Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Współczesne rozwiązania z kategorii Security Suite: metody ochrony poufnych danych


Nikolay Grebennikov

Klasyfikacja metod wykorzystywanych do kradzieży danych

Federalna Komisja Handlu Stanów Zjednoczonych zainteresowała się problemem kradzieży poufnych danych w najszerszym znaczeniu tego terminu (zobacz: https://www.consumer.ftc.gov/topics/identity-theft). Oficjalna strona WWW Komisji zawiera informacje o wielu tradycyjnych sposobach kradzieży informacji bez użycia komputera, takich jak kradzież portfeli, przetrząsanie podartych dokumentów wyrzuconych do kosza, telefonowanie i podszywanie się pod instytucję finansową, wykorzystywanie specjalnych narzędzi w celu skanowania numerów kart kredytowych itd.

Obok wymienionych wyżej technik istnieją również inne sposoby kradzieży informacji. Można wyróżnić co najmniej trzy różne metody kradzieży informacji przy użyciu komputera. W pierwszej z nich chodzi o to, żeby użytkownik komputera dobrowolnie wyjawił informacje szkodliwemu użytkownikowi, nie podejrzewając, że padł ofiarą oszustwa. Prośba o podanie takich informacji przychodzi zwykle w masowo wysyłanych wiadomościach e-mail. Szkodliwy użytkownik tworzy wcześniej fałszywą stronę WWW, która imituje prawdziwą stronę banku lub innej organizacji finansowej. Ten rodzaj przestępstwa komputerowego nazywany jest phishingiem.

Drugi sposób kradzieży poufnych informacji polega na śledzeniu i rejestrowaniu czynności użytkownika. Ten rodzaj elektronicznego szpiegostwa przeprowadzany jest przy użyciu koni trojańskich, które Kaspersky Lab klasyfikuje jako trojany szpiegujące (Trojan-Spy). Jednym z najpopularniejszych rodzajów trojanów szpiegujących jest keylogger, o którym szczegółowo pisaliśmy w poprzednim artykule (zobacz: http://www.viruslist.pl/analysis.html?newsid=422).

Trzecia technika kradzieży poufnych danych polega na wykorzystaniu szkodliwych programów (najczęściej trojanów) w celu wyszukiwania poufnych informacji na komputerze użytkownika, a następnie przesyłanie ich szkodliwemu użytkownikowi. W tym przypadku szkodliwy użytkownik może otrzymywać jedynie dane, które użytkownik zaatakowanego komputera uznał za wystarczająco ważne, żeby wprowadzić je do pamięci komputera. Wadę tą rekompensuje fakt, że dane są transmitowane bez udziału użytkownika.

Tego rodzaju szkodliwe programy mogą rozprzestrzeniać się na wiele różnych sposobów: mogą zostać aktywowane po otwarciu przez użytkownika załącznika do wiadomości e-mail lub kliknięciu odnośnika wysłanego za pośrednictwem komunikatora internetowego. Ponadto, mogą zostać uruchomione po otwarciu pliku z foldera w sieci P2P lub przez użycie skryptów na stronie WWW, które wykorzystują błędy i luki w przeglądarkach internetowych, umożliwiające automatyczne uruchomienie tych programów po odwiedzeniu takich stron. Programy takie mogą również być rozprzestrzeniane przez inne wcześniej zainstalowane szkodliwe programy, które potrafią pobierać i instalować je w systemie.

Celem trojanów PSW jest uzyskiwanie dostępu do różnych informacji o systemie i użytkowniku oraz haseł do wielu programów i usług systemów operacyjnych. W tym celu trojany skanują wszystkie obszary pamięci zawierające istotne dane: obszar chroniony systemu Windows, klucze rejestru oraz pliki niektórych programów, które mogą być interesujące dla szkodliwych użytkowników (zazwyczaj są to komunikatory internetowe, systemy pocztowe i przeglądarki internetowe).

