.

Резюмируя, хочется отметить, что ситуация выглядит неоднозначной. Взаимные упреки и "наезды" двух компаний друг на друга врядли положительно скажутся как на репутации обеих компаний, так и на рынке в целом. Хотелось бы пожелать коллективам обоих компаний все-таки придти к взаимопониманию и согласию.

11.2.08

ИТ-безопасность автомобиля

Бродя на просторах Интернета, с удивлением наткнулся на сайт, посвященный конференции "Embedded Security in Cars". Разумеется я знал, что в автомобилях активно используются различные информационные технологии. И разумеется кто-то решает вопросы информационной безопасности в автомобилях (а не просто в автомобильной промышленности). Но... я не думал, что кто-то проводит специализированные конференции полностью посвященные этой теме. Но нет... есть и такие.

"Embedded Security in Cars" проводится уже в 6-й раз и все время в Германии - меняются только города (Мюнхен, Берлин, Гамбург, Кельн и т.д.). Из активных участников-автопроизводителей на конференции засветились только Ауди и BMW. Из рассматриваемых тем:
- защищенное взаимодействие между автомобилями
- предотвращение утечки информации
- управление цифровыми правами (DRM)
- защищенная загрузка ПО в бортовой компьютер
- использование ИТ для предотвращения кражи автомобиля
- разработка стандартов безопасности
- защита event data recorder (аналог черного ящика в самолетах).

Сйат конференции - http://www.escar.info/index.html

7.2.08

Как я подхватил троянца

Ну вот и я попался ;-( В один прекрасный день, при запуске "проводника" (explorer.exe) мой Cisco Security Agent "ругнулся" на то, что "проводник" пытается установить соединение с 80-м портом IP-адреса 85.255.118.26. В логе это выглядело следующим образом:

"04.02.08 21:21:05: The process 'C:\WINNT\explorer.exe' (as user xxx) attempted to initiate a connection as a client on TCP port 80 to 85.255.118.26 using interface yyy. The operation was denied."

Ситуация не такая страшная, т.к. Cisco Security Agent (CSA) не дал вредоносной программе (тогда я еще не знал какой) совершить свое черное дело. Меня смутило другое - установленный у меня антивирус McAfee, работающий в реальном времени, ничего не показал. Причем уже не первый раз. В отличие от CSA, который ловит почти все (правда не говорит, что поймал). В сентябре антивирус не словил попытку подсадить мне троянца через сайт издательства "Бином" (подробнее тут) - только CSA защитил меня от этой напасти.

И вот в данном инциденте меня эта ситуация малость напрягла, т.к. сам антивирус обновляется регулярно и автоматически. Чтобы посмотреть, не пропускает ли что-нибудь его онлайновый движок, я запустил сканирование всего диска и процессов в памяти. Прошло 3 часа (все-таки 100 тысяч файлов на диске) - результата ноль. Но CSA каждый раз ругается на explorer.exe. И вот в тот же день "заглючил" также регулярно обновляемый и корректно настроенный Internet Explorer. При клике на некоторые линки он либо перекидывал меня на "левые" сайты, либо просто открывал новые окна IE и пытался показать мне какую-то рекламу. Это меня стало напрягать еще сильнее.

Тогда я решил прошерстить свой ноут другим антивирусом. Т.к. ставить на свой комп нелицензионный софт я не мог, да и возможны были конфликты антивирусных движков, я пошел по старинке на сайт Symantec и запустил Symantec Security Check. Это антивирусный онлайн-сканер, который работает путем установки на компьютер ActiveX-компонента, который и сканирует мой жесткий диск и другие ресурсы. После двух часов работы результат был таков - был найден один adware, который я самостоятельно и удалил. Но ситуацию это не изменило - CSA ругался, а IE открывал подозрительные сайты. Тогда я установил на свой комп свободно распространяемое ПО - "Spybot - Search & Destroy". Он нашел у меня еще тройку adware, удалил их, но... троянца, на которого ругался CSA, так и не обнаружил ;-(

Параллельно с установкой Spybot я включил резидентный контроллер TeaTimer, который отслеживал и блокировал доступ IE к вредоносным сайтам. И он это делал достаточно эффективно:

"04.02.08 22:10:50 Запрещено (based on user decision) value "SpybotSD TeaTimer" (new data: "") удалено in System Startup user entry!"

