К модели нарушителя в информационной безопасности Windows

[arkenoi]

Я не уставал удивляться тому, как Windows-пользователи относятся к информационной безопасности. Вот, предположим, я обнаружил у себя троян, rootkit или еще какую гадость. Это же можно с ума сойти! Смена всех паролей, отзыв ключей и сертификатов, переустановка софта, расследование инцидента, определение вектора проникновения, чорт знает что, короче. Что делает пользователь Windows, у которого, минуточку, с вероятностью больше половины на компьютере содержится информация, которую он считает конфиденциальной, банк-клиент или электронный кошелек, да мало ли что еще? Ни-че-го. То есть вообще. Он запускает антивирус, "лечится" и делает вид, что ничего не произошло. И знаете, что самое странное? Похоже, в подавляющем большинстве случаев он прав.


Ладно, пес с ним, с домашним пользователем. Но почему CISO банка, "работа которого была затруднена из-за вирусов", не стреляется из табельного оружия (а на его место, наконец, не перестают брать придурков в погонах, разбирающихся в IT, как свинья в апельсинах)? Это же хана - критичные для бизнеса приложения управляются неизвестно кем и неизвестно чем, да еще и неизвестно, как оно туда попало и что делать, чтобы это не случилось еще раз! Да все потому же. Потому что пока у него есть основания не бояться.

А все дело в оппоненте. Я знаю, у многих моих коллег словосочетание "модель нарушителя" вызывает кислую оскомину и мысли о далеких от реальности "учебных курсах по ИБ", но тем не менее: ключевой момент здесь в том, что оппонент - тот, кто стоит за вирусными атаками, ботнетами и т д - это, как правило, не хакер. Хакер - это в первую очередь человек с нестандартным мышлением, неспроста в известном слогане "for fun and profit" в первую очередь стоит fun. Написать zero-day exploit - это, разумеется, fun. Заниматься ботнетами и червями, как бизнесом - в основном, не очень; занятие скучное, рутинное; и стоит ли удивляться, что оно находится в руках совершенно других людей, чье мышление ближе не к хакерам, а к обыкновенным жуликам образца начала 90-х годов. Их интересуют деньги, причем стабильные и предсказуемые. Которые проще делать на предсказуемом бизнесе, а не ковыряться в банковских сетях и ядерных секретах.

Вот именно поэтому ваш зараженный компьютер, скорее всего, занимается "невинными" вещами вроде рассылки спама, атакой на политические или коммерческие сайты или накруткой "кликов" на баннерных сетях и даже не подумает тщательно проиндексировать содержимое вашего жесткого диска для подпольной поисковой машины (максимум - прихватит то, что совсем плохо лежит, вроде номеров кредитных карт).

Вы действительно в безопасности. Временной и относительной.

(по мотивам бесед с codera)

Comments

[cmhungry.livejournal.com]

Точно такая же модель поведения будет не у виндовс-админов, но и у юниксовых, кому взломали форум на том же инвижне или пхпбб, дефейснули сайт и начали с хостинг-машины флудить на пол-интернета. Починил, нашел дырку, прикрыл, дальше работаем как ни в чем не бывало.
Вероятность появления хака как такового, для информации, сбора паролей и т.п. крайне низка.
Как известно, большинство пользователей используют один и тот же пароль для всех или почти всех сервисов в интернете, казалось бы, взломал форум, скачай базу юзеров с паролями, прошерсти их почтовые ящики, получишь много ценного/полезного/интересного (к слову о fun). Но такого как правило не происходит, потому что в этом надо копаться, и копаться долго, а свои 200 баков можно заработать просто зафлудив с этого хоста некий сервер в интернете. Это проще и быстрее.

[arkanoid.livejournal.com]

ну я бы сменил от греха пароль, если бы узнал что какой-то из сервисов, которым я пользуюсь, скомпрометирован. у меня, впрочем, одинаковые пароли только на сервисы вида "украдут-не жалко" (кому нужен мой пароль на десятке безвестных форумов, куда я захожу раз в месяц?), да и те по кучкам раскиданы. а будучи администратором такого ресурса - разумеется, предупредил бы пользователей.

все же сниффер и собиралка паролей еще часто входят в джентельменский набор, часто приходилось сталкиваться.. или те, кого ломают без этого, реже приглашают меня для расследования инцидентов ;-)

[xsaper.livejournal.com]

В Unix-ах хотя бы tripwire/AIDE/rpm позволяет сверить контрольные суммы/права/владельца на файлы после устранения последствий атаки, да и список процессов более адекватен.

[tsw.livejournal.com]

проблема в том, что трояны для вирусов делают с целью заразить десятки тысяч компов!!!
и кто будет анализировать содержимое десятков тысяч винтов????
которые на 80% состоят из любительских фотографий, порнухи и скаченных из торрента файлов =)
поэтому поиск ЛЮБОЙ ценной информации на тысячах компов превращаеться в поиск алмазов в гиганско кучу говна!!! =)

и совсем другое дело, когда атакуют кого-то конкретного!!!

ну о том и речь

[arkanoid.livejournal.com]

а как анализировать - подумать. индексация, категоризация, профайлинг (как по общей структуре данных отделить average home user от "чего-то интересого"), есть очень даже, куда приложить голову.

Даже просто наличие настроенного VPN-клиента или шифрованных дисков - это уже повод "взять на карандаш".

