Блог

Съвременни мрежови атаки и методи за противодействие. Глава 1: Кратка история на заплахите за информационната сигурност.

By December 23, 2017 No Comments

През 1939 година екип от криптографи и инженери успяват да създадат устройство, което с помощта на така наречената „груба сила“ изчислява ключът използван от немската шифровъчна машина „Енигма“ и по този начин успяват да окажат съществено влияние за изхода от Втората Световна Война.
Отново през Втората Световна Война, Рене Кармил успява да декриптира информация разположена през използваните по онова време перфо карти. Разполагайки с информацията от перфокартите, той успява да спаси голям брой евреи.
През 1957 г. нашумява случаят “Phreaking” – манипулиране на телефонните сигнали с цел безплатни повиквания. 7 годишният Джо Енгресия разбира, че ако в телефонната слушалка се подсвирне с определена височина на тона /2600 Hz/ е възможно да се активира комутирането на веригите и да се проведе обаждане. Докато учи в университета в южна Флорида, той започва да продава междуградски и международни обаждания на своите приятели и колеги на по 1 долар. През пролетта на 1968 г. SBT&T успява да засече тази нелегална дейност и въпреки че без законово разпореждане за записани телефонните разговори и данните са изпратени на ФБР, които започват разследвания по случая. В дома на Енгресия нахлуват агенти, като присъдата, която съдът отсъжда, е измама.
На 26 юли в New York Times е публикувана статия, че основната парола на компютърната консултантска фирма NCSS е била открадната от злонамерени лица, като това поставя фирмата в един от първите хакерски скандали, а проведените анализи от ФБР показват как млад и разполагащ със свободно време компютърен специалист може свободно да се „разходи“ из съхранените данни и да открие това което би представлявало интерес за него или за трети лица.
На 12 септември 1981 година в Германия е създадена организация “Chaos Computer Club” – една от най-големите европейски организации от хакери по това време, която обхваща Германия и други немско говорящи държави. Целта на CCC е била да се постигне повече прозрачност в държавното управление, като се акцентира върху свободния достъп до информация и на последното място и на човешките права.
През 1984 година законът “Comprehensive Crime Control Act” разрешава на службите в САЩ да имат юрисдикция върху компютърните престъпления, което означава официално криминализиране на злонамерените хакерски действия.
През 1986 година атаките към правителствени системи и мрежи в САЩ зачестяват, което довежда до въвеждане на закона “Computer Fraud and Abuse Act”. Този закон ясно дефинира, че проникването в чужда компютърна система, използвайки пропуски в сигурността или други злонамерени действия е наказуемо криминално деяние.
Едно от по-важните събития, свързани с информационната и комуникационната сигурност през 1987 година е появата на червея “Christmas Tree EXEC”, водещ до значителни проблеми при работата на мрежите VNET, BITNET и EARN. Любопитното при този зловреден код, е, че неговият механизъм на действие е използван отново в 2000 година от популярния червей “I LOVE YOU”.
През 1988 година се случват няколко събития, които са от съществено значение за развитието на информационната и комуникационната сигурност. Сред тях са появата на червея “Morris”, който се разпространява през мрежата ARPAnet (считана за една от технологиите, предшестващи интернет), като този зловреден код успешно заразява над 6000 университетски и правителствени системи. Авторът на “Morris” Робърт Морис е осъден на 3 годишен изпитателен срок и глоба в размер на 10 000 щатски долара. През същата година от „First National Bank Of Chicago“ с целенасочена хакерска атака са откраднати 70 000 000 долара. Поради зачестилите хакерски атаки агенцията DARPA сформира звено “Computer Emergency Response Team” (CERT).
До 1990 година повечето закони за криминализиране на злонамерените хакерски действия са приети и се прилагат в САЩ. Първият подобен закон във Великобритания е „Computer Misuse Act 1990″.
През 1992 година българинът, познат под псевдонима “Dark Avenger”, създава компютърният вирус „1260“, който за първи път в историята използва полиморфен код, като по този начин ефективно заобикаля защитата чрез антивирусен софтуер, който най-често търси определена последователност от байтове в сканираните файлове. По подобен начин в момента се използват и методи за заобикаляне на системи от тип IDS/IPS (Intrusion Detection System и Intrusion Prevention System). Полиморфният код използва специални функции, които мутират инструкциите, като напълно запазват логиката на алгоритъма.
От гледна точка на програмна реализация този код изисква използването на сложни модели и често се добавя и шифриране на данните чрез криптографски алгоритми. Като пример за полиморфен код се посочва следната операция – променливата от целочислен тип “a” трябва да има стойност 5. Този резултат може да се постигне по много начини като директно присвояване на стойността или чрез аритметичен израз. В следната таблица предоставям сравнението на двата подхода чрез прост С код и генерираните съответно различни асемблерни инструкции за функцията main() и различни машинни инструкции (opcode).

