Փորձենք վերլուծել, թե ինչ եղավ, և ինչու:

Աղետ

29.01.2011-ի երեկոյան, երբ սկսվեց թոհուբոհը, չգիտեմ ով և երբ տվեց առաջին ահազանգը (տվյալ դեպքում սոց.ցանցերում լուրը), ընդհամենը մի քանի րոպեի ընթացքում հայկական համացանցը լցվեց 295 հայկական կայքերի անգործունակ լինելու գույժով:

Իմ խորին համոզմամբ պետք չէր այդքան բարձրաձայնել տեղի ունեցածի մասին: Նախ, դրանով ինքներս ավելի էինք սրացնում մթնոլորտը, և երկրորդ, պետք էր ուղղակի ամեն մեկը գտներ իր ծանոթի կայքի հասցեն, և շտապ տեղեկացներ նրան: Հանգիստ մաքրեինք հետքերը, հետո կմտածեինք ինչ ու ոնց անել: Կամ պետք էր ուղղակի հենց սկզբից զանգել SmartSystems, ասել, խնդրել ու հորդորել, որ սերվերն անմիջապես անջատեին, հետո նոր զբաղվեին հատ-հատ վերականգնումով:

Ամեն դեպքում տեսարանը գրավիչ չէր ու շատ վատ արդյունք թողեց:

Եվ հետո, ո՞վ է ասել, որ 295 հայկական կայք են կոտրել: Կան մի քանի տոսանկյուններ, ըստ որոնց թիվը շատ ու շատ ուռճացված է:

Օրինակ, եթե տրված ցուցակից հանենք բոլոր գայություն չունեցողները, ինչպիսին է http://girotti.com.workuSClxdAc7uD3UB , ապա կստանանք ընդհամենը 281 հատ (հավատացեք, ես չեմ ալարել ու հանել եմ ավելորդները):

Մնացած 281 հատից եթե հանենք այն բոլոր դոմեյնները, որոնք ուղղակի ռեդիռեկտ են եղել նույն կազմակերպության մեկ այլ դոմեյնի, ինչպիսին են օրինակ vxbox.am և  vxbox.com-ը, ապա կստանանք մոտ 240 հատ դոմեյնային անվանումեր, որոնք կան ցուցակում: Ընդ որում, ես չեմ հանել նույն կազմակերպության տարբեր համադրությամ անունները, ինչպիսիք են օրինակ smartsoftware.am և smartsolutions.am դոմեյնները, որովհետև կա չնչին հավանականություն, որ այդ կայքերը տարբեր պարունակություններ ունեն:

Մի խոսքով հաշվարկները ցույց են տալիս, որ կոտրված կայքերի մոտ մեկ երրորդը վերահասցեավորվող էին: Եվ պետք չէր այդքան մեծ բում բարձրացնել թվի հետ կապված:

Իսկ ընդհանուր առմամբ, երևույթը սա է` կոտրել են ընդհամենը 1 սերվեր, որի վրա գտել են վերոնշյալ կայքերի անուններով ֆոլդերներ և իրենցից ուրախ հրապարակել են ցուցակը, թե իբր տեսեք-տեսեք այսքան շատ գործ ենք արել:

Ինչո՞ւ մերոնք լուռ էին.

Վերջին տարիներին անընդհատ կրկնվող նման հարձակումները ժողովրդի մեջ սերմանել է այն միտքը, որ մերոնք էդքան չկան, նրանց պատասխանելու համար:

Իրականում ոչինչ էլ այդպես չէ: Քչերը գիտեն, թե մերոնք ինչ են անում նույն ֆռոնտում, բայց էն, որ նրանք չեն իջնում նույն մակարդակին ու անիմաստ տեղը դրոշ չեն կախում ազերա-թուրքական կայքերի առաջին էջերում, դա փաստ է:

Իսկ ի՞նչ եղավ երեկ: Ինչո՞ւ մերոնք ձայն հանեցին հանկարծ:

Ամեն ինչում մեղավորը ժողովուրդն է, նրանք պահանջում են պատասխան քայլ, մեր անվտանգության մասնագետները չեն անում, չեն ջարդում, չեն կախում դրոշներ, ու մարդիկ վհատված ասում են “Երգիրը երգիր չի…”: Երեկվա դեպքերից հետո մարդի էլի նույն մտածելակերպն ունեին, ու ստիպված, մերոնք բացահայտ արեցին պատասխան քայլը: Սա իրականում լավ էր: Լավ էր, քանզի ժողովուրդը հասկացավ, որ մեր մասնագետները կարողանում են: Լավ էր, քանզի թուրք-ադրբեջանցիների մասին խոսելու փոխարեն հայերն արդեն մերի մասին էին պատմում: Բայց մյուս կողմից նաև վատ էր: Վատ էր, քանզի ժողովուրդը չպետք է հավատար մեր մասնագետների կարողությանը միայն նման օրինակից հետո:

Գուցե երեկվա mozambicoArmeniCo-ից հետո մեր ժողովուրդը կհավատա նաև մերոնց ուժերին:

Հույս ունենանք ու սպասենք, որ այդպես էլ կլինի:

