Rambler's Top100
Портал | Содержание | О нас | Пишите | Новости | Книжная лавка | Голосование | Топ-лист | Регистрация | Дискуссия
Лучшие молодые
ученые России

Авторские научные обозрения в "Русском переплете"
"Физические явления на небесах" | "Неизбежность странного микромира" | "Биология и жизнь" | "Terra & Comp" | Научно-популярное ревю | Теорфизика для малышей
Семинары - Конференции - Симпозиумы - Конкурсы

TERRA & Comp
С 07 августа 2003 года обозрение ведет Александр Семенов
До 10.07.2002 вел Кирилл Крылов

НАУКА

Новости

Научный форум

Научно-популярный журнал Урания в русском переплете

Космические новости

Энциклопедия космонавтика

Энциклопедия "Естествознание"

Журнальный зал

Физматлит

News of Russian Science and Technology

Научные семинары

Почему молчит Вселенная?

Парниковая катастрофа

Кто перым провел клонирование?

Хронология и парахронология

История и астрономия

Альмагест

Наука и культура

 Журналы в сети:

Nature

Успехи физических наук

New Scientist

ScienceDaily

Discovery

ОБРАЗОВАНИЕ

Открытое письмо министру образования

Антиреформа

Соросовский образовательный журнал

Биология

Науки о Земле

Математика и Механика

Технология

Физика

Химия

Русская литература

Научная лаборатория школьников

КОНКУРСЫ

Лучшие молодые
ученые России

Для молодых биологов

БИБЛИОТЕКИ

Библиотека Хроноса

Научпоп

РАДИО

Читают и поют авторы РП

ОТДЫХ

Музеи

Игры

Песни русского застолья

Народное

Смешное

О НАС

Редколлегия

Авторам

О журнале

Как читать журнал

Пишут о нас

Тираж

РЕСУРСЫ

Поиск

Проекты

Посещаемость

Журналы

Русские писатели и поэты

Избранное

Библиотеки

Фотоархив

ИНТЕРНЕТ

Топ-лист "Русского переплета"

Баннерная сеть

Наши баннеры

НОВОСТИ

Все

Новости русской культуры

Новости науки

Космические новости

Афиша

The best of Russian Science and Technology


"Русский переплет" зарегистрирован как СМИ. Свидетельство о регистрации в Министерстве печати РФ: Эл. #77-4362 от
5 февраля 2001 года. При полном или частичном использовании
материалов ссылка на www.pereplet.ru обязательна.

Тип запроса: "И" "Или"

02.09.2014
13:02

По следам <спама на снегоступах>

    Блог Алекса Чиу (Alex Chiu), специалиста Cisco в области информационной безопасности

    Время от времени в поле зрения специалистов Cisco попадают любопытные спам-атаки. Так, 15 августа мы зафиксировали атаку с применением тактики <спам на снегоступах> (snowshoe spam attack) в сочетании с PDF-эксплойтом. (<Спам на снегоступах> - это вид децентрализованной спам-атаки, когда сообщения рассылаются с большого количества IP-адресов отправителей подобно тому, как вес человека равномерно распределяется по всей площади снегоступа).

    Сами по себе эти приемы не новы, но в последнее время злоумышленники все чаще прибегают к атакам такого типа. Как можно увидеть из вот этой таблицы, по сравнению с ноябрем 2013 года объем <спама на снегоступах> удвоился.

    Не всякий метод обнаружения спама может справиться с атаками подобного типа: злоумышленники обычно используют множество IP-адресов, причем с каждого адреса приходит лишь небольшой объем спама. В некоторых системах защиты этот фактор может сильно затруднить выявление атаки. Как правило, в борьбе со <спамом на снегоступах> выигрывают технологии многоуровневой защиты, такие как Cisco ESA. (Этим технологиям посвящена предыдущая запись в блоге).

