Відео: Relax video | with gorgeous Arina and Nissan Skyline ECR33. (Вересень 2024)
Верн Пакссон, професор електротехніки та комп’ютерних наук в Каліфорнійському університеті, Берклі, відомий у спільноті безпеки документом 2002 року під назвою "Як володіти Інтернетом у свій запасний час" (серед багатьох інших подвигів). Спираючись на детальний аналіз глистів Code Red та Nimda, документ сприяв потребі в кібер-центрі "Центр контролю захворювань". Сьогодні Paxson розглядає інший режим для вирішення великих масштабів проблем безпеки - проникнення. Його основний виступ на 10-й Міжнародній конференції зі зловмисного та небажаного програмного забезпечення (коротко кажучи, MalCon 2015) вразив мене та присутніх прямолінійністю цього підходу.
Заробляйте великі гроші у свій запасний час
Хочете заробити великі гроші в галузі зловмисного програмного забезпечення? Вам не потрібно бути кодером. Навіть якщо ви володієте цими навичками, вам не доведеться вивчати всі аспекти створення та розповсюдження шкідливих програм. У екосистемі зловмисних програм є різні різні завдання.
Ключова фігура цієї екосистеми - це брокер, хлопець, який знає бізнес, але не кодує. У нього є два види клієнтів. У кодерів зловмисних програм є неприємне програмне забезпечення, яке вони хотіли б встановити на багатьох споживчих ПК. Це може бути фальшивий антивірус, викуплене програмне забезпечення, компоненти ботнету, майже нічого. Потім є філії, кодери, які мають ресурси для отримання довільного програмного забезпечення, встановленого на незахищених системах. Вони використовують такі методи, як завантаження, спам та фішинг, щоб нанести завантажувач жертвам.
Тепер колеса починають обертатися. Кодери зловмисних програм укладають плату брокеру за встановлення їх коду на якомога більше систем. Партнери отримують завантажувачі, встановлені на якомога більше систем. Завантажувач контактує з брокером, який постачає з кодерів зловмисне програмне забезпечення, ймовірно, кілька випадків. А філіям виплачується виходячи з кількості установок. Усі заробляють у цій системі оплати за встановлення (PPI), і цих мереж величезна кількість.
"Тут є кілька блискучих", - сказав Пакссон. "Брокер нічого не робить, не пробивається, не розбирає подвигів. Брокер - це просто посередник, який отримує прибуток. Партнерам не доводиться домовлятися з поганими людьми або знати, що робити після вторгнення. Усі члени просто повинні виконати свою роль ".
Погані хлопці мають погану безпеку
"Історично виявлення мережевих атак було грою" безгрошівника ", - зазначив Пакссон. Збийте одну атаку, вискакує інша. Виграти це не гра.
Його команда спробувала інший підхід проти цієї системи ІРП. Вони захопили зразки різних завантажувачів та ретроінженерували їх, щоб визначити, як вони спілкуються з відповідними брокерами. Озброївшись цією інформацією, вони розробили систему підривання брокера із запитами на завантаження зловмисного програмного забезпечення. Paxson називає цю техніку "доїнням" брокера шкідливих програм.
"Ви думаєте, що це не вдасться", - сказав Пакссон. "Напевно, у брокера є якась система аутентифікації, або обмежує швидкість?" Але, як виявляється, вони цього не роблять. "Елементи кіберзлочинності, які не стикаються зі зловмисним програмним забезпеченням, відстають на десять років у власній безпеці, можливо, на п'ятнадцять", - продовжив він. "Вони орієнтовані на клієнтів, а не на зловмисне програмне забезпечення." Існує друга взаємодія, за допомогою якої філія вимагає кредит на завантаження; Команда Пакссона природно пропустила цей крок.
За п’ять місяців експериментом було виділено мільйон бінарних файлів, що представляють 9000 різних сімей шкідливих програм із чотирьох партнерських програм. Порівнюючи це зі списком 20 найпоширеніших сімей шкідливих програм, команда визначила, що такий вид розповсюдження може бути вектором номер один для розповсюдження зловмисних програм. "Ми виявили, що наші зразки були приблизно на тиждень попереду VirusTotal", - сказав Пакссон. "Ми отримуємо його свіжим. Як тільки брокери захочуть його витіснити, ми отримуємо його. Після того, як він буде на VirusTotal, ви не натискаєте його".
Що ще ми можемо проникнути?
Команда Пакссона також взяла на себе веб-сайти, які продають робочі рахунки для багатьох різних служб. Він зазначив, що рахунки є абсолютно дійсними, а не зовсім незаконними, оскільки "єдиним їх правопорушенням є порушення Умов обслуговування". Facebook і Google коштують найбільше за тисячу, оскільки вони вимагають підтвердження телефону. Облікові записи Twitter не такі вже й дорогі.
З дозволу Twitter, дослідницька група придбала велику колекцію підроблених акаунтів. Аналізуючи облікові записи, включаючи метадані, надані Twitter, вони розробили алгоритм виявлення облікових записів, створених за допомогою тієї ж автоматизованої методики реєстрації, з точністю 99, 462%. Використовуючи цей алгоритм, Twitter зняв ці акаунти; наступного дня веб-сайти, що продають облікові записи, повинні були оголосити, що вони відсутні на складі. "Краще було б припинити облік рахунків при першому використанні", - зазначив Пакссон. "Це створило б плутанину і фактично підірвало б екосистему".
Ви напевно отримали спам, пропонуючи продати вам доповнення для чоловічої діяльності, "справжніх" Rolexes тощо. Їх спільним є те, що вони насправді повинні приймати оплату та відправляти вам товар. Існує безліч посилань, які беруть участь у введенні спаму у вашу папку "Вхідні", обробці вашої покупки та передачі товару вам. Купуючи деякі юридичні предмети, вони виявили, що слабкою ланкою в цій системі є очищення транзакцій з кредитною карткою. "Замість того, щоб намагатися зірвати ботнет, що розглядає спам, - сказав Пакссон, - ми зробили це не корисним". Як? Вони переконали постачальника кредитних карт в чорний список трьох банків, в Азербайджані, Латвії, Сент-Кітс і Невіс.
То що таке винос? "З дійсно масштабною Інтернет-атакою, " сказав Пакссон, "немає простого способу запобігти проникненню. Проникнення значно ефективніше, ніж намагатися захистити кожну кінцеву точку".
MalCon - це дуже невелика конференція з безпеки, яка містить близько 50 відвідувачів, яка об'єднує науковців, галузей, пресу та уряд. Це підтримано Університетом Брандейса та Інститутом інженерів електротехніки та електроніки (IEEE). Цьогорічні спонсори включають Microsoft та Secudit. Я бачив, як ряд робіт з Малкона з'явився через кілька років, при більш зрілих дослідженнях, на конференції "Чорна шапочка", тому я приділяю пильну увагу тому, що тут представлено.