Վարդան Գրիգորյան / blog.grigoryan.biz

Ինչպես արդեն նշել եմ ֆիշինգի մասին իմ հոդվածում, շատ հաճախ մարդկանց ուղղակի կարող են խաբել, և պարզապես ուղարկելով մեկ հատիկ կեղծ նամակ` դրդելով նրանց իրենց ձեռքով ներմուծել իրենց գաղտնի ինֆորմացիան այնտեղ, որտեղ պետք չէ դա անել: Հենց այդ նպատակով էլ ստեղվել են EV սերտիֆիկատները, որոնք այնքան վառ են պատկերում իրական կայքի տիրոջ մասին ինֆորմացիան, որ դա չնկատել ուղղակի հնարավոր չէ: Հենց բրաուզերի url-ի տողում կանաչ ֆոնի վրա գրվում են կայքի իրական տիրոջ անվանումը և որոշակի այլ տվյալներ: Այսպիսով, օգտագործողներ, տեսնելով բրաուզերի կանաչ տողը, կարող են համոզված լինել, որ իրենք գտնվում են վստահելի կայքում, օրինակ իրենց բանկի կայքում, և կարող են հանգիստ այդ կայքում ներմուծել իրենց հաշվեհամարի որոշակի տվյալներ: Իրականում EV սերտիֆիկատի միակ արժանիքը բրաուզերի կանաչ տողը չէ, փոխվել են նաև տվյալների կոդավորման եղանակները, բայց հասարակ օգտվողների համար առաջնայինը արտաքին տեսքով տարբերվող և վստահություն ներշնչող կանաչ տողն է:

Այս կարևորագույն հանգամանքը հաշվի առնելով էլ, դեռևս 2008-ի մարտին Paypal-ը իր բոլոր օգտագործողներին խորհուրդ տվեց հեռու մնալ Safari բրաուզերից, քանի որ այդ բրաուզերում EV սերտիֆիկատները չէին պատկերվում և կանաչ տողը չէր երևում:

Այս ամենը իհարկե շատ լավ է ու վստահություն ներշչող, բայց դեռևս 2009-ի մարտին, երկու անվտանգության մասնագետներ Ալեքս Սոտիրովը և Մայք Զուսմանը հայտնաբերել են, որ նախկինում MitM(Man in the Middle) հարձակումներից ապահով համարվող EV սերտիֆիկատն իրականում այդքան էլ ապահով չէ: Ավելի ճիշտ, ոչ թե սերտիֆիկատն է վտանգի ենթարկվող, այլ դեռևս բազմաթիվ բրաուզերների թերությունների պատճառով իրականում MitM հարձակումները հնարավոր են` պահպանելով բրաուզերի վրայի կանաչ ֆոնը: Այս մասին նրանք հայտնել են դեռևս 2009-ի մարտին Վանքուվերում կայացած CanSecWest կոնֆերենցիայի ժամանակ:

Հետագայում ավելի մանրամասն կգրեմ MitM հարձակումների մասին, հիմա պարզապես նշեմ որ դրա իմաստը կայանում է SSL սերտիֆիկատի կեղծումը:

Ինչ վերաբերում է EV սերտիֆիկատներին, մասնագետների խոսքով նրանց դեպքում էլ հիմնական գործողությունը SSL սերտիֆիկատի կեղծումն է, որը կատարելը այդքան էլ դժվար չէ: Հետո, երբ արդեն հաքերն ունի կեղծ սերտիֆիկատ, թողնում է, որպեսզի այցելուն մտնի իրական կայքը, տեսնի բրաուզերի կանաչ տողը, վստահ ներմուծի իր տվյալները, և հենց այդ ժամանակ, նա փոխարինում է սերտիֆիկատը իր ունեցածով, որը թույլ է տալիս էջում ցուցադրել java-script կոդ կամ որոշակի այլ ինֆորմացիա: Դե իսկ բրաուզերը շարունակում է ցույց տալ կանաչ տողը, չհասկանալով փոփոխված սերտիֆիկատի գոյությունը:

Այսուհանդերձ Սոտիրովը նշում է, որ EV սերտիֆիկատները եղել և մնում են դեռևս ամենաանվտանգը, բայց քանի դեռ բրաուզերները չեն վերացրել իրենց թերությունները գույների տարբերակման հետ կապված` մենք չենք կարող ամբողջովին վստահ լինել, որ կանաչ տողը երաշխավորում է մեր անվտանգությունը:

Գուցե բրաուզերներն արդեն շտկել են իրենց թերությունները, կամ արդեն պատրաստվում են: Դեռ կգրեմ այս մասին:

Վարդան Գրիգորյան / blog.grigoryan.biz

Ինչպես տեղեկացնում է ընկերության <անվտանգության խնդիրները հետազոտող կենտրոն>-ի գլխավոր մենեջեր Ջերի Բրայանը, այս թարմացումներից 5-ը կրում են ԿՐԻՏԻԿԱԿԱՆ բնորոշում, իսկ մնացած 8-ը բնորոշվում են որպես ԿԱՐԵՎՈՐ: Թարմացումներից 11-ը վերաբերում են WINDOWS համակարգի այս կամ այն տարատեսակներին, իսկ մնացած 2-ը` OFFICE համակարգին:

Ինչ վերաբերում է ըստ օպերացիոն համակարգերի դասակարգմանը, ապա կարող ենք ասել, որ Server 2008 R2 և Windows 7 համակարգերի համար նախատեսվում են  5 թարմացումներ, Windows XP-ի համար` 8, իսկ ավելի վաղ ստեղծված  Windows 2000 օպերացիոն համակարգի համար` 9 թարմացումներ:

