Методи захисту конфіденційних даних у сучасних рішеннях класу Security Suite

Класифікація способів комп’ютерної крадіжки інформації


У самому широкому аспекті питання крадіжки конфіденційної інформації розглядається на сайті Федеральної торгової комісії США (Federal Trade Commission) в розділі в розділі “About Identity theft”. Там йде мова про велику кількість традиційних “некомп’ютерних” способів крадіжки інформації, таких як крадіжка гаманців і гаманців, пошук обривків паперів в смітті, дзвінки від імені представника фінансового установи, використання спеціальних пристроїв для зчитування номерів кредитних карт і інших.


Однак крім усього перерахованого існують також способи крадіжки інформації з використанням персонального комп’ютера, яких можна виділити як мінімум три. У першому випадку користувач сам передає інформацію зловмисникам, повіривши фальшивому запитом на передачу такої інформації, який зазвичай поширюється у вигляді спам-розсилки по електронній пошті. При цьому зловмисники створюють фальшиву web-сторінку, яка імітує сторінку реально існуючого банку або іншої фінансової організації. Такий тип комп’ютерних злочинів називається фішингом.


Другий спосіб крадіжки конфіденційної інформації заснований на стеженні за діями користувача комп’ютера і їх протоколюванні. Такий електронний шпигунство здійснюється за допомогою спеціальних троянських програм, званих у класифікації “Лабораторії Касперського” Trojan-Spy. Однією з найпопулярніших на даний момент груп Trojan-Spy є кейлоггери (клавіатурні шпигуни).


Третій спосіб крадіжки конфіденційної інформації – використання шкідливих (найчастіше троянських) програм, що займаються пошуком на комп’ютері користувача конфіденційних даних і прихованої передачею їх зловмисникові. У цьому випадку зловмисники можуть отримати тільки ті дані, які користувач вважав за потрібне внести в пам’ять комп’ютера, однак цей “недолік” компенсується тим, що участь самого користувача в передачі конфіденційної інформації не вимагається. У класифікації “Лабораторії Касперського” програми-викрадачі носять ім’я Trojan-PSW.


Способів поширення докладних шкідливих програм досить багато: вони можуть активуватися при відкритті файлу, приєднаного до електронного листа; при натисканні на посилання в повідомленні ICQ; при запуску файлу з каталогу, що знаходиться в загальному доступі в peer-to-peer мережі; за допомогою скрипта на сторінках містять троянські програми веб-сайтів, який використовує особливості інтернет-браузерів, що дозволяють троянцям запускатися автоматично при заході користувача на дані сторінки; за допомогою раніше встановленої шкідливої ​​програми, яка вміє завантажувати і встановлювати в систему інші шкідливе ПО.


Головна мета шкідливих програм типу Trojan-PSW – добути різноманітну інформацію про операційну систему користувача і паролі до різних програм і сервісів. Для цього вони дивляться всі місця зберігання подібних відомостей: захищене сховище Windows, ключі реєстру і певні файли програм, що цікавлять зловмисника (зазвичай це клієнти систем миттєвого обміну повідомленнями, систем електронної пошти, інтернет-браузери).


Після збору інформації в зазначених місцях троянська програма зазвичай шифрує її і стискає в бінарний файл невеликого обсягу, який може бути або відправлений по електронній пошті, або викладений на FTP-сервер зловмисника.


У цій статті проаналізуємо два різні підходи до захисту конфіденційних даних, реалізованих в сучасних системах захисту.


Як реалізований захист конфіденційних даних у більшості існуючих антивірусних продуктів?


Практично в усі сучасні комплексні системи захисту (Security Suite) включений компонент захисту конфіденційної інформації, зазвичай званий Privacy Control. (Зауважимо, що в деяких додатках він об’єднується під загальною назвою з іншими, суміжними компонентами захисту – наприклад, з антифішинговий.) Основним завданням Privacy Control є захист знаходиться на комп’ютері користувача конфіденційної інформації від несанкціонованого доступу та витоку каналами передачі даних.


Розглянемо, яким чином реалізована захист конфіденційної інформації в продуктах компанії Symantec. Ця компанія була обрана нами тому, що вона однією з перших включила в свої рішення компонент захисту конфіденційних даних, після чого інші учасники ринку стали використовувати аналогічні компоненти.


