• Like
Современные интернет-угрозы
Upcoming SlideShare
Loading in...5
×

Современные интернет-угрозы

  • 1,937 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,937
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
59
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. РЕШЕНИЯ IRONPORT ДЛЯ ЗАЩИТЫ ЭЛЕКТРОННОЙ ПОЧТЫ И ОБЕСПЕЧЕНИЯ WEB-БЕЗОПАСНОСТИСОВРЕМЕННЫЕИНТЕРНЕТ-УГРОЗЫ РУКОВОДСТВО ПО САМООБОРОНЕ 2010 Г.
  • 2. С пам, вирусы, шпионское ПО, фарминг, троянские кони – неизбежные риски, сопряженные с пользованием Интернета – становятся все более опасными для пользователей. Хотя некоторые из этих компьютерных атак имеют многолетнюю историю, мотивы их создателей со временем существенно изменились, а самиатаки стали намного более разрушительными и сложными.Если раньше действия компьютерных хакеров мотивировались жаждой славы, теперь ихдвижущей силой является обыкновенная жадность. Образ хакера-одиночки подростковоговозраста, пытающегося самостоятельно создать себе имя, окончательно ушел в прошлое.Сегодня хакеров интересуют только способы присвоения денег. Этой цели они нередкодостигают, кооперируясь с организованными преступными группировками, по заказу которыхустраивают атаки, позволяющие добыть “легкие деньги” с меньшим риском по сравнению сторговлей наркотиками или проституцией. Хакеры входят в контакт с этими группировкамичерез тайные форумы или посредством вербовки в университетской среде и предлагают своиуслуги тому, кто сможет предложить самую высокую цену. В организованных преступныхгруппировках сегодня имеются собственные “центры интернет-преступности”. Хакерыявляются либо полноправными участниками организации, либо нанимаются “внештатно”.Другим уходящим в прошлое свойством атак была их чрезвычайная заметность. Например,вирус “I Love You” был призван наделать как можно больше шума. Сегодня же атаки носятскрытный характер: хакер меньше всего заинтересован привлечь к себе внимание. Например,фишинговая атака может продолжаться всего 2 часа, которых хакеру достаточно для того,чтобы собрать некоторый объем информации, не рискуя оказаться обнаруженным.Еще один важный момент: прежде атаки были массивными и были призваны причинитьмаксимальный ущерб наибольшему числу сетей. Уже упоминавшийся “I Love You” –подходящий пример вируса, нацеленного на максимально возможное число пользователей.Сегодня атаки часто носят точечный характер, иногда затрагивая только одну компанию. Ихцель, например, может состоять в хищении секретной технологии производства илипроникновении в одну конкретную сеть. Фишинг, шпионское ПО, атаки с переназначениемсообщений об ошибке – все эти атаки и угрозы теперь нередко нацелены на узкую группупользователей или компаний.Чтобы противостоять угрозам, новым формам атак и новым побуждениям хакеров, компаниидолжны реализовать решения, отвечающие сегодняшнему состоянию Интернета, и уразработчиков и издателей решений в сфере безопасности не остается иного выбора, кроменепрерывного новаторства с акцентом на упреждение.Эта брошюра содержит обзор основных видов атак, получивших наиболее широкоераспространение в Интернете в настоящее время, а также различного вредоносного ПО,используемого хакерами. Мы также проанализируем решения, которые необходимореализовать для противодействия этим угрозам в современном деловом мире.
  • 3. СОДЕРЖАНИЕ ФИШИНГ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 ВРЕДОНОСНОЕ ПО . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Вирусы и черви . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Шпионское ПО . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Троянские кони . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Руткиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 СЕТИ КОМПЬЮТЕРОВ-ЗОМБИ (БОТНЕТЫ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Определение и сфера применения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Как ПК превращается в зомби? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Сеть Storm и ее потомки – новые поколения зомби . . . . . . . . . . . . . . . . . . . . . 11 МЕХАНИЗМЫ РАСПРОСТРАНЕНИЯ УГРОЗ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Вам письмо... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Web-угрозы: резкий рост популярности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Внедрение контента на легитимные сайты . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Стремительный рост многообразия приложений, проходящих через интернет-шлюз . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 СПАМ: УСИЛИТЕЛЬ АТАК . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Игра в кошки-мышки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Меньше продаж – больше угроз . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Атаки со сбором данных из каталога . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Атаки с использованием подставного обратного адреса . . . . . . . . . . . . . . . . . 22 ЧТО МОЖНО ПРЕДПРИНЯТЬ ДЛЯ ПРОТИВОДЕЙСТВИЯ ЭТИМ УГРОЗАМ? . 22 Защита почтового шлюза . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Защита web-трафика . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Решения Cisco IronPort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 ПРИЛОЖЕНИЯ Cisco IronPort C-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Cisco IronPort S-Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3
  • 4. ФИШИНГ П ри классической фишинг-атаке хакер создает фиктивный сайт, используя корпоративные цвета и символику известной на рынке компании, и рассылает по электронной почте пользователям приглашение его посетить, обычно – чтобы выудить у них конфиденциальную информацию (например, пароли). Пользователи подключаются к фиктивному сайту и дарят свои данные хакеру. Этот вид атак популярен ввиду доступности в Интернете множества готовых к использованию фишинговых “комплектов”, которые содержат инструменты, позволяющие даже начинающим хакерам с очень скромным техническим мастерством легко проводить атаки. Эти комплекты могут содержать полнофункциональное приложение для разработки web-сайтов (для создания поддельных сайтов-двойников, неотличимых от оригинала), а также программное обеспечение для автоматической рассылки спама по электронной почте. Классический метод фишинга с использованием электронной почты в настоящее время переживает застой, уступая место новым тенденциям, из которых наиболее популярной, несомненно, является фарминг. Фарминг-атака не требует рассылки электронной почты. Пользователи, подключаясь к интернет-сайту, например, своего банка, автоматически и без их ведома переадресуются на сайт злоумышленника, где они вводят свой код и пароль (которые перехватываются хакером). Затем сайт злоумышленника возвращает пользователей на легитимный сайт. Фарминг-атака, таким образом, абсолютно незаметна для пользователя и в целом представляет большую сложность с точки зрения обнаружения. Отмечается существенный рост так называемого целевого фишинга. Этот тип фишинга аналогичен точечной военной операции: в нем, в отличие от классического фишинга, электронная почта рассылается целевой группе адресатов, например сотрудникам компании, при этом сообщение выглядит намного более достоверным. Хакер может представиться, например, директором отдела кадров или администратором сети и запросить у служащих конфиденциальную информацию (пароли и т. п.). В другом сценарии хакер якобы от лица контролирующего органа просит компанию раскрыть конфиденциальную техническую информацию о продукте. Эта форма атак позволяет хакерам получать коммерческую и техническую информацию (секретные технологии производства, корпоративные и коммерческие показатели и т. п.). Так хакеры используют фишинг для заработка, например путем продажи собранной информации конкурирующим фирмам. Пользователи, допустившие незначительную опечатку (классическим примером был сайт googkle.com), могут попасть на опасный сайт, который заразит их компьютер без их ведома. Такой способ использования опечаток в адресах для распространения вирусов называется тайпсквоттингом. Хакер создает сайт с написанием адреса, похожим на адрес известного сайта, и размещает на нем вредоносный программный код. Согласно исследованию, проведенному Рабочей группой по противодействию фишингу (Anti-Phishing Working Group, APWG), более трети фишинг-сайтов теперь также являются площадками для4
