Массачусетский Институт Технологий.
Курс лекций №6.858. «Безопасность компьютерных систем».
Николай Зельдович, Джеймс Микенс.
2014 год Безопасность компьютерных систем — это курс, посвященный проектированию и внедрению безопасных компьютерных систем.
Лекции охватывают модели угроз, атаки, ставящие под угрозу безопасность, а также методы обеспечения безопасности, основанные на последних научных работах.
Темы включают безопасность операционной системы (ОС), возможности, управление информационными потоками, языковую безопасность, сетевые протоколы, аппаратную безопасность и безопасность веб-приложений.
Лекция 1: «Введение: модели угроз» Часть 1 / Часть 2 / Часть 3 Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3 Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3 Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3 Лекция 5: «Откуда берутся ошибки системы безопасности» Часть 1 / Часть 2 Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3 Лекция 7: «Нативная клиентская песочница» Часть 1 / Часть 2 / Часть 3 Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3 Лекция 9: «Безопасность веб-приложений» Часть 1 / Часть 2 / Часть 3 Лекция 10: Символическое исполнение Часть 1 / Часть 2 / Часть 3 Лекция 11: «Язык ур/веб-программирования» Часть 1 / Часть 2 / Часть 3 Лекция 12: «Сетевая безопасность» Часть 1 / Часть 2 / Часть 3 Лекция 13: «Сетевые протоколы» Часть 1 / Часть 2 / Часть 3 Лекция 14: «SSL и HTTPS» Часть 1 / Часть 2 / Часть 3 Лекция 15: «Медицинское программное обеспечение» Часть 1 / Часть 2 / Часть 3 Лекция 16: Атаки по побочным каналам Часть 1 / Часть 2 / Часть 3 Лекция 17: Аутентификация пользователя Часть 1 / Часть 2 / Часть 3 Лекция 18: «Частный просмотр Интернета» Часть 1 / Часть 2 / Часть 3 Лекция 19: «Анонимные сети» Часть 1 / Часть 2 / Часть 3 Лекция 20: «Безопасность мобильного телефона» Часть 1 / Часть 2 / Часть 3 Лекция 21: Отслеживание данных Часть 1 / Часть 2 / Часть 3 Лекция 22: «Информационная безопасность MIT» Часть 1 / Часть 2 / Часть 3 Лекция 23: «?Экономика безопасности» Часть 1 / Часть 2 В лекционной статье рассказывается о различных стратегиях контратаки, способных остановить спамера.
Авторы отметили, что существует ограниченное количество регистраторов доменных имен, доступных для участия в партнерских программах.
Это означает, что большинство аффилированных партнеров индивидуально связаны с регистратором, который управляет их доменными именами и инфраструктурой.
Очень редко один регистратор доменных имен связан с множеством различных партнерских программ.
Это значит, что нет единого центра, нет общего регистратора, ударив по которому можно было бы вывести из строя всю спам-инфраструктуру.
Похожая закономерность применима и к таким вещам, как веб-серверы.
Редко когда один интернет-провайдер владеет кучей веб-серверов с кучей партнерских программ.
Этот бизнес носит распределенный характер, поэтому очень сложно сказать, что если мы «возьмем» этих 3-х провайдеров, то вся спам-экосистема будет уничтожена.
Так что жаль, что нет ни одного сервера, на который можно было бы остановить спам.
Позже мы увидим, что это может сработать против некоторых теневых банковских схем, так что мы все равно сможем оказать давление на спамера.
Давайте вернемся к этапу реализации спама и посмотрим, что произойдет после того, как вы, пользователь, решите что-то купить.
Этап реализации состоит из двух частей.
Пользователь платит за любые товары, которые он покупает или хочет купить, а затем, надеюсь, получает эти товары либо по почте, как в случае с покупкой поддельных лекарств, либо загружается из Интернета, если ему нужен пиратский Photoshop или что-то подобное.
Денежный поток выглядит примерно так.
