БЕЗОПАСНОСТЬ
Деннис Фишер
Серия недавних атак, нацеленных на уязвимые места в браузере Internet Explorer корпорации Microsoft, свидетельствует о том, что взломщики начали перенимать опыт у создателей "шпионских" программ. А это, как предупреждают эксперты в области безопасности, может вызвать новую волну точно нацеленных и тщательно организованных атак.
Излюбленной мишенью для тех, кто стремится побыстрее перехватить управление чужой машиной, давно уже стал Internet Explorer. И это не удивительно, поскольку браузер Microsoft занимает доминирующее положение на рынке, а любая информация о брешах в его системе защиты широко освещается в самых разных источниках. Однако до недавнего времени успех атаки зависел от действий пользователя - его нужно было заставить открыть сообщение электронной почты, например, или посетить специально созданный злоумышленником сайт.
Теперь же хакеры начинают взламывать Web-серверы и использовать их в качестве платформы для установки троянских коней, регистраторов нажатий на клавиши, да и любых других вредоносных программ, помогающих красть личные и финансовые данные. В конце июня, скажем, на одном из взломанных Web-узлов появилось всплывающее рекламное окно, которое втихомолку устанавливало троянского коня. После этого на компьютере посетителя запускался BHO (Browser Helper Object - объект браузерного помощника), контролировавший все исходящие подключения по защищенным каналам и извлекавший из них информацию, которую пользователь направлял в банки и другие финансовые учреждения (их список был "зашит" в BHO).
При этом регистрировались все нажатия клавиш, с помощью которых вводилась еще не зашифрованная информация для передачи по защищенному подключению, и эти данные пересылались на удаленную машину. Судя по всему, она принадлежала злоумышленнику.
Подобная схема и раньше применялась для установки шпионских программ, однако данный случай, по оценке аналитиков, стал первым примером ее использования взломщиками компьютерных сетей.
"Такого рода методы хорошо известны в области шпионского ПО и поэтому, как мне кажется, особого секрета ни для кого не составляют", - отмечает аналитик Том Листон, который первым изучил технологию этого взлома по заказу института SANS.
А неделей раньше службы безопасности зафиксировали атаку со взломом Web-серверов, в ходе которой был установлен троянский конь другого типа: он использовал два уязвимых места Internet Explorer. Эти инциденты в сочетании с серией выявленных в браузере Microsoft брешей довели некоторых пользователей до крайности.
В ходе дебатов между директором по стратегии безопасности Microsoft Скоттом Чарни и независимым экспертом в этой же области Дэном Джиром, разгоревшихся в конце июня на ежегодной технической конференции Usenix, аудитория призвала к большей диверсификации ОС. А один из клиентов Microsoft добавил при этом, что корпорации стоило бы начать именно с Internet Explorer.
Скотт Чарни: "Диверсификацией безопасности не повысить"
"Инициатива доверительных вычислений Trustworthy Computing совершенно не коснулась IE, - заявил Марк Дизон, сетевой администратор фирмы SilverSide Equipment из невадского города Рино. - Я полностью уверен, что этот браузер сегодня уязвим как никогда раньше. Уже стали привычными атаки с использованием мало кому известных функций, и последние случаи - яркое тому подтверждение". В результате фирма хочет заменить Internet Explorer на что-то более безопасное и уже тестирует Mozilla Firefox на предмет возможного корпоративного развертывания.
Чарни, со своей стороны, напрочь отверг распространенное мнение, будто применение различных браузеров и ОС способно серьезно повысить безопасность пользователей.
"Было бы ошибкой считать, что диверсификация в силах решить проблему доверия и целостности, - утверждает он. - Чтобы последствия взлома ограничились несколькими машинами, пары-тройки ОС недостаточно, их нужны миллионы".