  • 5. размещения вредоносного ПО. Таким образом, хакеры не только крадут у пользователей конфиденциальную информацию, но и тайно внедряют на их рабочие станции шпионское ПО, которое продолжает похищать данные! Сайты, участвующие в фишинговых или фарминговых атаках, остаются в онлайне только на очень короткое время: фактически средняя продолжительность существования фишинг-сайта сейчас составляет 3 дня. Таким образом, хакеры больше не рискуют оказаться пойманными: они не медлят с закрытием сайтов, которые уже помогли им собрать достаточный объем конфиденциальной информации.ВРЕДОНОСНОЕ ПОВИРУСЫ И ЧЕРВИ лово “вирус” стало универсальным термином для всех категорий вредоносного С программного кода. Однако с технической точки зрения вирусом называется вредоносный код, который копирует собственное тело в другие коды или документы. Подавляющее большинство вирусов проникает в сети через шлюз электронной почты. Почтовые вирусы часто принимают форму вложений, которые априори являются легитимными файлами, но содержат вредоносный программный код. Иногда вирусы также поступают в виде зашифрованных или защищенных файлов, что чрезвычайно затрудняет их обнаружение антивирусным программным обеспечением. Основная цель вируса – привести в негодность компьютер или сеть. Червь – разновидность самовоспроизводящегося вредоносного ПО. Некоторые черви за последние годы стали громкими новостями, наводняя сети и причиняя существенный ущерб. Чтобы проникнуть на ПК, черви используют уязвимости в системе безопасности. После этого они сканируют сеть, разыскивая другие рабочие станции с подобными уязвимостями. Этот механизм позволяет червям распространяться на большое количество компьютеров всего за несколько часов. В отличие от других типов вирусов, оригинальным свойством червей является то, что их распространение не требует участия пользователя. Для запуска большинства вирусов необходимы определенные действия пользователя (открытие вложения в электронной почте, запуск приложения, перезагрузка компьютера и т. п.). Черви же способны распространяться полностью самостоятельно. Например, вирус Explore.zip способен находить почтовые клиенты, такие как Microsoft Outlook, и рассылать себя всем контактам в адресной книге. В настоящее время классические вирусы уходят со сцены. Хакеров уже не столь активно интересуют способы создать видимые нарушения или уничтожить данные. Им более интересны возможности добычи информации или превращения рабочих станций в зомби (см. стр. 8). 5
  • 6. -ШПИОНСКОЕ ПО Ш пионское ПО – это программное обеспечение, устанавливаемое на рабочих станциях, которое собирает информацию и отправляет ее внешним пиратским серверам. На сегодня насчитывается более 150 000 различных шпионских программ, и это число стабильно растет. Шпионское ПО стало поистине международной проблемой: ведущие “производители” находятся не только в России, восточноевропейских странах и Китае, но также в Западной Европе и США. Чрезвычайно опасная подкатегория шпионского ПО – клавиатурные шпионы. Они могут в фоне записывать все нажатые пользователем клавиши. Хакеры объединяют клавиатурные шпионы с более сложными модулями, например, программа может фиксировать сетевой адрес банковского сайта, запоминать имя пользователя и пароль и отправлять эту информацию на сервер злоумышленника, который в дальнейшем сможет использовать эти данные для вывода денег с взломанного банковского счета пользователя. Клавиатурные шпионы теперь также применяются для сбора конфиденциальной коммерческой информации. Например, клавиатурный шпион на компьютере финансового директора или исполнительного директора может похитить важную коммерческую информацию или секретные данные, например корпоративные планы сокращения персонала или выпуска нового продукта. Клавиатурные шпионы имеют доступ ко всем приложениям: они могут извлекать информацию с web-страниц и взаимодействовать с программным обеспечением обмена сообщениями и базами данных. Экранные шпионы представляют собой развитие клавиатурных шпионов: в дополнение к сбору данных с клавиатуры и мыши они могут одновременно делать снимки экрана, связывая таким образом нажатие клавиши или щелчок мыши с определенным экраном. Этот вид вредоносного кода позволяет обойти системы безопасности, используемые некоторыми web- сайтами, где пользователи должны указывать свои реквизиты при помощи виртуальной экранной клавиатуры (эта мера специально предназначалась для противодействия клавиатурным шпионам). Другая форма шпионского ПО – перехватчик запросов браузера, который изменяет настройки браузера на компьютере и переадресует запросы пользователя (неверно введенные URL-адреса, начальные страницы и другие запросы) на нежелательные или зараженные сайты. Одним из первых представителей этого жанра была программа Cool Web Search (CWS), которая переадресовывала обращения к несуществующим URL-адресам на собственную поисковую систему. Такие программы теперь чаще используются для нейтрализации механизмов безопасности в сети. Например, некоторые перехватчики браузеров переадресовывают пользователя на страницу с сообщением типа: “Внимание! Ваш компьютер заражен шпионским ПО!” Страница появляется на экране после того, как пользователь щелкнет мышью всплывающее окно, которое на самом деле установит шпионское ПО на его компьютер! Другие подобные механизмы открывают web-страницу только после того, как пользователь согласится купить программу для удаления шпионского ПО. Перехватчики запросов браузеров создают ощутимые помехи в перемещении по web- сайтам и представляют угрозу для безопасности компаний. 6
  • 7. ТРОЯНСКИЕ КОНИ Т роянские кони – еще одна форма вредоносного ПО, которое заражает компьютеры, маскируясь под безвредные приложения. Затем троянский конь открывает в зараженной системе “потайной ход” (скрытый порт), соединяется с сервером злоумышленника и загружает с него одну или несколько вредоносных программ. Троянские кони могут, в частности, распространяться через сайты с видеоклипами, для просмотра которых требуется установить специальный кодек. Вместе с кодеком пользователи без своего ведома загружают троянского коня, который устанавливается на компьютере в фоновом режиме. Чтобы не быть обнаруженным, сам троянский конь почти никогда не содержит вредоносный код. Он устанавливается и только потом получает вредоносный код с внешнего сервера, иногда используя сетевые порты, отличные от порта 80 (стандартный порт протокола HTTP). В отличие от вирусов и червей, троянские кони автоматически не копируются: для их выполнения требуется вмешательство пользователя. Вместе с тем экспоненциальный рост web-контента и приложений каждый день создает новые возможности для интеллектуальных троянских коней. Резкий всплеск подобных угроз обусловлен интенсивным использованием троянских коней в организации “сетей компьютеров-зомби” или ботнетов (см. стр. 8).РУТКИТЫ Е ще одна форма чрезвычайно опасного вредоносного ПО – руткиты. Руткит – это программа, которая внедряется непосредственно в ядро операционной системы компьютера, обходя ограничения системных механизмов безопасности. Руткиты могут также скрывать “потайные ходы”, устроенные на компьютере троянскими конями. В работе операционных систем центральное место обычно занимают интерфейсы программирования приложений (API). Например, открытие документа – это действие, связанное с определенным API-интерфейсом. Руткит позволяет манипулировать API-интерфейсами. Таким образом, например, когда операционная система запрашивает определенный документ, руткит имеет возможность подставить вместо документа любой другой объект. Такой уровень подчинения делает противодействие практически невозможным: как только руткит оказался в компьютере, лучший выход – переустановка всей системы. В 2005 г. компания Sony BMG издавала компакт-диски, которые при их воспроизведении в операционной системе Windows тайно устанавливали руткиты. Этот инцидент получил широкую огласку в СМИ и привлек внимание общественности к проблеме руткитов, известной ранее только компьютерным специалистам. 7
  • 8. СЕТИ КОМПЬЮТЕРОВ-ЗОМБИ (БОТНЕТЫ)ОПРЕДЕЛЕНИЕ И СФЕРА ПРИМЕНЕНИЯ К омпьютер-зомби – это компьютер, на котором без ведома пользователя установлен вредоносный программный код, не выполнявший никаких нежелательных действий во время его установки. После установки вредоносного ПО хакер может удаленно обратиться к зараженному компьютеру, чтобы инициировать атаку или выполнить любое другое злонамеренное действие. Зараженный компьютер, таким образом, становится зомби, который должен подчиняться распоряжениям хакера без ведома владельца компьютера. Такие зараженные машины все чаще объединяются хакерами в специальные сети. Эти сети компьютеров-зомби называются ботнетами и относятся к разряду самых серьезных угроз компьютерной безопасности. Становится чрезвычайно трудно определить местонахождение реального инициатора атаки, тем более что хакеры используют сети компьютеров-зомби, рассредоточенных по разным странам. В общем случае для управления ботнетом хакеры применяют сервер команд и управления, который рассылает распоряжения компьютерам-зомби. По данным специалистов, в Интернете в настоящее время насчитывается порядка 75–100 миллионов компьютеров-зомби. Хакеры используют компьютеры-зомби в нескольких различных целях. Распределенные атаки, вызывающие отказ в обслуживании (DDoS) Ботнеты широко применяются для организации распределенных атак, вызывающих отказ в обслуживании (DDoS). Компьютеры-зомби атакуют HTTP-шлюзы или интернет-сайты, подключаясь к ним одновременно и полностью расходуя их ресурсы, чтобы воспрепятствовать их функционированию в штатном режиме или полностью вывести их из строя. Такая атака может привести к колоссальным убыткам для бизнеса (например, в случае интернет- компаний). Необходимо отметить, что некоторые хакеры сдают свои ботнеты в аренду. Теперь, арендуя компьютеры-зомби для организации DDoS-атаки, можно атаковать системы конкурента и вывести из строя его сайты! Аналогичным образом можно организовывать DDoS-атаки посредством электронной почты, рассылая большое число сообщений для исчерпания ресурсов почтового агента (MTA). Сервер в этом случае вынужден прерывать легитимные подключения или отклонять реальные почтовые сообщения. Спам Ботнеты также часто используются для рассылки спама. Спамеры в этом случае скрываются за компьютерами-зомби, которые выполняют “грязную” часть работы за них. По оценкам Cisco IronPort, в настоящее время 80 % спама во всем мире поступает с компьютеров-зомби. В крупной спам-атаке могут быть задействованы зомби, рассеянные по территории нескольких стран.8
