Գործե'նք անսխալ, պաշտպանե'նք ունեցածը

Աշխարհում այդքան մեծ տարածում գտած ֆիշինգը, որի մասին արդեն գրել եմ այստեղ, ահռելի վնասներ է հասցնում բոլոր այնպիսի կազմակերպություններին, ովքեր օնլայն ծառայություններ են մատուցում մարդկանց` օր. Paypal-ը: Թվում էր, թե լուծումը, որպես այդպիսին գտնված է, և այսպես կոչված EV(Extended Validation) սերտիֆիկատները,որոնցից կարող եք ձեռք բերել նաև արդեն Հայաստանում` Apaga Technologies ընկերությունից, պետք է զերծ պահեին մեզ ֆիշինգի երևույթից: Բայց պարզվում է, որ մուտք փնտրողը միշտ էլ գտնում է իր ճանապարհը: Նախ մի քիչ պատմեմ EV սերտիֆիկատների մասին, հետո հակիրճ կներկայացնեմ որոշակի թերություններ:

Մայքրոսոֆտ ընկերությունը հայտարարել է այն մասին, որ մտադիր է գալիք երկուշաբթի օրը, այսինքն փետրվարի 9-ին, թողարկել անվտանգություն ապահովող 13 թարմացումներ, որոնք կծածկեն 26 հատ գոյություն ունեցող bug-եր` WINDOWS և OFFICE համակարգերի տարբեր թողարկումների համար:

Ինչպես տեղեկացնում է ընկերության <անվտանգության խնդիրները հետազոտող կենտրոն>-ի գլխավոր մենեջեր Ջերի Բրայանը, այս թարմացումներից 5-ը կրում են ԿՐԻՏԻԿԱԿԱՆ բնորոշում, իսկ մնացած 8-ը բնորոշվում են որպես ԿԱՐԵՎՈՐ: Թարմացումներից 11-ը վերաբերում են WINDOWS համակարգի այս կամ այն տարատեսակներին, իսկ մնացած 2-ը` OFFICE համակարգին:

Ինչ վերաբերում է ըստ օպերացիոն համակարգերի դասակարգմանը, ապա կարող ենք ասել, որ Server 2008 R2 և Windows 7 համակարգերի համար նախատեսվում են  5 թարմացումներ, Windows XP-ի համար` 8, իսկ ավելի վաղ ստեղծված  Windows 2000 օպերացիոն համակարգի համար` 9 թարմացումներ:

Պաշտոնական հայտարարությունը կարող եք կարդալ այստեղ, իսկ մեզ մնում է միայն անհամբեր սպասել թարմացումներին:

Գուցե շատերը ծանոթ չեն այս հասկացողության հետ, բայց արդեն վաղուց ուսումնասիրում եմ վեբ անվտանգության ոլորտը, և ինձ համար առաջնային խնդիրներից մեկը հենց ֆիշինգն է: Հենց այդ պատճառով էլ այսօր ուզում եմ մի քիչ գրել դրա մասին, և տեղեկացնել շատերին այս երևույթի վտանգների մասին:

Ի՞նչ է ֆիշինգը

Փորձեմ ոչ ֆորմալ տեսքով բացատրել այս երևույթի իմաստը:

Մեզանից շատերը օրական բազմապիսի նամակներ են ստանում, որոնցից շատերը համարում ենք սպամ, որոշներն էլ կասկածի տակ դնելով` ամեն դեպքում կարդում ենք այդ նամակները: Ֆիշինգի իմաստը կայանում է նրանում, որ հաքերներն ուղարկում են իրենց թիրախին որևէ նամակ, որն իբր ուղարկել է այս կամ այն կարևոր կազմակերպությունը կամ վեբ կայքը, և խնդրում են ներբեռնել որևէ վարակակիր ծրագիր կամ խնդրում են լրացնել գաղտնի տվյալներ որևէ ֆորմալ միջացավայրում, որն արտաքին տեսքով վստահություն է ներշնչում օգտվողին:

Ավելի լավ պատկերացնելու համար, ուզում եմ ներկայացնել այս երևույթն օրինակի վրա:

Ծրագիր` MySQL 5.x

Հայտնաբերված թերությունները թույլ են տալիս հաքերին կատարել DoS հարձակում և գործարկել սփուֆինգ հարձակում համակարգի վրա:

1) Այս թերությունը առաջանում է այն պատճառով, քանի որ գոյություն ունի մուտքային տվյալների ստուգման սխալ “vio_verify_callback()” ֆունկացիայում` այն օգտվողների մոտ, ովքեր կապված են  OpenSSL գրադարանի հետ: Հաքերիը կարող է համակարգին խաբել և ստիպել MySQL սերվերին օգտագործել դատարկ խորությամբ սերտիֆիկատ, որը հնարավորություն է տալիս կատարել MitM (Man-in-the-Middle) հարձակում:

2) Երկրորդ թերությունն առաջանում է մուտքային տվյալների ստուգման դեպքում, երբ մշակվում է “SELECT” հրամանը, որը պարունակում է “WHERE” պայմանը: Էքսպլուատացիայի արդյունքում հնարավոր է համակարգի խափանում:

3) Հաջորդ թերությունը այն է, որ “GeomFromWKB()” ֆունկցիան սխալ նշիչ է պահում արգումենտի զրոյական արժեքի համար` առաջին արգումենտի երկրաչափական արժեքները մշակելու ընթացքում: Էքսպլուատացիայի արդյունքում հնարավոր է համակարգի խափանում:

Ցանցային անվտանգություն ապոհովելն այսօր գերխնդիր է դարձել բոլոր ՏՏ ստորաբաժանումների համար: Բայց վերահսկել օր-օրի երկրաչափական պրոգրեսիա ապրող վտանգները պահանջում է բավականին լուրջ և տքնաջան մոտեցում:

Այսօր ամբողջ աշխարհի ՏՏ ստորաբաժանումների մասնագետներն իրենց ցանցի անվտանգությունն ապահովելու համար ստիպված են օգտագործել բազմապիսի ծրագրեր, որոնք լրացնում են մեկը մյուսին և ի դերև են հանում գրեթե բոլոր վտանգները: Մյուս կողմից անընդհատ պետք է հետևել օգտագործվող ծրագրերի թարմացումներին: Մի խոսքով պետք է ձեռքդ միշտ լինի զարգացման պուլսին:

Ընդհանուր առմամբ կարելի է ասել, որ անվտանգության ապահովումն իրենից ներկայացնում է հետևյալ հասկացողությունների համադրությունը` միջցանցային էկրան, կորպորատիվ հակավիրուսային ծրագրեր, Snort հարձակումների հայտնաբերում BASE համակարգի միջոցով, հայտնի սխալների հայտնաբերում Nessus կամ OpenVAS համակագերի միջոցով, ցանցային սքաներ Nmap և մի քանի այլ մանր մունր գործողություններ, որոնք պետք է կատարել ինչ-որ հաջորդական կարգով: Այսինքն, սկզբում օգտագործվում է առաջին ծրագիրը, ուսումնասիրվում նրա արդյունքները, հետո հաջորդը և այդպես շարունակ: Այս ամենը զգալի մեծ ժամանակի կորուստ և ծանրաբեռնվածություն են գցում ՏՏ ստորաբաժանումների աշխատակիցների վրա…

Ֆիննական F-Secure ֆիրմայի հետազոտողները տեղեկացնում են, որ վերջին ժամանակներս հանրահայտ Թուիթթեր(Twitter) միկրոբլոգային համակարգում շատացել են կեղծ անդամատոմսերը(account), որոնք օգտագործվում են հաքերների կողմից` իրենց կողմից ստեղծված կեղծ հակավիրուսային համակարգերի տարածման համար…

F-Secure-ի հետազոտական բաժանմունքի պետ Միկկո Հիպպոնենը նշել է, որ այդ անդամատոմսերը ստեղծվում են ավտոմատ կերպով` օգտագործելով մի քանի օգատգործողների անունները և որոշ քաղաքների անուններ: Հատկանշական է, որ այդ անդամատոմսերը ստեղծվելիս, դրանց տրվում է նաև գեղեցիկ վիզուալ տեսք, որը ինչ-որ չափով նաև  վստահություն է հաղորդում այցելուներին: Այդպիսի անդամատոմսերը հիմնականում կրում են գերմանական անուններ կամ ամերիկյան որոշ քաղաքների անուններ…

Այսօրվանից արդեն բոլոր էլեկտրոնային կոմերցիայի հետ կապված վեբ ռեսուրսները, էլեկտրոնային փոստի ծառայությունները և այլ շատ կարևոր կայքեր պետք է ավելի մեծ ուշադրություն դարձնեն իրենց անվտանգությանը, քանի որ ստեղծվել է նոր կոնֆիդենցիալ ինֆորմացիա գողացող այնպիսի համակարգ, որի աշխատանքի մեթոդը մինչև այժմ համարվում էր անվտանգ:

CookieMonster, ահա այսպես է կոչվում այն համակարգը, որի միջոցով հնարավոր է խաբել օգտագործողի բրաուզերին և գողանալ քուքիները, որոնք օգտագործվել են այս կամ այն համակարգ մուտք գործելիս: Ի տարբերությունը SideJacking հարձակումների, այս համակարգի աշխատանքի մեթոդն աշխատում է նաև այն դեպքերում, երբ կայքն ապահովագրված է SSL-ի միջոցով:

Համակարգի հեղինակի` Մայք Փերրիի կարծիքով, այս համակարգն արդեն թերություններ է գտել այնպիսի հսկաների մոտ, ինչպիսիք են united.com, bankofamerica.com, register.com, netflix.com և բազմաքանակ այսպիսի վեբ ռեսուրսներ: Errata Security-ի աշխատակից Ռոբ Գրեխեմն ասում է, որ Gmail-ը այս համակարգի համար դեռևս անթերի է , բայց  այնուամենայնիվ, Google Docs, Blogger.com և Google Finance ռեսուրսները վտանգված են:

CookieMoonster-ի աշխատանքը հիմնված է նրա վրա, որ վեբ-ծրագրավորողները դեռևս անկարող են տարբերել վտանգավոր քուքիները, անվտանգ քուքիներից: CookieMonster-ը բրաուզերին ներկայացնում է տվյալ կայքի չպաշտպանված հատվածից մի պատկեր և վերջ` բրաուզերը մեծ ուրախությամբ նրանց տեղափոխում է այն տեղը, որտեղ պետք է լիներ ավտորիզացված օգտագործողը ( ավելի մանրամասն կարող եք ծանոթանալ  այստեղ):

Այս պահին CookieMonster-ը հասանելի է միայն վեբ անվտանգության 225 մասնագետների: Բայց արդեն մի քանի շաբաթից հեղինակը պլանավորում է այդ դարձնել ընդհանուր օգտագործման ենթակա: Մայք Փերրին հուսով է, որ համակարգի ոչ ամբողջական տարբերակն անգամ մասնագետներին կօգնի թերությունները վերացնելու համար:

Վարդան Գրիգորյան / iReport.am / blog.grigoryan.biz

“Կասպերսկիի լաբորատորիան” հրապարակել է հաշվետվություն` սեպտեմբեր ամսվա տվյալներով սպամ-ակտիվության վերաբերյալ: 2009 թվականի սեպտեբեր ամսին նամակագրական տրաֆիկի 86.3%-ը կազմել են սպամ նամակները: Ամսվա տվյալներով ամենացածր ցուցանիշ եղել է սեպտեմբերի 18-ին` 83.3%, այսինքն ամսվա ցանկացած օր սպամ նամակների տոկոսային մակարդակը չի իջել 83%-ից:

Ինչ վերաբերում է ըստ պետությունների սպամ-ցուցակին, ապա կարող ենք հստակ նշել, որ որպես ավանդույթ սպամի հայրենիք ԱՄՆ-ն ինչպես միշտ գլխավորում է ցուցակը` մատուցելով սպամ-նամակների 32.5%-ը: Նրանից հետո գալիս է Բրազիլիան` 6% ցուցանիշով: “Լավագույն տասնյակի” մեջ են մտնում ասիական երկներ Վիետնամը, Կորեան, Չինաստանը, Հնդկաստանը: Ռուսաստանը նույնպես հայտնվել է 10-յակում, ավելի կոնկրետ 6-րդ տեղում` 3.86% սպամ-նամակներով:

Սեպտեմբերին նույնպես զգացվեց այն տենդենցը, որը կար օգոստոսին, այն է. “ՍՊԱՄ ԳՈՎԱԶԴ” թեմատիկայի նամակները քչացել են, բայց սրան հակառակ հաստատուն դիրք ունի “Այլ ապրանքներ և ծառայություններ” թեմատիկայի սպամը: Զարմանալիորեն շատացել են “Ուսուցում” թեմատիկայի սպամ նամակները, որը մեզ թույլ է տալիս համոզվել, որ տնտեսական սեկտորի ավելի ու ավելի շատ կազմակերպություններ են դիմում սպամերներին… >>>

ՄԱՍ 1.

SQL Injection-ը բավականին լավ գործիք է հակերի ձեռքին, որպեսզի ստանա ուրիշի սերվեր մուտք գործելու հնարավորություն: Եվ չնչին ցանկության դեպքում /իսկ հակերների մոտ այդ չնչին ցանկությունը այլ մարդկանց համար ահռելի մեծ է/ նա կստանա այդ հնարավորությունը …