    Спам-сообщения

    Хотя в описываемой атаке использовалось большое количество IP-адресов, рассылаемые сообщения вызывают подозрения сами по себе из-за некоторых характерных для спама особенностей заголовков и тела письма. В поле <Тема> указано что-нибудь вроде , причем номер сгенерирован случайным образом, а слово inovice - не что иное, как искаженное invoice (счет). Поле <Отправитель> меняется от письма к письму, но обычно содержит необычные строки символов, такие как EOF, endobj и endstream. Сообщения имели вложения в виде PDF-файла, а тело письма было пустым или совсем коротким, содержащим призыв скачать и открыть прикрепленный файл. В качестве примера воспроизвожу одно из таких сообщений:

    В процессе изучения вложений было замечено, что все эти PDF-файлы одинаковы. Единственное небольшое различие состоит в том, что в названии вложенного файла присутствует случайное число, совпадающее с числом из темы каждого письма. Быстрый анализ с использованием системы усиленной защиты от вредоносного кода Cisco Advanced Malware Protection (AMP) тут же распознал PDF-файл (SHA-256: 2562f92cc72a0217ab58f402d529098246a57267940dc53783ae9a71c8717425) как троянскую программу, использующую уязвимость CVE-2013-2729 (возможность переполнения буфера при обработке целых чисел, свойственная программе Adobe Reader версий 9.x, 10.x и 11.x). Другой интересной особенностью этой спам-атаки был ее молниеносный характер. Наблюдаемая атака длилась в общей сложности всего часа три, но и за это время она однажды почти достигла 10% от общего объема входящего спама.

    Блокирование <спама на снегоступах>

    Для борьбы со <спамом на снегоступах> существует несколько обобщенных методов. Один из самых надежных - полагаться не только на репутацию отправителя. По сравнению со склонной к изменениям инфраструктурой DNS (особенно при использовании таких технологий, как динамический DNS), IP-инфраструктура довольно стабильна. В рассматриваемой атаке большинство сообщений было отправлено с различных IP-адресов (классический <спам на снегоступах>). На веб-странице http://blogs.cisco.com/wp-content/uploads/rq769-ip-addrs.txt приведен список из примерно 250 IP-адресов, использовавшихся при проведении данной атаки.

    <Спам-атаки на снегоступах> придуманы специально для того, чтобы обойти алгоритмы, основанные на метриках репутации IP-адреса отправителя. Обратите внимание на изобилие IP-адресов, вовлеченных в эту конкретную атаку: коэффициент повторного использования IP-инфраструктуры ничтожно мал. Однако судить о том, заслуживает ли доверия источник сообщения, можно по некоторым другим факторам - например, по уровню безопасности конфигурации почтового сервера. У многих IP-адресов, задействованных в рассматриваемой спам-атаке, отсутствовало соответствие между прямыми и обратными зонами DNS (настоящая черная метка для любого отправителя, не являющегося легитимным почтовым сервером). Ко всему прочему, многие из этих IP-адресов в рассылке спама ранее замечены не были. Это указывало на то, что организаторы атаки, скорее всего, нарушали безопасность компьютеров с четкой целью интегрировать их в создаваемую инфраструктуру <спам-атак на снегоступах> и впоследствии использовать для распространения спама.

    Cisco предлагает многоуровневую почтовую защиту, способную эффективно противостоять данной угрозе. В результате, благодаря сочетанию различных технологий, вероятность успеха атаки типа <спам на снегоступах> заметно снижается. Cisco использует такие решения, как фильтры первой линии защиты Outbreak Filters, ловушки для спама и модуль сканирования почты Intelligent Multi Scan. Кроме того, анализируя информацию о DNS-инфраструктуре спамеров, решения Cisco в упреждающем режиме определяют потенциальные источники проблем. Система AMP помогает обнаруживать вредоносные почтовые вложения еще до того, как они смогут затаиться в сети. При совместном использовании эти технологии выявления атак образуют непревзойденный уровень защиты.