  • 9. Фишинг Зомби также используются хакерами для запуска фишинг-атак: сообщения электронной почты со ссылками на мошеннические сайты рассылаются с компьютеров посторонних пользователей, что затрудняет определение местонахождения хакера. Кибервымогательство: интернет-шантаж Наконец, зомби положили начало явлению, названному в СМИ “кибервымогательством”. Хакеры обращаются к компаниям и просят заплатить выкуп, если те не хотят подвергнуться сетевой атаке с несколькими тысячами зомби. Этот тип атаки и шантажа успел получить чрезвычайно широкое распространение. Например, в ходе исследования, проведенного в США Школой государственной политики им. Г. Джона Хайнца III при Университете Карнеги- Меллон в сотрудничестве с изданием Information Week, 17 % компаний-респондентов признали, что были жертвами кибервымогательства.КАК ПК ПРЕВРАЩАЕТСЯ В ЗОМБИ? Предупреждения о вирусах В настоящее время термин “предупреждение о вирусе” чаще употребляется в отношении распространения червей и троянских коней, посредством которых хакеры удаленно завладевают компьютерами, чем в отношении распространения реальных вирусов. Вместе с тем вирусные атаки все еще очень агрессивны и представляют существенную проблему для компаний с точки зрения безопасности. Фактически предупреждение предполагает несколько этапов: 1. Вредоносный код, в большинстве случаев эксплуатирующий уязвимости в программном обеспечении, обнаруживается в мировом масштабе. 2. Ведущий разработчик антивирусного/антишпионского пакета мобилизует исследовательские группы для поиска мер противодействия. 3. Ведущий разработчик антивирусного/антишпионского пакета рассылает сигнатуру нового вируса своим клиентам. 4. Каждый клиент должен установить в своей системе описание характеристик. Таким образом, между обнаружением вредоносного кода и установкой новой базы сигнатур и/или реализацией исправления, если таковое будет выпущено для устранения уязвимости в программном обеспечении, проходит несколько часов или даже дней. Бывает и так, что новая база сигнатур или исправление не устанавливаются никогда. Пока существует такое “окно”, сети остаются полностью уязвимыми для вредоносного ПО. С 2005 г. основной целью вредоносного кода после распространения является взятие компьютера под свой контроль и превращение его в зомби. С 2007 г. большинство атак возникает с участием вредоносного кода, распространяемого ботнетом Storm и его преемниками. Этот механизм был задуман для распространения вредоносного кода компьютерами-зомби для превращения других ПК в зомби (см. стр. 11). 9
  • 10. Объем вредоносного кода, распространяемого по электронной почте, за прошедшие годы уменьшился, поскольку компании теперь чаще используют почтовые шлюзы. Хакеры переключились на WWW для распространения самых разнообразных угроз, используя в большинстве случаев зараженные сайты. Предупреждения об URL-адресах Хотя предупреждения о вирусах, распространяющихся через файлы вложений в почтовых сообщениях, по-прежнему поступают чаще всего, с 2007 года значительно увеличилась доля предупреждений о распространении вирусов через URL-адреса в сообщениях. Этот новый метод распространения вредоносного ПО позволяет хакерам обходить динамический карантин, равно как и обычные вирусные фильтры. Чаще всего подобные атаки принимают форму спама, содержащего ссылки, по которым пользователи попадают на зараженные сайты (см. также стр. 21). Эти сайты загружают вредоносное ПО на ПК, которые становятся неотъемлемой частью ботнета.10
  • 11. СЕТЬ STORM И ЕЕ ПОТОМКИ:НОВЫЕ ПОКОЛЕНИЯ ЗОМБИ В 2007 году появилось новое поколение ботнетов – сеть Storm. По данным аналитиков Cisco, участниками ботнета Storm в период с января 2007 г. по февраль 2008 г. в разное время стали около 40 миллионов компьютеров по всему миру. В высшей точке своего развития ботнет Storm создавал более 20 % всего спам-трафика в Интернете, а число одновременно подключенных его участников достигало 1,4 млн. зараженных компьютеров. Он продолжил заражать или повторно заражать приблизительно по 900 000 компьютеров в месяц. Вредоносное ПО во вложениях В ботнете Storm сообщений электронной почты использовались различные технологии, которые часто называют технологиями Web 2.0. Этот ботнет скрытен, чрезвычайно подвижен и динамичен как по своему масштабу, так и по своим действиям. В нем применяются смешанные методики атаки, объединяющие электронную почту и WWW. В частности, ботнет Storm был источником спам-атак с использованием файлов Excel, PDF или MP3 (см. стр. 20). Ключевые характеристики сети Storm - Самовоспроизводство: распространение ботнета Storm происходит с участием пользователя. Для этого применяется простой принцип – социотехника, т. е. злоупотребление доверием пользователя к содержанию полученного сообщения. Ботнет Storm автоматически рассылает огромные объемы спама для самовоспроизводства. Эти сообщения содержат URL-адреса, по которым пользователи попадают на зараженные сайты, где на их компьютеры автоматически загружается (см. описание скрытой загрузки на стр. 15) вредоносный программный код, эксплуатирующий уязвимость web-браузера. После заражения эти ПК становятся неотъемлемой частью ботнета Storm. - Координация: ботнет Storm использует некоторые из входящих в него компьютеров для проведения спам-кампаний. Рассылаемые сообщения адресуют пользователей к зараженным web-страницам, размещенным на других ПК в ботнете. Этот прием демонстрирует изощренность владельцев сети и скоординированный характер организуемых через нее атак. - Одноранговая архитектура: в прошлом классические ботнеты управлялись хакером через сервер команд и управления. Для ожидания команд от хакера ботнеты часто использовали 11
  • 12. протокол интернет-чата (IRC). Однако эта архитектура имела слабое звено: блокирование доступа к серверу команд и управления “обезглавливало” ботнет, делая его неработоспособным. Сеть Storm децентрализована: в ней компьютеры-зомби непосредственно соединяются друг с другом в одноранговом режиме, сводя на ноль контрмеры разработчиков решений в области безопасности (например, занесение IP-адресов обнаруженных командных серверов в черный список). - Универсальность: ботнет Storm может использоваться для множества типов атак: классический спам, спам для привлечения в сеть, фишинг, DDoS, и т. п. На его счету есть даже вторжения в сети мгновенного обмена текстовыми сообщениями и отправка спама в блоги. Таким образом, этот ботнет представляет угрозу для самых разнообразных сетевых протоколов. Хотя вредоносное ПО обычно проектируется для разового использования, “платформа вредоносного ПО”, которой является Storm, является представителем нового типа архитектуры, который, несомненно, будет скопирован и усовершенствован в последующие годы. - Механизм самообороны: для обеспечения собственной долговечности ботнет Storm содержит ряд функций самообороны. В ответ на чрезмерно пристальное наблюдение за собой он может запускать (потенциально автоматизируемые) DDoS-атаки. Storm подобным образом устраивал массивные атаки на исследователей в сфере безопасности, разработчиков решений и другие организации, борющиеся со спамом. Storm вошел в историю как образец нового поколения ботнетов. Тем не менее постоянно обнаруживаются новые сети, такие как Kraken & Asprox, которые пытаются оспорить первенство Storm в сфере взлома через Интернет. В частности, ботнет Kraken объединял в своем составе ПК, принадлежащие, по консервативным оценкам, от 50 до 500 наиболее состоятельных международных компаний, демонстрируя тем самым, что участь стать зараженным зомби постигает не только ПК обычных пользователей, но и компьютеры некоторых компаний-ветеранов фронта информационной безопасности. В 2008 г. ботнет Asprox также стал одной из наиболее эффективных сетей зомби в истории Интернета. По данным Cisco, Asprox успевал внедриться за сутки на 31 000 сайтов, превращая тысячи настольных компьютеров в зараженных зомби. Первая половина 2009 г. была отмечена очередным рекордным пиком хакерской активности благодаря сети Conficker. Червь Conficker начал эксплуатировать уязвимые устройства (используя уязвимость Windows) в последнем квартале 2008 г. и продолжал размножаться в начале 2009 г., стремительно распространяясь по миллионам систем и заражая ежедневно десятки тысяч новых компьютеров. Эпидемии Conficker были отмечены в приблизительно 150 странах: наибольшее количество зараженных систем пришлось на Бразилию, Китай и Россию. Быстро стало понятно, что цель червя – построить массивный ботнет, возможно, крупнейший за все время. Этот ботнет в дальнейшем мог бы с прибылью использоваться для запуска новых атак с рассылкой спама или распространением вредоносного ПО. Ботнет Conficker остается активным и сегодня, хотя темпы заражения замедлились.12
  • 13. МЕХАНИЗМЫ РАСПРОСТРАНЕНИЯ УГРОЗ На протяжении многих лет вредоносный код попадал в корпоративные системы по электронной почте. С развитием угроз компании вооружились различными видами решений для безопасности: антивирусное ПО на ПК, файловых серверах, почтовых серверах и почтовых шлюзах, динамические карантинные решения, способные блокировать подозрительные файлы до опубликования антивирусных характеристик, а также специальные решения для фильтрации почтового трафика с целью блокирования определенных типов файлов. Ответным шагом хакеров стало развитие механизмов заражения через WWW, что позволило им обходить эти решения, ориентированные только на электронную почту.ВАМ ПИСЬМО... % глобального трафика электронной почты сегодня составляет спам. 90 Электронная почта остается наиболее существенным механизмом заражения корпоративной сети. Даже сейчас, по некоторым оценкам, приблизительно 80 % вредоносного кода проникает в компании именно через электронную почту. Вирусы и другие формы вредоносного кода могут приходить в форме вложений, но заразиться можно и при простом чтении или предварительном просмотре почтовых сообщений. В последнем случае угроза заражения компьютера исходит от автоматизированных сценариев.WEB-УГРОЗЫ: РЕЗКИЙ РОСТПОПУЛЯРНОСТИ На WWW сегодня приходится 20 % случаев проникновения вредоносного кода в корпоративные вычислительные системы. Этот процент устойчиво растет. По сравнению с электронной почтой заражение посредством WWW часто имеет намного более разрушительные последствия. Ведь когда пользователи получают спам или вирус по электронной почте, они хорошо знают об этом (даже если реагировать слишком поздно, как в случае с вирусами). Но в случае WWW мы имеем дело со шпионским или вредоносным ПО, которое по определению относится к категории скрытых угроз. Пользователи не знают, что их ПК заражен, и это делает заражение еще более опасным. Итак, каковы способы заражения через WWW? 13