Po zebraniu danych trojan zwykle szyfruje je i kompresuje do niewielkiego pliku binarnego. Plik ten może następnie zostać wysłany za pośrednictwem poczty elektronicznej lub umieszczony na serwerze FTP szkodliwego użytkownika.

Sposób działania tych szkodliwych programów został szczegółowo opisany w artykule "Komputery, sieci i kradzież" (http://www.viruslist.pl/analysis.html?newsid=326), w którym przeanalizowano dwie różne techniki wykorzystywane przez współczesne rozwiązania bezpieczeństwa w celu ochrony poufnych danych.

W jaki sposób współczesne produkty chronią poufne dane?

Prawie wszystkie dzisiejsze rozwiązania bezpieczeństwa (typu Security Suite) zawierają komponent, który chroni poufne dane i zwykle nosi nazwę Kontrola Prywatności. (W niektórych aplikacjach komponent ten połączony jest z innymi komponentami bezpieczeństwa, takimi jak ochrona przed phishingiem). Kluczową funkcją tego składnika jest zabezpieczanie poufnych danych na komputerze użytkownika przed nieautoryzowanym dostępem i transmisją.

Przyjrzyjmy się, w jaki sposób produkty firmy Symantec implementują ochronę poufnych danych. Wybraliśmy tę firmę, ponieważ jako jedna z pierwszych zaimplementowała w swoich produktach ochronę poufnych danych, zanim inni producenci zaoferowali podobną.

W 1999 r. Symantec opublikował informacje o swoim nowym produkcie Norton Internet Security 2000. Zawierał on nową funkcję Norton Privacy Control, a jednym z jej kluczowych modułów było blokowanie poufnych danych (Confidential Data Bloking).

Komponent ten działa w następujący sposób:

  1. użytkownik musi zdefiniować dane, które uważa za poufne,
  2. produkt będzie następnie analizował cały ruch wychodzący z komputera użytkownika i albo "potnie" wszystkie wychodzące poufne dane, albo zastąpi je nic nieznaczącymi symbolami (takimi jak "*").


Rys. 1. Komponent "Confidential Data" w produkcie Norton Internet Security 2000

Komponent Norton Privacy Control zawarty jest w nowych produktach firmy Symantec, takich jak Norton Personal Firewall oraz Norton Internet Security.

Najnowszym flagowym produktem tej firmy jest Norton360, który został opublikowany w 2007 r. (http://www.symantec.com/norton360/about). Wprawdzie zawiera on komponent Privacy Protection, ale nie w pakiecie podstawowym. Komponent ten stanowi dodatek, który można pobrać z oficjalnej strony internetowej firmy Symantec.


Rys. 2. Komponent "Confidential Data Bloking" w produkcie Norton360

Podobnie jak w Norton Internet Security 2000, wykorzystuje on tablicę, do której użytkownik może wprowadzić swoje poufne dane (zobacz Rys. 2).

Wady tradycyjnych metod ochrony poufnych danych

Co skłoniło twórców programu do usunięcia komponentu Ochrona poufnych danych z listy standardowych modułów produktu Norton360? Było prawdopodobnie kilka powodów, z których na szczególną uwagę zasługuje jeden. Prawda jest taka, że to podejście do ochrony poufnych informacji jest nieskuteczne - stwarza jedynie iluzję bezpieczeństwa.

W oficjalnych opisach można przeczytać, że najnowsza wersja Norton Internet Security "blokuje […] transmitowanie nieautoryzowanych informacji (http://www.symantec.com/home_homeoffice/products/features.jsp?pcid=is&pvid=nis2007). W rzeczywistości, tak jednak nie jest.

Jeśli przyjrzeć się dokładnie pierwszemu oknu na rys. 1, w dolnej połowie okna można zauważyć następujący tekst: "Norton Add-on Pack nie może blokować poufnych informacji na bezpiecznych stronach WWW. Jednak bezpieczne strony WWW nie stanowią zagrożenia dla poufności twoich danych". Powód zamieszczenia tej informacji jest prosty: podczas wymiany danych z bezpiecznymi stronami WWW wykorzystywane jest szyfrowanie danych, co uniemożliwia osobie trzeciej analizowanie transmitowanych danych.