Директно присвояване Изчисляване чрез аритметичен израз
C int main () {
int a,b;
b=2;
a=5;
return 0;
}
int main () {
int a,b;
b=2;
a=10/2;
return 0;
}
NASM 0x080483eb<+0>: push %ebp
0x080483ec<+1>: mov %esp,%ebp
0x080483eе<+3>: sub$0x10,%esp
0x080483f1<+6>: movl$0x2,-0x8(%eb)
0x080483ff<+20>: mov$0x0, %eax
0x08048404<+25>: leave
0x08048404<+26>: ret
0x080483eb<+0>:push %ebp
0x080483ec<+1>:mov %esp, %ebp
0x080483ee<+3>:sub $0x10, %esp
0x080483f1<+6>:movl $0x2,0x8(%b)
0x080483f8<+13>:mov $0xa,%eax
0x080483ed<+18>:cltd
0x080483fe<+19>:idivl -0x8(%ebp)
0x08048401<+22>:mov$x, -0x4(%eb)
0x08048409<+30>:leave
0x0804840a<+31>:ret
Opencode (HEX) 55 89 e5 83 ec 10 c7 45 f8 02 00 00 00 c7 45 fc 05 00 00 00 b800 00 00 00 c9 c3 66 90 66 90 66 9066 90 55 89 e5 83 ec 10 c7 45 f8 02 00 00 00 b8 0a 00 00 00 99 f7 7d f8 89 45 fc b8 00 00 00 c9 c3 66 90 66 90 90

През 1994 година руски хакер успява да изтегли 10 000 000 долара и да ги депозира в различни сметки по целия свят . Извършителят Владимир Левин е изправен пред съда в САЩ и получава 3 годишна ефективна присъда. Властите успяват да възстановят почти всички средства, с изключение на сума в размер на 400 000 долара.
През същата година в интернет е пуснато безплатното приложение “AOHell”, което разполага с приятен графичен интерфейс и чиято цел е да изпраща множество електронни писма от по няколко мега байта към сървърите на AOL с цел “Отказ на услуга“ – DOS. Този софтуер е типичен пример за тъй наречения Script Kiddies хакери – злонамерени лица, които имат много малко познания в сферата на сигурността.
Справка показва, че през цялата 1996 година хакери са атакували компютрите на Департамента по отбрана на САЩ около 250 000 пъти, като 65% от атаките са били успешни. Това поставя редица въпроси за необходимостта от изграждане на адекватна и надеждна защита за информационните технологии.
През 1999 година се разпространява злонамерената програма “Melissa”, който като принцип на действие е “Mass Mailer”. Любопитното при този вирус е , че не е написан на език от ниско ниво, а използва системата за автоматизирани макроси на Microsoft Office.
С настъпването на новото хилядолетие се появява мрежовият червей I LOVE YOU, познат и като VBS/Love Letter и Love Bug. Написан е на Visual Basic Script и само няколко часа след пускането си успява да зарази няколко десетки милиона машини, което го прави един от най-опасните злонамерени програми през онова време. I love you е написан от филипински студент като част от неговата дипломна работа.
През 2001 година Microsoft стават жертва на новата по онова време кибер атаката Denial of Service, резултат на което множество WEB сайтове, включително и сайта на Microsoft не са достъпни. Едно от най-важните събития през тази година се случва на 15-ти юли – в интернет се пуска червеят Code Red, целенасочено атакуващ Internet Information Services. Най -големият брой заразени компютри е достигнат на 19-ти юли, като бройката надхвърля 360 000 машини. Успешното проникване на червеят се дължи на технологичен пропуск от страна на Microsoft с номер MS031-033, който е коригиран от тях месец по-късно. Действието на Code Red се свежда до подправяне на съдържанието на основната страница на сайта със следния текст:
HELLO! Welcome to http://www.worm.com! Hacked by Chinese!
В логиката на Code Red е заложено и различно действие спрямо календарната дата. Ако денят от месеца е 1-19, червеят опитва да зарази други системи, ако е между 20- 27-ми се стартира DoS атака към предварително заложен списък от IP адреси, а от 28-ми до края на месеца не се извършват никакви действия. За да се разпространи, червеят проверява дали отдалеченият сървър е уязвим, като изпраща следната HTTP заявка :