  • 14. Атаки ”в нагрузку”: вредоносное ПО скрывается в легитимном приложении Изначально вредоносное ПО может быть скрыто в априори безвредном приложении. Например, пользователь загружает из Интернета видеоролик, для просмотра которого требуется загрузить кодек. Пользователь загружает и устанавливает кодек. Видеоролик теперь можно просмотреть, но пользователь вместе с кодеком неосознанно загрузил и установил шпионское ПО. Социотехнические приемы, побуждающие пользователя загружать вредоносный код Другая распространенная форма заражения через WWW – ситуация, когда пользователь щелкает мышью рекламный баннер или всплывающее окно, которое загружает вредоносное ПО. В таких случаях хакеры побуждают пользователя щелкнуть всплывающее окно, в котором содержится заманчивая реклама или порнографическое изображение. Иногда пользователю предлагается перейти по ссылке, чтобы начать сканирование на предмет вредоносного ПО, в то время как щелчок мышью на самом деле приведет к загрузке шпионской программы! С 2008 г. атаки, задействующие как электронную почту, так и WWW, прогрессируют рекордными темпами. Они часто используют актуальные новостные сюжеты, такие как победа Обамы в 2008 г. или эпидемия свиного гриппа в 2009 г. По-настоящему иллюстративным примером недавней социотехнической атаки стала пандемия гриппа H1N1 (“свиного гриппа”), начавшаяся в апреле 2009 г. Она быстро привела к пандемии другого рода – размножению спам-сообщений, использующих тему свиного гриппа в качестве приманки для пользователя. В конце апреля 2009 г. киберпреступники начали рассылать спам- сообщения с темами типа “Опасения по поводу эпидемии свиного гриппа в США” или “Свиной грипп в Голливуде”. Внимание получателей, щелкавших по ссылкам, вознаграждалось сообщениями, призывавшими их купить несуществующие профилактические препараты от свиного гриппа со ссылками на различные web-сайты известных продавцов поддельной фармпродукции. На пике этой “пандемии” доля спама, посвященного свиному гриппу, составляла почти 4 % глобального спам-трафика. Скрытая загрузка, т. е. автоматическая загрузка вредоносного ПО с использованием уязвимости web-обозревателя Наконец, загрузка вредоносного ПО все чаще происходит незаметно для пользователя: ему даже не требуется щелкать мышью в каком-либо окне. Вредоносное ПО попросту эксплуатирует уязвимость web-браузера для установки на ПК. Эта форма автоматической загрузки, происходящая без вмешательства пользователя и не вызывающая у него подозрений, теперь отвечает за большинство заражений через WWW. Скрытые загрузки часто объединяются с атаками на основе тега iFrame или внедрением вредоносного контента на сайты Web 2.0. Эти виды атак описаны в следующем параграфе.14
  • 15. ВНЕДРЕНИЕ КОНТЕНТА НАЛЕГИТИМНЫЕ САЙТЫ О пасность скрытых загрузок усугубляется тем, что чаще всего источниками заражения являются сайты, не вызывающие подозрений. По сути, свыше 87 % всех web-угроз сегодня исходят от легитимных web-сайтов, эксплуатируемых злоумышленниками. Это означает, что большинство вредоносного ПО загружается не с потенциально опасных сайтов (музыкальных, порнографических и т. п.), а с легитимных ресурсов, которые становятся потенциально опасными в результате каскадных HTTP-ссылок. Фактически любой web-сайт, связанный с электронной торговлей, может публиковать у себя рекламу, которая ссылается на сайты, распространяющие эту рекламу, которые в свою очередь адресуют пользователей на сайты с размещенными изображениями и так далее. В конце цепочки может стоять вредоносный код, который в итоге окажется на ПК пользователя! Кроме того, согласно аналитическим материалам White Hat Security (статистическому отчету о безопасности web-сайтов), 9 из 10 сайтов уязвимы для атаки. Атаки посредством тега iFrame Весьма большое число атак, нацеленных на web-браузеры, теперь используют теги iFrame языка HTML. Язык HTML основан на использовании тегов для отображения и визуальной разметки информации, текста, образов, аудио- и видеоматериалов и т. п., присутствующих на web- странице. Тег iFrame – один из компонентов языка HTML, используемый при создании web- страниц в Интернете. В числе более известных тегов – <b> для полужирного шрифта, <font> для определения правил представления текстовых символов (размер, цвет и т. п.), <script> для встраивания кода сценариев, например сценариев на языке JavaScript для активации или расширения функциональных возможностей страниц, <frame> для разбиения страницы на экранные области и т. п. Тег iFrame обозначает “встроенную область” (inline frame) и записывается в языке HTML как <iFrame>. Он служит для вставки другого HTML-документа в HTML-страницу. В отличие от тега <frame>, который с точки зрения программирования делит HTML-страницу на области, содержащие различные страницы с одного и того же сервера, тег <iFrame> используется для вставки в web-страницу информации, хранящейся на других сайтах в Интернете. Web-дизайнеры чаще всего используют тег <iFrame> для включения в страницу рекламных объявлений, которые хранятся на специализированных серверах. Классический сценарий iFrame-атаки состоит в следующем: 1. Хакер, используя уязвимость web-сервера или недоработки в коде страницы, несанкционированно изменяет одну из страниц web-сайта (предположим, страницу новостного сайта ). Подобный сайт, как правило, является легитимным новостным порталом и поэтому относится к категории доверенных сайтов. Хакер добавляет в одной из страниц сайта тег iFrame, который переадресовывает пользователей без их ведома на сайт, содержащий вредоносный контент и находящийся в ведении 15
  • 16. хакера; предположим, . Кроме того, хакер делает этот тег невидимым, используя соответствующую инструкцию HTML. 2. Пользователи, подключаясь к популярному сайту, загружают содержащийся на сайте материал в свой web-браузер. Если они просматривают страницу, зараженную хакером, то на ПК попадает страница с невидимым тегом iFrame. 3. Пока пользователи читают страницу сайта newsonline.com, в тайне от них устанавливается соединение с сайтом yourspyware.com. Затем на их ПК автоматически загружается вредоносное ПО, например троянский конь, для чего используется уязвимость в web-браузере. 4. Теперь у хакера есть доступ к ПК пользователей через “потайные ходы”, открытые троянским конем. Зараженные ПК могут, например, войти в состав сети компьютеров-зомби. Либо хакер может загрузить на них программу типа “клавиатурный шпион”, которая похитит личные данные пользователей ПК. Злоумышленники используют все более и более сложные приемы для обхода механизмов обнаружения, например, путем многократной переадресации между захваченным легитимным сайтом и конечным сайтом, распространяющим вредоносное ПО. Использование сайтов Web 2.0 Другой распространенный прием – использование сайтов Web 2.0, позволяющих пользователям размещать на страницах свой контент, например, посредством форумов и блогов. Контент, размещенный пользователем, может представлять собой как обычный текст, так и текст с тегами HTML, например ссылками на изображения или другой внешний контент. Хакер может подобным образом непосредственно на сайте социальной сети размещать ссылки на зараженные сайты, вызывающие выполнение вредоносного кода на ПК других пользователей. Жертвами этого типа атаки становились сайты MySpace, Facebook и даже YouTube. Все больше пользователей посещают такие сайты с рабочего компьютера, создавая риск заражения всей сети.СТРЕМИТЕЛЬНЫЙ РОСТМНОГООБРАЗИЯ ПРИЛОЖЕНИЙ,РАБОТАЮЩИХ ЧЕРЕЗ ИНТЕРНЕТ-ШЛЮЗ Н а протяжении последних нескольких лет на базе Интернета было создано много новых применений, некоторые из которых получили широкое признание и применение на глобальном рынке. Порты 80 и 443 ранее использовались только для web-трафика, теперь их предназначение изменилось. Мгновенный обмен сообщениями Почти во всех компаниях мира можно найти пользователей, общающихся посредством систем мгновенного обмена сообщениями, таких как MSN или Skype. Но эти же системы могут стать источником вредоносных файлов, заражающих корпоративную сеть.16