Ще в кінці 1999 року Symantec опублікувала дані про свій продукт Norton Internet Security 2000, до складу якого входив новий компонент Norton Privacy Control. Однією з головних його складових являвся модуль захисту конфіденційних даних Confidential Data Blocking.


Принцип роботи цього компоненту полягає в наступному: користувач повинен ввести всю інформацію, яку він вважає конфіденційною, після чого продукт буде аналізувати весь вихідний з комп’ютера мережевий трафік і вирізати або замінювати на незначущі символи (наприклад, “*”) містяться в потоці даних конфіденційні відомості.


Рис. 1. Компонент “Конфіденційні дані” продукту
Norton Internet Security 2000


Компонент Norton Privacy Control був включений у всі нові версії продуктів Norton Personal Firewall і Norton Internet Security.


У флагманському на даний момент часу продукті Norton360, випущеному компанією Symantec в 2007 році, також можна побачити компонент Privacy Control, але не в основній поставці, а в якості доповнення (Add-on Pack), доступного для скачування на сайті компанії Symantec.


Рис. 2. Компонент “Блокування конфіденційних даних”
продукту Norton360


Однак основний принцип роботи компонента залишився незмінним: так само, як і в продукті Norton Internet Security 2000, існує таблиця, куди користувач може вписувати свої конфіденційні дані (див. рис. 2).


Недоліки традиційного підходу до захисту конфіденційних даних


Що ж змусило авторів програми прибрати компонент захисту конфіденційних даних зі списку основних модулів Norton360? Ймовірно, тому є кілька причин. Одна з них лежить на поверхні: на самому справі, такий підхід до захисту конфіденційних даних не ефективний, Більш того, він створює для користувача лише ілюзію захищеності!


Так, в описі основних характеристик останньої версії продукту Norton Internet Security 2007 першим пунктом слід “Блокує спроби крадіжки особистої інформації”. Однак це не відповідає дійсності.


Якщо уважніше придивитися до першого вікна на малюнку 2, то можна помітити коментар в нижній частині вікна, який в перекладі на російську звучить так: “Norton Add-on Pack не може блокувати конфіденційну інформацію на захищених web-сайтах. Однак захищені web-сайти самі гарантують безпеку ваших даних “. Причина цього зауваження проста: спілкування з захищеними сайтами йде за протоколом, в якому всі передані дані шифруються, що не дає можливості якій третій стороні проаналізувати їх потік.


Тепер варто згадати, від чого повинен захищати компонент захисту конфіденційних даних – від троянських програм типу Trojan-PSW. А що заважає троянським програмам самим шифрувати всі передані дані? Ніщо не заважає, і більше 80% троянців саме так і роблять! Тому компонент захисту конфіденційної інформації, робота якого заснована на аналізі трафіку і пошуку заздалегідь заданих послідовностей даних, запобігти відправку даних в більшості випадків не зможе, так як просто не знаходить їх у зашифрованому потоці, переданому троянською програмою.


Також варто зауважити, що збереження всіх конфіденційних даних в одному місці після їх введення у вікнах, подібних зображеним на рис. 2, само по собі ніяк не може сприяти підвищенню безпеки. Навпаки, замість того щоб шукати дані в декількох місцях файлової системи комп’ютера, зловмисникові достатньо буде отримати доступ до файлу, використовуваному компонентом захисту. Безсумнівно, програма покликана максимально захистити вводяться користувачем дані, але гарантій захищеності це в жодному разі не дає.


Як приклад успішної роботи компонента наводиться така ситуація: якщо на якійсь веб-сторінці вас просять ввести ваш телефонний номер, то, після того як номер введений, NIS 2000 запитає вас, впевнені Чи ви в те, що хочете відіслати конфіденційні дані.


Однак таке попередження не дуже допоможе у реальному житті, так як рішення про введення необхідної інформації користувач приймає, виходячи з того, чи викликає в нього довіру веб-сторінка. Якщо користувач розглядає сторінку як справжню, то попередження програми його не зупинить, якщо ж користувач вважає її фальшивою, то він навіть не почне вводити які-небудь дані. На жаль, останнім часом все більше і більше підроблених веб-сторінок, створюваних зловмисниками, виглядають дуже схожими на справжні сторінки фінансових установ, і користувачі вводять конфіденційні дані на них, незважаючи на попередження програм захисту.