Պաշտոնական հայտարարությունը կարող եք կարդալ այստեղ, իսկ մեզ մնում է միայն անհամբեր սպասել թարմացումներին:

Ի՞նչ է ֆիշինգը

Փորձեմ ոչ ֆորմալ տեսքով բացատրել այս երևույթի իմաստը:

Մեզանից շատերը օրական բազմապիսի նամակներ են ստանում, որոնցից շատերը համարում ենք սպամ, որոշներն էլ կասկածի տակ դնելով` ամեն դեպքում կարդում ենք այդ նամակները: Ֆիշինգի իմաստը կայանում է նրանում, որ հաքերներն ուղարկում են իրենց թիրախին որևէ նամակ, որն իբր ուղարկել է այս կամ այն կարևոր կազմակերպությունը կամ վեբ կայքը, և խնդրում են ներբեռնել որևէ վարակակիր ծրագիր կամ խնդրում են լրացնել գաղտնի տվյալներ որևէ ֆորմալ միջացավայրում, որն արտաքին տեսքով վստահություն է ներշնչում օգտվողին:

Ավելի լավ պատկերացնելու համար, ուզում եմ ներկայացնել այս երևույթն օրինակի վրա:

Ենթադրենք Դուք գրանցված եք mail.ru կայքում, ունեք այնտեղ էլ.փոստի հասցե, ակտիվ եք Мой Мир համակարգում և նույնիսկ շփվում եք mail.ru Agent ծրագրով: Երբեևէ ստացել ե՞ք  Открытки@Mail.ru կայքից որևէ բացիկ Ձեր ընկերների կամ հենց ադմինիստրացիայի կողմից: Իհարկե, այո’… Իսկ երբևէ մտածե՞լ եք, որ այդ նամակները կարող է ուղարկել Ձեզ ցանկացած մարդ` նշելով կամայական էլ.փոստի հասցե, որպես ուղարկող… Պատկերացրեք, որ այդպիսի բան հնարավոր է:

Ուրեմն ինչ են անում ֆիշինգի այս օրինակի դեպքում հաքերները…

1. Պատրաստում են mail.ru-ում համակարգ մուտք գործելու համար նախատեսված ֆորմայի նման ֆորմա, այսինքն մի վեբ էջ, որը նույնն է, ինչ հետևյալ էջը` http://win.mail.ru/cgi-bin/login : Օրինակի համար դիտեք իրական էջը և համեմատեք իմ պատրաստած էջի հետ, որը կարող եք տեսնել ԱՅՍՏԵՂ : Նման է, չէ՞…. Իմիջայլոց, եթե իմ պատրաստած էջում ներմուծեք Ձեր էլ.փոստի անունն ու գաղտնաբառը, ապա Դուք մուտք կգործեք համակարգ, ասես ոչինչ չի էլ եղել, իսկ ես կտեսնեմ Ձեր էլ.փոստի գաղտնաբառն ու անունը:

2. Հաջորդ քայլում պատրաստում են էլեկտրոնային նամակ, որը նման է Cards@mail.ru -ի կողմից ուղարկվող էլեկտրոնային նամակին: Իհարկե մանրամասն չեմ գրի, թե ինչպես պատրաստեք այդ նամակը:

3. Անանուն նամակ ուղարկելու ծառայություն մատուցող որևէ կայքից ուղարկում են էլեկտրոնային նամակ, Ձեր էլ փոստի հասցեին այնպես, իբր դա ուղարկել է cards@mail.ru-ն, և Դուք ոչինչ չեք կասկածում… Չէ՞ որ նամակն ուղարկել է ադմինիստրացիան: Նամակում նշվում է, որ Դուք ստացել եք էլեկտրոնային բացիկ, որը կարող եք դիտել սեղմելով ինչ-որ հղման: Իրականում այդ հղումը Ձեզ կտանի դեպի 1. կետում նշված ֆիկտիվ էջը և կխնդրի Ձեզ ներմուծել Ձեր տվյալները:

Եվ վերջ.. այսքանով հաքերների գործն ավարտվում է: Մնացածը կախված է լինում արդեն Ձեզնից. Կվստահեք արդյոք նամակին և կներմուծեք արդյոք Ձեր տվյալները ֆիկտիվ էջում:

ԻՆՉՊԵ՞Ս ԽՈՒՍԱՓԵԼ ՖԻՇԻՆԳԻՑ

Այստեղ կա մեկ խորհուրդ. “Նախքան որևէ կայքում Ձեր գաղտնի ինֆորմացիան ներմուծելը կամ որևէ ծրագիր ներբեռնելը, բրաուզերում ուշադիր նայեք, թե ինչ հասցեում է տեղակայված այդ էջը, գուցե դա ֆիկտիվ էջ է, որը շատ նման է Ձեր իմացած էջին”:

Դե ինչ… երևի այսօրվա համար այսքանը:

Հ.Գ.