  • 17. Web-почта Подавляющее большинство корпоративных пользователей проверяют свои персональные почтовые ящики в рабочее время с корпоративного ПК. Безусловно, сообщения, доставляемые через web-порталы электронной почты, могут содержать вредоносные вложения так же, как это имеет место при доставке по протоколу SMTP. Обмен файлами и хранение файлов на web-ресурсах Такие web-сайты, как Megaupload и Rapidshare, помогают пользователям обмениваться крупными файлами. Хотя эти решения полезны для обхода ограничений, присущих вложениям в электронной почте, они могут использоваться и для передачи зараженных файлов. В последнее время популярность этих приложений резко возросла, породив новые проблемы в безопасности корпоративных сетей. Одноранговые сети для обмена файлами (P2P) Несмотря на все меры по его сдерживанию, обмен файлами через P2P-сети по-прежнему является частым явлением в большинстве корпоративных сетей. SSL-трафик и приложения с поддержкой шифрования Трафик SSL, обеспечивающий шифрование потока данных между корпоративным пользователем и внешним web-сайтом, защищает конфиденциальные данные, одновременно создавая реальную уязвимость внутри сети. Поскольку SSL-трафик в принципе невозможно анализировать посредством фильтров интернет-шлюза, он может также использоваться для загрузки вредоносного ПО. Под предлогом обеспечения конфиденциальности некоторые приложения, такие как Skype, используют закрытые протоколы шифрования и, таким образом, абсолютно неподконтрольны!СПАМ: УСИЛИТЕЛЬ АТАКИГРА В КОШКИ-МЫШКИ О фициального определения термина “спам” не существует. Само слово происходит от названия британской марки второсортной консервированной ветчины (SPAM как сокращение от “SPiced hAM” – “ветчина с пряностями”). В одном из самых известных скетчей культовой британской комедийной труппы “Монти Пайтон” актеры досаждали друг другу тем, что все время вставляли в разговор слово “спам”. Сегодня слово “спам” обычно характеризует незапрошенные массовые рассылки сообщений по электронной почте множеству получателей. Спам в лучшем случае раздражает получателя, в худшем – становится угрозой для безопасности. С 2002 года спам прочно вошел в нашу электронную почту. Этот поток нежелательных сообщений движим жадностью. Спамеры вначале делали деньги на продаже различных продуктов с низкой маржей прибыли (биологически активных пищевых добавок, ипотечных кредитов по низким ставкам, эргономичных мышей и т. п.), но нередко занимались и незаконными действиями (мошенничеством с кредитными картами, распространением 17
  • 18. порнографии, незаконной продажей фармпрепаратов и т. п.). Эта прибыль была впоследствии реинвестирована в технологии и инфраструктуру распространения спама. Сегодня спам – это “усилитель атак”, с которым нужно считаться. Спамеры используют в своих интересах бреши в безопасности корпоративных сетей, осуществляя сбор адресов электронной почты, запуская фишинг-атаки, распространяя вирусы и т. п. Первоначальным ответом компаний и пользователей на появление спама стали фильтры первого поколения. Они были главным образом основаны на эвристическом анализе: на основании содержавшихся в сообщении слов посредством весовых коэффициентов вычислялась вероятность принадлежности сообщения к спаму. Столкнувшись с широким распространением подобных решений, спамеры стали разрабатывать новую, более совершенную тактику, позволяющую им обходить фильтры. Началась игра в кошки-мышки, в которой спамеры изобретают новые уловки для проникновения через сеть, в ответ на что разработчики средств для борьбы со спамом вырабатывают новую меру противодействия, что в свою очередь ведет к выработке спамерами новой тактики и так далее. На протяжении первых трех поколений каждый раз устранялись недостатки предыдущего поколения, но общей чертой всех решений был один фундаментальный недостаток. Разработчики решений фактически находились во власти спамеров, работая со средой, подконтрольной спамерам, – содержанием сообщения. Это все равно, что строить дом на шатком фундаменте. Применяя все более и более сложные методы маскировки, спамеры сумели обходить большинство фильтров на основе содержания. Например, спамеры стали дробить слова (слово “Viagra” блокировалось, “V.i.a.g.r.a.” – нет). Следующим шагом стало появление в большинстве спам-сообщений фрагментов текста, не имеющих признаков спама – часто технических терминов или цитат из книг. В числе других приемов – замена букв цифрами (например, буквы “O” на ноль – 0). Объемы спама на протяжении последних нескольких лет росли даже быстрее, чем раньше: объем спам-сообщений увеличился в 6 раз с начала 2006 г. по конец 2008 г., превысив 190 миллиардов сообщений в день. Недавний взрыв объясняется двумя основными причинами: экспоненциальным ростом ботнетов, рассмотренных в начале этого документа, и появлением новых методик на вооружении спамеров. Спам в виде изображений, впервые проявившийся массово в 2006 г, внес основной вклад в резкое увеличение трафика. Такой спам распространяется в виде вложения (GIF или JPG), содержащего текст, в то время как в теле сообщения осмысленный текст отсутствует. Это полная противоположность классических спам-сообщений, которые содержат открытый текст и/или URL-адрес, требующий щелчка мышью, и поддаются анализу в фильтрах для защиты от спама. Нейтрализуя множество методик защиты от спама, спам в виде изображений снизил эффективность перехвата и увеличил объем нежелательных сообщений, получаемых по электронной почте. Изощренные преступники использовали спам в виде изображений для непрекращающегося потока атак, приносящих выгоду немногим за счет всех остальных. Пример. В виде изображений рассылались предложения купить акции мелкой фирмы. Некоторые получатели наивно реагировали на приманку, скупая акции и искусственно раздувая их цену, а спамеры получали быструю прибыль от продажи большого лота акций, приобретенного ими заранее. Эти мошенники разработали сложные способы “украшения”18
  • 19. изображений и рассылки спама, распространяя миллиарды сообщений и размещая свойкапитал на открытых, строго регулируемых фондовых рынках. Следствия подобных атак –разгневанные акционеры и нарушения в работе систем электронной почты – были лишьмелкими неудобствами для их организаторов. Среднесуточный 200 объем спама 180 Среднесуточное число спам-сообщений 160 140 120 100 80 60 40 20 0 01/2007 06/2007 04/2007 10/2007 02/2007 03/2007 07/2007 01/2008 08/2007 09/2007 11/2007 12/2007 02/2008 05/2007 05/2008 04/2008 03/2008 07/2008 06/2008 08/2008 09/2008 10/2008 МесяцРазработчики решений для защиты от спама на основе анализа содержания смогли быстроотреагировать и внести подобные изображения в свои базы признаков, но спамерыпредприняли ответные меры, сделавшие спам-изображения еще более эффективныморудием. Главное новшество состояло в создании множества случайных вариантовизображения, все из которых не имели видимых отличий для получателя, но были полностьюразличными с точки зрения спам-фильтров. Например, спамеры отправляли файл форматаGIF с беспорядочно нанесенными мелкими точками. Они также экспериментировали соттенками цветов, толщиной рамок, фоном и даже со шрифтом символов, создавая вариантыодного и того же изображения с тонкими отличиями. Наконец, они научились разбиватьизображение на множество второстепенных изображений, из которых составлялось исходное.Способ разбиения был в каждом сообщении уникальным. Во всех этих случаях получатель нечувствовал различия, но контрольные суммы файлов были разными, и средства борьбы соспамом на основе характеристик оказывались не в состоянии распознать различные вариантыодного и того же спама.Стремясь противодействовать новаторским приемам киберпреступников, издатели фильтровна основе содержания были вынуждены применять все более строгие критерии, рискуяповысить процент ложных срабатываний – непреднамеренного удаления легитимныхсообщений, содержащих слова, свойственные спаму.В 2007 г. спамеры отказались от изображений в пользу спама “с вложениями”. Спам-атакистановились все более кратковременными, но все более частыми, и каждый раз применяласьразная методика.Таким образом, последовательность мгновенных атак была отмечена появлением более 20различных типов вложений: PDF, Excel, MP3, и т. п. Спам содержался не в теле сообщения, аво вложенном файле формата Excel, PDF или MP3. 19
  • 20. Единственное решение для большинства обычных фильтров спама, не имевших механизмов углубленного анализа вложений, состояло в том, чтобы, например, систематически блокировать все файлы формата Excel или PDF. Это было бы непрактичным решением с точки зрения большого числа ложных положительных срабатываний, не говоря уже о потенциальных жалобах пользователей, работе которых существенно бы помешала невозможность получать файлы определенного типа. Спамеры никогда не отказывались от новаторства и применяли все более прогрессивные методики для обхода механизмов, изобретаемых издателями и интеграторами решений в области безопасности. Увеличение объемов спама, проходящего через сеть, снижает производительность работы пользователей, повышает нагрузку на специалистов, обслуживающих компьютерный парк, и ставит под угрозу безопасность корпоративной сети. МЕНЬШЕ ПРОДАЖ – БОЛЬШЕ УГРОЗ Н аконец, существенным изменением тенденции с 2007 г. стало то, что спам теперь реже рассылается для продажи продуктов, чем для развития ботнетов. Главной целью спама изначально была продажа продуктов (фармпрепаратов, ипотечных кредитов с низкой процентной ставкой, акций фирм и т. п.). Сегодня же большинство спам-сообщений содержат ссылки на web-сайты, распространяющие вредоносный код для количественного и территориального расширения ботнетов, рассылающих спам. Таким образом, использование спама как инструмента продаж идет на убыль, уступая место спаму как усилителю атак. На практике координируемые самораспространяющиеся ботнеты, такие как сеть Storm, устраивают атаки с рассылкой коротких сообщений, содержащих URL-адрес, который направляет пользователей на зараженный сайт в составе “галактики” Storm, с единственной целью заражения большего числа компьютеров и увеличения контингента машин-зомби, управляемых через сеть. Таким образом, спам ставит новые рекорды. Спамеры отреагировали на усиление оборонительных мер издателями решений в области безопасности, попросту увеличив число рассылаемых сообщений. В итоге число спам-сообщений, попадающих в папки входящих сообщений пользователей, остается неизменным. В этом свете эффективность систем предотвращения спама сегодня актуальна как никогда. Приемы, используемые спамерами, становятся все более сложными и отрабатываются все20