Покупатель подходит к продавцу и говорит ему, что хочет что-то купить.
Он отправляет информацию о кредитной карте, после чего продавец связывается с платежным процессором.
Это важный посредник, помогающий торговцу-спамеру разобраться в некоторых тонкостях взаимодействия с кредитно-карточной системой.
Платежный процессор связывается с обслуживающим банком.
Обслуживающий банк осуществляет все операции, связанные с расчетами и платежами с использованием банковских карт. Она взаимодействует с тем, что в статье называется «партнерской сетью», но мы будем думать о ней просто как о платежной системе Visa или MasterCard, то есть это просто сеть кредитных карт. Наконец, эти сети ассоциаций, или сети карточек, связываются с банком-эмитентом покупателя.
По сути, они запрашивают информацию о том, является ли данная транзакция законной, то есть происходит ли с согласия держателя карты.
Если да, то деньги проходят через всю эту систему и попадают к продавцу.
Вот как выглядит сквозной финансовый поток транзакций.
Этот рабочий процесс может потребовать много денег.
В одной из статей, упомянутых в лекционном материале, говорится, что в результате такой сделки один партнер может получить более $10 млн.
Возникает вопрос, а почему банк-эквайер или банк-эмитент не сообщает, что здесь что-то не так? Как оказывается, во многих случаях они действительно ничего не сообщают. 
Интересно, почему финансовая система терпит такие процессы? Например, почему спамеры правильно классифицируют свои транзакции? Когда вы хотите отправить что-то через эту систему, вы должны правильно указать тип транзакции, которую вы проводите, указав, что вы продаете фармацевтические препараты, программное обеспечение, что угодно, неважно.
Можно предположить, что спамер, продающий поддельные витамины, не захочет указывать, что он занимается фармацевтическим бизнесом.
Однако интересно, что спамеры в большинстве случаев правильно классифицируют транзакции.
Причина в том, что неправильная классификация может привести к большому штрафу.
Поэтому связанные сети, такие как Visa или Mastercard, считают такие транзакции допустимыми, даже если они выглядят немного подозрительно.
Но они не хотят, чтобы их обвиняли в отмывании денег или попытке обмануть власти.
Пока вы правильно классифицируете то, что делаете, вы в некотором смысле защищаете себя.
Потому что вы всегда можете сказать властям, что вы немного неправильно поняли закон, но, по крайней мере, не попытались скрыть цель этой сделки.
Таким образом, спамеры зачастую правильно классифицируют свои транзакции, то есть в определенной степени играют внутри системы.
Еще один вопрос, который я упоминал ранее: зачем спамеру что-то рассылать клиентам? По-видимому, если вы спамер, то вы преступник, верно? Так почему бы просто не собрать деньги у людей и не сбежать с ними? Оказывается, они на самом деле отправляют товары покупателям, потому что не хотят столкнуться с высокими штрафами.
Это очень интересная система, в которой спамеры хотят делать что-то легально, и хотя они пока не могут использовать Биткойн, им фактически приходится работать в рамках ограничений уже существующей системы.
Высокие штрафы также налагаются, если спамеру поступает много возвратных платежей.
Возвратный платеж означает, что клиент заявляет финансовой компании, что он не получил оплаченный товар или его не устраивает качество полученного товара.
Поэтому, если у спамера слишком много клиентов, требующих возвратных платежей, ему будут начислены очень и очень высокие штрафы.
Поэтому процент возвратных платежей за спам-транзакции весьма невелик.
Дело в том, что их коэффициенты конвертации прибыли очень низкие, поэтому даже один или два штрафа могут свести на нет всю вашу месячную прибыль.
Таким образом, у спамеров действительно есть стимул избегать штрафов в обоих вышеперечисленных случаях.
Аудитория: способствует ли использование PayPal более скрытым отношениям с банком? Профессор: Да и нет. PayPal во многом похож на Visa или MasterCard. Ее деятельность регулируется схожими правилами, поскольку эти платежные системы имеют одинаковые виды рисков.