    Заключение

    Атаки с использованием PDF-файлов, выдаваемых за инвойсы, - довольно распространенная угроза. Cisco постоянно приходится защищать от нее своих заказчиков. Стремительный характер рассматриваемой спам-атаки, возможно, объясняется попыткой избежать обнаружения. И хотя эта угроза похожа на уже известные типы атак, наблюдаемые нами случаи показали, что она доставит пользователям еще немало проблем. К сожалению, те, кто не следят за обновлением своих систем, не используют технологии информационной безопасности или открывают почтовые вложения от неизвестных отправителей, останутся уязвимыми для такого типа угроз. В то время как другие средства защиты электронной почты, в значительной мере полагающиеся на репутацию отправителя, могут оказаться бессильными перед <спамом на снегоступах>, Cisco ESA применяет целый ряд методик для обнаружения и моментальной нейтрализации атак.

    Как защитить пользователей

    Веб-сканирование с помощью решений Cisco CWS или WSA предотвратит загрузку вредоносных файлов данного типа. Защита сети, обеспечиваемая системами предотвращения вторжений (IPS) и межсетевыми экранами следующего поколения (NGFW), идеально подходит для выявления и блокирования попыток вредоносных программ поддерживать связь со своими центрами управления и контроля. Система AMP как нельзя лучше подходит для выявления и блокирования комплексных угроз такого типа. Cisco ESA выявляет и блокирует подобные атаки, распространяемые по электронной почте.

01.09.2014
20:54

Проект BabyX: модель искусственного интеллекта на основе поведения ребёнка

    Как сообщает 3DNews, разговор взрослого с ребёнком теперь может происходить не только в виде диалога между двумя людьми. Усилиями специалистов из лаборатории . . .

01.09.2014
20:48

Открытый университет Сколково готов к набору студентов

    Как пишет 3DNews, Российский инновационный центр передовых научно-технических разработок Сколково проводит отбор желающих присоединиться к изучению наиболее . . .

01.09.2014
20:17

Разработаны перчатки, способствующие обучению шрифту Брайля

    Два месяца назад исследователи из Технологического института Джорджии разработали специальные перчатки, которые способны быстро и просто обучить людей . . .

01.09.2014
20:14

12 сентября на Землю вернется <космический> виски

    Очевидно, что людям стоит приготовиться к событию мирового масштаба. Сообщается, что на днях - 12 числа сентября - с орбиты вернется уникальный напиток. 12 сентября . . .

01.09.2014
17:51

Ученые нашли способ обнаружения родственных звезд

    Астрофизики из Калифорнийского университета в Санта-Крузе изучили турбулентное перемешивание и его влияние на химические однородности в звездных скоплениях . . .

01.09.2014
17:49

Путин заинтересовался возможностью клонирования мамонтов

    В рамках визита в Якутию президент России Владимир Путин встретился с учеными лаборатории Музея мамонта имени Петра Алексеевича Лазарева, которая входит в . . .

01.09.2014
17:47

Гнев оказался самой универсальной и функциональной эмоцией человека

    Сердитое выражение лица является биологически универсальным для человечества, и каждый участвующий в его создании орган и группа мышц не случаен, а является . . .

01.09.2014
17:43

Болезненные воспоминания сотрут с помощью ксенона

    Ксенон - безвредный газ без цвета и запаха - легко стер болезненные воспоминания у мышей. Если новый метод успешно пройдет испытания, он поможет ликвидировать . . .

31.08.2014
10:23

Лауреат Нобелевской премии назвал исследование аморфных веществ вызовом современной химии

    Лауреат Нобелевской премии по химии 1981 года Роалд Хоффманн считает, что создание методики экспрессного установления структуры вещества в аморфном состоянии . . .

30.08.2014
10:45

Тайну движущихся камней раскрыли с помощью GPS

    Движущиеся камни в Долине Смерти оставались тайной для ученых в течение десятков лет. Конечно, были вполне убедительные теории и даже эксперименты. Но на 100% . . .

29.08.2014
22:00

Генетики нашли у людей и червей общие черты

    Генетики выяснили, что ДНК у плодовой мухи Drosophila melanogaster, круглого червя Caenorhabditis elegans и человека сгруппирована похожим образом и обладает сходной информацией . . .