Komponent służący do ochrony poufnych danych powinien chronić użytkowników przed trojanami takimi jak Trojan PSW. Co powstrzymuje trojana przed zaszyfrowaniem wszystkich transmitowanych danych? Tak naprawdę, nic. Robi to ponad 80% trojanów. Właśnie dlatego komponent Ochrona poufnych danych, który opiera się na analizie ruchu oraz szukaniu wprowadzonych wcześniej sekwencji danych, w większości przypadków nie jest w stanie zapobiec wysyłaniu danych, ponieważ po tym jak zostaną zaszyfrowane przez Trojana, nie znajdzie ich.

Co więcej, przechowywanie wszystkich poufnych informacji w jednym miejscu po wprowadzeniu danych do okien takich jak na Rys. 2 nie zwiększy bezpieczeństwa. Wprost przeciwnie, szkodliwy użytkownik nie musi przeszukiwać wszystkich rodzajów danych umieszczonych w kilku miejscach w systemie plików komputera, bo już wie, gdzie je znajdzie. Musi tylko uzyskać dostęp do pliku wykorzystywanego przez komponent ochrony. Nie ma wątpliwości, że programiści robią wszystko co w ich mocy, aby zabezpieczyć dane wprowadzane przez użytkownika, nie ma jednak gwarancji bezpieczeństwa.

Przykład działania takiego komponentu: jeśli zostaniesz poproszony o wprowadzenie numeru telefonu na stronie WWW, Norton Internet Security 2000 zapyta cię, czy jesteś pewny, że chcesz wysłać tę poufną informację, po tym jak wprowadzisz ją w pole tekstowe.
W praktyce ostrzeżenie takie nie jest przydatne, ponieważ decyzja użytkownika o wprowadzeniu żądanych informacji uzależniona jest od tego, czy ma on zaufanie do danej strony. Jeśli użytkownik uważa, że strona jest autentyczna, ostrzeżenie programu nie powstrzyma go przed wprowadzeniem danych. Jeśli jednak uzna, że strona WWW jest sfałszowana, i tak nie będzie chciał wprowadzać danych.

Niestety, obecnie pojawia się coraz więcej fałszywych stron, stworzonych przez szkodliwych użytkowników w taki sposób, aby do złudzenia przypominały oficjalne strony WWW instytucji finansowych, a użytkownicy wprowadzają swoje poufne dane mimo ostrzeżeń rozwiązania bezpieczeństwa.

Alternatywne podejście do ochrony poufnych danych

Istnieje również inne podejście do ochrony poufnych danych, oparte na blokowaniu czynności szkodliwych programów na wcześniejszych etapach, zanim dane zostaną przesłane i będzie za późno.

Aby ukraść poufne informacje, szkodliwy program musi wykonać dwie czynności: znaleźć informacje i wydobyć je z miejsca, w którym są przechowywane (może to być plik, klucz rejestru lub specjalny obszar pamięci systemu operacyjnego) i przesłać je autorowi szkodliwego programu za pomocą specjalnych kanałów. Ponieważ wiele komputerów ma już zainstalowane zapory sieciowe, które kontrolują aktywność sieciową aplikacji znajdujących się na komputerze, szkodliwy program nie może transmitować zebranych danych pod własną nazwą. Z tego powodu wiele trojanów PSW stosuje różne taktyki w celu obejścia zapory sieciowej, które umożliwiają im wysłanie danych bez wiedzy użytkownika.

Z tego wynika, że komponent ochrony powinien śledzić aktywność aplikacji, gdy wskazuje ona na potencjalną próbę kradzieży poufnych informacji:

Próba zdobycia dostępu do danych osobistych oraz haseł zlokalizowanych w chronionym obszarze systemu Microsoft Windows.