Отрицательным моментом в работе резидента Spybot является его постоянное вопрошение пользователя "Что делать? Разрешить или запретить?". Учитывая число таких запросов могу предположить, что в какой-то момент пользователь ответит "Да" и "Больше меня не спрашивать" со всеми вытекающими отсюда последствиями.

Но дважды блокировав потенциальную утечку информации, источник проблемы остался невыясненным. Я поставил на лэптоп очередную бесплатную утилиту по поиску подозрительных вещей - HiJackThis от TrendMicro. Сразу надо сказать, что утилита очень интересная и она действительно нашла у меня трояна, но... я об этом так и не узнал бы, т.к. сам по себе HiJackThis не говорит вам, что конкретно у вас плохо. Он подсказывает вам подозрительные места, где могут скрываться проблемы. А могут и не скрываться. Во-первых, он показывает запущенные процессы, например:

"C:\Program Files\Cisco Systems\VPN Client\vpngui.exe C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE"

а также всяческие BHO-компоненты (Browser Helper Object), за которыми часто скрывается шпионское ПО, ключи реестра, тулбары, программы в "загрузке при старте", сервисы и т.д. Например:

"O3 - Toolbar: Yandex.Bar - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\WINNT\Downloaded Program Files\yndbar.dll
O4 - Global Startup: VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe O4 - HKCU\..\Run: [xmldial] "C:\WINNT\xmldial.exe" -m
O23 - Service: Altiris Agent (AeXNSClient) - Altiris, Inc. - C:\PROGRA~1\Altiris\ALTIRI~1\AeXNSAgent.exe".

Среди таких же записей лога HiJackThis затесалось и доказательство наличия трояна у меня на компе:

"O2 - BHO: (no name) - {AE1F5DEC-78CD-49C0-9F4C-929DFBD2F6D9} - C:\WINNT\system32\cdra.dll"

Эта запись, наряду с десятком других, у меня сразу вызвала вопросы и я решительно нажал кнопку AnalyzeThis, надеясь, что лог попадет в TrendMicro и ее специалисты помогут мне с идентификацией потенциальных проблем. Но увы ;-( Я попал на страницу, на которой мне было предложено самостоятельно задать интересующий меня вопрос на нужном языке (исключая русский) на трех-четырех десятках различных форумов. Справедливости ради надо сказать, что я зашел на один из таких форумов, где попытался закачать свой лог для анализа его антивирусными специалистами. Безуспешно. Процедура была более чем нетривиальная и требовала значительных временных усилий (не считая обязательной регистрации на форуме и ожидания ответа от энтузиастов). Я не дошел до конца процедуры и бросил это дело. Предполагаю, что также поступят и большинство остальных пользователей, решивших последовать предложению утилиты HiJackThis от TrendMicro.

Уже зевая, я решился на последний шаг - запустить антивирус Касперского. Исторически так сложилось, что я не очень люблю этот антивирус (около 11 лет назад я сильно залетел из-за качества поддержки KAV в тогда еще фирме "КАМИ"). Но тут я решил попробовать (тем более, что недавно я стал обладателем Kaspersky Mobile для своей Nokia E61i). Я запустил Kaspersky Online Scanner и стал ждать. Неприятной особенностью стала загрузка базы со всеми пятистами с лишним тысяч штаммов вирусов (у Symantec этот процесс прошел гораздо быстрее) - на Skylink это заняло порядочно времени. Но после загрузки (надеюсь, что в следующий раз мне не придется повторно загружать все базы с самого начала) я запустил сканирование т.н. Critical Areas (я пользовался английской версией - не знаю, есть ли русский вариант). Проработав около 40-50 минут сканер выдал мне отчет, который порадовал меня своей информативностью (по сравнению с предыдущими программами). Пример отчета приводится ниже:

"Infected Object Name Virus Name
C:\WINNT\system32\cdra.dll Infected: Trojan-Downloader.Win32.Delf.dyu"

Удалить трояна, он не удалил, но он показал, что мои подозрения в отношении этой библиотеки (если бы HiJackThis умел "говорить" цены бы ему не было) были не напрасны. Подтверждением наличия троянца стало сканирование памяти:

"Infected Object Name
[0] [System Process] => C:\WINNT\system32\cdra.dll
[1772] explorer.exe => C:\WINNT\system32\cdra.dll
[420] IEXPLORE.EXE => C:\WINNT\system32\cdra.dll"

Троянский загрузчик Trojan-Downloader.Win32.Delf.dyu предназначен "для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя" (описание взято из вирусной энциклопедии Лаборатории Касперского).

Информация об именах и расположении загружаемых программ скачивается данным троянцем с Web-страницы, а так как Cisco Security Agent блокировал эти попытки, то мне особо страшного ничего не угрожало. Вот так и закончилась моя эпопея с обнаружением и удалением троянца с моей машины.

Какие выводы можно сделать из этого инцидента:

  • Не используйте только антивирус для своей защиты. Сигнатурные подходы уже устарели и требуют дополнения в виде "аномальных" движков, встроенных либо в сам антивирус, либо в сторонний продукт. Идеально, когда используется две системы - одна для поиска вирусов по сигнатурам, вторая - для контроля поведения процессов, приложений и систем (как в моем случае).
  • Если антивирус работает в реальном времени, это еще не значит, что он обнаруживает все вирусы. Обнаруживает он только то, что он знает на момент своей работы. И если вредоносная программа ему неизвестна, он ее пропустит. А к проверенным файлам он не имеет привычки обращаться снова. Значит вы можете заполучить троянца к себе на компьютер, даже не подозревая об этом. Старайтесь регулярно запускать антивирус для проверки всего жесткого (и сетевых) диска.
  • Если вы не нашли ничего с помощью одного антивируса, не обольщайтесь. Пробуйте иногда запускать антивирусы других производителей. Иногда это дает потрясающий эффект. Тем более, что многие вендоры предлагают такие интересные и бесплатные утилиты, как онлайн-сканеры.
  • Не сторонитесь различных нишевых утилит, которые ориентированы на решение конкретных задач в области безопасности. Например, BHODemon или уже упомянутый HiJackThis. Они конечно уступают коммерческим продуктам, но могут сильно помочь в ряде случаев. Правда, надо быть готовым, что они потребуют от вас определенной квалификации и знаний в области безопасности.
  • Есть и другие выводы, но они уже касаются нашей внутренней сисковской кухни ;-)

ЗЫ. Адрес, на который обращался троянец находится на Украине. Диапазон, в который он входит, неоднократно встречается в различных источниках по информационной безопасности. Например, в SenderBase.

4.2.08

Новое в законодательстве

9-го января 2008 года министр Мининформсвязи Л.Д. Рейман подписал приказ №1 "От утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации". 23-го января приказ был утвержден в Минюсте.

В 5-11-м пунктах требований перечислены меры, которые должны предпринимать операторы связи для защиты сетей связи от несанкционированного доступа. Эти требования могут быть транслированы в конкретные программно-технические решения по информационной безопасности.

Требования, прописанные в приказе, распространяются на сети электросвязи, входящие в состав сети связи общего пользования, за исключением сетей связи для распространения программ телевизионного вещания и радиовещания.

Текст приказа можно найти в "Консультанте".

Взлом или тестирование?

Интересная дискуссия развернулась на securitylab.ru по поводу статьи "О взломе WEP. В последний раз...". Когда я прочел ее, то у меня сложилось стойкое впечатление, что утилита была создана для взлома. Именно так она и подается на сайте в разделе "Утилиты". Авторы же статьи (и видимо самой утилиты) считают, что все не так и они создали средство тестирования систем беспроводной защиты. При этом они не либо не видят особой разницы между "взломом" и "тестированием" (хотя ключевая разница в мотивации), либо просто не хотят признавать ее.