Я думаю, что у Visa есть более строгие ограничения на некоторые вещи, о которых мы поговорим через секунду.
Но как платежная система Paypal преследует схожие цели.
Аудитория: есть ли идея создать группу, в которой вы создаете учетную запись, а затем сознательно заходите на сайт спамера, покупаете кучу вещей, а затем отправляете возвратные платежи, чтобы они могли взыскать с него штраф? Или сообщать о том, что спамеры неправильно классифицируют сделки, чтобы их можно было оштрафовать? Профессор: интересная идея, прямо как у дружинников! Аудитория: Ну да, спам спамеров.
Профессор: да, это именно оно, но я никогда о таком не слышал.
Я знаю, что спамеры пытаются найти людей, которые их троллят. В статье объясняется, как авторы идентифицировали спамеров.
Они получили кучу спам-сообщений, перешли по куче ссылок, подписались на специальную карту Visa, с помощью которой покупали эти вещи, и так далее.
Они называют это «пробными закупками».
Однако спамеры стараются помешать людям, пытающимся разобраться в происходящем, делать тестовые покупки.
Вот почему некоторые спамеры требуют, чтобы вы подтвердили свою личность, прежде чем они смогут вам что-либо продать.
Они могут попросить вас прислать фотографию вашего удостоверения личности или что-то в этом роде.
Некоторые люди начали делать это после того, как Visa ужесточила правила в отношении спама.
Теперь у спамеров возникла проблема: люди, нажимающие на спам-ссылки, не хотят отправлять скан своего удостоверения личности какому-то случайному человеку.
В статье приведены выдержки из переписки спамеров на форуме, где они жалуются, что их достала Visa — они вынуждены просить людей прислать им удостоверение личности, но они не хотят этого делать.
Странно, что люди боятся отправлять спамерам сканы документов, но не боятся сообщать им номера своих кредитных карт. В любом случае спамеры заинтересованы в раннем обнаружении людей, пытающихся их разоблачить.
Аудитория: Что касается возвратных платежей - возможно, если люди не хотят, чтобы их банк знал, что они покупают незаконные вещи, им будет неловко просить возмещение, даже если они не получили товар? Профессор: хороший вопрос.
Я не знаю, какая часть людей, купивших всякие БАДы, разочаровалась в них и сообщила об этом в свой банк.
Интересно, что банк в первую очередь должен знать, куда он отправляет деньги, но я думаю, вам не нужно раскрывать ему какую-либо дополнительную информацию о транзакции, чтобы оформить возврат. Аудитория: Каков примерный процент возвратных платежей, которые беспокоят спамеров? Профессор: они приводят цифры порядка 1% всех сделок.
Другими словами, если вы спамер и более 1% ваших транзакций требуют возвратных платежей, это повод для беспокойства.
Я бы не удивился меньшим цифрам, но я слышал об одном проценте.
Как я уже сказал, для меня это была одна из самых интересных частей статьи, поскольку я всегда считал, что основной характеристикой спама является откровенное мошенничество.
То есть люди перешли по ссылкам, отправили деньги и ничего не получили.
Но оказывается, что спамерам приходится проходить через всю эту сеть, в которой есть механизмы предотвращения мошенничества, и в конечном итоге им приходится рассылать сообщения клиентам.
Еще одна причина, по которой спамеры предпочитают перестраховаться, правильно классифицировать транзакции и фактически отправлять сообщения клиентам, заключается в том, что лишь немногие банки готовы сотрудничать со спамерами.
Это означает, что если спамер получает много возвратных платежей или создает проблемы с банковскими транзакциями и кредитными картами, то банк может разорвать с ним отношения.
В то же время не так много других банков, готовых принять спамера, чтобы он продолжал заниматься своими «шалостями».
Исследования на эту тему показали, что существует всего около 30 банков-эквайеров, услугами которых пользуются спамеры более двух лет. На самом деле это очень небольшое количество банков.
