Wsp贸艂czesne rozwi膮zania z kategorii Security Suite: metody ochrony poufnych danych

Nikolay Grebennikov

Klasyfikacja metod wykorzystywanych do kradzie偶y danych

Federalna Komisja Handlu Stan贸w Zjednoczonych zainteresowa艂a si臋 problemem kradzie偶y poufnych danych w najszerszym znaczeniu tego terminu (zobacz: http://www.ftc.gov/bcp/edu/microsites/idtheft/consumers/about-identity-theft.html). Oficjalna strona WWW Komisji zawiera informacje o wielu tradycyjnych sposobach kradzie偶y informacji bez u偶ycia komputera, takich jak kradzie偶 portfeli, przetrz膮sanie podartych dokument贸w wyrzuconych do kosza, telefonowanie i podszywanie si臋 pod instytucj臋 finansow膮, wykorzystywanie specjalnych narz臋dzi w celu skanowania numer贸w kart kredytowych itd.

Obok wymienionych wy偶ej technik istniej膮 r贸wnie偶 inne sposoby kradzie偶y informacji. Mo偶na wyr贸偶ni膰 co najmniej trzy r贸偶ne metody kradzie偶y informacji przy u偶yciu komputera. W pierwszej z nich chodzi o to, 偶eby u偶ytkownik komputera dobrowolnie wyjawi艂 informacje szkodliwemu u偶ytkownikowi, nie podejrzewaj膮c, 偶e pad艂 ofiar膮 oszustwa. Pro艣ba o podanie takich informacji przychodzi zwykle w masowo wysy艂anych wiadomo艣ciach e-mail. Szkodliwy u偶ytkownik tworzy wcze艣niej fa艂szyw膮 stron臋 WWW, kt贸ra imituje prawdziw膮 stron臋 banku lub innej organizacji finansowej. Ten rodzaj przest臋pstwa komputerowego nazywany jest phishingiem.

Drugi spos贸b kradzie偶y poufnych informacji polega na 艣ledzeniu i rejestrowaniu czynno艣ci u偶ytkownika. Ten rodzaj elektronicznego szpiegostwa przeprowadzany jest przy u偶yciu koni troja艅skich, kt贸re Kaspersky Lab klasyfikuje jako trojany szpieguj膮ce (Trojan-Spy). Jednym z najpopularniejszych rodzaj贸w trojan贸w szpieguj膮cych jest keylogger, o kt贸rym szczeg贸艂owo pisali艣my w poprzednim artykule (zobacz: http://www.viruslist.pl/analysis.html?newsid=422).

Trzecia technika kradzie偶y poufnych danych polega na wykorzystaniu szkodliwych program贸w (najcz臋艣ciej trojan贸w) w celu wyszukiwania poufnych informacji na komputerze u偶ytkownika, a nast臋pnie przesy艂anie ich szkodliwemu u偶ytkownikowi. W tym przypadku szkodliwy u偶ytkownik mo偶e otrzymywa膰 jedynie dane, kt贸re u偶ytkownik zaatakowanego komputera uzna艂 za wystarczaj膮co wa偶ne, 偶eby wprowadzi膰 je do pami臋ci komputera. Wad臋 t膮 rekompensuje fakt, 偶e dane s膮 transmitowane bez udzia艂u u偶ytkownika.

Tego rodzaju szkodliwe programy mog膮 rozprzestrzenia膰 si臋 na wiele r贸偶nych sposob贸w: mog膮 zosta膰 aktywowane po otwarciu przez u偶ytkownika za艂膮cznika do wiadomo艣ci e-mail lub klikni臋ciu odno艣nika wys艂anego za po艣rednictwem komunikatora internetowego. Ponadto, mog膮 zosta膰 uruchomione po otwarciu pliku z foldera w sieci P2P lub przez u偶ycie skrypt贸w na stronie WWW, kt贸re wykorzystuj膮 b艂臋dy i luki w przegl膮darkach internetowych, umo偶liwiaj膮ce automatyczne uruchomienie tych program贸w po odwiedzeniu takich stron. Programy takie mog膮 r贸wnie偶 by膰 rozprzestrzeniane przez inne wcze艣niej zainstalowane szkodliwe programy, kt贸re potrafi膮 pobiera膰 i instalowa膰 je w systemie.