  • 21. быстрее – бесполезно пытаться блокировать спам при помощи фильтров, анализирующих только содержание сообщения. Внимание необходимо также уделять репутации отправителя и URL-адреса, содержащегося в сообщении. Компании, намеренные преградить спаму дорогу к пользователям, должны внедрять не только решения для защиты электронной почты, но также и системы web-безопасности.АТАКИ СО СБОРОМ ДАННЫХ ИЗКАТАЛОГА С памеры также регулярно устраивают атаки со сбором данных из каталога, цель которых – найти действующие адреса электронной почты в конкретном домене. Для этого спамеры перебирают большое количество сочетаний имени и фамилии, обращаясь к одному и тому же домену. Если сообщение об ошибке для конкретного адреса возвращено не будет, спамер предположит, что этот адрес действителен и добавит его в список действующих адресов для конкретной компании. Основная цель этих атак – сбор списков почтовых адресов для последующей рассылки спама или перепродажи их списков спамерам. Однако этот тип атаки теперь также используется для попыток проникновения в корпоративную сеть. Фактически в условиях все большего распространения Active Directory и концепции единой учетной записи, хакеры, собравшие список действующих корпоративных адресов электронной почты, могут попытаться проникнуть в сеть, подобрав пароль для адреса, одновременно часто являющегося идентификатором учетной записи. Для защиты от подобных атак недостаточно инструментальных средств безопасности – необходимо установить почтовый агент (MTA) с развитыми возможностями управления сообщениями об ошибках и, возможно, даже функциями защиты от атак со сбором данных из каталога. 21
  • 22. АТАКИ С ИСПОЛЬЗОВАНИЕМПОДСТАВНОГО ОБРАТНОГО АДРЕСА С памеры также применяют ботнеты для организации другого типа опасных атак, в которых жертва атаки перегружается большим объемом отклоненных сообщений. Когда спам-сообщение рассылается тысячам получателей (как при классической рассылке, так и при сборе данных из каталога), многие из адресатов оказываются несуществующими. Почтовый агент, в чьем домене эти адреса отсутствуют, обычно направляет отправителю сообщения, информирующие его об ошибке в адресе. Это означает, что в случае спам-атаки отправителю, т. е. спамеру, вероятно, потребуется принять тысячи сообщений об ошибках. Во избежание этой проблемы спамеры, производящие массовую рассылку в один или несколько доменов, в качестве обратного адреса могут указывать адрес компании, которую они хотят атаковать почтовым трафиком. Тогда все сообщения об ошибках будут возвращаться этой компании. Этот вид атаки дает хакеру/спамеру двойное преимущество: разослать спам, не разбираясь с возвращенными сообщениями, и одновременно атаковать компанию, создав для нее риск отказа в обслуживании. По оценкам, более 55 % из 500 крупнейших международных корпораций становились жертвами этого типа атаки, на который в настоящее время приходится 9 % почтового трафика во всем мире.ЧТО МОЖНО ПРЕДПРИНЯТЬ ДЛЯПРОТИВОДЕЙСТВИЯ ЭТИМ УГРОЗАМ? Темпы распространения вредоносного ПО устойчиво растут во всем мире независимо от размера компании и несмотря на то, что больше чем 65 % компаний, становившихся жертвами атак, имели на своих рабочих станциях антивирусы или решения для защиты от шпионского ПО. В исследовании, недавно проведенном в США, подразделение Cisco IronPort оценило ежегодный ущерб от вредоносного ПО в 150 долл. для каждого ПК. И эта сумма включает в себя только прямые затраты на проверку и очистку парка компьютеров от вредоносного кода без учета убытков в тысячи или даже миллионы долларов, которые могут быть понесены в результате утечки конфиденциальных данных или заражения вирусом. Последовательный характер и многопротокольная природа этих новых атак делает обычные решения для защиты неэффективными. Например, обычные спам-фильтры на основе содержания перегружены объемами обрабатываемого спама и не справляются с многообразием используемых приемов. Обычные прокси-серверы WWW (используемые для кэширования трафика и фильтрации по категориям URL-адресов для контроля доступа сотрудников в Интернет) теперь также не отвечают требованиям защиты пользователей от22
  • 23. новых угроз, связанных с потоком HTTP-трафика, которые были описаны в первой части этого документа. Как было показано ранее, эти угрозы используют две главные среды для распространения почти всех видов вредоносного ПО: электронную почту и WWW. Поэтому в вашей организации необходимо реализовать решение, отвечающее специфике каждой из двух сред. Ограничения в применимости этих двух сред обмена информацией различны, поэтому в одном решении трудно объединить эффективную защиту электронной почты и web-трафика. В следующем разделе мы обсудим отдельные решения для двух типов коммуникационных шлюзов.ЗАЩИТА ПОЧТОВОГО ШЛЮЗА Почтовый агент – главное звено в защите электронной почты П ервым важным элементом в построении компаниями безопасной и эффективной инфраструктуры электронной почты является не средство безопасности, а сам почтовый агент. Возможности агента должны отвечать сегодняшним требованиям: управление большим количеством одновременных подключений и интеллектуальное управление соединениями и очередями для реализации актуальных решений, позволяющих защитить интернет-репутацию компании. Агент должен также фильтровать и лимитировать трафик на основе доменов для адекватного реагирования на различные типы атак. Для повышения эффективности почтовый агент должен хорошо стыковаться с решениями для защиты от спама, объединяющими комплексный контекстный анализ содержания и анализ репутации отправителя, а также с антивирусными решениями, средствами фильтрации контента и решениями для шифрования электронной почты. Контроль спама на основе проверки репутации отправителя Мы уже показали, как быстро меняются методы работы спамеров. Обычные спам-фильтры, анализирующие содержание сообщения, не успевают за темпами этих новаций. Такие решения должны предугадывать все новые возможные методики и собирать характеристики каждого варианта, что на практике неосуществимо. Отныне простого анализа содержания спама недостаточно. Для противодействия всем новым формам атак спамеров нужно обращать внимание на другой фактор – репутацию IP-адреса отправителя сообщения. Выстраивая защиту от спама на основе репутации отправителя сообщения, фактически возможно сортировать все сообщения как спам и как легитимные независимо от их содержания и новых ухищрений, используемых спамерами для рассылки сообщений. Стыковка фильтра на основе репутации с почтовым агентом – первый шаг к эффективной защите почтового трафика. Отражение вирусных атак с опережением выпуска характеристик для антивирусов Антивирусные решения вместе с почтовыми агентами должны позволять блокировать вирусные атаки еще до того, как издателями антивирусных решений будут реализованы меры противодействия. Сеть организации уязвима в период между появлением предупреждения о вирусе и выпуском характеристики издателем применяемого антивируса. Таким образом, компаниям необходимо реализовать профилактические системы, такие как динамический 23
  • 24. карантин, которые смогут работать в режиме реального времени и блокировать подозрительные файлы до публикации соответствующих характеристик. Защита данных в исходящем трафике Шпионское ПО похищает из корпоративных систем конфиденциальные данные и важную информацию. Утечки данных за пределы компаний могут быть также результатом злонамеренных действий внутренних пользователей или чаще всего результатом ошибки пользователя (случайной отправки информации нежелательному получателю или несвоевременной отправки информации). Подобные утечки могут обернуться серьезными последствиями для компании (потеря возможностей для бизнеса, финансовые убытки, нарушение законодательных или нормативных требований). Таким образом, компаниям необходимо развертывать решения для защиты данных, имеющие в своем составе не только классические механизмы анализа контента (поиск по ключевым словам в сообщениях или вложенных файлах, по типу и размеру файлов и т. п.), но и автоматические фильтры с применением предварительно заданных политик (например, фильтров соответствия акту Сарбейнса-Оксли или фильтров, способных автоматически обнаруживать в сообщении номера банковской карты и предлагать меры по устранению допущенного нарушения на основании отраслевого стандарта платежных карт PCI, и т. п.). Кроме того, применяемый механизм должен позволять принимать различные меры для исправления проблемы, выявленной по результатам анализа: помещение подозрительного сообщения в карантин, предупреждение администратора, регистрация в отчете и шифрование сообщения. Шифрование должно автоматически выполняться на шлюзе в координации с почтовым агентом для систематического применения политик. Кроме того, важно, чтобы используемая технология шифрования не требовала установки приложения для расшифровки на ПК получателя, чтобы не ограничивать круг возможных получателей зашифрованных сообщений. Отслеживание важных сообщений Все более сложный характер угроз требует ужесточения мер защиты. Как следствие, обычные спам-фильтры утрачивают свою точность, нередко блокируя легитимные сообщения. В свете огромного объема корпоративного почтового трафика важно реализовать инструменты, позволяющие отследить любое почтовое сообщение в случае необходимости.ЗАЩИТА WEB-ТРАФИКА Р ешения для защиты трафика на web-шлюзе, представленные в настоящее время на рынке, весьма несовершенны по сравнению с решениями для защиты почтовых шлюзов. Обращая внимание на растущую агрессивность и сложность web-атак, аналитическая компания IDC делает вывод о том, что решения для защиты web-трафика будут играть все более важную роль в информационных системах и со временем станут столь же привычными, как межсетевые экраны и антивирусы.24