[cdplayer.livejournal.com]

keylogger и отслеживать походы на сайты банков и всяких пейпалов-вебманей.

[to-the-future.livejournal.com]

А когда атакуют кого-то конкретного, под него пишут маленькую аккуратненькую программку, которую вряд ли когда нибудь просечет массовый антивирус. Ну только если у него уровень безопасности совсем уж параноидальный стоит. Поэтому пользователь имеет шансы и не узнать никогда, что он скомпрометирован. Так, что у него тоже будет все в порядке. ;)

[msh.livejournal.com]

Я тут достоверно узнал про спамерские ботнеты то, что раньше подозревал. Какие-то говноспамеры стали использовать один из моих доменов для обратных адресов (что очень мудро, из миллионов доменов выбрать тот, у которого стоит SPF и, соотвественно, практически любой фильтр их спам поймает). Иногда они генерирует существущий адрес и я получаю всякие bounces. Так вот, рускоязычный спам про семинары и квартиры, и англоязычный про виагру и увеличение - из одного источника. Спам про виагру добитый текстом какой-то русской фантастики я и раньше встречал, но думал это все-таки случайность

[arkanoid.livejournal.com]

Угу. Таргетирование у спама пока низкое, потому что заказчик и исполнитель - разные люди и исполнитель получает за доставку, а не за отклик.

[msh.livejournal.com]

Потом, с большей частью секретов совершенно непонятно что делать. Они может и стоят больших денег, но самому их не получить и кому продать тоже непонятно.

Я тут прочитал описание как из identity theft получали не обычную тыщу долларов на перехваченной кредитке, а сотни тыщ с каждого - это настолько сложно и настолько за пределами умений обычного хакера, что действительно выгоднее спам рассылать

[tsw.livejournal.com]

кстати indetity theft сейчас уже умирающий бизнес!!!!

[arkanoid.livejournal.com]

Это про те истории с торговлей недвижимостью? Да, меня тоже впечатлило.

Но должны же быть у них какие-то амбиции, не все ж мелочевкой заниматься? Потом- никогда не знаешь, какая рыба клюнет..

[pustota1.livejournal.com]

Можно почитать? Чего то я с трудом верю в сотни незамеченных тысяч.

[ex-ivlad.livejournal.com]

> максимум - прихватит то, что совсем плохо лежит, вроде номеров кредитных карт

Коллега shaman007 сообщает (http://shaman007.livejournal.com/33113.html), что, по его наблюдениями, троян обязательно поищет адреса электронной почты,

[to-the-future.livejournal.com]

Ну это-ж его основная работа. Он эти адреса во from вставит. ;)))

[shewolf_org]

Это fun. А номера кредиток это profit :)

[pustota1.livejournal.com]

Ладно, пес с ним, с домашним пользователем. Но почему CISO банка, "работа которого была затруднена из-за вирусов", не стреляется из табельного оружия (а на его место, наконец, не перестают брать придурков в погонах, разбирающихся в IT, как свинья в апельсинах)?

На самом деле ситуация несколько сложнее -- он не стреляется или его не стреляют по хорошо известной причине -- банк застрахован от таких
случаев (в смысле у страховой или у перестраховочной фирмы), которая страхует только то, что ее устраивает по уровню организации, защите итд. С чего же ему стреляться если реальных катастрофических убытков нету?

[wom.livejournal.com]

а есть ли статистика (желательно по России) о страховании рисков в области ИБ и ИТ?

[dpak0h.livejournal.com]

http://news.yahoo.com/s/infoworld/20071114/tc_infoworld/93393

[109.livejournal.com]

ну я подцепил однажды вирус, который эсплойтил дыру в констракторе активекса. вектор атаки - случайный сайт. что ж теперь, на неизвестные сайты вообще не ходить? (дыру, конечно, закрыли через пару недель секьюрити апдейтом, но никакой гарантии нету же)

[egorfine.livejournal.com]

А что еще делать юзеру? Полностью переставлять винду? Чтобы после ее запуска в инет через 2-7 минут она снова подхватила трояна? Тогда у него 100% времени будет уходить на круглосуточную перестановку винды.

[iskatel.livejournal.com]

щазз. Масса троянов успешно воруют все найденные пароли и номера кредиток.
>>Я не уставал удивляться тому, как Windows-пользователи относятся к информационной безопасности.

>>Но почему CISO банка, "работа которого была затруднена из-за вирусов", не стреляется из табельного оружия (а на его место, наконец, не перестают брать придурков в погонах, разбирающихся в IT, как свинья в апельсинах)?

Придурки в директорских креслах берут на работу придурков на роли начальников ИТ. Всё логично.. Зато своих и в погонах.

[randomtoy.livejournal.com]

http://randomtoy.livejournal.com/88856.html

у нас вообще зомбосеть. только пользователи вообще винят всех, кроме себя.

Полночный бред ламера

[http://users.livejournal.com/unholy_/]

Я Ad-Aware юзаю. Это меня спасет от кражи из маво тырнет кошелька, ежели у такого дикаря, как я оный когда-нибудь будит?

Re: Полночный бред ламера

[cybercop.livejournal.com]

Боюсь что абсолютную гарантию вам не даст никто и никогда!

[arkanoid.livejournal.com]

Сдохни, спамер.