Ուշադիր կարդացեք Ձեր էլ.փոստի ստացած բոլոր նամակները, գուցե այն հաքերի կողմից ուղարկված նամակ է:

Հոդվածը պատրաստեց` Վարդան Գրիգորյանը / blog.grigoryan.biz / www.ireport.am /

Հայտնաբերված թերությունները թույլ են տալիս հաքերին կատարել DoS հարձակում և գործարկել սփուֆինգ հարձակում համակարգի վրա:

1) Այս թերությունը առաջանում է այն պատճառով, քանի որ գոյություն ունի մուտքային տվյալների ստուգման սխալ “vio_verify_callback()” ֆունկացիայում` այն օգտվողների մոտ, ովքեր կապված են  OpenSSL գրադարանի հետ: Հաքերիը կարող է համակարգին խաբել և ստիպել MySQL սերվերին օգտագործել դատարկ խորությամբ սերտիֆիկատ, որը հնարավորություն է տալիս կատարել MitM (Man-in-the-Middle) հարձակում:

2) Երկրորդ թերությունն առաջանում է մուտքային տվյալների ստուգման դեպքում, երբ մշակվում է “SELECT” հրամանը, որը պարունակում է “WHERE” պայմանը: Էքսպլուատացիայի արդյունքում հնարավոր է համակարգի խափանում:

3) Հաջորդ թերությունը այն է, որ “GeomFromWKB()” ֆունկցիան սխալ նշիչ է պահում արգումենտի զրոյական արժեքի համար` առաջին արգումենտի երկրաչափական արժեքները մշակելու ընթացքում: Էքսպլուատացիայի արդյունքում հնարավոր է համակարգի խափանում:

Այսօր ամբողջ աշխարհի ՏՏ ստորաբաժանումների մասնագետներն իրենց ցանցի անվտանգությունն ապահովելու համար ստիպված են օգտագործել բազմապիսի ծրագրեր, որոնք լրացնում են մեկը մյուսին և ի դերև են հանում գրեթե բոլոր վտանգները: Մյուս կողմից անընդհատ պետք է հետևել օգտագործվող ծրագրերի թարմացումներին: Մի խոսքով պետք է ձեռքդ միշտ լինի զարգացման պուլսին:

Ընդհանուր առմամբ կարելի է ասել, որ անվտանգության ապահովումն իրենից ներկայացնում է հետևյալ հասկացողությունների համադրությունը` միջցանցային էկրան, կորպորատիվ հակավիրուսային ծրագրեր, Snort հարձակումների հայտնաբերում BASE համակարգի միջոցով, հայտնի սխալների հայտնաբերում Nessus կամ OpenVAS համակագերի միջոցով, ցանցային սքաներ Nmap և մի քանի այլ մանր մունր գործողություններ, որոնք պետք է կատարել ինչ-որ հաջորդական կարգով: Այսինքն, սկզբում օգտագործվում է առաջին ծրագիրը, ուսումնասիրվում նրա արդյունքները, հետո հաջորդը և այդպես շարունակ: Այս ամենը զգալի մեծ ժամանակի կորուստ և ծանրաբեռնվածություն են գցում ՏՏ ստորաբաժանումների աշխատակիցների վրա…

Այս ամենը դեռ ոչինչ, բայց երբ պարզվում է, որ  ցանցի ներսում առաջացած խնդիրը հնարավոր չէ ուղղել նշված քայլերից և ոչ մեկի արդյունքում, այդ դեպքում հարկ է լինում կատարել մեխանիկական աշխատանք` ուսումնասիրելով բոլոր ձեռք բերված ստատիկ արդյունքները:

Հենց այս պատճառով էլ ստեղծվել են ավտոմատացված համակարգեր, որոնք կատարում են վերը նշված քայլերից յուրաքանչյուրը, և էկրանին արտաբերում բոլոր գտնված թերությունները` մարդկային հասկանալի տեսքով:

Իհարկե գոյություն ունեն ավտոմատացված համակարգերի բազաթիվ տեսակներ, որոնք այնքան թանկ են, որ նույնիսկ մեխանիկական աշխատանքի վրա ծախսվող սեփական ժամանակը չես գնահատի այդքան: Այդպիսիք են օրինակ` Microsoft Security Response Center (MSRC), IBM Internet Security Systems, Lumension Vulnerability Management (նախկինում PatchLink), QualysGuard, Symantec Control Compliance Suite (SCCS), MaxPatrol և այլն:

Փորձենք շրջանցել վճարովի այս համակարգերը և ուսումնասիրել նմանատիպ բայց  բաց կոդով մի համակարգ:

Անվտանգության վերահսկում OSSIM-ի միջոցով

OSSIM (Open Source Security Information Management, ossim.net) համակարգի գլխավոր խնդիրն է մաքսիմալ իր մեջ ինտեգրել իրար հետ շաղկապված անվտանգություն վերահսկող համակարգերը: Ներկա պահին OSSIM-ն իր մեջ ներառում է այնպիսի ծրագրեր, ինչպիսիք են` Arpwatch, P0f, pads, Nessus/OpenVAS, Ntop, Snort, tcptrack, tcpdump, Nmap, Spade, Nagios, Osiris, OCSInventory-NG, OSSEC, RRDTool (հնարավոր է նաև ուսումնասիրություններ կատարել  preludeIDS, NTsyslog, Snare, Cisco Secure IDS ծրագրերի արդյունքներից ելնելով): Ահա այս մեծ ցուցակի ծրագրերի աշխատանքի արդյունքում հնարավոր է ունենալ հստակ պատկերացումներ Ձեր ցանցի ներսում տիրող վիճակի վերաբերյալ: Վերջնական արդյունքները կարելի է պահել բազաթիվ եղանակներով` syslog, plain log, SNMP, OPSEC, սոկետ և այլն: Առանձին ուշադրություն է դարձվում համակարգի ընթացիկ վիճակին, մասնավորապես օրական թրաֆիկներին, ինչպես նաև հետևել օգտագործողների ակտիվությանը` էլ.փոստ, ICQ, http, ftp և այլն:  OCSInventory-NG համակարգը տվյալներ է տալիս ցանցի յուրաքանչյուր համակարգի ՕՀ(օպերացիոն համակարգի) և սարքավորումների վերաբերյալ: OSSIM-ը հսկում է նաև ցանցի համակարգիչների կապը և տեղեկցանում առկա ռիսկերի մասին: Այդ նպատակով ստեղծվում են TCP սեսսիաների պարբերական գրաֆիկներ, UDP, TCP և ICMP-ի ներքին կապերի փոփոխական գրաֆիկներ, որը հնարավորություն է տալիս հստակ իմանալ գոյություն ունեցող այնպիսի ցանցային հարձակումները, որոնք կատարվում են միաժամանակ տարբեր համակարգիչներից: Արդյունքում OSSIM-ը ծառայում է արպես հարձակումներ կանխարգելող համակարգ (IPS, Intrusion Prevention System)` հենվելով բազաթիվ աղբյուրներից ստացած արդյունքների վրա:

OSSIM-ը հիմնականում բաղկացած է`

• Սերվեր – կատարում է հսկողություն համակարգի նկատմամբ, նորմավորում է տվյալները, գնահատում ռիսկը և կարգավորում գործողությունների հաջորդականությունը,
• Framework-ի հսկման դեմոն (deamon) – աշխատում է սերվերի վրա և տարբեր աշխատող մասեր կապակցում է  իրար,
• Տվյալների բազա – իր մեջ պահում է ստացված տվյալները (բաղկացուցիչ մասերը – MySQL, OSSIM, Snort/ACID և Phpgacl),
• Ագենտներ – սրանք բազայի մեջ են ներմուծում Snort, Pads, Ntop, Tcptrack, p0f, Arpwatch, Nessus և այլ ծրագրերի կողմից ստացված արդյունքները ,
• Ղեկավարման վեբ համակարգ – սրա միջոցով ղեկավարվում է ամբողջ գործընթացը` ստացված տվյալների անալիզ և արտաբերում, ռիսկի գնահատականների հաշվարկ (Apache, PHP` ADOdb-ով, Phpgacl, Rrdtool, Mrtg, ACID, Nessus, Nmap, Ntop, FPDF և այլն)

Ընդ որում, այս նշված մասերից յուրաքանչյուրը կարելի է տեղադրել տարբեր համակարգիչների վրա: Այդ դեպքում նրանց միջև ապահովվում է կոդավորված կապ` SSL-ի միջոցով:

Դե ինչ, OSSIM-ի մասին կարող եք մանրամասն կարդալ իրենց կայքից, իսկ ես ասեմ, որ իմ կարծքիով համակարգը իդեալական է ՏՏ ստորաբաժանումների համար:

Այս հոդվածիս մեջ գրեցի միայն OSSIM-ի մասին: Բայց դա չի նշանակում, որ այն միակն է իր ձևի մեջ: Կան բազմաթիվ այլընտրանքներ, որոնց մասին կգրեմ առանձին-առանձին:

Վարդան Գրիգորյան / NeoMedia նախագիծ

F-Secure-ի հետազոտական բաժանմունքի պետ Միկկո Հիպպոնենը նշել է, որ այդ անդամատոմսերը ստեղծվում են ավտոմատ կերպով` օգտագործելով մի քանի օգատգործողների անունները և որոշ քաղաքների անուններ: Հատկանշական է, որ այդ անդամատոմսերը ստեղծվելիս, դրանց տրվում է նաև գեղեցիկ վիզուալ տեսք, որը ինչ-որ չափով նաև  վստահություն է հաղորդում այցելուներին: Այդպիսի անդամատոմսերը հիմնականում կրում են գերմանական անուններ կամ ամերիկյան որոշ քաղաքների անուններ…

Այդ անդամատոմսերից հաքերներն ուղարկում են տարատեսակ հաղորդագրություններ, որոնք վերաբերում են ինչ-որ հայտնի թեմայի կամ պարունակում են ուրիշների կողմից ստեղծված հաղորդագրությունների տեքստեր: Ինչպես նաև հաղորդագրության մեջ տեղադրվում է հղում, որին սեղմելիս այցելուն տեղափոխվում է այնպիսի մի էջ, որի միջոցով հաքերը վախեցնում է այցելուին և դրդում ձեռք բերել կեղծված հակավիրուսային ծրագրեր:

Այս մեթոդն օր-օրի ավելի մեծ տարածում է գտնում հաքերների շրջանում, քանի որ այսօր աշխարհում շատ մարդիկ փորձում են մեծ ուշադրություն դարձնել իրենց համակարգչի անվտանգությանը` առանց հասկանալու, որ սխալ քայլերի արդյունքում կարող են ավելի շատ տուժել:

CookieMonster, ահա այսպես է կոչվում այն համակարգը, որի միջոցով հնարավոր է խաբել օգտագործողի բրաուզերին և գողանալ քուքիները, որոնք օգտագործվել են այս կամ այն համակարգ մուտք գործելիս: Ի տարբերությունը SideJacking հարձակումների, այս համակարգի աշխատանքի մեթոդն աշխատում է նաև այն դեպքերում, երբ կայքն ապահովագրված է SSL-ի միջոցով:

Համակարգի հեղինակի` Մայք Փերրիի կարծիքով, այս համակարգն արդեն թերություններ է գտել այնպիսի հսկաների մոտ, ինչպիսիք են united.com, bankofamerica.com, register.com, netflix.com և բազմաքանակ այսպիսի վեբ ռեսուրսներ: Errata Security-ի աշխատակից Ռոբ Գրեխեմն ասում է, որ Gmail-ը այս համակարգի համար դեռևս անթերի է , բայց  այնուամենայնիվ, Google Docs, Blogger.com և Google Finance ռեսուրսները վտանգված են:

CookieMoonster-ի աշխատանքը հիմնված է նրա վրա, որ վեբ-ծրագրավորողները դեռևս անկարող են տարբերել վտանգավոր քուքիները, անվտանգ քուքիներից: CookieMonster-ը բրաուզերին ներկայացնում է տվյալ կայքի չպաշտպանված հատվածից մի պատկեր և վերջ` բրաուզերը մեծ ուրախությամբ նրանց տեղափոխում է այն տեղը, որտեղ պետք է լիներ ավտորիզացված օգտագործողը ( ավելի մանրամասն կարող եք ծանոթանալ  այստեղ):

Այս պահին CookieMonster-ը հասանելի է միայն վեբ անվտանգության 225 մասնագետների: Բայց արդեն մի քանի շաբաթից հեղինակը պլանավորում է այդ դարձնել ընդհանուր օգտագործման ենթակա: Մայք Փերրին հուսով է, որ համակարգի ոչ ամբողջական տարբերակն անգամ մասնագետներին կօգնի թերությունները վերացնելու համար:

Վարդան Գրիգորյան / iReport.am / blog.grigoryan.biz

Ինչ վերաբերում է ըստ պետությունների սպամ-ցուցակին, ապա կարող ենք հստակ նշել, որ որպես ավանդույթ սպամի հայրենիք ԱՄՆ-ն ինչպես միշտ գլխավորում է ցուցակը` մատուցելով սպամ-նամակների 32.5%-ը: Նրանից հետո գալիս է Բրազիլիան` 6% ցուցանիշով: “Լավագույն տասնյակի” մեջ են մտնում ասիական երկներ Վիետնամը, Կորեան, Չինաստանը, Հնդկաստանը: Ռուսաստանը նույնպես հայտնվել է 10-յակում, ավելի կոնկրետ 6-րդ տեղում` 3.86% սպամ-նամակներով:

Սեպտեմբերին նույնպես զգացվեց այն տենդենցը, որը կար օգոստոսին, այն է. “ՍՊԱՄ ԳՈՎԱԶԴ” թեմատիկայի նամակները քչացել են, բայց սրան հակառակ հաստատուն դիրք ունի “Այլ ապրանքներ և ծառայություններ” թեմատիկայի սպամը: Զարմանալիորեն շատացել են “Ուսուցում” թեմատիկայի սպամ նամակները, որը մեզ թույլ է տալիս համոզվել, որ տնտեսական սեկտորի ավելի ու ավելի շատ կազմակերպություններ են դիմում սպամերներին… >>>

Հարկ եմ համարում նշել նաև, որ բավականին մեծացել է  ինֆորմացիոն նամակների թիվը սպամ ցուցակում: Ավելացել է նաև վտանգ պարունակող սպամ նամակների քանակը` սեպտեմբերին սպամ նամակների 1,22%-ի մեջ եղել են վարակակիր ֆայլեր, այնինչ նախորդ ամիս դրանք կազմում էին 1,17%: Վարակակիր նամակների գրեթե կեսը պարունակում էր տրոյան  FraudLoad: Սրանք այն վարակներն են, որոնք զոհի համակարգչում տեղադրում են կեղծ հակավիրուսային համակարգեր, որոնք իբր զգուշացնում են համակարգչի վարակված լինելու մասին և գումար են պահանջում` դրանք վերացնելու համար: Վարակակիր նամակների լավագույն 10-ում են հայտնվել նաև Trojan-Downloader.Win32.Murlo.cba պարունակող նամակները: Վերջինս բավականին հին էկզեմպլյար է և այս ամիս հայտնաբերվել է վարակակիր սպամ-նամակների 28,5%-ում: Նախորդ ամիսների համեմատ այս ամիս բավականին նվազել են Zbot տրոյան վարակ պարունակող սպամ-նամակները: 9-րդ տեղում այս ամիս գտնվում է Trojan-Spy.Win32.Zbot.gen` շպիոն-ծրագիր, որը ստեղծված է գաղտնի ինֆորմացիա գողանալու համար:

Բավականին լայն տարածում են գտել սոցիալ-ինժեներիայի դասին պատկանող սպամ-նամակները, որոնք փորձում էին վարակված ֆայլ աշխատեցնել զոհի համակարգչում: Այս դասի նամակները, ինչպես միշտ, ուղարկված էին իբր այնպիսի հայտնի կազմակերպությունների կողմից, ինչպիսիք են` DHL, UPS և Western Union:

Դեպի վարակակիր ֆիշինգային կայքեր տանող հղումներ պարունակող նամակներն այս ամիս կազմել են ընդհամենը 0,84%-ը, որը 0,25%-ով քիչ է` նախորդ ամսվա համեմատությամբ:

Սեպտեմբեր ամսին հարձկման թիրախ դարձած կազմակերպությունների ցուցակը բացում է PayPal-ը: Նրա ցուցանիշը նախորդ ամսվա տվյալներով ավելացել է 18,68%-ով: Երկրորդ տեղում IRS-ն է` ամերիկյան մի կազմակերպություն, որը զբաղվում է հարկահավաքությամբ: Ամբողջ ամսվա ֆիշինգ հարձակումների 11,08%-ը եղել են այդ կազմակերպության նկատմամաբ: Լավագույն եռյակը այս ամիս եզրափակում է eBay օնլայն աուկցիոնը:

Սեպտեմբեր ամսին սպամերներն օգտագործել էին մի հնարք, որը էֆեկտիվ էր ֆիլտրների տեսանկյունից, բայց մյուս կողմից էլ ոչ էֆեկտիվ էր ապրանքներ և ծառայություններ մատուցողների համար: Քանի որ զոհը ոչ միայն պետք է իր ձեռքով բրաուզերում հավաքեր կայքի հասցեն, այլ պետք է նաև սպամերի կողմից ուղարկված տողից ջնջեր ավելորդ սիմվոլները:

Դե ինչ, դատելով այս տվյալներից, կարող եմ միայն խորհուրդ տալ կասկածելի վերնագրերով նամակներում կցված ֆայլերը երբեք չներբեռնել` նույնիսկ եթե այդ նամակը ուղարկել է հենց ինքը, Բիլ Գեյթսը…

Վարդան Գրիգորյան / iReport.am / blog.grigoryan.biz

SQL Injection-ը բավականին լավ գործիք է հակերի ձեռքին, որպեսզի ստանա ուրիշի սերվեր մուտք գործելու հնարավորություն: Եվ չնչին ցանկության դեպքում /իսկ հակերների մոտ այդ չնչին ցանկությունը այլ մարդկանց համար ահռելի մեծ է/ նա կստանա այդ հնարավորությունը …

Coder inside

Մեր ժամանակներում, տվյալների բազայի հետ աշխատում են համարյա բոլոր ծրագրավորման լեզուներով, օրինակ` BASIC, C++, Java, PERL, PHP, Assembler և նույնիսկ JavaScript! Շատ հաճախ տվյալների բազան օգտագործում են ֆինանսական որոշակի խնդիրների լուծումների, հաշվապահության, կադրերի կառավարման և շատ այլ ոլորտների մեջ, բայց իրենց մեծ տարածումը տվյալների բազաները գտան հենց ինտերնետում:

Տվյալների բազաները հաճախ օգտագործվում են ՎԵԲ ԾՐԱԳՐԱՎՈՐՄԱՆ մեջ: Նրանք օգնության են հասնում օրինակ գրանցված անդամների տվյալների պահպանման, կայքում որոնում իրականացնելու և շատ այլ դեպքերում: Տվյալների բազաներին դիմելու համար օգտագործվում են այսպես ասած սերվերային տեխնոլոգիաները, ինչպիսիք են` PHP, PERL, ASP և այլն: Ու հենց այստեղից էլ սկսվում է ամենահետաքրքիրը:  Որովհետև երբ սերվերի վրա տեղադրված են բոլոր թարմացումները, իսկ ֆայրվոլն արգելափակում է մուտքը բոլոր պորտերով, բացի 80-ից, կամ երբ անհրաժեշտ է մուտք գործել համակարգ` որոշակի տվյալների համար, հակերին միայն մնում է օգտվել ինչի՞ց… Դե իհարկե  SQL Injection-ից/այսուհետ SQL-ինյեկցիա/: Այս “գործողության” իմաստը կայանում է ՎԵԲ ՏԵԽՆՈԼՈԳԻԱՆԵՐԻ սխալների օգտագործումը SQL-ի օգնությամբ: Բանը նրանում է, որ շատ վեբ կայքեր, իրենց գրանցված անդամների տվյալների մշակման համար կազմում են որոշակի SQL-հրամաններ, որոնք կատարում են փոփոխություններ տվյալների բազայի մեջ:  Այս հրամանների օգտագործումը կարող է հանգեցնել հետաքրքիր արդյունքների…

SQL Injection

Հարձակման այս մեթոդը հասկանալու համար պատկերացրեք, թե մտել եք մի կայք, որպեսզի ներբեռնեք շատ կարևոր ինֆորմացիա, բայց պարզում եք, որ այդ ինֆորմացիան կարող է ներբեռնել միայն գրանցված անդամը, իսկ գրանցումը վճարովի է Իսկական ժամանակն է հիշել, թե ինչպիսի խնամքով պետք է վերաբերվել  SQL տվյալների բազային: Օրինակ լոգինի և գաղտնաբառի ստուգումը կատարող կոդը կարող է ունենալ հետևյալ տեսքը`

$result=mysql_db_query($db,"SELECT * FROM $table WHERE user='$login' AND
pass='$password'");
$num_rows=mysql_num_rows($result);
mysql_close($link);
if ($num_rows!=0)
{
// AUTHENTICATION OK
}
else
{
// AUTHENTICATION ERROR
}