  • 25. Фильтрация по категориям URL-адресов для управления трафиком от известныхисточниковWeb-трафик возможно классифицировать по двум основным категориям.В первую категорию попадает “известный” трафик, который относится к ограниченному числуаприори известных сайтов, четко классифицированных по рубрикам (бизнес, новости, спорт,образование, коммунальные услуги, магазины и т. п.) и имеющих большой объемподключений. Управление этим трафиком может осуществляться при помощи решения дляфильтрации по категориям URL-адресов, которое будет контролировать доступ сотрудников вИнтернет, разрешая, ограничивая или блокируя доступ к сайтам в зависимости от ихклассификации.Эти решения для фильтрации на основе классификации URL-адресов также позволяютблокировать доступ к известным фишинговым сайтам или тем сайтам, которые признанызараженными вредоносным ПО и соответствующим образом классифицированы. Однакоподобные решения по своей сути реактивны, и за время, которое пройдет с моментапоявления вредоносного ПО на определенном сайте до момента его классификации иинформирования клиентов, компания может успеть заразиться вредоносным кодом.Управление web-безопасностью на основе списка классифицированных сайтов защищаеттолько от известных угроз или атак. Но, как было показано выше, новые приемы атак иногдасуществуют в сети всего несколько дней, по прошествии которых хакеры снова меняюттактику.Поэтому область применения подобных решений необходимо ограничить реализациейкорпоративной политики пользования Интернетом, не используя для выстраивания стратегииweb-безопасности.Фильтрация web-страниц на основе проверки репутации сайтаКроме “известного” трафика, описанного выше, существует потенциально неограниченноечисло “неизвестных” сайтов, классифицировать которые невозможно и которые могутсодержать вредоносное ПО. Эти сайты иногда существуют всего несколько часов, которыхдостаточно для проведения атаки. Их URL-адреса могут генерироваться случайным образом ив неограниченных количествах для обхода фильтров на основе классификации URL-адресов,которые не успевают классифицировать возникающие сайты.“Неизвестный” трафик (а также переадресация трафика на зараженные сайты посредствомiFrame-атак) является сферой ответственности систем web-репутации. Эти решенияанализируют определенную совокупность параметров любого web-сервера в Интернете иприсваивают ему оценку репутации. На основе этой оценки система принимает меры:например, доступ к сайтам с низкой репутацией блокируется, “средние” сайты фильтруются наоснове характеристик, а благонадежные сайты пропускаются без ограничений.Дополнительная фильтрация “спорного” трафика на основе характеристик повышаетпроизводительность. Решения на основе репутации компенсируют слабые места решений наоснове классификации. На практике в случае появления в Интернете нового web-сервера,демонстрирующего вспышки трафика, ему будет присвоена нейтральная илислабоотрицательная репутация, с которой трафик этого сайта будет блокироваться безусловноили будет подлежать дополнительной фильтрации на основе характеристик. 25
  • 26. Этот вид решений также эффективен против iFrame-атак. Например, если легитимный URL- адрес станет жертвой iFrame-атаки, переадресовывающей пользователей на мошеннический сайт, то фильтр web-репутации сможет блокировать такое перенаправление (репутация мошеннического сайта будет отрицательной). В случае легитимного URL-адреса со ссылками в HTML-странице на рекламные объекты, через которые пользователь в конечном итоге попадает на зараженный сервер изображений, распространяющий вредоносный код, репутация этого сайта может оставаться нейтральной или слабоположительной, несмотря на заражение. Тогда фильтр на основе репутации необходимо дополнить системой защиты от вредоносного ПО на основе характеристик. Это позволит заблокировать вредоносный объект, разрешив пользователю доступ к “чистым” элементам легитимного сайта. Защита от вредоносного ПО на основе характеристик – незаменимый инструмент Как для известного, так и для неизвестного web-трафика компаниям также следует реализовать решения для защиты от вредоносного ПО на основе характеристик. Они часто развертываются на рабочих станциях, но редко – на шлюзах, где их применение сопряжено с ухудшением производительности. HTTP – протокол реального времени, и пользователи хотят получить доступ к web-страницам без задержек. Обычные системы на основе характеристик в случае их установки на шлюзе привели бы к возникновению лишней задержки в несколько секунд при просмотре каждой страницы. Пользователям могло бы показаться, что они выходят в сеть через старый модем, а не высокоскоростной корпоративный канал. Таким образом, фильтрация на основе характеристик в шлюзе должна быть чрезвычайно быстродействующей во избежание нежелательных задержек. Недавно опубликованное компанией IDC исследование по вопросам безопасности контента свидетельствует, что работа в реальном времени, присущая протоколам и потокам данных HTTP и HTTPS, требует применения более сложных средств сканирования в реальном времени (в потоковом режиме), гарантирующих стабильную безопасность web-трафика и защиту от атак. Управление транзитными потоками трафика различных приложений в интернет- шлюзе Защита трафика протоколов мгновенного обмена сообщениями, web-почты, передачи файлов через WWW и протоколов одноранговых сетей должна быть обеспечена на том же уровне, что и защита “традиционных” решений для обмена сообщениями по почтовому протоколу SMTP. Компаниям необходимо сканировать эти потоки на предмет возможных зараженных файлов, представляющих опасность для сети. Такие приложения, как Skype, способны приспосабливаться к применяемым средствам безопасности путем шифрования собственного трафика, требуют внимательного наблюдения или даже блокирования. Таким образом, даже если трафик Skype не всегда поддается анализу (из-за использования им закрытого протокола, работающего через порт 443), возможно блокировать любой трафик, проходящий через порт 443, но не являющийся трафиком SSL. Управление потоками данных SSL Следует отметить, несмотря на обеспечиваемую потоками HTTPS защиту при передаче определенных видов данных, они также используются хакерами для безнаказанного внедрения вредоносного ПО в корпоративные сети, поскольку большую часть времени они не анализируются. Таким образом, эффективное решение для web-безопасности должно расшифровывать эти потоки, но должно действовать разумно, например применяя классификацию по рубрикам (для сканирования трафика, поступающего с сайтов web-почты,26
  • 27. на предмет файлов вложений) или механизм репутации web-сайтов, избегая при этом расшифровки доверенных потоков данных (например, подключений пользователей к системам интернет-банкинга) и сопутствующих проблем с конфиденциальностью. Изоляция инфицированных ПК от взаимодействия с внешним миром Специалисты по компьютерной безопасности должны также принять во внимание риск, исходящий от тех рабочих станций, заражение которых произошло до внедрения описанных выше решений для фильтрации либо в результате контакта с угрозами при подключении к Интернету за пределами корпоративной сети или из-за подключения к рабочей станции зараженного USB флэш-накопителя. По этой причине важно просканировать порты и протоколы и заблокировать взаимодействие вредоносных программ с внешним миром: их трафик может быть сопряжен с отправкой сообщений от шпионского ПО, с загрузкой данных в корпоративную сеть троянскими конями или даже с обращением зомбированных рабочих станций к серверам команд и управления. Этот анализ может быть произведен при помощи средств мониторинга и анализа трафика, способных обнаруживать подозрительный трафик и блокировать его. В настоящее время эффективное решение для защиты web-шлюзов должно учитывать сложность угроз и многообразие web-трафика, объединяя различные подходы, описанные выше.РЕШЕНИЯ CISCO IRONPORT C isco IronPort, бизнес-подразделение Cisco Systems, является лидером в области разработки защищенных шлюзов как для крупных компаний, так и для предприятий среднего и малого бизнеса (СМБ). Компания разработала диапазон устройств для следующих применений: • Безопасность электронной почты: Cisco IronPort C-Series (дополнительную информацию см. в Приложении 1 на стр. 29). • Web-безопасность: Cisco IronPort S-Series (дополнительную информацию см. в Приложении 2 на стр. 30). • Управление безопасностью: Cisco IronPort M-Series для централизации средств развертывания, администрирования и отчетности различных устройств серий S или C. Эти устройства используют в своей работе SensorBase – старейшую и крупнейшую в мире сеть наблюдения за трафиком электронной почты и web-трафиком. SensorBase собирает данные как минимум из 130 000 различных сетей во всем мире, представляющих более 30 % глобального объема почтового трафика, и контролирует свыше 150 отдельных параметров каждого отправителя или web-сайта. Для каждого IP-адреса, с которого в Интернете отправляется электронная почта, SensorBase проверяет более 90 сетевых параметров: общий объем трафика с этого адреса, дата первого появления сообщений электронной почты с этого адреса, страна происхождения, наличие 27