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Големият брой символи „N“ водят до препълване на буфера и байтовете след тях се обработват като програмни инструкции.
През 2002 година Бил Гейтс официално посочва, че неговата компания е взела мерки за повишаване на сигурността на своите продукти и услуги и стартира масивна кампания за обучение на своите служители. Въпреки това, същата година отново има атака насочена към системите на Microsoft. При нея чрез инжектиране на програмен код се изпраща системно съобщение между процеси, което се включва в цикъл, а резултатът от това е повишаване на правата на потребителя. Въпреки, че Microsoft изготвят обновление, което би трябвало да се справи с този проблем, самият дизайн на Операционната система Windows позволява подобен тип „Повишаване на права“ чак до версия Windows XP.
През 2005 година Камерън Лакроа е осъден на 11 месеца затвор за хакване на мрежата на мобилния оператор T-Mobile, полученият пълен достъп до мобилният телефон на Парис Хилтън и публикуваните от него контакти, електронни писма и нейни голи снимки в интернет.
През месец май 2006 година Джеймс Анчета е осъден на 57 месеца затвор за причинените от него щети на „Naval Air Warfare Center“ и „Defense Information System Agency“ чрез масирана DDoS атака. Също така той трябва да заплати глоба от 15 000 000 долара на потърпевшите страни.

Фиг. 1.1 Distributed Denial Of Service – хакерът изпраща заявка за стартиране на DDoS към контролер, който от своя страна активира бот мрежи или зомби станции, извършващи същинската атака към посочената цел.

На 17 май 2007 година е засечена една от най-масивните DDoS атаки към Естония, като необходимото време за възстановяване от нейните последствия е значимо.
В средата на 2009 година е стартирана хакерска операция под името “Operation Aurora“, започваща от Китай и която е насочена към редица големи компании като Google, Adobe, Yahoo. Google признават, че хакерите са успели да откраднат от тях интелектуална собственост.
През 2010 година е открит един от най-сложните известни до момента злонамерени инструменти – Stuxnet. От програмна гледна точка той е изключително сложен, като неговата основна цел е да достави „товар“ / payload/ до точно определени системи свързани с управлението на специфични индустриални процеси. Този код се явява първият известен rootkit / набор от средства за получаване на пълни права върху системата/.
Той успява да се разпространява прескачайки някой от най-често използваните технологии за защита на мрежовата комуникация, както и да променя управляващите програми на програмируемите логически контролери на Siemens, като успешно прикрива своето присъствие, изпращайки неверни данни към HMI системите за наблюдение. Любопитното е , че Stuxnet използва вградени в кода данни за достъп до хардуера, които не са били публично достъпни, както и че се прикрива с валидни цифрови сертификати, генерирани чрез откраднати секретни /private/ ключове от големи технологични компании.
Действието на Stuxnet може да се опише чрез следните основни етапи:

  1. Инфектиране на Windows операционната система, чрез използване на множество атаки от тип zero-day и кражба на информация за цифрови сертификати, инсталиране на rootkit на инфектираната система.
  2. Опит за заобикаляне на IPS модули, които следят поведението на системната функция LoadLibrary) Това се извършва от процес, който зарежда необходимите софтуерни библиотеки (DLL) и при необходимост инжектира код към стартирани процеси.
  3. Най-често инфектирането се извършва като цялата библиотека на Stuxnet се прикача към съществуващ процес и при необходимост се повикват допълнителни външни за нея функции;
  4. Извършва се проверка, дали системата използва поддържана версия на операционната система Microsoft Windows, както и дали вече тя е заразена. Преди да се извърши инжектирането на кода се стартира сложна процедура за откриване на наличен и активен антивирусен софтуер;
  5. Stuxnet се препраща чрез мрежова комуникация, flash памети, файлове с проекти на Siemens Step 7 и други.
  6. Активно се търсят специализираните индустриални системи – Siemens WinCC (SCADA). Ако такава система бъде открита се инжектира SQL код, като за да се прескочат модулите и функциите за автентикация се използват заложени в кода на Stuxnet данни за достъп (hard-coded authentication credentials). Ако инжектирането е успешно, се получава достъп до S7 ПЛК, свързани чрез различни специализирани протоколи за индустриална комуникация.
  7. Управляващата програма на ПЛК се заменя, като се цели блокиране на определени процеси, като се генерира трафик през индустриалния комуникационен протокол Profibus, активиране на изходи и работа като rootkit, който служи за изпращане на команди към ПЛК;
  8. Заразените контролери се наблюдават за специфични дейности. Тази проверка се извършва на база на Profibus комуникацията между индустриалните системи;
  9. Ако са открити точно определени настройки, свързани с управление на предварително търсена работна честота, Stuxnet променя стойността от 14010 на 2 Hz за цикъл;
  10. Ако системата не е съвместима с Stuxnet, зловредният код се премахва, като неговите следи изцяло се заличават.

Едуард Сноудън твърди, че Stuxnet е разработен от NSA и Израел.

През 2011 година турски хакер с псевдоним JeOPaRDY успява да пробие защитата на сайта на Bank Of America и както той твърди успява да открадне информация за приблизително 85 000 кредитни карти.
На 16 октомври същата година много потребители на YouTube са шокирани, защото поради хакерска намеса детския канал ”Улица Сезам” 22 минути излъчва порнографско съдържание, вместо обичайната програма за деца.
През 2012 година хакер с псевдонима 0xOmer качва в Pastebin списък с данни за кредитни карти на повече от 400 000 потребители от Близкия изток. Също така заплашва Израел, че в близките месеци ще публикува информация за още над 1 милион карти.
Същата година, отново в Pastebin хакерската група “The Hacker Encrypters” публикува инструкции за осъществяване на SQL injection във Facebook.
На 7 февруари 2014 година онлайн борсата Mt. Gox, търгуваща с Bitcoin обявява фалит, заради откраднати от хакери над 460 милиона реални долара в електронни транзакции и над 27 милиона от тяхната банкова сметка.
На 2 юни същата година за първи път е открит т.нар крипто-вирус /“ransomware“/ – Cryptolocker. Използвайки асиметрични криптографски алгоритми той шифрира файловете на потребителите и иска откуп от тях, за да предостави ключ за декриптиране, като ако потребителя не заплати искания откуп до няколко дни ключа за декриптиране се унищожава, като без него декриптирането на практика е невъзможно.
През месец октомври 2015 година в пресата се появи статия, че в компютъра на асистента на германския канцлер Ангела Меркел е открит изключително сложният зловреден код Regin, за който се счита, че е резултат от дългогодишна разработка на NSA на САЩ. Regin е много целеви инструмент за шпиониране и събиране на информация, който Symantec откриват и анализират от есента на 2013 година. Този зловреден код има няколко версии, като най-ранната от тях е от 2008 година. Целите, които Regin се опитва да достигне, не са фокусирани в отделен индустриален сектор или организация. Заразени са системи както на големи компании, така и на институции, свързани със здравеопазването, телекоми, малки фирми и отделни физически лица. Статистика за разпространението на Regin, по сектори може да се обобщи като:

  • Доставчици на интернет – 48%;
  • Опорни мрежи на телекоми – 28%;
  • Здравеопазване – 9%;
  • Енергетика – 5%;
  • Авиокомпании – 5%;
  • Изследователски организации – 5%.

Архитектурата на Regin е изключително сложна и може да се сравни с тази на Stuxnet. Стартирането на кода минава през 6 нива, като само първото от тях не работи с криптирани данни. [10]