Ես ավելացրել եմ երկու մեջբերում, առաջինը` “AUTHENTICATION OK “, որի փոխարեն պետք գրված լինի ճիշտ մուտքագրված տվյալների դեպքում կատարվող կոդը, իսկ երկրորդը` “AUTHENTICATION ERROR “, որին էլ պետք է փոխարինի սխալ մուտքագրված տվյալների դեպքում կատարվող կոդը: Ֆորման լրացնելուց հետո, բրաուզերում կարող ենք տեսնել մոտավորապես էսպիսի մի տող` http://www.server.com?login=user&password=31337, որտեղ  www.server.com-ը այն սերվերի անունն է, որի մեջ փորձում ենք մխրճվել: Հիմա փորձենք պատկերացնել թե ինչ SQL հարցում կարող է զբաղվել մեր մուտքագրած տվյալների մշակմամբ: Այն մոտավորապես կունենա հետևյալ տեսքը`

SELECT * FROM users WHERE login='user' AND password='31337'

Սա մոտավոր նշանակում է հետևյալը` վերադարձրու ինձ users աղյուսակի բոլոր այն տվյալները, որոնց լոգինը user է, իսկ գաղտնաբառը` 31337: Եթե գոյություն ունի այդպիսի տվյալ, ուրեմն տվյալ մարդը գրանցված է… Բայց որոշ հատուկ դեպքերում, ամեն ինչ կարելի է ձևափոխել: Հաշվի է առնվում այն հանգամանքը, որ SQL-ում կան AND և OR հրամաններ, որոնք համապատասխանաբար նշանակում են ԵՎ, ԿԱՄ :  Օրինակ ինչն է մեզ խանգարում հարցումը կատարել այսպես`

SELECT * FROM users WHERE login='user' AND password='31337' AND email='user@server.com'

Այս դեպքում կստուգվի նաև email փոփոխականը: Բայց եկեք կանգ չառնենք ԵՎ-ի վրա, որովհետև մեզ ավելի շատ հետաքրքիր է նրա ընկերը` ԿԱՄ-ը: Օրինակ ինչ կլինի եթե գրենք հարցումն այսպես`

SELECT * FROM users WHERE login='user' OR 1=1--' AND password='31337'

Նախ ասեմ, որ երկու գծերը` “–”, նշանակում են որ հարցումն այդքանով ավարտվում է, և դրանից հետո եկող տվյալները չեն ընթերցվում համակարգի կողմից! Ստացվում է, որ մենք կատարել ենք հետևյալ հարցումը`

SELECT * FROM users WHERE login='user' OR 1=1

Ինչպես տեսնում եք, մենք ավելացրեցինք ևս մեկ պայման`”1=1″, այսինքն համակարգը կտա մեզ ճիշտ արդյունք, եթե լոգինը լինի  user կամ 1=1: Բայց մաթեմատիկան մեզ հուշում է, որ 1-ը հենց հավասար է 1-ին (չնայած ինչեր ասես հիմա չեն հորինի ): Դե իսկ հիմա, մեր SQL հարցումը տեղափոխենք բրաուզեր` http://www.server.com?login=user or 1=1–&password=31337 :  Սա հանգեցնում է նրան, որ կապ չունի թե մենք ինչ լոգին ենք լրացրել, իսկ համակարգը մեզ ճիշտ արդյունքն է վերադարձնում:

Բայց այս ամբողջն ընդհամենը թեորիա է: Պրակտիկայում մեզ անհայտ է, թե ինչպես է կատարվում հարցումը, ինչ պարամետրեր են փոխանցվում և ինչ հաջորդականությամբ: Դրա համար նույն գործողությունը`”user’ OR 1=1–”, պետք է կատարել բոլոր փոփոխականների համար: Ինչպես նաև պետք է ստուգել ուղարկող ֆորմայի մեջ արդյոք կան թաքնված փոփոխականներ, որոնք սովորաբար լինում են այս տեսակի` “<INPUT TYPE=HIDDEN VALUE=’value’ >”: Եվ որ ամենակարևորն է, պետք է իմանալ, թե իրականում ինչ անունով սկրիպտ է ստանալու Ձեր ուղարկած տվյալները:

Իսկ ինչ վերաբերում է իմ բերած օրինակին, այն կարող էր լինել օրինակ այսպիսին`

SELECT * FROM users WHERE (login='user' AND password='31337')
SELECT * FROM users WHERE login="user" AND password="31337"
SELECT * FROM users WHERE login=user AND password=31337

և այլն…

Այս դեպքում պետք է փորձել բոլոր հնարավոր տարբերակները`

‘ OR 1=1–
” OR 1=1–
OR 1=1–
‘ OR ‘a’=’a
” OR “a”=”a
‘) OR (’a’=’a
OR ‘1′=’1′

Ամեն ինչ կախված է սկրիպտը գրող վեբ ծրագրավորողից և նրանից, թե ինչի համար է գրված սկրիպտը: Դե քանի որ ամեն մարդ սովոր է աշխատանքը կատարել իր ոճով, շատ հավանական է, որ ծրագրավորողը ընտրած լինի ամենադժվար տարբերակը: Դրա համար էլ պետք չէ հանձնվել, եթե համակարգը հանկարծ չընդունի Ձեր կողմից տրված տվյալները: Պետք է սոտւգել հնարավորինս շատ տարբերակներ:

— Շարունակելի —

Վարդան Գրիգորյան / iReport.am / blog.grigoryan.biz