Альтернативний підхід до захисту конфіденційних даних


Існує інший підхід до захисту конфіденційних даних, заснований на блокуванні дій шкідливої ​​програми на більш ранніх стадіях, ніж передача даних по каналу зв’язку, коли зробити вже, як правило, нічого не можна.


Для того щоб вкрасти конфіденційну інформацію, шкідлива програма повинна вчинити дві дії: знайти її і витягти з якогось сховища (це може бути файл, ключ реєстру, спеціальне сховище операційної системи), а також передати автору шкідливої ​​програми по каналах зв’язку. При цьому, так як на багатьох комп’ютерах є контролюючі мережеву активність встановлених додатків мережеві екрани, передавати зібрані дані від власного імені шкідлива програма не може. Тому багато програм класу Trojan-PSW використовують різні методи для обходу захисту мережевого екрану і відсилання інформації в прихованому від користувача режимі.


Таким чином, розумним виглядає підхід, при якому компонент захисту відстежує наступні прояви активності додатків, що є можливим показником крадіжки конфіденційних даних:



  1. Спроба отримання доступу до персональних даних або паролів, розташованим в захищеному сховище (Protected Storage) операційної системи Microsoft Windows.

    Дана служба забезпечує зберігання конфіденційних даних: локальних паролів, паролів до поштових скриньок POP і SMTP-серверів, паролів доступу в Інтернет, паролів для автоматичного входу на закриті розділи сайтів, відомостей і паролів для автозаповнення веб-форм, та інших. Ці дані вводяться у відповідні поля поштових клієнтів і браузерів. Як правило, користувач може зберегти введені дані, для чого йому необхідно встановити спеціальний прапорець. У цьому випадку введені дані зберігаються службою Microsoft Windows в захищеному сховищі.


    Відзначимо, що навіть користувачі, які побоюються витоку інформації і не зберігають дані в браузері, зазвичай зберігають паролі облікових записів систем електронної пошти, оскільки вводити їх кожного разу при отриманні і / або відправленні листів займало б надто багато часу. Враховуючи, що збіг пароля від електронної пошти і пароля для доступу в Інтернет ще зустрічається у ряду інтернет-провайдерів, отримання його дає зловмисникові можливість не тільки потрапити в чужий поштову скриньку, але й скористатися параметрами інтернет-з’єднання користувача.


  2. Спроба прихованої відправки даних по каналах зв’язку.

    Для передачі зібраних даних шкідливі програми намагаються використовувати різні методи обходу мережевого екрану (якщо такий встановлено на комп’ютері користувача). Наприклад, вони можуть запустити процес інтернет-браузера в прихованому режимі і передати йому дані за допомогою програмних інтерфейсів (COM, OLE, DDE і інших), що надаються більшістю браузерів. У цьому випадку мережевий екран не відреагує на передачу інформації, оскільки в більшості сучасних мережевих екранів існує набір передвстановлених правил, що дозволяють мережеву активність довіреною додаткам. Отже, і користувач не дізнається про це і не зможе запобігти витоку даних.


Важливо відзначити, що шифрування викрадених даних при описаному підході до захисту не є проблемою для шкідливої ​​програми, так як перехоплення її дій компонентом захисту здійснюється вже на етапах, безпосередньо передують передачі вкраденої і зашифрованої інформації по каналах зв’язку.


Розглянутий підхід реалізовано в продукті Kaspersky Internet Security 7.0 компанії “Лабораторія Касперського”.


Захист від крадіжки конфіденційної інформації за допомогою KIS 7.0 на прикладі Trojan-PSW.Win32.LdPinch


Модуль захисту конфіденційних даних включений в продукт Kaspersky Internet Security 7.0 (див. рис. 3) в якості однієї з підсистем компонента “Анти-шпигун”. Він аналізує поведінку всіх процесів в системі користувача і при виявленні будь-якого з двох розглянутих вище видів активності дозволяє або попереджати користувача, або автоматично блокувати дану дію.


Рис. 3. Налаштування компонента “Анти-шпигун” продукту
Kaspersky Internet Security 7.0


Розглянемо, як цей модуль KIS захищає користувача від спроби крадіжки конфіденційної інформації, на прикладі реальної троянської програми Trojan-PSW.Win32.LdPinch, головною метою якої є крадіжка паролів від різних встановлених на користувацької машині програм.