Celem trojan贸w PSW jest uzyskiwanie dost臋pu do r贸偶nych informacji o systemie i u偶ytkowniku oraz hase艂 do wielu program贸w i us艂ug system贸w operacyjnych. W tym celu trojany skanuj膮 wszystkie obszary pami臋ci zawieraj膮ce istotne dane: obszar chroniony systemu Windows, klucze rejestru oraz pliki niekt贸rych program贸w, kt贸re mog膮 by膰 interesuj膮ce dla szkodliwych u偶ytkownik贸w (zazwyczaj s膮 to komunikatory internetowe, systemy pocztowe i przegl膮darki internetowe).

Po zebraniu danych trojan zwykle szyfruje je i kompresuje do niewielkiego pliku binarnego. Plik ten mo偶e nast臋pnie zosta膰 wys艂any za po艣rednictwem poczty elektronicznej lub umieszczony na serwerze FTP szkodliwego u偶ytkownika.

Spos贸b dzia艂ania tych szkodliwych program贸w zosta艂 szczeg贸艂owo opisany w artykule "Komputery, sieci i kradzie偶" (http://www.viruslist.pl/analysis.html?newsid=326), w kt贸rym przeanalizowano dwie r贸偶ne techniki wykorzystywane przez wsp贸艂czesne rozwi膮zania bezpiecze艅stwa w celu ochrony poufnych danych.

W jaki spos贸b wsp贸艂czesne produkty chroni膮 poufne dane?

Prawie wszystkie dzisiejsze rozwi膮zania bezpiecze艅stwa (typu Security Suite) zawieraj膮 komponent, kt贸ry chroni poufne dane i zwykle nosi nazw臋 Kontrola Prywatno艣ci. (W niekt贸rych aplikacjach komponent ten po艂膮czony jest z innymi komponentami bezpiecze艅stwa, takimi jak ochrona przed phishingiem). Kluczow膮 funkcj膮 tego sk艂adnika jest zabezpieczanie poufnych danych na komputerze u偶ytkownika przed nieautoryzowanym dost臋pem i transmisj膮.

Przyjrzyjmy si臋, w jaki spos贸b produkty firmy Symantec implementuj膮 ochron臋 poufnych danych. Wybrali艣my t臋 firm臋, poniewa偶 jako jedna z pierwszych zaimplementowa艂a w swoich produktach ochron臋 poufnych danych, zanim inni producenci zaoferowali podobn膮.

W 1999 r. Symantec opublikowa艂 informacje o swoim nowym produkcie Norton Internet Security 2000. Zawiera艂 on now膮 funkcj臋 Norton Privacy Control, a jednym z jej kluczowych modu艂贸w by艂o blokowanie poufnych danych (Confidential Data Bloking).

Komponent ten dzia艂a w nast臋puj膮cy spos贸b:

  1. u偶ytkownik musi zdefiniowa膰 dane, kt贸re uwa偶a za poufne,
  2. produkt b臋dzie nast臋pnie analizowa艂 ca艂y ruch wychodz膮cy z komputera u偶ytkownika i albo "potnie" wszystkie wychodz膮ce poufne dane, albo zast膮pi je nic nieznacz膮cymi symbolami (takimi jak "*").


Rys. 1. Komponent "Confidential Data" w produkcie Norton Internet Security 2000

Komponent Norton Privacy Control zawarty jest w nowych produktach firmy Symantec, takich jak Norton Personal Firewall oraz Norton Internet Security.

Najnowszym flagowym produktem tej firmy jest Norton360, kt贸ry zosta艂 opublikowany w 2007 r. (http://www.symantec.com/norton360/about). Wprawdzie zawiera on komponent Privacy Protection, ale nie w pakiecie podstawowym. Komponent ten stanowi dodatek, kt贸ry mo偶na pobra膰 z oficjalnej strony internetowej firmy Symantec.


