БЕЗОПАСНОСТЬ
Деннис Фишер
В жаркой схватке с производителями систем обеспечения безопасности сетевые мошенники в очередной раз сменили тактику. Их арсенал пополнился способом, который, как считают эксперты, позволяет обходить фильтры и проникать в корпоративные сети. Первые атаки с применением нового метода спорадически появлялись в первые месяцы, а в конце августа - начале сентября обрушились едва не шквалом. Их основу составляет процесс, известный под названием стеганографии, - сокрытие текста в изображении.
В последнее время спамеры и сетевые мошенники стали включать в свои сообщения картинки с текстом. Иногда в графические файлы вставляется даже скрытый код, нацеленный на известные бреши клиентов электронной почты и Web-браузеров. Самый яркий пример стеганографии - недавняя волна фишинга с использованием имени Citibank. На клиентов этого банка мошенники нападали не раз. Раньше, чтобы заполучить имена и пароли легковерных клиентов, применялся текст, дополненный изображениями логотипа Citibank и его печати. Теперь же все чаще рассылается один большой графический файл, куда вставляется соблазнительное текстовое предложение.
В этой связи представитель нью-йоркского отделения Citibank заявил следующее: "Мы постоянно совершенствуем систему защиты своих клиентов, но они и сами должны - и это очень важно - критически относиться к подобной информации и учитывать ее в своих действиях".
Безусловно, большинство пользователей на такую уловку вряд ли поддастся, однако через нынешние антиспамовые фильтры и анализаторы контента графические файлы проходят свободно. Эти средства защиты, известные как бейесовские фильтры, анализируют содержание каждого почтового сообщения, сопоставляя его с заданными текстовыми фрагментами, но провести синтаксический анализ файла с изображением текста они не в состоянии.
Как и любая другая успешная методика, стеганография быстро была подхвачена другими злоумышленниками и начала свое шествие по Интернету.
"Эта тактика уже получила широчайшее распространение и действует она весьма эффективно, - считает Билл Франклин, президент американской фирмы Zero Spam Networks, которая, оказывая услуги по защите электронной почты, добилась некоторого успеха и в отражении атак нового типа. - Теперь нужно обязательно принимать во внимание контекст. Раньше мы не придавали ему большого значения".
Для борьбы со стегано графическими письмами Zero Spam применяет комбинацию различных методов, включая оценку размера и формата сообщения, имени отправителя и получателя, маршрута, по которому было доставлено письмо. Кроме того, полученные изображения сравниваются с уже имеющимися шаблонами из хакерских писем. Последнее, правда, срабатывает далеко не всегда. Стоит отправителю изменить считанные биты, как контрольная сумма становится иной, и сравнение ничего не дает.
Что ж, индивидуальные средства фильтрации трафика, предлагаемые крупными производителями, устранить новую угрозу не могут, но помощь тем не менее уже на подходе. Ряд разработчиков коммерческих продуктов готовится использовать в этих целях модель управляемой электронной почты.
Фирма McAfee (www.mcafee.com), например, собирается предложить малому и среднему бизнесу услугу Managed Mail Protection (управляемая защита почты), которая в последующем может сослужить хорошую службу и крупным компаниям. В ее рамках производится комплексная фильтрация, позволяющая не только выявлять спам и вирусы, но и отсеивать письма с учетом их содержания. Вся почта клиента, пользующегося этой услугой, сначала проходит через серверы McAfee и лишь затем поступает в его сеть.
Новый тип атак бросает очередной вызов сетевым администраторам в непрекращающейся битве с бесполезной и опасной почтовой корреспонденцией. "Письма со скрытыми кодами или скриптами очень опасны, и их нужно блокировать еще до того, как они попадут к пользователю", - уверен ИТ-директор одного из учреждений, пользующийся услугами Zero Spam.