Як видно з опису однієї з версій програми – Trojan-PSW.Win32.LdPinch.bik, вона дозволяє викрадати інформацію про жорсткому диску комп’ютера і кількості вільного місця на ньому, про обліковий запис поточного користувача, мережевому імені комп’ютера, версію операційної системи, тип процесора, можливостях екрани, встановлені на комп’ютері програми, запущені процеси і існуючих в системі dialup-судинних. І, звичайно, основна викрадають інформацію – це паролі від безлічі програм, серед яких:



  1. Системи миттєвого обміну повідомленнями:

    • ICQ 99B-2002a
    • ICQ 2003/Lite/5/Rambler
    • Miranda IM
    • TRILLIAN
    • &RQ, RnQ, The Rat
    • QIP
    • GAIM
    • MSN & Live Messenger

  2. Клієнти систем електронної пошти:

    • The Bat!
    • MS Office Outlook
    • Mail.Ru Agent
    • Becky
    • Eudora
    • Mozilla Thunderbird
    • Gmail Notifier

  3. Інтернет-браузери:

    • Opera
    • Protected Storage(IE,Outlook Express)
    • Mozilla Browser
    • Mozilla Firefox

  4. Утиліти автодозвону:

    • RAS
    • E-DIALER
    • VDialer

  5. Файлові менеджери:

    • FAR
    • Windows/Total Commander

  6. FTP-клієнти:

    • CuteFTP
    • WS FTP
    • FileZilla
    • Flash FXP
    • Smart FTP
    • Coffee Cup FTP

    А також ряд інших.


Вкрадені паролі використовуються в тому числі для подальшого поширення шкідливої ​​програми. Так, отримавши пароль від ICQ-клієнта, троянська програма змінює його на сайті ICQ і починає посилати повідомлення від імені жертви з посиланням на власне виконуваний файл, намагаючись таким чином збільшити кількість заражених машин.


Вся викрадена інформація в зашифрованому вигляді або відправляється на задану адресу електронної пошти, або викладається на FTP-сервер зловмисника.


Система захисту конфіденційних даних, заснована на аналізі трафіку (аналогічна Norton Privacy Control), не зможе запобігти відправку шифрованих даних, навіть якщо користувач занесе всі паролі до всіх своїх програм в список контрольованих даних. Таким чином, якщо комп’ютер, на якому встановлений один з продуктів компанії Symantec з підсистемою Privacy Control або інший подібний продукт з схожим підходом до захисту конфіденційної інформації, буде атакований новою версією троянської програми Trojan-PSW.Win32.LdPinch, ще не включеної в антивірусні бази і не обумовленою іншими компонентами захисту, то більшість паролів користувача буде вкрадено зловмисником і використано на його розсуд.


В той же час система захисту, заснована на аналізі активності запущених додатків, дозволяє блокувати як збір (див. рис. 4), так і приховану відправку (див. рис. 5) конфіденційних даних троянцем Trojan-PSW.Win32.LdPinch.


Рис. 4. Повідомлення програми Kaspersky Internet Security 7.0
про спробу отримання доступу до конфіденційних даних
шкідливою програмою Trojan-PSW.Win32.LdPinch


Рис. 5. Повідомлення програми Kaspersky Internet Security 7.0
про спробу прихованої відправки конфіденційних даних
шкідливою програмою Trojan-PSW.Win32.LdPinch


Висновок


У нашій статті розглянута класифікація методів комп’ютерної крадіжки інформації, проаналізовані два принципово різних підходи до побудови компонентів захисту конфіденційної інформації, що включаються в існуючі комплексні системи безпеки, а також проаналізовано ефективність обох підходів на прикладі зіткнення компонента захисту одного з продуктів “Лабораторії Касперського” з широко відомою троянською програмою.


Порівняння названих підходів до захисту конфіденційної інформації показало явну перевагу підходу, заснованого на аналізі поведінки запущених додатків і відстеження активності, що говорить про можливу спробі крадіжки конфіденційних даних. Значно менш ефективним виявився підхід, при якому компонент захисту використовує створений користувачем список не призначених для сторонніх очей відомостей і стежить за тим, щоб ніякої фрагмент цього списку не потрапив в вихідний мережевий трафік.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*