Rys. 2. Komponent "Confidential Data Bloking" w produkcie Norton360

Podobnie jak w Norton Internet Security 2000, wykorzystuje on tablic臋, do kt贸rej u偶ytkownik mo偶e wprowadzi膰 swoje poufne dane (zobacz Rys. 2).

Wady tradycyjnych metod ochrony poufnych danych

Co sk艂oni艂o tw贸rc贸w programu do usuni臋cia komponentu Ochrona poufnych danych z listy standardowych modu艂贸w produktu Norton360? By艂o prawdopodobnie kilka powod贸w, z kt贸rych na szczeg贸ln膮 uwag臋 zas艂uguje jeden. Prawda jest taka, 偶e to podej艣cie do ochrony poufnych informacji jest nieskuteczne - stwarza jedynie iluzj臋 bezpiecze艅stwa.

W oficjalnych opisach mo偶na przeczyta膰, 偶e najnowsza wersja Norton Internet Security "blokuje […] transmitowanie nieautoryzowanych informacji (http://www.symantec.com/home_homeoffice/products/features.jsp?pcid=is&pvid=nis2007). W rzeczywisto艣ci, tak jednak nie jest.

Je艣li przyjrze膰 si臋 dok艂adnie pierwszemu oknu na rys. 1, w dolnej po艂owie okna mo偶na zauwa偶y膰 nast臋puj膮cy tekst: "Norton Add-on Pack nie mo偶e blokowa膰 poufnych informacji na bezpiecznych stronach WWW. Jednak bezpieczne strony WWW nie stanowi膮 zagro偶enia dla poufno艣ci twoich danych". Pow贸d zamieszczenia tej informacji jest prosty: podczas wymiany danych z bezpiecznymi stronami WWW wykorzystywane jest szyfrowanie danych, co uniemo偶liwia osobie trzeciej analizowanie transmitowanych danych.

Komponent s艂u偶膮cy do ochrony poufnych danych powinien chroni膰 u偶ytkownik贸w przed trojanami takimi jak Trojan PSW. Co powstrzymuje trojana przed zaszyfrowaniem wszystkich transmitowanych danych? Tak naprawd臋, nic. Robi to ponad 80% trojan贸w. W艂a艣nie dlatego komponent Ochrona poufnych danych, kt贸ry opiera si臋 na analizie ruchu oraz szukaniu wprowadzonych wcze艣niej sekwencji danych, w wi臋kszo艣ci przypadk贸w nie jest w stanie zapobiec wysy艂aniu danych, poniewa偶 po tym jak zostan膮 zaszyfrowane przez Trojana, nie znajdzie ich.

Co wi臋cej, przechowywanie wszystkich poufnych informacji w jednym miejscu po wprowadzeniu danych do okien takich jak na Rys. 2 nie zwi臋kszy bezpiecze艅stwa. Wprost przeciwnie, szkodliwy u偶ytkownik nie musi przeszukiwa膰 wszystkich rodzaj贸w danych umieszczonych w kilku miejscach w systemie plik贸w komputera, bo ju偶 wie, gdzie je znajdzie. Musi tylko uzyska膰 dost臋p do pliku wykorzystywanego przez komponent ochrony. Nie ma w膮tpliwo艣ci, 偶e programi艣ci robi膮 wszystko co w ich mocy, aby zabezpieczy膰 dane wprowadzane przez u偶ytkownika, nie ma jednak gwarancji bezpiecze艅stwa.

Przyk艂ad dzia艂ania takiego komponentu: je艣li zostaniesz poproszony o wprowadzenie numeru telefonu na stronie WWW, Norton Internet Security 2000 zapyta ci臋, czy jeste艣 pewny, 偶e chcesz wys艂a膰 t臋 poufn膮 informacj臋, po tym jak wprowadzisz j膮 w pole tekstowe.
W praktyce ostrze偶enie takie nie jest przydatne, poniewa偶 decyzja u偶ytkownika o wprowadzeniu 偶膮danych informacji uzale偶niona jest od tego, czy ma on zaufanie do danej strony. Je艣li u偶ytkownik uwa偶a, 偶e strona jest autentyczna, ostrze偶enie programu nie powstrzyma go przed wprowadzeniem danych. Je艣li jednak uzna, 偶e strona WWW jest sfa艂szowana, i tak nie b臋dzie chcia艂 wprowadza膰 danych.