Usługa ta wykorzystywana jest w celu przechowywania poufnych danych, takich jak lokalne hasła, hasła do serwerów pocztowych POP oraz SMTP, hasła dostępu do Internetu, hasła do automatycznego uzyskiwania dostępu do zablokowanych sekcji stron internetowych oraz hasła do automatycznego wypełniania formularzy internetowych. Dane te są wprowadzane w odpowiednie pola tekstowe klientów pocztowych oraz wyszukiwarek internetowych. Użytkownik może zazwyczaj przechowywać wprowadzone dane; w tym celu musi oznaczyć je specjalnym znacznikiem. W takim przypadku wprowadzane dane przechowywane są w obszarze chronionym systemu Microsoft Windows.

Nawet użytkownicy, którzy są świadomi niebezpieczeństwa wycieku danych i nie zachowują haseł i innych danych w swojej przeglądarce internetowej, zazwyczaj zapisują hasła do kont pocztowych, ponieważ wprowadzanie takiego hasła za każdym razem, gdy otrzymują lub wysyłają coś, jest zbyt czasochłonne. Ponieważ wielu dostawców usług internetowych używa tego samego hasła dla poczty i dostępu do Internetu, uzyskanie go pozwoli szkodliwemu użytkownikowi na zdobycie dostępu zarówno do konta e-mail, jak i ustawień połączeń internetowych.

Próby ukradkowego wysyłania danych.

Aby przesłać zebrane dane, szkodliwy program będzie próbował różnych taktyk w celu obejścia zapory sieciowej, jeśli jest zainstalowana na zaatakowanym komputerze. Może na przykład niepostrzeżenie uruchamiać proces przeglądarki internetowej i przesyłać dane przy użyciu interfejsów programu wspólnych dla większości przeglądarek (COM, OLE, DDE i inne). Ponieważ większość współczesnych zapór sieciowych posiada zestaw predefiniowanych ustawień, które zezwalają na aktywność sieciową zaufanych aplikacji, zapora sieciowa nie zareaguje na transmisję danych przez przeglądarkę internetową, a użytkownik nie będzie wiedział o tej aktywności, ani nie będzie mógł zapobiec wyciekowi danych.

Przy zastosowaniu takiego podejścia szyfrowanie skradzionych danych przez szkodliwy program nie stanowi problemu, ponieważ szkodliwa funkcja zostanie zablokowana, zanim zaszyfrowane informacje będą mogły zostać przesłane.

Podejście to zostało zaimplementowane w oprogramowaniu Kaspersky Internet Security 7.0.

Trojan-PSW.Win32.LdPinch: w jaki sposób KIS 7.0 zapewnia ochronę przed kradzieżą poufnych danych:

Kaspersky Internet Security 7.0 również zawiera moduł ochrony poufnych danych, który stanowi jeden z podsystemów jego modułu służącego do ochrony przed oprogramowaniem spyware (zobacz Rys. 3). Analizuje on zachowanie wszystkich procesów w systemie użytkownika i jeśli wykryje jeden z dwóch rodzajów wspomnianych wyżej czynności, albo ostrzeże użytkownika, albo automatycznie zablokuje czynność.


Rys. 3. Konfigurowanie komponentu pełniącego funkcję ochrony przed spyware w Kaspersky Internet Security 7.0

Sprawdźmy, w jaki sposób moduł KIS-a chroni użytkowników przed próbami kradzieży poufnych danych przy użyciu trojana Trojan-PSW.Win32.LdPinch. Głównym celem tego szkodnika jest kradzież haseł z szeregu różnych aplikacji zainstalowanych na komputerze użytkownika.