Так что нехватка банков служит стимулом не дурачить финансовую систему, ведь спамеру просто не к кому будет обратиться, если он нарушит сложившиеся партнерские отношения.
Таким образом, кажется, что требование строгого соблюдения финансовых правил может уменьшить количество спама.
Мы обсуждали, что такие вещи, как ботнеты, предоставляют спамерам множество IP-адресов, существует множество интернет-провайдеров, желающих запустить для них веб-серверы, и так далее, но количество обслуживающих банков на самом деле кажется небольшим.
Так что, возможно, мы действительно сможем атаковать спам здесь.
Но, как я уже сказал, сделать это сложно в связи с тем, что сложно доказать сам факт незаконности спам-деятельности.
Например, если вы используете спам-сообщения для продажи, скажем, сахара, в этом нет ничего противозаконного, поскольку продажа сахара не нарушает никаких законов.
Вы можете каким-то образом обмануть покупателя в процессе продажи, но продажа сахара сама по себе не является незаконной деятельностью.
Как оказалось, большая часть спама попадает в эту «серую зону», где действия спамеров могут быть неприятными, но не обязательно нарушать закон.
Законодательство более четко определяет законность таких вещей, как пиратское программное обеспечение.
Однако вы не можете просто указать на один из этих банков и сказать: «Эй, ваши клиенты — преступники!» потому что это не всегда так, особенно если нет четких бумажных доказательств, связывающих финансовую транзакцию с URL-адресом спамера.
является источником этой транзакции.
Доказать связь между этими звеньями в спам-цепочке зачастую очень сложно.
С тех пор, как статья, о которой идет речь, была опубликована, индустрия кредитных карт предприняла некоторые ответные действия, поскольку статья вызвала настоящий переполох после публикации.
После этого ассоциации платежных систем Visa и MasterCard задались вопросом, что они могут сделать, чтобы отсечь часть спама.
Интересно, что после публикации статьи некоторые фармацевтические компании и поставщики программного обеспечения подали жалобы на Visa. Если вы помните из статьи, Visa была связанной сетью, через которую исследователи спама совершали пробные или фиктивные покупки, поэтому некоторые компании посчитали, что Visa может использоваться в качестве системы финансирования спамеров, и решили пожаловаться на это.
В ответ на эти жалобы Visa внесла некоторые изменения в свою политику платежей.
Например, Visa теперь помечает все транзакции с фармацевтической продукцией как продажи с высоким уровнем риска.
Это означает, что если банк выступает в качестве эквайера для этих транзакций, Visa наложит на него более строгие условия транзакции, например, потребует от банка участия в программе управления рисками или более частого ее аудита.
Visa также изменила свои внутренние правила.
Теперь они однозначно определили список и запретили незаконную продажу лекарств и товаров, находящихся под зарегистрированной охраной товарных знаков.
Это позволит ввести более жесткие санкции против банков и торговцев, которые, по мнению платежной системы, причастны к незаконной продаже наркотиков, поддельных часов и т.п.
Опять же, в серой зоне по-прежнему очень много спама, и он не обязательно является незаконным.
Просто клиенты обязаны использовать определенные приемы.
Но теперь Visa может оказывать более сильное влияние на людей.
Чтобы избежать фейковых покупок, которые совершают не только исследователи спама, но и связанные с ними сети, спамеры начали требовать от покупателей сканы удостоверений личности, а это обычно нехорошо.
По крайней мере, через несколько лет после того, как платежные системы внесли изменения в правила транзакций, это оказало влияние.
Приятно видеть, что эта статья оказала большое влияние на реальную жизнь.
Еще один интересный момент, упомянутый в статье, — это этические аспекты проведения исследований безопасности, в частности исследования спам-цепей.
Чтобы понять, как работают некоторые банковские механизмы, исследователям пришлось совершать покупки.
За этот товар им пришлось заплатить спамеру.