Niestety, obecnie pojawia si臋 coraz wi臋cej fa艂szywych stron, stworzonych przez szkodliwych u偶ytkownik贸w w taki spos贸b, aby do z艂udzenia przypomina艂y oficjalne strony WWW instytucji finansowych, a u偶ytkownicy wprowadzaj膮 swoje poufne dane mimo ostrze偶e艅 rozwi膮zania bezpiecze艅stwa.

Alternatywne podej艣cie do ochrony poufnych danych

Istnieje r贸wnie偶 inne podej艣cie do ochrony poufnych danych, oparte na blokowaniu czynno艣ci szkodliwych program贸w na wcze艣niejszych etapach, zanim dane zostan膮 przes艂ane i b臋dzie za p贸藕no.

Aby ukra艣膰 poufne informacje, szkodliwy program musi wykona膰 dwie czynno艣ci: znale藕膰 informacje i wydoby膰 je z miejsca, w kt贸rym s膮 przechowywane (mo偶e to by膰 plik, klucz rejestru lub specjalny obszar pami臋ci systemu operacyjnego) i przes艂a膰 je autorowi szkodliwego programu za pomoc膮 specjalnych kana艂贸w. Poniewa偶 wiele komputer贸w ma ju偶 zainstalowane zapory sieciowe, kt贸re kontroluj膮 aktywno艣膰 sieciow膮 aplikacji znajduj膮cych si臋 na komputerze, szkodliwy program nie mo偶e transmitowa膰 zebranych danych pod w艂asn膮 nazw膮. Z tego powodu wiele trojan贸w PSW stosuje r贸偶ne taktyki w celu obej艣cia zapory sieciowej, kt贸re umo偶liwiaj膮 im wys艂anie danych bez wiedzy u偶ytkownika.

Z tego wynika, 偶e komponent ochrony powinien 艣ledzi膰 aktywno艣膰 aplikacji, gdy wskazuje ona na potencjaln膮 pr贸b臋 kradzie偶y poufnych informacji:

  1. Pr贸ba zdobycia dost臋pu do danych osobistych oraz hase艂 zlokalizowanych w chronionym obszarze systemu Microsoft Windows.

    Us艂uga ta wykorzystywana jest w celu przechowywania poufnych danych, takich jak lokalne has艂a, has艂a do serwer贸w pocztowych POP oraz SMTP, has艂a dost臋pu do Internetu, has艂a do automatycznego uzyskiwania dost臋pu do zablokowanych sekcji stron internetowych oraz has艂a do automatycznego wype艂niania formularzy internetowych. Dane te s膮 wprowadzane w odpowiednie pola tekstowe klient贸w pocztowych oraz wyszukiwarek internetowych. U偶ytkownik mo偶e zazwyczaj przechowywa膰 wprowadzone dane; w tym celu musi oznaczy膰 je specjalnym znacznikiem. W takim przypadku wprowadzane dane przechowywane s膮 w obszarze chronionym systemu Microsoft Windows.

    Nawet u偶ytkownicy, kt贸rzy s膮 艣wiadomi niebezpiecze艅stwa wycieku danych i nie zachowuj膮 hase艂 i innych danych w swojej przegl膮darce internetowej, zazwyczaj zapisuj膮 has艂a do kont pocztowych, poniewa偶 wprowadzanie takiego has艂a za ka偶dym razem, gdy otrzymuj膮 lub wysy艂aj膮 co艣, jest zbyt czasoch艂onne. Poniewa偶 wielu dostawc贸w us艂ug internetowych u偶ywa tego samego has艂a dla poczty i dost臋pu do Internetu, uzyskanie go pozwoli szkodliwemu u偶ytkownikowi na zdobycie dost臋pu zar贸wno do konta e-mail, jak i ustawie艅 po艂膮cze艅 internetowych.