Celem tego trojana jest kradzież informacji o dysku twardym komputera oraz ilości pozostałego wolnego miejsca, bieżącym użytkowniku, nazwie sieciowej komputera, wersji systemu operacyjnego, typie procesora, specyfikacjach monitora, zainstalowanych na komputerze aplikacjach, uruchomionych procesach oraz istniejących połączeniach dial-up. Naturalnie większość kradzionych przez niego informacji to hasła do szeregu różnych programów, łącznie z poniższymi:

klienty komunikatorów internetowych:
  • ICQ 99B-2002a
  • ICQ 2003/Lite/5/Rambler
  • Miranda IM
  • TRILLIAN
  • &RQ, RnQ, The Rat
  • QIP
  • GAIM
  • MSN & Live Messenger
klienty pocztowe:
  • The Bat!
  • MS Office Outlook
  • Mail.Ru Agent
  • Becky
  • Eudora
  • Mozilla Thunderbird
  • Gmail Notifier
przeglądarki internetowe:
  • Opera
  • Protected Storage (IE, Outlook Express)
  • Mozilla Browser
  • Mozilla Firefox
automyczne dialery:
  • RAS
  • E-DIALER
  • VDialer
menedżery plików:
  • FAR
  • Windows/Total Commander
klienty FTP:
  • CuteFTP
  • WS FTP
  • FileZilla
  • Flash FXP
  • Smart FTP
  • Coffee Cup FTP

i wiele innych.

Skradzione hasła wykorzystywane są w celu dalszego rozprzestrzeniania szkodliwych programów. Po uzyskaniu, na przykład, hasła do klienta ICQ, trojan zmodyfikuje to hasło na stronie ICQ i zacznie wysyłać wiadomości z odsyłaczem do własnego pliku wykonywalnego z konta zaatakowanego komputera, próbując zainfekować tak dużo komputerów jak to tylko możliwe.

Wszystkie skradzione dane są szyfrowane i wysyłane na określony adres e-mail lub umieszczane na serwerze FTP szkodliwego użytkownika.

Systemy ochrony poufnych danych, które analizują ruch (takie jak Norton Privacy Control), nie potrafią zapobiegać wysyłaniu zaszyfrowanych danych, nawet jeśli szkodliwy użytkownik wprowadzi wszystkie swoje hasła do wszystkich swoich kont na listę monitorowanych danych. To oznacza, że jeśli użytkownik zainstalował program firmy Symantec z Ochroną prywatności lub inny produkt, który wykorzystuje takie same podejście do ochrony poufnych informacji, jego komputer może zostać zaatakowany przez nową wersję Trojana Trojan-PSW.Win32.LdPinch, która nie została dodana do antywirusowych baz danych i nie jest rozpoznawana przez żadne inne komponenty bezpieczeństwa. W rezultacie, większość haseł tego użytkownika zostanie skradzionych, a następnie wykorzystanych przez cyberprzestępców według ich uznania.

Jednak system ochrony, który analizuje aktywność aplikacji, blokuje zarówno przechwytywanie (zobacz Rys. 4) jak i ukradkową transmisję (zobacz Rys. 5) poufnych danych przez Trojan-PSW.Win32.LdPinch.


Rys. 4. Kaspersky Internet Security 7.0 ostrzega o próbie uzyskania dostępu do poufnych danych przez trojana Trojan-PSW.Win32.LdPinch.


Rys. 5. Kaspersky Internet Security 7.0 ostrzega o próbie wysłania ukradkiem poufnych danych przez trojana Trojan-PSW.Win32.LdPinch.

Zakończenie

Artykuł ten zawiera klasyfikację metod wykorzystywanych przez szkodliwe programy w celu kradzieży informacji za pośrednictwem komputera oraz analizę dwóch fundamentalnie różnych technik rozwijania modułów chroniących poufne dane. Moduły te implementowane są we współczesnych rozwiązaniach bezpieczeństwa. Artykuł analizuje również skuteczność obu podejść na przykładzie dobrze znanego Trojana.

Porównanie tych technik pokazuje, że technika oparta na analizowaniu aktywności aplikacji, która mogłaby wskazywać na próbę kradzieży poufnych informacji, ma duże zalety. Podejście wykorzystujące listę stworzoną przez użytkownika okazuje się mniej skuteczne, ponieważ trudniej jest zagwarantować, że żadna część tej listy nie zostanie nigdy wysłana z komputera użytkownika.

Źródło: Kaspersky Lab