29.08.2014
20:12

Британский беспилотник на батареях пробыл в воздухе 11 суток

    Британский беспилотник Zephyr-7 в течение 11 суток совершал беспосадочный полет в зимних условиях. Такое продолжительное путешествие аппарата в Южном полушарии стало . . .

29.08.2014
16:14

В роли главного источника бактерий домашние вещи уступили людям

    Американские ученые обнаружили, что микробиомы (сообщества микробов, обитающих в индивидуальном организме) тесно связаны с домом, где живет человек (и его семья) . . .

29.08.2014
14:14

IBM Watson открывает новую эру обработки больших данных

    - Новое решение для когнитивных вычислений помогает ускорить темпы научных и промышленных исследований - Медицинский колледж Бэйлора совершенствует технологии . . .

29.08.2014
14:00

Ученые начали изучать голографическую Вселенную

    Ученые из Фермилаб в США в рамках проекта Holometer, рассчитанного на поиск голографических флуктуаций пространства, начали собирать первые данные, сообщается на . . .

29.08.2014
13:57

Ученые испытали мощь оружия каменного века

    Антропологи решили экспериментально проверить преимущества копий с каменным наконечником, которые предки человека начали использовать около полумиллиона лет . . .

29.08.2014
13:55

Древние эскимосы исчезли 700 лет назад

    Генетические анализ показал, что палеоэскимосы (народы, проживавшие в Гренландии, Канаде, Сибири и на Аляске в IV-III тысячелетиях до нашей эры) не являются прямыми . . .

29.08.2014
13:41

Киберпреступления обеспечивают двадцатикратную доходность злоумышленникам

    Доходы киберпреступников могут более чем в 20 раз превышать их затраты на организацию атак. Это следует из анализа, выполненного экспертами <Лаборатории . . .

29.08.2014
13:37

В Исландии началось извержение вулкана Бардарбунга

    В Исландии началось извержение подледного вулкана Бардарбунга (Barðarbunga), сообщает Agence France-Presse со ссылкой на заявление метеорологического бюро Исландии . . .

<< 1151|1152|1153|1154|1155|1156|1157|1158|1159|1160 >>

ЛИТЕРАТУРА

Новости русской культуры

К читателю

Содержание

Публицистика

"Курск"

Кавказ

Балканы

Проза

Поэзия

Драматургия

Искания и размышления

Критика

Сомнения и споры

Новые книги

У нас в гостях

Издательство

Книжная лавка

Журнальный зал

ОБОЗРЕНИЯ

"Классики и современники"

"Слово о..."

"Тайная история творений"

"Книга писем"

"Кошачий ящик"

"Золотые прииски"

"Сердитые стрелы"

КУЛЬТУРА

Афиша

Новые передвижники

Фотогалерея

Музыка

"Неизвестные" музеи

Риторика

Русские храмы и монастыри

Видеоархив

ФИЛОСОФИЯ

Современная русская мысль

Искания и размышления

ИСТОРИЯ

ХРОНОС

История России

История в МГУ

Слово о полку Игореве

Хронология и парахронология

Астрономия и Хронология

Альмагест

Запечатленная Россия

Сталиниана

ФОРУМЫ

Дискуссионный клуб

Научный форум

Форум "Русская идея"

Форум "Курск"

Исторический форум

Детский форум

КЛУБЫ

Пятничные вечера

Клуб любителей творчества Достоевского

Клуб любителей творчества Гайто Газданова

Энциклопедия Андрея Платонова

Мастерская перевода

КОНКУРСЫ

За вклад в русскую культуру публикациями в Интернете

Литературный конкурс

Читательский конкурс

Илья-Премия

ДЕТЯМ

Электронные пампасы

Фантастика

Форум

АРХИВ

2001

2000

1999

Фотоархив

Все фотоматериалы

Помощь корреспонденту Добавить новость
НАУКА В "РУССКОМ ПЕРЕПЛЕТЕ"

Если Вы хотите стать нашим корреспондентом напишите lipunov@sai.msu.ru

 

© 1999, 2000 "Русский переплет"
Дизайн - Алексей Комаров

Rambler's Top100