  2. Pr贸by ukradkowego wysy艂ania danych.

    Aby przes艂a膰 zebrane dane, szkodliwy program b臋dzie pr贸bowa艂 r贸偶nych taktyk w celu obej艣cia zapory sieciowej, je艣li jest zainstalowana na zaatakowanym komputerze. Mo偶e na przyk艂ad niepostrze偶enie uruchamia膰 proces przegl膮darki internetowej i przesy艂a膰 dane przy u偶yciu interfejs贸w programu wsp贸lnych dla wi臋kszo艣ci przegl膮darek (COM, OLE, DDE i inne). Poniewa偶 wi臋kszo艣膰 wsp贸艂czesnych zap贸r sieciowych posiada zestaw predefiniowanych ustawie艅, kt贸re zezwalaj膮 na aktywno艣膰 sieciow膮 zaufanych aplikacji, zapora sieciowa nie zareaguje na transmisj臋 danych przez przegl膮dark臋 internetow膮, a u偶ytkownik nie b臋dzie wiedzia艂 o tej aktywno艣ci, ani nie b臋dzie m贸g艂 zapobiec wyciekowi danych.

Przy zastosowaniu takiego podej艣cia szyfrowanie skradzionych danych przez szkodliwy program nie stanowi problemu, poniewa偶 szkodliwa funkcja zostanie zablokowana, zanim zaszyfrowane informacje b臋d膮 mog艂y zosta膰 przes艂ane.

Podej艣cie to zosta艂o zaimplementowane w oprogramowaniu Kaspersky Internet Security 7.0.

Trojan-PSW.Win32.LdPinch: w jaki spos贸b KIS 7.0 zapewnia ochron臋 przed kradzie偶膮 poufnych danych:

Kaspersky Internet Security 7.0 r贸wnie偶 zawiera modu艂 ochrony poufnych danych, kt贸ry stanowi jeden z podsystem贸w jego modu艂u s艂u偶膮cego do ochrony przed oprogramowaniem spyware (zobacz Rys. 3). Analizuje on zachowanie wszystkich proces贸w w systemie u偶ytkownika i je艣li wykryje jeden z dw贸ch rodzaj贸w wspomnianych wy偶ej czynno艣ci, albo ostrze偶e u偶ytkownika, albo automatycznie zablokuje czynno艣膰.


Rys. 3. Konfigurowanie komponentu pe艂ni膮cego funkcj臋 ochrony przed spyware w Kaspersky Internet Security 7.0

Sprawd藕my, w jaki spos贸b modu艂 KIS-a chroni u偶ytkownik贸w przed pr贸bami kradzie偶y poufnych danych przy u偶yciu trojana Trojan-PSW.Win32.LdPinch. G艂贸wnym celem tego szkodnika jest kradzie偶 hase艂 z szeregu r贸偶nych aplikacji zainstalowanych na komputerze u偶ytkownika.

Celem tego trojana jest kradzie偶 informacji o dysku twardym komputera oraz ilo艣ci pozosta艂ego wolnego miejsca, bie偶膮cym u偶ytkowniku, nazwie sieciowej komputera, wersji systemu operacyjnego, typie procesora, specyfikacjach monitora, zainstalowanych na komputerze aplikacjach, uruchomionych procesach oraz istniej膮cych po艂膮czeniach dial-up. Naturalnie wi臋kszo艣膰 kradzionych przez niego informacji to has艂a do szeregu r贸偶nych program贸w, 艂膮cznie z poni偶szymi:

  1. klienty komunikator贸w internetowych:
    • ICQ 99B-2002a
    • ICQ 2003/Lite/5/Rambler
    • Miranda IM
    • TRILLIAN
    • &RQ, RnQ, The Rat
    • QIP
    • GAIM
    • MSN & Live Messenger
  2. klienty pocztowe:
    • The Bat!
    • MS Office Outlook
    • Mail.Ru Agent
    • Becky
    • Eudora
    • Mozilla Thunderbird
    • Gmail Notifier
  3. przegl膮darki internetowe:
    • Opera
    • Protected Storage (IE, Outlook Express)
    • Mozilla Browser
    • Mozilla Firefox
  4. automyczne dialery:
    • RAS
    • E-DIALER
    • VDialer
  5. mened偶ery plik贸w:
    • FAR
    • Windows/Total Commander
  6. klienty FTP:
    • CuteFTP
    • WS FTP
    • FileZilla
    • Flash FXP
    • Smart FTP
    • Coffee Cup FTP

    i wiele innych.