  • 28. прокси-сервера или открытого сервера ретрансляции, присутствие в черных или белых списках, конфигурация DNS, принятие обратной почты и т. п. SensorBase также анализирует большое число параметров для любого IP-адреса web- сервера: предыстория сайта, страна, объем трафика, присутствие в черных или белых списках и т. п. Таким образом, пользуясь чрезвычайно большой выборкой данных, SensorBase позволяет с высочайшей точностью оценить поведение и репутацию каждого отправителя или сайта. SensorBase применяет алгоритмы, которые анализируют эти сетевые параметры и назначают оценку репутации (электронной почты или WWW) в диапазоне от -10 до +10. Эта оценка в дальнейшем в режиме реального времени сообщается устройству Cisco IronPort при получении сообщения от любого отправителя или обращении пользователя к сайту. Проверкой и сопровождением данных CentreBase в Центре противодействия угрозам (Threat Operations Center, TOC) компании Cisco занимается обширный штат технических специалистов и статистиков, владеющих различными иностранными языками. Специалистами TOC разработан механизм качественного анализа данных, который обрабатывает и взвешивает сведения от различных источников для их достоверной интерпретации. Коллектив специалистов гарантирует актуальность и точность данных SensorBase, что позволяет администраторам использовать эти сведения для автоматизации систем защиты web-трафика и электронной почты. Более подробные сведения о решениях Cisco IronPort можно найти на сайте www.ironport.com.28
  • 29. CISCO IRONPORT C-SERIESПОЧТОВЫЙ АГЕНТ (MTA) ЗАЩИТА ОТ СПАМА ЗАЩИТА ДАННЫХAsyncOS – специализированная ™ Фильтры IronPort Reputation Filters Анализ содержания выполняется соперационная система IronPort, блокируют свыше 90 % спама на уровне учетом IP-адресов источника идополненная средствами безопасности получателя, домена или адреса,и оптимизированная для электронной TCP-подключения, анализируя заголовка, ключевых слов в телепочты, которая может обслуживать до репутацию отправителя сообщения. сообщения, размеров и типов10 000 одновременных подключений, ™ вложений, ключевых слов или объектовчто в 100 раз превышает возможности Технология IronPort Anti-Spam во вложениях, а также репутациианалогичного оборудования на базе анализирует каждое сообщение по отправителя. В рамках защиты данныхUNIX. Это делает данное устройство 4 критериям: содержание, структура, компании также возможно применятьустойчивым к возможным всплескам репутация отправителя сообщения и автоматические фильтры контроляпочтового трафика. репутация web-сайта, ссылка на соответствия (акту Сарбенса-Оксли,Система очередей и раздельных стандарту индустрии платежных карт который содержится в сообщении. PCI и т. п.), словари соответствиямеханизмов выпуска сообщений длякаждого домена снимает необходимость (распознавание ключевых слов,в блокировании почтового агента в связанных с этими нормативно-случае недоступности правовыми актами), а такжедомена. Система интеллектуальные фильтры,ограничения потоков которые позволяют, втрафика (регулирования частности, автоматическискорости) позволяет распознавать номерареализовать банковских карт,многоступенчатое содержащиеся вреагирование. сообщениях.Инструментарий для После анализа содержания могут бытьадминистрирования позволяет АНТИВИРУСНАЯ ЗАЩИТА предприняты различные действия:управлять политиками, создавать Фильтры IronPort Virus Outbreak Filters™ формирование отчета, оповещениеотчеты и отслеживать сообщения обнаруживают и блокируют вирусы за администратора, помещение в карантинэлектронной почты. несколько часов до того, как авторы и даже шифрование почтовогоФункция проверки отклоненных обычных антивирусных средств успеют сообщения.сообщений защищает пользователя от подготовить характеристики.отказов в обслуживании, Sophos Anti-Virus и/или McAfee Anti-Virus ШИФРОВАНИЕобусловленных массивными атаками с реализуют вторую линию обороны отпереадресацией сообщений об СООБЩЕНИЙ вирусов на основе характеристик сошибках, а также помечает исходящие полноценной интеграцией, опираясь на ЭЛЕКТРОННОЙ ПОЧТЫсообщения, защищая шлюз от самую эффективную из имеющихся на Технология IronPort PXE позволяетфиктивных переадресованных рынке технологию обнаружения отправлять зашифрованные сообщениясообщений об ошибках. Поступающие вирусов. без необходимости установкисообщения об ошибках, не имеющие клиентской программы на компьютереэтой отметки, удаляются. получателя и независимо от операционной системы илиФункция предотвращения атак со применяемого клиента электроннойсбором данных из Каталога почты. Сообщения шифруются нарегистрирует число неверных шлюзе согласно политикам,получателей, к которым обращается установленным администратором (накаждый отправитель. При превышении основании отправителя, получателя,порога, установленного ключевых слов в сообщении,администратором, почтовый трафик от обнаружения номера банковской картыэтого отправителя блокируется без и т. п.).генерации сообщения об ошибке. Этатехнология защищает компанию от атаксо сбором данных из каталога. 29
  • 30. CISCO IRONPORT S-SERIESЗАЩИЩЕННЫЙ ПРОКСИ тем, чтобы исходящий трафик не был угроз. Эта система включает в себяСЕРВЕР WWW направлен на IP-адреса серверов несколько баз данных характеристик• AsyncOS for Web – управления компьютерами-зомби, различных представленных на рынкеспециализированная операционная внесенные в черный список, а также издателей решений для защиты отсистема IronPort, оптимизированная для блокирует трафик одноранговых вирусов и вредоносного ПО, в томпотоков web-трафика и способная файлообменных сетей и числе базы данных Webroot и McAfee ,обрабатывать до 100 000 несанкционированный трафик чата по лидеров рынка защиты от вирусов иодновременных входящих и исходящих протоколу IRC. вредоносного ПО согласно данным IDC.соединений TCP. Используя данные SensorBase, Механизм DVS сканирует web-объекты ™ фильтры IronPort Web Reputation Filters в потоковом режиме. Сканирование• Кэш-память на основе репутации – анализируют свыше 60 параметров для начинается одновременно с загрузкойединственное подобное решение на достоверной оценки благонадежности объекта. При обнаружениирынке – позволяет ускорить работу. URL-адреса. Используются развитые вредоносного программного кода средства моделирования безопасности, загрузка немедленно останавливается,• Средства администрирования позволяющие отдельно взвесить что значительно ускоряетпозволяют управлять политиками и каждый параметр для получения производительность устройства.создавать отчеты. единой оценки в диапазоне от -10 до +10. ЗАЩИТА ДАННЫХКОНТРОЛЬ Устройства серии S-Series также имеютПОЛЬЗОВАНИЯ WEB- в своем составе простые встроенные средстваСАЙТАМИФильтры URL-адресовIronPort служат для контролядоступа сотрудниковсогласно корпоративнойполитике пользованияИнтернетом.Механизм IronPort DVS(динамическая векторизация Правила, настраиваемыеи поточная обработка) контролирует администратором, применяются предотвращения потери данных (DLP) свыполняемые пользователями динамически, с учетом оценки использованием технологий анализаприложения на основании репутации. метаданных, основанных на проверкеподозрительного списка При получении нейтральной или типа, размера и имени файла.“пользовательских агентов”. Кроме того, средней оценки (например, в диапазоне Метаданные в совокупности сDVS контролирует и блокирует трафик от -5 до +5) фильтры репутации могут идентификатором пользователя,приложений, поступающий извне. также инициировать механизм категорией и репутацией целевогоDVS анализирует web-объекты: выборочной расшифровки SSL. сайта инициируют операции DLP:возможно заблокировать загрузку web- Таким образом, SSL-потоки от сайтов разрешение или блокированиеобъектов определенного размера или с сомнительной репутацией будут подключения к сайту либо еготипа (MP3, видеофайлы и т. п.). расшифровываться для досмотра, в то регистрацию в журнале. же время конфиденциальность Сертифицированные DLP-решенияЗАЩИТА ОТ легитимных HTTP-потоков будет сторонних поставщиков позволяютВРЕДОНОСНОГО ПО соблюдена. Транзакции SSL с низкой реализовать развитые средстваИнтегрированный механизм контроля репутацией будут систематически анализа содержания.трафика 4-го уровня тщательно отбраковываться на уровнеконтролирует все порты для подключения, вследствие чего также необнаружения и блокирования потребуют расшифровки SSL.шпионского ПО, отправляющего Система защиты от вредоносного ПОданные, а также троянских коней, ™ IronPort Anti-Malware Systemзагружающих вредоносный код. обеспечивает наилучшую возможнуюМеханизм контроля трафика следит за защиту от самых разнообразных web- 30
  • 31. СОВРЕМЕННЫЕ ИНТЕРНЕТ- УГРОЗЫ РУКОВОДСТВО ПО САМООБОРОНЕ 2010 Г.КОМПАНИЯ CISCO ИМЕЕТ БОЛЕЕ 200 ОФИСОВ ПО ВСЕМУ МИРУ. АДРЕСА, НОМЕРА ТЕЛЕФОНОВ И ФАКСОВ ПРИВЕДЕНЫ НА WEB-САЙТЕКОМПАНИИ CISCO ПО АДРЕСУ WWW.CISCO.COM/GO/OFFICES.©2000-2009, C ISCO SYSTEMS, INC . ВСЕ ПРАВА ЗАЩИЩЕНЫ. IRON PORT, ЭМБЛЕМА IRON P ORT И SENSOR BASE – ЗАРЕГИСТРИРОВАННЫЕ ТОВАРНЫЕ ЗНАКИ C ISCOSYSTEMS, INC . ВСЕ ПРОЧИЕ МАРКИ Я ВЛЯЮТС Я СОБСТВЕННОСТЬЮ C ISCO SYSTEMS, INC . ЛИБО СООТВЕТСТВУЮЩИХ КОМПАНИЙ- ВЛАДЕЛЬЦЕВ . НЕСМОТРЯ НА ВСЕПРЕДПРИНЯТЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ ДОСТОВЕРНОСТИ СОДЕРЖАНИЯ НАСТОЯЩЕГО ДОКУМЕНТА , КОМПАНИЯ C ISCO НЕ БЕРЕТ НА СЕБЯ ОТВЕТСТВЕННОСТЬ ЗАЛЮБЫЕ ОШИБКИ . Х АРАКТЕРИСТИКИ И ДРУГИЕ СВЕДЕНИ Я, СОДЕРЖАЩИЕСЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ , МОГУТ БЫТЬ ИЗМЕНЕНЫ БЕЗ ПРЕДВАРИТЕЛЬНОГОУВЕДОМЛЕНИЯ .