Авторы пишут, что они уничтожили все, что купили, ничего не использовав, и разговаривали с компаниями-разработчиками о покупке пиратских версий их программного обеспечения перед его покупкой.
На самом деле происхождение таких вещей имеет большое значение, особенно в университетской среде.
Потому что, если вы хотите сделать что-то, что связано с исследованием личности, чем-то, что может иметь этические последствия, вам нужно получить разрешение от юристов IRB и тому подобное.
Исследователям очень важно быть уверенными, что их действия не поддерживают злоумышленников в каком-то отдаленном уголке мира.
Это тоже интересная часть лекционного материала, потому что мы уже обсуждали, насколько этично разрабатывать эксплойты нулевого дня, если вы знаете, что их никто не сможет пропатчить? Так что это действительно интересный аспект исследования безопасности.
Аудитория: Существует ли какой-либо надзор за соблюдением этики безопасности? Потому что в статье сказано, что IRB в этом не заинтересовано.
Профессор: да, это было очень интересно.
Они утверждают, что IRB не интересовалось, я думаю, потому что в этих исследованиях не участвовал очевидный человек.
Однако в большинстве университетов нельзя просто сказать, что в них нет прямого человека, поэтому просто позвольте мне купить кое-что по спам-ссылке.
В статье они выражают благодарность различным людям и организациям, оказавшим помощь в исследовании.
Я не думаю, что существует американский стандарт для такого типа исследований.
Я знаю, что IRB каждого университета имеет несколько разную политику относительно того, что можно и что нельзя делать, поэтому я не думаю, что существует какая-то общая политика.
Аудитория: Учитывая, что было проверено 350 миллионов спам-адресов и спамеры связались только с 28, существует ли вероятность того, что значительное число из этих 28 были исследователями, изучающими спам-цепочку? Профессор: Я думаю, что эти результаты являются одной из причин, почему авторы приложили столько усилий, чтобы защитить себя от обвинений в предвзятости.
Потому что, если задуматься о том, насколько забавна эта статистика, то прибавление 5 или вычитание 5 на самом деле повлияет на то, сможет ли спамер сделать своим детям настоящий подарок или подарить им кусок угля, потому что успешных покупок было так мало.
Что касается конкретного количества людей, которых зацепил спамер, то я не знаю, сколько из них было исследователями.
Но я думаю, что в целом, как я уже сказал, спамеры просто хотят забрать ваши деньги.
И вот если бы они смогли найти какой-то баланс, где исследователи могли бы тестировать покупки продуктов, не влияя при этом на общее количество продаж, это было бы здорово для спамеров, ведь для них главное получить деньги, все равно у кого.
Сложность в том, что предположим, было совершено 35 покупок, половину из которых сделали исследователи, в результате чего люди оказали давление на банки, после чего спамеры вместо 35 продаж сделали только 2 - вот чего они не хотят. .
Поэтому спамеры заинтересованы в прекращении подобных исследований.
Аудитория: Сколько из этих 350 миллионов сообщений фильтруется? Я уверен, что для спамера не составит труда разослать 350 миллионов спам-сообщений.
Профессор: все дело в анализе затрат и выгод с точки зрения спамера.
Я думаю, что существует рынок для целенаправленного выполнения подобных вещей.
В частности, взломанные учетные записи электронной почты становятся очень полезными, поскольку спамеры с большей вероятностью будут влиять на целевую аудиторию и рассматривать целевые спам-сообщения как сулящие более высокую прибыль.
Например, спам ориентирован на предпочтения определенной социальной группы, скажем, группы последователей Далай-ламы.
Аудитория: Было бы интересно, если бы существовала компания, которая разыскивала доверчивых бабушек, чтобы те вставляли им в электронные письма спам.
Профессор: Я бы не удивился, если бы такие вещи существовали, но я об этом не знаю.
Последнее, о чем я хотел бы поговорить, — это о компаниях, которые взяли на себя ответственность за действия, которые они называют хакерством или «ответным взломом».