Skradzione has艂a wykorzystywane s膮 w celu dalszego rozprzestrzeniania szkodliwych program贸w. Po uzyskaniu, na przyk艂ad, has艂a do klienta ICQ, trojan zmodyfikuje to has艂o na stronie ICQ i zacznie wysy艂a膰 wiadomo艣ci z odsy艂aczem do w艂asnego pliku wykonywalnego z konta zaatakowanego komputera, pr贸buj膮c zainfekowa膰 tak du偶o komputer贸w jak to tylko mo偶liwe.

Wszystkie skradzione dane s膮 szyfrowane i wysy艂ane na okre艣lony adres e-mail lub umieszczane na serwerze FTP szkodliwego u偶ytkownika.

Systemy ochrony poufnych danych, kt贸re analizuj膮 ruch (takie jak Norton Privacy Control), nie potrafi膮 zapobiega膰 wysy艂aniu zaszyfrowanych danych, nawet je艣li szkodliwy u偶ytkownik wprowadzi wszystkie swoje has艂a do wszystkich swoich kont na list臋 monitorowanych danych. To oznacza, 偶e je艣li u偶ytkownik zainstalowa艂 program firmy Symantec z Ochron膮 prywatno艣ci lub inny produkt, kt贸ry wykorzystuje takie same podej艣cie do ochrony poufnych informacji, jego komputer mo偶e zosta膰 zaatakowany przez now膮 wersj臋 Trojana Trojan-PSW.Win32.LdPinch, kt贸ra nie zosta艂a dodana do antywirusowych baz danych i nie jest rozpoznawana przez 偶adne inne komponenty bezpiecze艅stwa. W rezultacie, wi臋kszo艣膰 hase艂 tego u偶ytkownika zostanie skradzionych, a nast臋pnie wykorzystanych przez cyberprzest臋pc贸w wed艂ug ich uznania.

Jednak system ochrony, kt贸ry analizuje aktywno艣膰 aplikacji, blokuje zar贸wno przechwytywanie (zobacz Rys. 4) jak i ukradkow膮 transmisj臋 (zobacz Rys. 5) poufnych danych przez Trojan-PSW.Win32.LdPinch.


Rys. 4. Kaspersky Internet Security 7.0 ostrzega o pr贸bie uzyskania dost臋pu do poufnych danych przez trojana Trojan-PSW.Win32.LdPinch.


Rys. 5. Kaspersky Internet Security 7.0 ostrzega o pr贸bie wys艂ania ukradkiem poufnych danych przez trojana Trojan-PSW.Win32.LdPinch.

Zako艅czenie

Artyku艂 ten zawiera klasyfikacj臋 metod wykorzystywanych przez szkodliwe programy w celu kradzie偶y informacji za po艣rednictwem komputera oraz analiz臋 dw贸ch fundamentalnie r贸偶nych technik rozwijania modu艂贸w chroni膮cych poufne dane. Modu艂y te implementowane s膮 we wsp贸艂czesnych rozwi膮zaniach bezpiecze艅stwa. Artyku艂 analizuje r贸wnie偶 skuteczno艣膰 obu podej艣膰 na przyk艂adzie dobrze znanego Trojana.

Por贸wnanie tych technik pokazuje, 偶e technika oparta na analizowaniu aktywno艣ci aplikacji, kt贸ra mog艂aby wskazywa膰 na pr贸b臋 kradzie偶y poufnych informacji, ma du偶e zalety. Podej艣cie wykorzystuj膮ce list臋 stworzon膮 przez u偶ytkownika okazuje si臋 mniej skuteczne, poniewa偶 trudniej jest zagwarantowa膰, 偶e 偶adna cz臋艣膰 tej listy nie zostanie nigdy wys艂ana z komputera u偶ytkownika.

殴r贸d艂o: Kaspersky Lab