Идея в том, что если вы банк и кто-то пытается вас взломать и украсть информацию, то вы сами находите этих хакеров и поступаете с ними таким же образом.
Например, в ответ на их атаку вы пытаетесь отключить их ботнет, украсть их информацию или что-то подобное.
Сегодня это более распространено, чем раньше.
Одна из причин заключается в том, что правовая система медленно адаптируется к некоторым современным угрозам, а банки и финансовые учреждения устали ждать, пока она предпримет эффективные действия.
Например, в 2013 году существовала огромная бот-сеть для распространения пиратского программного обеспечения и контрафактных товаров, поэтому для принятия контрмер сформировалась огромная коалиция компаний Microsoft, American Express, Paypal, многие из которых начали операцию по уничтожению ботнета.
Фактически они уничтожили пиратский ботнет самостоятельно, не прибегая к помощи госорганов.
Они спрятались на некоторое время и узнали о том, где находится инфраструктура управления.
Затем они взломали его, определили, где находятся все боты конечных пользователей, и разослали сообщения, уведомляющие пользователей о необходимости обновить свои компьютеры.
Этот пример очень интересен с точки зрения пересечения интересов компьютерной безопасности и законов, поскольку определенные разделы законов США дают право компаниям совершать подобные действия.
Например, юристы Microsoft заявили, что эти бот-сети нарушают правила Microsoft о товарных знаках.
Например, если вы продаете пиратские копии Windows и утверждаете, что это именно Windows, не получив права законно распоряжаться этими копиями, и не можете легализовать источники их происхождения, то Microsoft заявляет о нарушении прав на товарный знак и имеет в ответ право взломать вашу сеть.
с ботнетом.
В этом смысле есть некий переворот логики, но суд это допустил.
И это происходит все чаще и чаще.
Больше всего такое положение дел растопит банки, поскольку они отмечают некую государственную поддержку взлома банковских систем.
Поскольку банкиры заботятся о деньгах, они очень расстраиваются, когда теряют их.
Поэтому интересно наблюдать, как бремя кибербезопасности, особенно наступательных операций, переносится на частный сектор, поскольку долгосрочные последствия такого решения кажутся не совсем ясными.
На этом все, думаю, что мы увидимся с вами в среду, чтобы рассмотреть ваши презентационные проекты по результатам данного курса лекций.
Доступна полная версия курса Здесь .
Спасибо, что остаетесь с нами.
Вам нравятся наши статьи? Хотите увидеть больше интересных материалов? Поддержите нас, разместив заказ или порекомендовав друзьям, Скидка 30% для пользователей Хабра на уникальный аналог серверов начального уровня, который мы придумали для вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от 20$ или как правильно расшарить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40 ГБ DDR4).
VPS (KVM) E5-2650 v4 (6 ядер) 10 ГБ DDR4 240 ГБ SSD 1 Гбит/с бесплатно до января при оплате на срок от шести месяцев и более вы можете заказать здесь .
Dell R730xd в 2 раза дешевле? Только здесь 2 x Intel Dodeca-Core Xeon E5-2650v4 128 ГБ DDR4 6x480 ГБ SSD 1 Гбит/с 100 ТВ от 249 долларов США в Нидерландах и США! Прочтите об этом Как построить корпоративную инфраструктуру класса, используя серверы Dell R730xd E5-2650 v4 стоимостью 9000 евро за копейки? Теги: #информационная безопасность #программирование #ИТ-инфраструктура #Анализ и проектирование систем #Безопасность компьютерных систем #Безопасность компьютерных систем #Безопасность компьютерных систем #безопасность #безопасность #безопасность
-
Домашняя Сеть — Брандмауэры
19 Oct, 24 -
Проблемы При Установке Centos 7 С Флэш-Usb
19 Oct, 24 -
Осторожно, Хабрахабр!
19 Oct, 24 -
Трансформация Ит-Ландшафта В Банке
19 Oct, 24
